Problemen met OSPF-configuratie oplossen in FTD
Inhoud
Inleiding
In dit document wordt beschreven hoe u de OSPF-configuratie op FTD-apparaten kunt controleren en oplossen met FMC als beheerder.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Open Shortest Path First (OSPF) concepten en functionaliteit
- Cisco Secure Firewall Management Center (FMC)
- Cisco Secure Firewall Threat Defense (FTD)
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Virtueel FTD 7.2.5
- Virtuele FMC 7.2.5
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
OSPF-achtergrond
OSPF kan op FMC worden geconfigureerd om dynamische routering tussen FTD-apparaten en andere OSPF-compatibele apparaten te gebruiken.
De FMC maakt het mogelijk om twee OSPF-processen tegelijkertijd uit te voeren voor verschillende set interfaces.
Elk apparaat heeft een router-ID, die vergelijkbaar is met de apparaatnaam in het OSPF-proces. Dit is standaard ingesteld op de hoogste IP-interface, maar kan worden aangepast aan een ander IP-adres.
Iets belangrijks om op te merken is dat deze parameters moeten overeenkomen met buren om OSPF-nabijheid te vormen:
- Interface behoort tot hetzelfde IP-netwerk
- Subnetmasker
- gebied
- Hello en Dead intervallen
- MTU
- Gebiedstype (normaal/NSSA/stub)
- Verificatie
Basisconfiguratie
Dit gedeelte toont de basisparameters die zijn geconfigureerd voor OSPF om te zoeken naar nabijheid met zijn buren.
1. Navigeer naar Apparaten > Apparaatbeheer > Apparaat bewerken
2. Klik op het tabblad Routering.
3. Klik op OSPF in de linkermenubalk.
4. Selecteer Proces 1 om OSPF-configuratie in te schakelen. FTD kan twee gelijktijdige processen op verschillende interfaces uitvoeren.
Een Area Border Router (ABR) bevindt zich tussen twee verschillende gebieden, terwijl de Autonomous System Border Router (ASBR) zich bevindt tussen apparaten die andere routeringsprotocollen gebruiken.
5. Kies de OSPF-rol als Intern, ABR, ASBR, en ABR en ASBR.
Rolselectie
6. (Optioneel) Automatische router-ID wijzigen. Selecteer Geavanceerd, naast de OSPF-rol en selecteer Router ID als IP-adres om deze aan te passen.
Selectie van router-id
7. Selecteer Gebied > Toevoegen.
8. Voer de gebiedsinformatie in:
- OSPF-proces
- Gebied-ID
- Gebiedstype
- Beschikbare netwerken
9. Klik op OK om de configuratie op te slaan.
gebiedsselectie
Herdistributie
De FTD kan routes herverdelen van het ene OSPF-proces naar het andere. Herverdeling kan ook plaatsvinden van RIP, BGP, EIGRP (versie 7.2+), statische en verbonden routes naar het OSPF-routeringsproces.
1. Navigeer naar Apparaten > Apparaatbeheer > Apparaat bewerken om OSPF-herverdeling te configureren.
2. Klik op Routing
3. Klik op OSPF.
4. Selecteer Herverdeling > Toevoegen.
5. Voer de herverdelingsvelden in:
- OSPF-proces
- Soort route (van waaruit u herverdeelt)
- statisch
- verbonden
- OSPF-proces
- BGP
- SCHEUREN
- EIGRP
Voeg voor BGP en EIGRP het AS-nummer toe.
6. (Optioneel) Selecteer of u subnetten wilt gebruiken.
7. Selecteer het metrische type.
- Type 1 gebruikt de externe metriek en voegt de interne kosten van elke hop toe die leidt tot ASBR.
- Type 2 gebruikt alleen de externe metriek.
8. Klik op OK om de wijzigingen op te slaan.
herdistributieconfiguratie
filteren
U kunt een intergebiedfilter uitvoeren, waardoor de routes die van een gebied naar een ander gebied worden verzonden, worden beperkt. Deze actie wordt alleen uitgevoerd op ABR's.
De filtering wordt geconfigureerd met prefix-lijsten die vervolgens worden gekoppeld aan de OSPF-configuratie. Dit is een optionele functie en is niet nodig om OSPF te laten werken.
1. Ga naar Apparaten > Apparaatbeheer > Apparaat bewerken om OSPF-intergebiedfiltering te configureren.
2. Klik op Routing
3. Klik op OSPF.
4. Selecteer Intergebied > Toevoegen.
5. Configureer de filtervelden:
- OSPF-proces
- Gebied-ID
- Prefixlijst
- Verkeersrichting - zowel inkomende als uitgaande
Filterconfiguratie tussen gebieden
6. Ga naar stap 10 als u de prefixlijst hebt geconfigureerd. Als u een nieuwe moet maken, kunt u het plusteken selecteren of maken vanuit Objecten > Objectbeheer > Prefixlijsten > IPv4-prefixlijst > Toevoegen.
7. Klik op vermelding toevoegen.
8. Configureer de prefix-lijst met de volgende velden:
- Volgnummer
- IP-adres
- Actie
- Min/Max prefix lengte (optioneel)
Object Prefix-lijst Bewerken
9. Klik op OK om de prefix-lijst op te slaan.
10. Klik op OK om de intergebiedsconfiguratie op te slaan.
Interfaceparameters
Er zijn bepaalde parameters die kunnen worden gewijzigd voor elke interface die deelneemt aan OSPF.
1. Om de OSPF-interfaceparameters te configureren, gaat u naar Apparaten > Apparaatbeheer > Apparaat bewerken.
2. Klik op Routing
3. Klik op OSPF.
4. Selecteer Interface > Toevoegen.
5. Selecteer de parameters die u wilt wijzigen
Hallo en dode timers
OSPF Hello-pakketten worden verzonden om de nabijheid tussen apparaten te behouden. Deze pakketten worden verzonden met een interval dat kan worden geconfigureerd. Als het apparaat geen hello-pakketten van een buurman ontvangt binnen het dode interval, ook configureerbaar, verandert de buurman in down-status.
Het hello-interval is standaard 10 seconden en het dead-interval is vier keer het hello-interval, 40 seconden. Deze intervallen moeten overeenkomen tussen buren.
Timers-configuratie
MTU Ignore-OSPF
Het selectievakje MTU negeren is een optie om te voorkomen dat OSPF-nabijheid vastzit in de EXSTART-status vanwege MTU-mismatch tussen buurinterfaces. MTU-match wordt geverifieerd omdat in die staat DBD tussen buren worden verzonden en een verschil in grootte problemen kan veroorzaken. De beste praktijk is echter om deze optie niet aan te vinken.
MTU Ignore Check Config
Verificatie
U kunt drie verschillende typen interface-OSPF-verificatie selecteren. Verificatie is standaard niet ingeschakeld.
- None
- Wachtwoord - tekstwachtwoord wissen
- MD5 - Maakt gebruik van MD5-hashing
De aanbeveling is om MD5 te gebruiken als authenticatie, omdat het een hashing-algoritme is dat beveiliging biedt.
Configureer MD5 ID en MD5-toets en klik op OK om op te slaan.
Configuratie MD5-sleutel
De MD5-sleutel of het wachtwoord moet overeenkomen met de interfaceparameters van de buren die zijn geverifieerd.
Algemene CLI-verificatie
Voorbeeldtopologie
Beschouw deze netwerktopologie als een voorbeeld:
Voorbeeld netwerktopologie
Houd rekening met deze overwegingen:
- OSPF is geconfigureerd op externe FTD, interne FTD en interne router.
- Externe FTD wordt geselecteerd als ASBR-rol, interne FTD als ABR en interne router als interne rol.
- Gebied 0 wordt gecreëerd tussen externe en interne FTD, terwijl gebied 1 wordt gecreëerd tussen interne FTD en interne router.
- Externe FTD voert ook BGP-buurtschap uit met een ander apparaat.
- De BGP routes geleerd door Autonomous System 312 worden herverdeeld in OSPF.
- MTU en intervallen worden geconfigureerd met standaardwaarden.
- Interne FTD filtert inkomende routes tussen gebieden naar Area 0 die zijn geleerd van Interne Router.
- Interfaceverificatie is geconfigureerd als MD5 op alle apparaten die deelnemen aan OSPF.
Interne FTD
De configuratie van Internal FTD wordt als volgt weergegeven:
Interfaceconfiguratie met MD5-verificatie
interface GigabitEthernet0/0
nameif inside
security-level 0
ip address 10.6.11.1 255.255.255.0
ospf message-digest-key 1 md5 *****
ospf authentication message-digest
!
interface GigabitEthernet0/1
nameif outside
security-level 0
ip address 10.3.11.2 255.255.255.0
ospf message-digest-key 1 md5 *****
ospf authentication message-digest
!
OSPF-configuratie stelt dat netwerk 10.3.11.0/24 wordt geadverteerd in gebied 0 en netwerk 10.6.11.0/24 wordt geadverteerd aan buren op gebied 1.
De filter tussen gebieden past een prefix-lijst toe op inkomende routes die gebied 0 binnenkomen. In deze prefix-lijst wordt het netwerk 192.168.4.0 van Internal Router geweigerd en al het andere toegestaan.
Interne FTD-gebiedsconfiguratie
Interne FTD-filterconfiguratie
Interne FTD-prefixlijst
router ospf 1
network 10.3.11.0 255.255.255.0 area 0
network 10.6.11.0 255.255.255.0 area 1
area 0 filter-list prefix filter_192.168.4.0 in
log-adj-changes
prefix-list filter_192.168.4.0 seq 5 deny 192.168.4.0/24
prefix-list filter_192.168.4.0 seq 10 permit 0.0.0.0/0 le 32
Externe FTD
De configuratie van Externe FTD wordt als volgt weergegeven in CLI:
Interfaceconfiguratie met MD5-verificatie.
interface GigabitEthernet0/0
nameif inside
security-level 0
ip address 10.3.11.1 255.255.255.0
ospf message-digest-key 1 md5 *****
ospf authentication message-digest
!
interface GigabitEthernet0/1
nameif outside
security-level 0
ip address 172.16.11.1 255.255.255.0
!
De OSPF-configuratie laat zien dat route 10.3.11.0/24 wordt geadverteerd aan Internal FTD in Area 0.
De BGP-herverdeling in OSPF kan ook worden waargenomen.
Externe FTD-gebiedsconfiguratie
Externe FTD-herverdelingsconfiguratie
router ospf 1
network 10.3.11.0 255.255.255.0 area 0
log-adj-changes
redistribute bgp 312 subnets
Opdrachten voor troubleshooting
Er zijn verschillende opdrachten die nuttig zijn om te bepalen of OSPF werkt zoals verwacht.
Opmerking: deze opdrachten worden niet weergegeven in technische bestanden wanneer FTD-bestanden voor probleemoplossing worden gegenereerd, afgezien van de OSPF-configuratie, en moeten handmatig worden ingevoerd vanuit de FTD CLI.
Running-Config Router weergeven
Deze opdracht toont de configuratie van de dynamische routeringsprotocollen, niet alleen OSPF.
Handig om de OSPF-gerelateerde configuratie in de CLI te controleren.
route tonen
De uitvoer van de route toont belangrijke informatie over de huidige beschikbare routes.
- Een route geleerd door OSPF wordt getoond met de letter O.
- Een interarea route wordt getoond met de letters O IA.
- Een route die wordt geleerd van een ander routeringsprotocol via herverdeling toont de letters O E1 of O E2, afhankelijk van het geselecteerde metrische type.
Toon route output van Interne FTD toont aan dat er drie externe routes bekend zijn van ASBR buur 10.3.11.1.
Het toont ook netwerk 192.168.4.0/24 geleerd van buurman 10.6.11.2 op hetzelfde gebied.
Internal-FTD# show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, + - replicated route SI - Static InterVRF Gateway of last resort is not set C 10.3.11.0 255.255.255.0 is directly connected, outside L 10.3.11.2 255.255.255.255 is directly connected, outside O E2 10.5.11.0 255.255.255.224 [110/1] via 10.3.11.1, 6w5d, outside O E2 10.5.11.32 255.255.255.224 [110/1] via 10.3.11.1, 6w5d, outside O E2 10.5.11.64 255.255.255.224 [110/1] via 10.3.11.1, 6w5d, outside C 10.6.11.0 255.255.255.0 is directly connected, inside L 10.6.11.1 255.255.255.255 is directly connected, inside O 192.168.4.0 255.255.255.0 [110/20] via 10.6.11.2, 02:19:24, inside
Uit Externe FTD kan worden opgemaakt dat route 10.6.11.0/24 bekend is van buurman 10.3.11.2 en tot een ander gebied behoort.
De route 192.168.4.0/24 wordt in deze uitvoer niet waargenomen omdat deze werd gefilterd op Interne FTD.
Bovendien zijn er drie BGP routes geleerd van een ander apparaat die worden herverdeeld in OSPF als Externe type 2 routes zoals te zien in Interne FTD.
External-FTD# show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF, BI - BGP InterVRF
Gateway of last resort is not set
C 10.3.11.0 255.255.255.0 is directly connected, inside
L 10.3.11.1 255.255.255.255 is directly connected, inside
B 10.5.11.0 255.255.255.224 [20/0] via 172.16.11.2, 6w5d
B 10.5.11.32 255.255.255.224 [20/0] via 172.16.11.2, 6w5d
B 10.5.11.64 255.255.255.224 [20/0] via 172.16.11.2, 6w5d
O IA 10.6.11.0 255.255.255.0 [110/20] via 10.3.11.2, 02:03:27, inside
C 172.16.11.0 255.255.255.0 is directly connected, outside
L 172.16.11.1 255.255.255.255 is directly connected, outsideOSPF-buurman weergeven
Met deze opdracht kunt u controleren wat de status van de OSPF-nabijheid is en of die buur een aangewezen router (DR), een aangewezen back-uprouter (BDR) of een andere router (DROTHER) is.
De DR is het apparaat dat de rest van apparaten in hetzelfde subnet bijwerkt wanneer er een wijziging in het netwerk is. BDR neemt de DR-rol op zich als deze niet meer beschikbaar is.
Dit is ook handig omdat het de router-ID van de buren toont, evenals het IP-adres en de interface waarvan de buurman bekend is.
Ook het aftellen van de dode tijd wordt waargenomen. Als u de standaardtimers hebt, kunt u de tijd zien dalen van 00:40 tot 00:30 voordat een nieuw hello-pakket wordt verzonden en de timer opnieuw wordt gestart.
Als deze tijd helemaal naar nul gaat, is de nabijheid verloren.
In dit voorbeeld laat de interne FTD-uitvoer zien dat dit apparaat een BDR in FULL-status is met elk van de twee buren, die in ruil daarvoor DR's zijn, bereikbaar vanaf elke interface. Hun router-ID's zijn respectievelijk 10.3.11.1 en 192.168.4.1.
Internal-FTD# show ospf neighbor Neighbor ID Pri State Dead Time Address Interface 10.3.11.1 1 FULL/DR 0:00:38 10.3.11.1 outside 192.168.4.1 1 FULL/DR 0:00:33 10.6.11.2 inside
OSPF-interface weergeven
De OSPF-interface-uitvoer toont gedetailleerde informatie en biedt een bredere visie op het OSPF-proces op elke geconfigureerde interface.
Dit zijn enkele van de parameters die zichtbaar zijn met deze uitvoer:
- OSPF-proces-ID
- Router-ID
- Metriek (kosten)
- Status - DR, BDR of DROTHER
- Wie zijn DR en BDR?
- Intervallen van de hellos- en dodetimer
- Overzicht buren
- Authenticatiegegevens
In de volgende uitvoer van Internal FTD kan worden opgemerkt dat dit apparaat inderdaad de BDR is op beide interfaces en dat de buur overeenkomt met de informatie van show ospf-buren.
Internal-FTD#show ospf interface
outside is up, line protocol is up
Internet Address 10.3.11.2 mask 255.255.255.0, Area 0
Process ID 1, Router ID 10.6.11.1, Network Type BROADCAST, Cost: 10
Transmit Delay is 1 sec, State BDR, Priority 1
Designated Router (ID) 10.3.11.1, Interface address 10.3.11.1
Backup Designated router (ID) 10.6.11.1, Interface address 10.3.11.2
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
oob-resync timeout 40
Hello due in 0:00:04
Supports Link-local Signaling (LLS)
Cisco NSF helper support enabled
IETF NSF helper support enabled
Index 1/1, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 1, maximum is 2
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 1, Adjacent neighbor count is 1
Adjacent with neighbor 10.3.11.1 (Designated Router)
Suppress hello for 0 neighbor(s)
Cryptographic authentication enabled
Youngest key id is 1
inside is up, line protocol is up
Internet Address 10.6.11.1 mask 255.255.255.0, Area 1
Process ID 1, Router ID 10.6.11.1, Network Type BROADCAST, Cost: 10
Transmit Delay is 1 sec, State BDR, Priority 1
Designated Router (ID) 192.168.4.1, Interface address 10.6.11.2
Backup Designated router (ID) 10.6.11.1, Interface address 10.6.11.1
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
oob-resync timeout 40
Hello due in 0:00:03
Supports Link-local Signaling (LLS)
Cisco NSF helper support enabled
IETF NSF helper support enabled
Index 1/2, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 1, maximum is 2
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 1, Adjacent neighbor count is 1
Adjacent with neighbor 192.168.4.1 (Designated Router)
Suppress hello for 0 neighbor(s)
Cryptographic authentication enabled
Youngest key id is 1
OSPF-database weergeven
Deze opdracht bevat meer informatie over de LSA-typen (Link State Advertisement) van OSPF. De uitvoer is complex en is alleen nuttig voor een diepere probleemoplossing.
LSA is de manier waarop OSPF informatie en updates uitwisselt tussen apparaten, in plaats van de volledige routeringstabel te verzenden.
De meest voorkomende LSA types zijn:
Type 1 - Router Link States - De router-ID's van de Advertentierouters
Type 2 - Netwerkverbindingsstatus - De interfaces die zijn aangesloten op dezelfde koppeling als de aangewezen router.
Type 3 - Overzicht van netwerkverbindingsstaten - Interarea-routes die in dit gebied worden geïnjecteerd door Area Border Router (ABR).
Type 4 - Samenvatting ASB Link States - De router-ID's van de Autonomous System Border Router (ASBR).
Type 5 - AS External Link States - Externe routes geleerd van ASBR's.
Met dit in gedachten kan de uitvoer van deze opdracht worden geïnterpreteerd vanuit een voorbeeld van Internal FTD.
- De databases worden per gebied weergegeven.
- De kolom Link ID bevat de belangrijke informatie die moet worden opgemerkt.
- Zoals eerder vermeld, toont Type 1 de router-ID's van elk apparaat in het gebied en Type 2 toont de DR van elke subnetkoppeling. In dit geval 10.3.11.1 voor gebied 0 en 10.6.11.2 voor gebied 1.
- Type 3 toont interarea routes geïnjecteerd in het betreffende gebied door ABR 10.6.11.0 voor Area 0 en 10.3.11.0 voor Area 1.
- Type 4 toont de router-ID van de ASBR. Gebied 1 ziet dat 10.3.11.1-apparaat de ASBR van het proces is.
- Type 5 toont de routes die door de ASBR worden herverdeeld. In dit geval drie externe routes: 10.5.11.0, 10.5.11.32 en 10.5.11.64.
Internal-FTD# show ospf database
OSPF Router with ID (10.6.11.1) (Process ID 1)
Router Link States (Area 0)
Link ID ADV Router Age Seq# Checksum Link count
10.3.11.1 10.3.11.1 234 0x8000002b 0x4c4d 1
10.6.11.1 10.6.11.1 187 0x8000002e 0x157b 1
Net Link States (Area 0)
Link ID ADV Router Age Seq# Checksum
10.3.11.1 10.3.11.1 234 0x80000029 0x7f2b
Summary Net Link States (Area 0)
Link ID ADV Router Age Seq# Checksum
10.6.11.0 10.6.11.1 187 0x8000002a 0x7959
Router Link States (Area 1)
Link ID ADV Router Age Seq# Checksum Link count
10.6.11.1 10.6.11.1 187 0x8000002c 0x513b 1
192.168.4.1 192.168.4.1 1758 0x8000002a 0x70f1 2
Net Link States (Area 1)
Link ID ADV Router Age Seq# Checksum
10.6.11.2 192.168.4.1 1759 0x80000028 0xd725
Summary Net Link States (Area 1)
Link ID ADV Router Age Seq# Checksum
10.3.11.0 10.6.11.1 189 0x80000029 0x9f37
Summary ASB Link States (Area 1)
Link ID ADV Router Age Seq# Checksum
10.3.11.1 10.6.11.1 189 0x80000029 0x874d
Type-5 AS External Link States
Link ID ADV Router Age Seq# Checksum Tag
10.5.11.0 10.3.11.1 1726 0x80000028 0x152b 311
10.5.11.32 10.3.11.1 1726 0x80000028 0xd34c 311
10.5.11.64 10.3.11.1 1726 0x80000028 0x926d 311 Gerelateerde informatie
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
14-Feb-2024
|
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)