De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
In dit document wordt beschreven hoe u de OSPF-configuratie op FTD-apparaten kunt controleren en oplossen met FMC als beheerder.
Cisco raadt kennis van de volgende onderwerpen aan:
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
OSPF kan op FMC worden geconfigureerd om dynamische routering tussen FTD-apparaten en andere OSPF-compatibele apparaten te gebruiken.
De FMC maakt het mogelijk om twee OSPF-processen tegelijkertijd uit te voeren voor verschillende set interfaces.
Elk apparaat heeft een router-ID, die vergelijkbaar is met de apparaatnaam in het OSPF-proces. Dit is standaard ingesteld op de hoogste IP-interface, maar kan worden aangepast aan een ander IP-adres.
Iets belangrijks om op te merken is dat deze parameters moeten overeenkomen met buren om OSPF-nabijheid te vormen:
Dit gedeelte toont de basisparameters die zijn geconfigureerd voor OSPF om te zoeken naar nabijheid met zijn buren.
1. Navigeer naar Apparaten > Apparaatbeheer > Apparaat bewerken
2. Klik op het tabblad Routering.
3. Klik op OSPF in de linkermenubalk.
4. Selecteer Proces 1 om OSPF-configuratie in te schakelen. FTD kan twee gelijktijdige processen op verschillende interfaces uitvoeren.
Een Area Border Router (ABR) bevindt zich tussen twee verschillende gebieden, terwijl de Autonomous System Border Router (ASBR) zich bevindt tussen apparaten die andere routeringsprotocollen gebruiken.
5. Kies de OSPF-rol als Intern, ABR, ASBR, en ABR en ASBR.
Rolselectie
6. (Optioneel) Automatische router-ID wijzigen. Selecteer Geavanceerd, naast de OSPF-rol en selecteer Router ID als IP-adres om deze aan te passen.
Selectie van router-id
7. Selecteer Gebied > Toevoegen.
8. Voer de gebiedsinformatie in:
9. Klik op OK om de configuratie op te slaan.
gebiedsselectie
De FTD kan routes herverdelen van het ene OSPF-proces naar het andere. Herverdeling kan ook plaatsvinden van RIP, BGP, EIGRP (versie 7.2+), statische en verbonden routes naar het OSPF-routeringsproces.
1. Navigeer naar Apparaten > Apparaatbeheer > Apparaat bewerken om OSPF-herverdeling te configureren.
2. Klik op Routing
3. Klik op OSPF.
4. Selecteer Herverdeling > Toevoegen.
5. Voer de herverdelingsvelden in:
Voeg voor BGP en EIGRP het AS-nummer toe.
6. (Optioneel) Selecteer of u subnetten wilt gebruiken.
7. Selecteer het metrische type.
8. Klik op OK om de wijzigingen op te slaan.
herdistributieconfiguratie
U kunt een intergebiedfilter uitvoeren, waardoor de routes die van een gebied naar een ander gebied worden verzonden, worden beperkt. Deze actie wordt alleen uitgevoerd op ABR's.
De filtering wordt geconfigureerd met prefix-lijsten die vervolgens worden gekoppeld aan de OSPF-configuratie. Dit is een optionele functie en is niet nodig om OSPF te laten werken.
1. Ga naar Apparaten > Apparaatbeheer > Apparaat bewerken om OSPF-intergebiedfiltering te configureren.
2. Klik op Routing
3. Klik op OSPF.
4. Selecteer Intergebied > Toevoegen.
5. Configureer de filtervelden:
Filterconfiguratie tussen gebieden
6. Ga naar stap 10 als u de prefixlijst hebt geconfigureerd. Als u een nieuwe moet maken, kunt u het plusteken selecteren of maken vanuit Objecten > Objectbeheer > Prefixlijsten > IPv4-prefixlijst > Toevoegen.
7. Klik op vermelding toevoegen.
8. Configureer de prefix-lijst met de volgende velden:
Object Prefix-lijst Bewerken
9. Klik op OK om de prefix-lijst op te slaan.
10. Klik op OK om de intergebiedsconfiguratie op te slaan.
Er zijn bepaalde parameters die kunnen worden gewijzigd voor elke interface die deelneemt aan OSPF.
1. Om de OSPF-interfaceparameters te configureren, gaat u naar Apparaten > Apparaatbeheer > Apparaat bewerken.
2. Klik op Routing
3. Klik op OSPF.
4. Selecteer Interface > Toevoegen.
5. Selecteer de parameters die u wilt wijzigen
OSPF Hello-pakketten worden verzonden om de nabijheid tussen apparaten te behouden. Deze pakketten worden verzonden met een interval dat kan worden geconfigureerd. Als het apparaat geen hello-pakketten van een buurman ontvangt binnen het dode interval, ook configureerbaar, verandert de buurman in down-status.
Het hello-interval is standaard 10 seconden en het dead-interval is vier keer het hello-interval, 40 seconden. Deze intervallen moeten overeenkomen tussen buren.
Timers-configuratie
Het selectievakje MTU negeren is een optie om te voorkomen dat OSPF-nabijheid vastzit in de EXSTART-status vanwege MTU-mismatch tussen buurinterfaces. MTU-match wordt geverifieerd omdat in die staat DBD tussen buren worden verzonden en een verschil in grootte problemen kan veroorzaken. De beste praktijk is echter om deze optie niet aan te vinken.
MTU Ignore Check Config
U kunt drie verschillende typen interface-OSPF-verificatie selecteren. Verificatie is standaard niet ingeschakeld.
De aanbeveling is om MD5 te gebruiken als authenticatie, omdat het een hashing-algoritme is dat beveiliging biedt.
Configureer MD5 ID en MD5-toets en klik op OK om op te slaan.
Configuratie MD5-sleutel
De MD5-sleutel of het wachtwoord moet overeenkomen met de interfaceparameters van de buren die zijn geverifieerd.
Beschouw deze netwerktopologie als een voorbeeld:
Voorbeeld netwerktopologie
Houd rekening met deze overwegingen:
De configuratie van Internal FTD wordt als volgt weergegeven:
Interfaceconfiguratie met MD5-verificatie
interface GigabitEthernet0/0
nameif inside
security-level 0
ip address 10.6.11.1 255.255.255.0
ospf message-digest-key 1 md5 *****
ospf authentication message-digest
!
interface GigabitEthernet0/1
nameif outside
security-level 0
ip address 10.3.11.2 255.255.255.0
ospf message-digest-key 1 md5 *****
ospf authentication message-digest
!
OSPF-configuratie stelt dat netwerk 10.3.11.0/24 wordt geadverteerd in gebied 0 en netwerk 10.6.11.0/24 wordt geadverteerd aan buren op gebied 1.
De filter tussen gebieden past een prefix-lijst toe op inkomende routes die gebied 0 binnenkomen. In deze prefix-lijst wordt het netwerk 192.168.4.0 van Internal Router geweigerd en al het andere toegestaan.
Interne FTD-gebiedsconfiguratie
Interne FTD-filterconfiguratie
Interne FTD-prefixlijst
router ospf 1
network 10.3.11.0 255.255.255.0 area 0
network 10.6.11.0 255.255.255.0 area 1
area 0 filter-list prefix filter_192.168.4.0 in
log-adj-changes
prefix-list filter_192.168.4.0 seq 5 deny 192.168.4.0/24
prefix-list filter_192.168.4.0 seq 10 permit 0.0.0.0/0 le 32
De configuratie van Externe FTD wordt als volgt weergegeven in CLI:
Interfaceconfiguratie met MD5-verificatie.
interface GigabitEthernet0/0
nameif inside
security-level 0
ip address 10.3.11.1 255.255.255.0
ospf message-digest-key 1 md5 *****
ospf authentication message-digest
!
interface GigabitEthernet0/1
nameif outside
security-level 0
ip address 172.16.11.1 255.255.255.0
!
De OSPF-configuratie laat zien dat route 10.3.11.0/24 wordt geadverteerd aan Internal FTD in Area 0.
De BGP-herverdeling in OSPF kan ook worden waargenomen.
Externe FTD-gebiedsconfiguratie
Externe FTD-herverdelingsconfiguratie
router ospf 1
network 10.3.11.0 255.255.255.0 area 0
log-adj-changes
redistribute bgp 312 subnets
Er zijn verschillende opdrachten die nuttig zijn om te bepalen of OSPF werkt zoals verwacht.
Opmerking: deze opdrachten worden niet weergegeven in technische bestanden wanneer FTD-bestanden voor probleemoplossing worden gegenereerd, afgezien van de OSPF-configuratie, en moeten handmatig worden ingevoerd vanuit de FTD CLI.
Deze opdracht toont de configuratie van de dynamische routeringsprotocollen, niet alleen OSPF.
Handig om de OSPF-gerelateerde configuratie in de CLI te controleren.
De uitvoer van de route toont belangrijke informatie over de huidige beschikbare routes.
Toon route output van Interne FTD toont aan dat er drie externe routes bekend zijn van ASBR buur 10.3.11.1.
Het toont ook netwerk 192.168.4.0/24 geleerd van buurman 10.6.11.2 op hetzelfde gebied.
Internal-FTD# show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, + - replicated route SI - Static InterVRF Gateway of last resort is not set C 10.3.11.0 255.255.255.0 is directly connected, outside L 10.3.11.2 255.255.255.255 is directly connected, outside O E2 10.5.11.0 255.255.255.224 [110/1] via 10.3.11.1, 6w5d, outside O E2 10.5.11.32 255.255.255.224 [110/1] via 10.3.11.1, 6w5d, outside O E2 10.5.11.64 255.255.255.224 [110/1] via 10.3.11.1, 6w5d, outside C 10.6.11.0 255.255.255.0 is directly connected, inside L 10.6.11.1 255.255.255.255 is directly connected, inside O 192.168.4.0 255.255.255.0 [110/20] via 10.6.11.2, 02:19:24, inside
Uit Externe FTD kan worden opgemaakt dat route 10.6.11.0/24 bekend is van buurman 10.3.11.2 en tot een ander gebied behoort.
De route 192.168.4.0/24 wordt in deze uitvoer niet waargenomen omdat deze werd gefilterd op Interne FTD.
Bovendien zijn er drie BGP routes geleerd van een ander apparaat die worden herverdeeld in OSPF als Externe type 2 routes zoals te zien in Interne FTD.
External-FTD# show route Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, + - replicated route SI - Static InterVRF, BI - BGP InterVRF Gateway of last resort is not set C 10.3.11.0 255.255.255.0 is directly connected, inside L 10.3.11.1 255.255.255.255 is directly connected, inside B 10.5.11.0 255.255.255.224 [20/0] via 172.16.11.2, 6w5d B 10.5.11.32 255.255.255.224 [20/0] via 172.16.11.2, 6w5d B 10.5.11.64 255.255.255.224 [20/0] via 172.16.11.2, 6w5d O IA 10.6.11.0 255.255.255.0 [110/20] via 10.3.11.2, 02:03:27, inside C 172.16.11.0 255.255.255.0 is directly connected, outside L 172.16.11.1 255.255.255.255 is directly connected, outside
Met deze opdracht kunt u controleren wat de status van de OSPF-nabijheid is en of die buur een aangewezen router (DR), een aangewezen back-uprouter (BDR) of een andere router (DROTHER) is.
De DR is het apparaat dat de rest van apparaten in hetzelfde subnet bijwerkt wanneer er een wijziging in het netwerk is. BDR neemt de DR-rol op zich als deze niet meer beschikbaar is.
Dit is ook handig omdat het de router-ID van de buren toont, evenals het IP-adres en de interface waarvan de buurman bekend is.
Ook het aftellen van de dode tijd wordt waargenomen. Als u de standaardtimers hebt, kunt u de tijd zien dalen van 00:40 tot 00:30 voordat een nieuw hello-pakket wordt verzonden en de timer opnieuw wordt gestart.
Als deze tijd helemaal naar nul gaat, is de nabijheid verloren.
In dit voorbeeld laat de interne FTD-uitvoer zien dat dit apparaat een BDR in FULL-status is met elk van de twee buren, die in ruil daarvoor DR's zijn, bereikbaar vanaf elke interface. Hun router-ID's zijn respectievelijk 10.3.11.1 en 192.168.4.1.
Internal-FTD# show ospf neighbor Neighbor ID Pri State Dead Time Address Interface 10.3.11.1 1 FULL/DR 0:00:38 10.3.11.1 outside 192.168.4.1 1 FULL/DR 0:00:33 10.6.11.2 inside
De OSPF-interface-uitvoer toont gedetailleerde informatie en biedt een bredere visie op het OSPF-proces op elke geconfigureerde interface.
Dit zijn enkele van de parameters die zichtbaar zijn met deze uitvoer:
In de volgende uitvoer van Internal FTD kan worden opgemerkt dat dit apparaat inderdaad de BDR is op beide interfaces en dat de buur overeenkomt met de informatie van show ospf-buren.
Internal-FTD#show ospf interface
outside is up, line protocol is up
Internet Address 10.3.11.2 mask 255.255.255.0, Area 0
Process ID 1, Router ID 10.6.11.1, Network Type BROADCAST, Cost: 10
Transmit Delay is 1 sec, State BDR, Priority 1
Designated Router (ID) 10.3.11.1, Interface address 10.3.11.1
Backup Designated router (ID) 10.6.11.1, Interface address 10.3.11.2
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
oob-resync timeout 40
Hello due in 0:00:04
Supports Link-local Signaling (LLS)
Cisco NSF helper support enabled
IETF NSF helper support enabled
Index 1/1, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 1, maximum is 2
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 1, Adjacent neighbor count is 1
Adjacent with neighbor 10.3.11.1 (Designated Router)
Suppress hello for 0 neighbor(s)
Cryptographic authentication enabled
Youngest key id is 1
inside is up, line protocol is up
Internet Address 10.6.11.1 mask 255.255.255.0, Area 1
Process ID 1, Router ID 10.6.11.1, Network Type BROADCAST, Cost: 10
Transmit Delay is 1 sec, State BDR, Priority 1
Designated Router (ID) 192.168.4.1, Interface address 10.6.11.2
Backup Designated router (ID) 10.6.11.1, Interface address 10.6.11.1
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
oob-resync timeout 40
Hello due in 0:00:03
Supports Link-local Signaling (LLS)
Cisco NSF helper support enabled
IETF NSF helper support enabled
Index 1/2, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 1, maximum is 2
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 1, Adjacent neighbor count is 1
Adjacent with neighbor 192.168.4.1 (Designated Router)
Suppress hello for 0 neighbor(s)
Cryptographic authentication enabled
Youngest key id is 1
Deze opdracht bevat meer informatie over de LSA-typen (Link State Advertisement) van OSPF. De uitvoer is complex en is alleen nuttig voor een diepere probleemoplossing.
LSA is de manier waarop OSPF informatie en updates uitwisselt tussen apparaten, in plaats van de volledige routeringstabel te verzenden.
De meest voorkomende LSA types zijn:
Type 1 - Router Link States - De router-ID's van de Advertentierouters
Type 2 - Netwerkverbindingsstatus - De interfaces die zijn aangesloten op dezelfde koppeling als de aangewezen router.
Type 3 - Overzicht van netwerkverbindingsstaten - Interarea-routes die in dit gebied worden geïnjecteerd door Area Border Router (ABR).
Type 4 - Samenvatting ASB Link States - De router-ID's van de Autonomous System Border Router (ASBR).
Type 5 - AS External Link States - Externe routes geleerd van ASBR's.
Met dit in gedachten kan de uitvoer van deze opdracht worden geïnterpreteerd vanuit een voorbeeld van Internal FTD.
Internal-FTD# show ospf database OSPF Router with ID (10.6.11.1) (Process ID 1) Router Link States (Area 0) Link ID ADV Router Age Seq# Checksum Link count 10.3.11.1 10.3.11.1 234 0x8000002b 0x4c4d 1 10.6.11.1 10.6.11.1 187 0x8000002e 0x157b 1 Net Link States (Area 0) Link ID ADV Router Age Seq# Checksum 10.3.11.1 10.3.11.1 234 0x80000029 0x7f2b Summary Net Link States (Area 0) Link ID ADV Router Age Seq# Checksum 10.6.11.0 10.6.11.1 187 0x8000002a 0x7959 Router Link States (Area 1) Link ID ADV Router Age Seq# Checksum Link count 10.6.11.1 10.6.11.1 187 0x8000002c 0x513b 1 192.168.4.1 192.168.4.1 1758 0x8000002a 0x70f1 2 Net Link States (Area 1) Link ID ADV Router Age Seq# Checksum 10.6.11.2 192.168.4.1 1759 0x80000028 0xd725 Summary Net Link States (Area 1) Link ID ADV Router Age Seq# Checksum 10.3.11.0 10.6.11.1 189 0x80000029 0x9f37 Summary ASB Link States (Area 1) Link ID ADV Router Age Seq# Checksum 10.3.11.1 10.6.11.1 189 0x80000029 0x874d Type-5 AS External Link States Link ID ADV Router Age Seq# Checksum Tag 10.5.11.0 10.3.11.1 1726 0x80000028 0x152b 311 10.5.11.32 10.3.11.1 1726 0x80000028 0xd34c 311 10.5.11.64 10.3.11.1 1726 0x80000028 0x926d 311
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
14-Feb-2024
|
Eerste vrijgave |