Probleemoplossing voor ACI OSPF-adapters
Inhoud
Inleiding
Dit document beschrijft problemen oplossen bij Application Centric Infrastructure (ACI) Open Shortest Path First (OSPF)-adapters.
Topologie
Topologie
Configuratievereisten voor OSPF-peer
OSPF is een van de protocollen die u kunt inschakelen tussen Cisco ACI en een externe router. Cisco ACI ondersteunt alle gebruikelijke opties, zoals OSPF-gebied met inbegrip van backbone, verschillende stub-opties, buurverificatie en andere soortgelijke opties.
Een L3Out bevat de routeringsprotocolopties, de switch-specifieke configuratie (een knoopprofiel) en interfacespecifieke instellingen (een interfaceprofiel). De op OSPF betrekking hebbende parameters kunnen hoofdzakelijk in twee plaatsen zoals een normale router worden gevormd. De eerste is Virtual Routing and Forwarding (VRF)-brede of Node-brede configuratie zoals gebied-ID en gebiedstype die op de L3Out zelf kunnen worden geconfigureerd. De tweede is parameters op interfaceniveau, zoals OSPF hello-interval of interfacetype (Broadcast, Point-to-Point (P2P)).
Dit zijn de eisen ten aanzien van nabijheid OSPF die tussen het ACI grensblad en de externe router moet worden duidelijk gemaakt:
- OSPF-gebied-id en type moeten overeenkomen
- OSPF-router-ID moet uniek zijn
- De maximum transmissie-eenheid (MTU) moet overeenkomen (standaard wordt deze door de fabric op 9000 ingesteld en door de meeste Cisco IOS®/NXOS op 1500 ingesteld)
- OSPF-verificatiesleutel en type moeten overeenkomen (indien gebruikt)
- OSPF Hello en dode intervallen moeten overeenkomen
- OSPF-netwerktype moet overeenkomen
Het witboek gaf een gedetailleerde uitleg van de ontwerpconcepten en opties met betrekking tot de ACI L3Out voor de ondersteunende routeringsprotocollen.
Verwijs naar het white paper als u niet bekend bent met de L3Out setup en andere fundamentele vereisten.
Probleemoplossing voor OSPF-nabijheid - algemene controlelijst
Ongeacht of de nabijheid OSPF omhoog vóór was of nooit is gekomen, is het best om de basisvereisten eerst te bevestigen.
Stap 1. Pingel de interface van het verre eind. Dit helpt bevestigen als u IP bereikbaarheid aan het verre eind hebt dat een primaire eis ten aanzien van OSPF is om omhoog te komen.
iping -V <vrf> <remote_end_IP>
example:
BL-301# iping -V abc1:vrf-1 192.0.2.50
Stap 2. De basisconfiguratieparameters valideren:
- OSPF-gebied-id en type moeten overeenkomen
- OSPF-router-ID moet uniek zijn
- MTU moet corresponderen (standaard fabric stelt dit in op 9000 en de meeste Cisco IOS/NXOS stellen dit in op 1500)
- OSPF-verificatiesleutel en type moeten overeenkomen (indien gebruikt)
- OSPF Hello en dode intervallen moeten overeenkomen
- OSPF-netwerktype moet overeenkomen
De opdrachtoutput laat de configuratiekenmerken zien die naar het blad worden gedrukt.
BL-301# show ip int bri vrf abc1:vrf-1 IP Interface Status for VRF "abc1:vrf-1"(137) Interface Address Interface Status vlan1 192.0.2.1/24 protocol-up/link-up/admin-up --> l3out SVI lo9 192.168.0.1/32 protocol-up/link-up/admin-up --> Router ID SVI
BL-301# show ip ospf interface vlan 1
Vlan1 is up, line protocol is up
IP address 192.0.2.1/24, Process ID default VRF abc1:vrf-1, area backbone
Enabled by interface configuration
State P2P, Network type P2P, cost 4
Index 84, Transmit delay 1 sec
1 Neighbors, flooding to 1, adjacent with 1
Timer intervals: Hello 10, Dead 40, Wait 40, Retransmit 5
Hello timer due in 00:00:03
No authentication
Number of opaque link LSAs: 0, checksum sum 0
BL-301# show int vlan 1 | egrep "MTU"
MTU 9000 bytes, BW 10000000 Kbit, DLY 1 usec
BL-301# show ip ospf vrf abc1:vrf-1 | grep Routing
Routing Process default with ID 192.168.0.1 VRF abc1:vrf-1 --> Router ID
Noteer alle gemarkeerde gegevens en bevestig dat de corresponderende externe eindparameters synchroon lopen.
Probleemoplossing voor OSPF-aanpassing - fouten
[+]From the border Leaf we can identify the state of the neighbor state
BL-301# show ip ospf neighbors vrf abc1:vrf-1
<<EMPTY>>
[+] You can check the associated faults to the VRF.
BL-301# moquery -c faultInst -x 'query-target-filter=wcard(faultInst.dn,"abc1:vrf-1")' | egrep "code|rule|dn|descr|lastTransition"
<<EMPTY>>
Er zijn enkele scenario's zonder actieve fouten in de omgeving, maar er kan één fout Record F1385 (protocol-ospf-nabijheidsdown) op het blad dat ons wijst naar de laatste keer dat deze buurt was omhoog of als nooit in volledige staat.
U kunt dit identificeren met de opdrachtmoquery -c faultRecord -f 'fault.Inst.code=="F1385"' -x 'query-target-filter=wcard(faultRecord.dn,"abc1:vrf-1")' | grep dn.
Controleer bij de opdracht het aantal foutmeldingen voor een bepaalde datummoquery -c faultRecord -f 'fault.Inst.code=="F1385"' -x 'query-target-filter=wcard(faultRecord.dn,"abc1:vrf-1")' -x 'query-target-filter=wcard(faultRecord.created,"2024-01-01")' | egrep "dn" | wc -l.
U moet de OSPF-interface en lokale en externe geconfigureerde IP’s identificeren.
[+] Identify the IP applied on the external device from the ARP associated to the interface
BL-301# moquery -c arpAdjEp -x 'query-target-filter=wcard(arpAdjEp.ifId,"vlan1")' | grep "ip "
ip : 192.0.2.50Opname van besturingsplane voor verkeer op knooppunt
Opname van besturingsplane voor verkeer op knooppuntMet de verwachte Source and Destination Switch Virtual Interface (SVI) van het grensblad, kunt u het tcpdump hulpprogramma gebruiken om te controleren.
Opmerking: hiervoor wordt de interface kpm_inb gebruikt die u in staat stelt om alle CPU inband control plane netwerkverkeer te zien.
[+] Capture a single OSPF hello packet using TCPDUMP coming for local BL OSPF IP 192.0.2.1
BL-301# tcpdump src host 192.0.2.1 -vv -e -i kpm_inb
tcpdump: listening on kpm_inb, link-type EN10MB (Ethernet), capture size 262144 bytes
192.0.2.1 > ospf-all.mcast.net: OSPFv2, Hello, length 44
Router-ID 192.168.0.1, Backbone Area, Authentication Type: none (0)
Options [External]
Hello Timer 10s, Dead Timer 40s, Mask 255.255.255.0, Priority 1
[+] Capture a single OSPF hello packet using TCPDUMP coming from external device OSPF IP 192.0.2.50
BL-301# tcpdump src host 192.0.2.50 -vv -e -i kpm_inb
tcpdump: listening on kpm_inb, link-type EN10MB (Ethernet), capture size 262144 bytes
192.0.2.50 > ospf-all.mcast.net: OSPFv2, Hello, length 44
Router-ID 172.16.0.1, Backbone Area, Authentication Type: none (0)
Options [External]
Hello Timer 10s, Dead Timer 40s, Mask 255.255.255.0, Priority 1 Verificatie van draadhaaien
U kunt OSPF- en HOST-specifiek verkeer opnemen om het op Wireshark te analyseren.
BL-301# tcpdump -i kpm_inb proto ospf -vv -e -w - | tee /data/techsupport/Node-XXX_OSPF.pcap | tcpdump -r - host any
BL-301# tcpdump -xxxvi kpm_inb 'proto ospf and (host <<X.X.X.X>> or host <<Y.Y.Y.Y>>)' -w /data/techsupport/Node-XXX_OSPF_HOST.pcap
BL-301# tcpdump -i kpm_inb proto ospf -vv -e -w - | tee /data/techsupport/Node-XXX_OSPF_HOST.pcap | tcpdump -r - host X.X.X.X
Voor pcap-opnamen kunt u Wireshark-filters gebruiken door te zoeken en te gebruiken Analyze > Toepassen als een kolom.
ospf.area_id = om AreaID te identificeren
ospf.auth.type = om te controleren of het ingestelde type autorisatie overeenkomt
ospf.hello.hello_interval = om verschillende MTU's te controleren
ospf.hello.router_dead_interval = om te controleren op verschillende dode intervalconfiguratie
ospf.srcrouter = router-id
Scenario's voor probleemoplossing
Scenario's voor probleemoplossingProbleemoplossing voor OSPF-nabijheid: foutieve gebied-id
Probleemoplossing voor OSPF-nabijheid: foutieve gebied-idVan APIC-configuratie met Area ID 0.0.0.42, navigeer naar Fabric > Tenants > Netwerken > L3Outts > <L3outName> > Policy > Main.
Verkeerde OSPF Area ID geconfigureerd 0.0.0.42
Vanaf het grensblad:
[+] Check OSPF interface details to confirm current area
BL-301# show ip ospf interface vlan 1 | grep area
IP address 192.0.2.1/24, Process ID default VRF abc1:vrf-1, area 0.0.0.42
Or
BL-301# moquery -c ospfIf -x 'query-target-filter=wcard(ospfIf.id,"vlan1")' | grep area
area : 0.0.0.42
[+] Capture a single packet TCPDUMP for local BL OSPF IP
BL-301# tcpdump src host 192.0.2.1 -vv -e -i kpm_inb -c 1
192.0.2.1 > ospf-all.mcast.net: OSPFv2, Hello, length 44
Router-ID 192.168.0.1, Area 0.0.0.42, Authentication Type: none (0)
Options [External]
Hello Timer 10s, Dead Timer 40s, Mask 255.255.255.0, Priority 1
[+] Capture a single OSPF hello packet using TCPDUMP coming from external device OSPF IP
BL-301# tcpdump src host 192.0.2.50 -vv -e -i kpm_inb -c 1
192.0.2.50 > ospf-all.mcast.net: OSPFv2, Hello, length 44
Router-ID 172.16.0.1, Backbone Area, Authentication Type: none (0)
Options [External]
Hello Timer 10s, Dead Timer 40s, Mask 255.255.255.0, Priority 1Van externe inrichting:
NX-OS# show logging log | tail -n 100 | grep ospf-bootcamp
2023 Dec 28 15:17:09 NX-OS %OSPF-4-AREA_ERR: ospf-bootcamp [22263] (301-l3-abc1) Packet from 192.0.2.1 on Ethernet1/2 received for wrong area 0.0.0.42
NX-OS# show ip ospf interface Ethernet1/2 | grep area
Process ID bootcamp VRF 301-l3-abc1, area 0.0.0.0
Oplossing: Pas OSPF-gebied aan op 0.0.0.0 of backbone op BL of 0.0.0.42 op het externe apparaat.
Probleemoplossing voor OSPF-nabijheid: onjuiste gebiedstype
Probleemoplossing voor OSPF-nabijheid: onjuiste gebiedstypeVan ACI GUI, configuratie met het type van Gebied of NSSA of Stub, navigeer aan Fabric > Huurders > Netwerken > L3Outs > "L3outName" > Beleid > Main.
Configuratie NSSA of Stub Area.
Vanaf het grensblad:
[+] Capture a single packet TCPDUMP for local BL OSPF IP
BL-301# moquery -c ospfArea -x 'query-target-filter=wcard(ospfArea.dn,"abc1:vrf-1")' | egrep "type"
type : nssa
BL-301# tcpdump src host 192.0.2.1 -vv -e -i kpm_inb -c 1
192.0.2.1 > ospf-all.mcast.net: OSPFv2, Hello, length 44
Router-ID 192.168.0.1, Area 0.0.0.42, Authentication Type: none (0)
Options [NSSA]
Hello Timer 10s, Dead Timer 40s, Mask 255.255.255.0, Priority 1
or
BL-301# moquery -c ospfArea -x 'query-target-filter=wcard(ospfArea.dn,"abc1:vrf-1")' | egrep "type"
type : stub
BL-301# tcpdump src host 192.0.2.1 -vv -e -i kpm_inb -c 1
192.0.2.1 > ospf-all.mcast.net: OSPFv2, Hello, length 44
Router-ID 192.168.0.1, Area 0.0.0.42, Authentication Type: none (0)
Options [none]
Hello Timer 10s, Dead Timer 40s, Mask 255.255.255.0, Priority 1
[+] Capture a single OSPF hello packet using TCPDUMP coming from external device OSPF IP
BL-301# tcpdump src host 192.0.2.50 -vv -e -i kpm_inb -c 1
192.0.2.50 > ospf-all.mcast.net: OSPFv2, Hello, length 44
Router-ID 172.16.0.1, Area 0.0.0.42, Authentication Type: none (0)
Options [External]
Hello Timer 10s, Dead Timer 40s, Mask 255.255.255.0, Priority 1
Van externe inrichting:
[+] Check OSPF interfaces con vrf
NX-OS# show ip int bri vrf 301-l3-abc1
IP Interface Status for VRF "301-l3-abc1"(21)
Interface IP Address Interface Status
Lo1001 110.1.0.1 protocol-up/link-up/admin-up
Eth1/2.1120 192.0.2.50 protocol-up/link-up/admin-up
NX-OS# show ip ospf interface Ethernet1/2 | grep area
Process ID bootcamp VRF 301-l3-abc1, area 0.0.0.0
Oplossing: stem het type van OSPF-gebied regelmatig op L3Out of gelijke op van het externe apparaat aan.
Probleemoplossing voor OSPF-aanpassing: dubbele router-id
Probleemoplossing voor OSPF-aanpassing: dubbele router-idEen gedupliceerde router-ID voorkomt dat de OSPF-nabijheid zich vormt. In ACI-fabric maakt het blad, na het configureren van de OSPF-router-ID, een loopback met het IP-adres van de router-ID. Omdat dit adres voor loopback wordt gebruikt, kunt u niet hebben het overlapt met de interface IP gebruikt aangezien het ontbreekt.
In dit voorbeeld, kunt u bevestigen het verkeerd werd gevormd met routeridentiteitskaart van het buurapparaat.
Van ACI GUI, navigeer naar Fabric > Tenants > Networking > L3Outs > "L3outName" > "Node-X" > Configured Nodes > topology/pod-Y/node-X.
verkeerd geconfigureerd met de router-id vanaf het buurapparaat.
Vanaf het grensblad:
[+] Check OSPF interfaces associated with the VRF
BL-301# show ip int bri vrf abc1:vrf-1
IP Interface Status for VRF "abc1:vrf-1"(137)
Interface Address Interface Status
vlan1 192.0.2.1/24 protocol-up/link-up/admin-up
lo9 172.16.0.1/32 protocol-up/link-up/admin-up
[+] Capture a single packet TCPDUMP for local BL OSPF IP
BL-301# tcpdump src host 192.0.2.1 -vv -e -i kpm_inb -c 1
192.0.2.1 > ospf-all.mcast.net: OSPFv2, Hello, length 44
Router-ID 172.16.0.1, Backbone Area, Authentication Type: none (0)
Options [External]
Hello Timer 10s, Dead Timer 40s, Mask 255.255.255.0, Priority 1
[+] Capture a single OSPF hello packet using TCPDUMP coming from external device OSPF IP
BL-301# tcpdump src host 192.0.2.50 -vv -e -i kpm_inb -c 1
192.0.2.50 > ospf-all.mcast.net: OSPFv2, Hello, length 48
Router-ID 172.16.0.1, Backbone Area, Authentication Type: none (0)
Options [External]
Hello Timer 10s, Dead Timer 40s, Mask 255.255.255.0, Priority 1
Van extern apparaat
NX-OS# show logging log | tail -n 100 | grep ospf-bootcamp
2024 Jan 4 13:55:36 NX-OS %OSPF-4-DUPRID: ospf-bootcamp [22263] (301-l3-abc1) Router 192.0.2.1 on interface Ethernet1/2.1120 is using our routerid, packet dropped
Oplossing: Gebruik verschillende router-ID’s op beide apparaten.
gebruik verschillende router-ID’s op beide apparaten
Probleemoplossing OSPF-nabijheid: MTU-fout
Probleemoplossing OSPF-nabijheid: MTU-foutNadat twee OSPF-naburige routers bidirectionele communicatie tot stand hebben gebracht en volledige toegewezen router (DR)/BDR-selectie (op uitzendnetwerken) hebben uitgevoerd, gaat de routerovergang naar de Exstart-status. In deze staat, vestigen de naburige routers een actieve/standby verhouding en bepalen het aanvankelijke de opeenvolgingsaantal van de gegevensbestandbeschrijver (DBD) te gebruiken terwijl het ruilen van DBD pakketten.
Zodra de actieve/stand-by relatie is overeengekomen (de router met de hoogste router-ID wordt de actieve), gaat de naburige routerovergang naar de uitwisselingsstaat. In deze staat, ruilen de routers DBD pakketten, die hun volledige verbinding-staat gegevensbestand beschrijven. De routers verzenden ook link-state verzoekpakketten, die om recentere link-state reclame (LSA) van buren verzoeken.
Als de MTU-instellingen voor naburige routerinterfaces niet overeenkomen, blijven de routers vastzitten in Exstart/Exchange State. Dit komt doordat de router met de hogere MTU een pakket verzendt dat groter is dan de MTU die is ingesteld op de naburige router, zodat de naburige router het pakket negeert.
Van APIC GUI configuratie met standaard erfelijke configuratie, navigeer aan Fabric > Tenants > Networking > L3Outs > "L3outName" > "Node-X" > Logical Interface Profiles > OSPF Interface Profile.
Standaard stelt ACI-fabric de Layer 3-interface MTU in op 9000 in plaats van op 1500
Standaard stelt ACI fabric Layer 3 interface MTU in op 9000 in plaats van 1500. Aangezien de ACI een hogere MTU heeft, blijft het de DBD-pakketten van de externe router accepteren en probeert deze te erkennen.
Als de externe router een lagere of hogere MTU heeft, negeert het de DBD-pakketten samen met ACK van ACI, blijft het oorspronkelijke DBD-pakket opnieuw verzenden, en blijft in de staat Exstart/Exchange.
Vanaf het grensblad:
[+]From the border Leaf we can identify the state of the neighborship relation
BL-301# show ip ospf neighbors vrf abc1:vrf-1
OSPF Process ID default VRF abc1:vrf-1
Total number of neighbors: 1
Neighbor ID Pri State Up Time Address Interface
172.16.0.1 1 EXCHANGE/ - 01:10:05 192.0.2.50 Vlan1
[+] You can check the associated faults to the Tenant:VRF / OSPF interface
BL-301# moquery -c faultInst -x 'query-target-filter=wcard(faultInst.dn,"abc1:vrf-1\/if-\[vlan1\]")' | egrep "code|rule|dn|descr|lastTransition"
code : F1385
descr : OSPF adjacency is not full, current state Exchange
dn : topology/pod-1/node-301/sys/ospf/inst-default/dom-abc1:vrf-1/if-[vlan1]/adj-172.16.0.1/fault-F1385
lastTransition : 2023-12-28T12:26:23.369-05:00
rule : ospf-adj-ep-failed
title : OSPF Adjacency Down
code : F3592
descr : OSPF interface vlan1 mtu is different than neighbor mtu
dn : topology/pod-1/node-301/sys/ospf/inst-default/dom-abc1:vrf-1/if-[vlan1]/fault-F3592
lastTransition : 2023-12-28T12:26:23.369-05:00
rule : ospf-if-mtu-config-mismatch-err
[+] Identify the MTU applied on the OSPF interface
BL-301# show int vlan 1 | egrep "MTU"
MTU 9000 bytes, BW 10000000 Kbit, DLY 1 usec
[+] If the default configuration is on place there will be a missmatch with the 1500 default
BL-301# show ip ospf event-history adjacency | grep "neighbor mtu"
2023-12-28T12:24:31.986149000-05:00 ospf default [20751]: TID 21885:ospfv2_check_ddesc_for_nbr_state:492:(abc1:vrf-1-base) DBD from 192.0.2.50,neighbor mtu [1500] is smaller than if mtu 9000
[+] Or if the locally configured MTU is lower tham external router
[2023-12-28T14:05:48.495659000-05:00:T:ospfv2_check_ddesc_for_nbr_state:478] abc1:vrf-1DBD from 192.0.2.50,neighbor mtu [1500] is large than if mtu 1200
Mogelijke oplossingen:
- Stem MTU op beide apparaten af
Als er aan beide kanten een MTU wordt veranderd, omdat het lidmaatschap al is ingesteld, blijft het zo tot de volgende onderhandeling en kan het om meerdere redenen worden geactiveerd. Bijvoorbeeld, beneden fysieke interface, beleidsomzetting, bladherladen, upgrade, enzovoort.
Navigeren naar Fabric > Tenants > Networking > L3Outs > "L3outName" > "Node-X" > Logical Interface Profiles > OSPF Interface Profile zoals in de afbeelding.
MTU ingesteld op 1500
- MTU negeert in het Associated OSPF Interface Policy en herstelt de connectiviteit.
Het probleem met MTU negeren kan verschijnen wanneer de OSPF-database groeit. Wanneer de MTU's slechts een paar bytes verschillen, kan de instelling voor een lange tijd werken totdat u toevallig over de juiste combinatie van LSA's struikelt die het DBD- of update-pakket van precies de juiste grootte genereren.
Tests in een klein lab werken prima, maar het productienetwerk kan onverwacht gedrag ervaren.
Navigeren naar Fabric > Tenants > Networking > L3Outs > "L3outName" > "Node-X" > Logical Interface Profiles > OSPF Interface Profile > Associated OSPF Interface Policy zoals in de afbeelding.
MTU negeert configuratie
Probleemoplossing voor OSPF-aanpassing: verificatiefouten
Probleemoplossing voor OSPF-aanpassing: verificatiefoutenU kunt verificatie in OSPF inschakelen om routering en update-informatie veilig uit te wisselen. OSPF-verificatie kan nul (of null), eenvoudig of MD5 zijn. De verificatiemethode 'niets' betekent dat er geen authenticatie wordt gebruikt voor OSPF en dat het de standaardmethode is. Met eenvoudige authenticatie, het wachtwoord gaat in duidelijke tekst over het netwerk. Bij MD5-verificatie gaat het wachtwoord niet over het netwerk.
Dit zijn de drie verschillende soorten verificatie die door OSPF worden ondersteund.
Ongeldige verificatie — Dit wordt ook Type 0 genoemd en dit betekent dat er geen verificatiegegevens zijn opgenomen in de pakketheader. Het is de standaard.
Eenvoudige Verificatie — Dit wordt ook Type 1 genoemd en het gebruikt eenvoudige duidelijk-tekst wachtwoorden.
MD5-verificatie — Dit wordt ook Type 2 genoemd en maakt gebruik van MD5 cryptografische wachtwoorden.
Verificatie hoeft niet te worden ingesteld. Als deze optie echter is ingesteld, moeten alle peer routers op hetzelfde segment hetzelfde wachtwoord en dezelfde verificatiemethode hebben.
Van ACI GUI, navigeer aan Fabric > Tenants > Networking > L3Outs > "L3outName" > "Node-X" > Logical Interface Profiles > OSPF Interface Profile zoals in het beeld.
MD5 of Simple Authentications geconfigureerd
Van CLI:
[+] Check Authentication type configured
APIC# moquery -c ospfIfP -x 'query-target-filter=wcard(ospfIfP.dn,"tn-abc1\/out-Site2-L3Out-OSPF-BL-301")' | grep authType
authType : simple
[+] Capture a single packet TCPDUMP for local BL OSPF IP
BL-301# tcpdump src host 192.0.2.1 -vv -e -i kpm_inb -c 1
192.0.2.1 > ospf-all.mcast.net: OSPFv2, Hello, length 44
Router-ID 192.168.0.1, Backbone Area, Authentication Type: simple (1)
Simple text password: cisco
Options [External]
Hello Timer 10s, Dead Timer 40s, Mask 255.255.255.0, Priority 1
or
[+] Check Authentication type configured
APIC# moquery -c ospfIfP -x 'query-target-filter=wcard(ospfIfP.dn,"tn-abc1\/out-Site2-L3Out-OSPF-BL-301")' | grep authType
authType : md5
[+] Capture a single packet TCPDUMP for local BL OSPF IP
BL-301# tcpdump src host 192.0.2.1 -vv -e -i kpm_inb -c 1
192.0.2.1 > ospf-all.mcast.net: OSPFv2, Hello, length 44
Router-ID 192.168.0.1, Backbone Area, Authentication Type: MD5 (2)
Key-ID: 1, Auth-Length: 16, Crypto Sequence Number: 0x026c0a34
Options [External]
Hello Timer 10s, Dead Timer 40s, Mask 255.255.255.0, Priority 1
[+] Capture a single OSPF hello packet using TCPDUMP coming from external device OSPF IP
BL-301# tcpdump src host 192.0.2.50 -vv -e -i kpm_inb -c 1
192.0.2.50 > ospf-all.mcast.net: OSPFv2, Hello, length 48
Router-ID 172.16.0.1, Backbone Area, Authentication Type: none (0)
Options [External]
Hello Timer 10s, Dead Timer 40s, Mask 255.255.255.0, Priority 1
[+] Live OSPF trace Decode for VRF
BL-301# log_trace_bl_print_tool /var/sysmgr/tmp_logs/ospfv2_1_trace.bl | tail -n 250 | grep abc1:vrf-1 | grep key
[2024-01-04T16:23:29.650806000-05:00:T:ospfv2_set_authentication:70] abc1:vrf-1out pkt on Vlan1: auth simple text: key cisco
or
[2024-01-04T16:24:22.794682000-05:00:T:ospfv2_set_authentication:96] abc1:vrf-1out pkt on Vlan1: auth md5: key cisco, key id 1 Seq 40635829 (time 1704403462)
Van externe inrichting:
NX-OS# show logging log | tail -n 100 | grep ospf-bootcamp
2024 Jan 4 16:55:01 NX-OS %OSPF-4-AUTH_ERR: ospf-bootcamp [22263] (301-l3-abc1) Received packet from 192.0.2.1 on Ethernet1/2.1120 with bad authentication 1
or
2024 Jan 4 16:55:20 NX-OS %OSPF-4-AUTH_ERR: ospf-bootcamp [22263] (301-l3-abc1) Received packet from 192.0.2.1 on Ethernet1/2.1120 with bad authentication 2
Oplossing: Match-verificaties.
Probleemoplossing voor OSPF-aanpassing: fout in Hello/Dead Timers
Probleemoplossing voor OSPF-aanpassing: fout in Hello/Dead TimersOSPF hello-pakketten zijn pakketten die door een OSPF-proces naar zijn OSPF-buren worden verzonden om connectiviteit met die buren te behouden. De hello pakketten worden verzonden met een configureerbaar interval (in seconden). De standaardinstellingen zijn 10 seconden voor een Ethernet-link (voor P2P en Broadcast Network Type). De pakketten van Hello omvatten een lijst van alle buren waarvoor een hello pakket binnen het dode interval is ontvangen. Het dode interval is ook configureerbaar (in seconden), en blijft aan viermaal de waarde van het hello interval in gebreke. De waarde van alle hello intervallen moet het zelfde binnen een netwerk zijn. Op dezelfde manier moet de waarde van alle dode intervallen hetzelfde zijn binnen een netwerk.
Deze twee intervallen werken samen om connectiviteit door erop te wijzen te handhaven dat de verbinding operationeel is. Als een router geen hello pakket van een buur binnen het dode interval ontvangt, verklaart het dat buur om neer te zijn.
Als de standaard OSPF hello en dode timers op ACI stof worden gewijzigd, moeten zij de externe router aanpassen.
Van ACI GUI, navigeer aan Fabric > Tenants > Networking > L3Outs > "L3outName" > "Node-X" > Logical Interface Profiles > OSPF Interface Profile > Associated OSPF Interface Policy zoals in het beeld.
Aangepaste Hello/Dead Timers
Vanaf het grensblad:
[+] Check OSPF interface configuration
BL-301# show ip ospf interface vlan 1 | egrep "Timer|Network"
State P2P, Network type P2P, cost 4
Timer intervals: Hello 20, Dead 42, Wait 42, Retransmit 5
Or
BL-301# moquery -c ospfIf -x 'query-target-filter=wcard(ospfIf.id,"vlan1")' | egrep "deadIntvl|helloIntvl|nwT"
deadIntvl : 42
helloIntvl : 20
nwT : p2p
Or
APIC# moquery -c ospfRsIfPol -x 'query-target-filter=wcard(ospfIfP.dn,"abc1\/out-Site2-L3Out-OSPF-BL-301")' | grep tnOspfIfPolName
tnOspfIfPolName : Custom_OSPF_Interface_Policy
APIC# moquery -c ospfIfPol -x 'query-target-filter=wcard(ospfIfPol.name,"Custom_OSPF_Interface_Policy")' | egrep "deadIntvl|helloIntvl|nwT"
deadIntvl : 42
helloIntvl : 20
nwT : p2p
[+] Capture a single packet TCPDUMP for local BL OSPF IP
BL-301# tcpdump src host 192.0.2.1 -vv -e -i kpm_inb -c 1
192.0.2.1 > ospf-all.mcast.net: OSPFv2, Hello, length 44
Router-ID 192.168.0.1, Backbone Area, Authentication Type: none (0)
Options [External]
Hello Timer 20s, Dead Timer 42s, Mask 255.255.255.0, Priority 1
[+] Capture a single OSPF hello packet using TCPDUMP coming from external device OSPF IP
BL-301# tcpdump src host 192.0.2.50 -vv -e -i kpm_inb -c 1
192.0.2.50 > ospf-all.mcast.net: OSPFv2, Hello, length 44
Router-ID 172.16.0.1, Backbone Area, Authentication Type: none (0)
Options [External]
Hello Timer 10s, Dead Timer 40s, Mask 255.255.255.0, Priority 1
Van externe inrichting:
[+] Check OSPF interfaces con vrf
NX-OS# show ip int bri vrf 301-l3-abc1
IP Interface Status for VRF "301-l3-abc1"(21)
Interface IP Address Interface Status
Lo1001 110.1.0.1 protocol-up/link-up/admin-up
Eth1/2.1120 192.0.2.50 protocol-up/link-up/admin-up
[+] Check OSPF configuration by default Dead timer on NX-OS devices is 4 times hello interval
NX-OS# show run ospf all | section Ethernet1/2.1120 | grep hello
ip ospf hello-interval 10
[+] Check OSPF interface advertized parameters
NX-OS# show ip ospf interface Ethernet1/2.1120 | grep Timer
Timer intervals: Hello 10, Dead 40, Wait 40, Retransmit 5
Oplossing: stem OSPF-timers af.
Probleemoplossing voor OSPF-nabijheid: interfacetype niet goed afgestemd
Probleemoplossing voor OSPF-nabijheid: interfacetype niet goed afgestemdIn dit gedeelte wordt beschreven hoe u problemen kunt oplossen wanneer Broadcast of niet-gespecificeerd is geconfigureerd op ACI en het externe apparaat P2P is.
uitzenden
uitzenden- Het netwerktype Broadcast is het standaardtype voor een OSPF-enabled Ethernet-interface
- Het netwerktype Broadcast vereist dat een link Layer 2 Broadcast-functies ondersteunt
- Het netwerktype Broadcast heeft een 10-seconden hello en een 40-seconden dode timer (hetzelfde als P2P)
- Een OSPF-netwerktype voor uitzending vereist het gebruik van een DR/BDR.
Point-to-point
Point-to-point- Een P2P OSPF-netwerktype houdt geen DR/BDR-relatie in
- Het P2P netwerktype heeft een 10-seconden hello en een dode timer van 40 seconden
- P2P-netwerktypen zijn bedoeld voor gebruik tussen twee direct verbonden routers
Van ACI GUI, navigeer aan Fabric > Tenants > Networking > L3Outs > "L3outName" > "Node-X" > Logical Interface Profiles > OSPF Interface Profile > Associated OSPF Interface Policy zoals in het beeld.
Uitzending of niet-gespecificeerd netwerktype geconfigureerd
Vanaf het grensblad:
[+] Check OSPF neighborship relation
BL-301# show ip ospf neighbors vrf abc1:vrf-1
OSPF Process ID default VRF abc1:vrf-1
Total number of neighbors: 1
Neighbor ID Pri State Up Time Address Interface
172.16.0.1 1 INITIALIZING/DROTHER 00:06:42 192.0.2.50 Vlan1
[+] Check OSPF interface configuration
BL-301# moquery -c ospfIf -x 'query-target-filter=wcard(ospfIf.id,"vlan1")' | egrep "deadIntvl|helloIntvl|nwT"
deadIntvl : 40
helloIntvl : 10
nwT : bcast
or
BL-301# moquery -c ospfIf -x 'query-target-filter=wcard(ospfIf.id,"vlan1")' | egrep "deadIntvl|helloIntvl|nwT"
deadIntvl : 40
helloIntvl : 10
nwT : unspecified
Or
APIC# moquery -c ospfRsIfPol -x 'query-target-filter=wcard(ospfIfP.dn,"abc1\/out-Site2-L3Out-OSPF-BL-301")' | grep tnOspfIfPolName
tnOspfIfPolName : Custom_OSPF_Interface_Policy
APIC# moquery -c ospfIfPol -x 'query-target-filter=wcard(ospfIfPol.name,"Custom_OSPF_Interface_Policy")' | egrep "deadIntvl|helloIntvl|nwT"
deadIntvl : 40
helloIntvl : 10
nwT : bcast
APIC# moquery -c ospfIfPol -x 'query-target-filter=wcard(ospfIfPol.name,"Custom_OSPF_Interface_Policy")' | egrep "deadIntvl|helloIntvl|nwT"
deadIntvl : 40
helloIntvl : 10
nwT : unspecified
[+] Whether it is bcast or unspecified the interface will show as Broadcast
BL-301# show ip ospf interface vlan 1 | egrep "Timer|Network"
State DR, Network type BROADCAST, cost 4
Timer intervals: Hello 10, Dead 40, Wait 40, Retransmit 5
[+] Capture a single packet TCPDUMP for local BL OSPF IP
BL-301# tcpdump src host 192.0.2.1 -vv -e -i kpm_inb -c 1
192.0.2.1 > ospf-all.mcast.net: OSPFv2, Hello, length 48
Router-ID 192.168.0.1, Backbone Area, Authentication Type: none (0)
Options [External]
Hello Timer 10s, Dead Timer 40s, Mask 255.255.255.0, Priority 1
Designated Router 192.0.2.1
Neighbor List:
172.16.0.1
[+] Capture a single OSPF hello packet using TCPDUMP coming from external device OSPF IP
BL-301# tcpdump src host 192.0.2.50 -vv -e -i kpm_inb -c 1
192.0.2.50 > ospf-all.mcast.net: OSPFv2, Hello, length 44
Router-ID 172.16.0.1, Backbone Area, Authentication Type: none (0)
Options [External]
Hello Timer 10s, Dead Timer 40s, Mask 255.255.255.0, Priority 1
Van externe inrichting:
[+] Check OSPF interfaces con vrf
NX-OS# show ip int bri vrf 301-l3-abc1
IP Interface Status for VRF "301-l3-abc1"(21)
Interface IP Address Interface Status
Lo1001 110.1.0.1 protocol-up/link-up/admin-up
Eth1/2.1120 192.0.2.50 protocol-up/link-up/admin-up
[+] Check OSPF configuration by default Dead timer on NX-OS devices is 4 times hello interval
NX-OS# show run ospf all | section Ethernet1/2 | grep network
ip ospf network point-to-point
[+] Check OSPF interface advertized parameters
NX-OS# show ip ospf interface Ethernet1/2 | grep type
State P2P, Network type P2P, cost 1
Cheatsheet voor verificatieopdracht
Cheatsheet voor verificatieopdrachtIn dit document is altijd naar deze opdrachten verwezen om problemen met de verschillende scenario's op te lossen.
| Knooppunt |
Opdrachten |
Doel |
| ACI-Switch |
|
Controleer de buurtrelatie op VRF |
|
|
Controleer OSPF-interfaces die aan de VRF zijn gekoppeld |
|
|
|
U kunt de bijbehorende fouten in de VRF controleren |
|
|
|
Controleer alle OSPF-interfacedetails die aan de VRF zijn gekoppeld |
|
|
|
Controleer de OSPF-interfaceconfiguratie |
|
|
|
Controleer IP die op het externe apparaat wordt toegepast vanaf de ARP die aan de interface is gekoppeld |
|
|
|
Live OSPF-traceringsdecoder voor VRF |
|
|
|
Leg OSPF-verkeer om te analyseren op Wireshark vast |
|
|
|
Leg specifiek verkeer van HOST vast om dit op Wireshark te kunnen analyseren |
|
|
|
Leg SRC- en DST-specifiek verkeer van HOST vast om te analyseren op Wireshark |
|
|
|
Leg één inband-bedieningsvliegtuig vast voor één en specifieke host |
|
| ACI APIC |
|
Controleer het ingestelde verificatietype |
|
|
Configuratie L3out pad controleren |
|
|
|
Controleer historische records van fouten op fout F1385 protocol-ospf-nabijheid-down |
|
|
|
Controleer L3out voor aangepast gekoppeld OSPF-interfacebeleid |
|
|
|
Controleer op aangepaste geassocieerde OSPF-interfacebeleidsdetails |
|
| NXOS-Switch |
|
Controleer OSPF-interfaces op vrf |
|
|
Configuratie OSPF controleren |
|
|
|
Controleer de OSPF-interface geadverteerde parameters |
Gerelateerde informatie
Gerelateerde informatie Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
15-May-2024
|
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)