本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。
思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。
本檔案介紹如何使用FMC作為管理器對FTD裝置上的OSPF組態進行驗證和疑難排解。
思科建議您瞭解以下主題:
本文中的資訊係根據以下軟體和硬體版本:
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
可以在FMC上配置OSPF,以便在FTD裝置和其他支援OSPF的裝置之間使用動態路由。
FMC允許為不同的一組介面同時運行兩個OSPF進程。
每台裝置都有一個路由器ID,與OSPF進程中的裝置名稱類似。預設情況下,此介面設定為較低介面IP,但可以自定義為不同的IP。
需要注意的重要一點是,這些引數必須在鄰居上匹配才能形成OSPF鄰接關係:
本節顯示為OSPF配置的基本引數,以開始搜尋與其鄰居的鄰接關係。
1.導航到Devices > Device Management > Edit device
2.按一下Routing頁籤。
3.按一下左側選單欄上的OSPF。
4.選擇Process 1以啟用OSPF配置。FTD可以在不同的介面組上同時執行兩個程式。
區域邊界路由器(ABR)位於兩個不同區域之間,而自治系統邊界路由器(ASBR)位於使用其他路由協定的裝置之間。
5.選擇OSPF role作為Internal、ABR、ASBR以及ABR和ASBR。
6.(可選)更改自動路由器ID。選擇OSPF role旁邊的Advanced,然後選擇Router ID as IP address對其進行自定義。
7.選擇區域>新增。
8.輸入區域資訊:
9.按一下OK儲存配置。
FTD可以將路由從一個OSPF進程重分發到另一個OSPF進程。重分發還可以從RIP、BGP、EIGRP(7.2+版)、靜態路由和連線路由重分發到OSPF路由進程。
1.要配置OSPF重分發,請導航到Devices > Device Management > Edit device。
2.按一下路由
3.按一下OSPF。
4.選擇Redistribution > Add。
5.輸入重新分發欄位:
對於BGP和EIGRP,新增AS編號。
6.(可選)選擇是否使用子網。
7.選擇度量型別。
8.按一下確定儲存更改。
您可以執行區域間過濾,從而限制從一個區域傳送到另一個區域的入站或出站路由。此操作僅在ABR上執行。
使用字首清單配置過濾,這些字首清單隨後連結到OSPF配置。這是一項可選功能,OSPF無需使用此功能。
1.要配置OSPF區域間過濾,請導航至Devices > Device Management > Edit device。
2.按一下路由
3.按一下OSPF。
4.選擇「區域間」>「新增」。
5.配置過濾欄位:
6.如果您已配置字首清單,請轉至步驟10。如果需要建立新加號,可以選擇加號或從Objects > Object Management > Prefix Lists > IPv4 prefix list > Add建立。
7.按一下Add條目。
8.使用以下欄位配置字首清單:
9.按一下確定儲存字首清單。
10.按一下OK儲存區域間配置。
對於參與OSPF的每個介面,可以修改某些引數。
1.要配置OSPF介面引數,請導航至Devices > Device Management > Edit device。
2.按一下路由
3.按一下OSPF。
4.選擇Interface > Add。
5.選擇要修改的引數
傳送OSPF Hello資料包以維護裝置之間的鄰接關係。這些資料包以可配置的間隔傳送。如果裝置在死時間隔內未收到來自鄰居的hello資料包(也可以配置),則該鄰居將更改為down狀態。
預設情況下,Hello間隔為10秒,Dead間隔是Hello間隔的四倍,即40秒。這些間隔必須在鄰居之間匹配。
MTU ignore覈取方塊用於避免OSPF鄰接由於鄰居介面之間的MTU不匹配而停滯在EXSTART狀態。驗證MTU匹配是因為在該狀態下,DBD在鄰居之間傳送,大小差異可能會造成問題。但是,最佳做法是保持未選中此選項。
您可以選擇三種不同型別的介面OSPF身份驗證。預設情況下,身份驗證未啟用。
建議使用MD5作為身份驗證,因為它是提供安全性的雜湊演算法。
配置MD5 ID和MD5金鑰,然後按一下OK進行儲存。
MD5金鑰或密碼在經過身份驗證的鄰居的介面引數上必須匹配。
請考慮以下網路拓撲範例:
請考慮以下因素:
內部FTD的組態顯示如下:
使用MD5身份驗證的介面配置
interface GigabitEthernet0/0
nameif inside
security-level 0
ip address 10.6.11.1 255.255.255.0
ospf message-digest-key 1 md5 *****
ospf authentication message-digest
!
interface GigabitEthernet0/1
nameif outside
security-level 0
ip address 10.3.11.2 255.255.255.0
ospf message-digest-key 1 md5 *****
ospf authentication message-digest
!
OSPF配置表明,網路10.3.11.0/24通告到區域0,網路10.6.11.0/24通告到區域1上的鄰居。
區域間過濾將字首清單應用於進入區域0的入站路由。在此首碼清單中,來自內部路由器的網路192.168.4.0會遭到拒絕,但所有其他內容會允許通過。
router ospf 1
network 10.3.11.0 255.255.255.0 area 0
network 10.6.11.0 255.255.255.0 area 1
area 0 filter-list prefix filter_192.168.4.0 in
log-adj-changes
prefix-list filter_192.168.4.0 seq 5 deny 192.168.4.0/24
prefix-list filter_192.168.4.0 seq 10 permit 0.0.0.0/0 le 32
外部FTD的組態在CLI中如下所示:
使用MD5身份驗證的介面配置。
interface GigabitEthernet0/0
nameif inside
security-level 0
ip address 10.3.11.1 255.255.255.0
ospf message-digest-key 1 md5 *****
ospf authentication message-digest
!
interface GigabitEthernet0/1
nameif outside
security-level 0
ip address 172.16.11.1 255.255.255.0
!
OSPF配置顯示,路由10.3.11.0/24在區域0中通告給內部FTD。
也可以觀察到BGP重分佈到OSPF的情況。
router ospf 1
network 10.3.11.0 255.255.255.0 area 0
log-adj-changes
redistribute bgp 312 subnets
有幾種命令可用於確定OSPF是否按預期運行。
注意:當FTD故障排除檔案是除OSPF配置之外生成的,並且需要從FTD CLI手動輸入時,show tech files中不會顯示這些命令。
此命令不僅顯示OSPF,還顯示動態路由協定的配置。
在CLI中檢查OSPF相關配置很有用。
show route輸出表明有關當前可用路由的重要資訊。
內部FTD的show route輸出顯示,存在三個已知來自ASBR鄰居10.3.11.1的外部路由。
還顯示從同一區域的鄰居10.6.11.2獲知的網路192.168.4.0/24。
Internal-FTD# show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, + - replicated route SI - Static InterVRF Gateway of last resort is not set C 10.3.11.0 255.255.255.0 is directly connected, outside L 10.3.11.2 255.255.255.255 is directly connected, outside O E2 10.5.11.0 255.255.255.224 [110/1] via 10.3.11.1, 6w5d, outside O E2 10.5.11.32 255.255.255.224 [110/1] via 10.3.11.1, 6w5d, outside O E2 10.5.11.64 255.255.255.224 [110/1] via 10.3.11.1, 6w5d, outside C 10.6.11.0 255.255.255.0 is directly connected, inside L 10.6.11.1 255.255.255.255 is directly connected, inside O 192.168.4.0 255.255.255.0 [110/20] via 10.6.11.2, 02:19:24, inside
從外部FTD可以觀察到,路由10.6.11.0/24從鄰居10.3.11.2得知並屬於不同的區域。
在此輸出中未觀察到路由192.168.4.0/24,因為它已在內部FTD上篩選。
此外,從另一台裝置獲知的三條BGP路由被重分發到OSPF作為外部第2類路由,如內部FTD所示。
External-FTD# show route Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, + - replicated route SI - Static InterVRF, BI - BGP InterVRF Gateway of last resort is not set C 10.3.11.0 255.255.255.0 is directly connected, inside L 10.3.11.1 255.255.255.255 is directly connected, inside B 10.5.11.0 255.255.255.224 [20/0] via 172.16.11.2, 6w5d B 10.5.11.32 255.255.255.224 [20/0] via 172.16.11.2, 6w5d B 10.5.11.64 255.255.255.224 [20/0] via 172.16.11.2, 6w5d O IA 10.6.11.0 255.255.255.0 [110/20] via 10.3.11.2, 02:03:27, inside C 172.16.11.0 255.255.255.0 is directly connected, outside L 172.16.11.1 255.255.255.255 is directly connected, outside
此命令有助於驗證OSPF鄰接關係的狀態,以及該鄰居是否為指定路由器(DR)、備用指定路由器(BDR)或其他(DROTHER)。
DR是在網路發生更改時更新同一子網中其餘裝置的裝置。如果不再可用,則BDR將擔任DR角色。
這也很有用,因為它顯示了鄰居的路由器ID,以及鄰居的IP地址和已知介面。
還會觀察停頓時間倒計時。如果您有預設計時器,您可以看到在傳送新的hello資料包和重新啟動計時器之前,時間從00:40縮短到00:30。
如果此時一直為零,則鄰接關係將丟失。
在本範例中,內部FTD輸出顯示,此裝置是兩個鄰居各自處於完整狀態的BDR,且可從每個介面連線至DR。它們的路由器ID分別為10.3.11.1和192.168.4.1。
Internal-FTD# show ospf neighbor Neighbor ID Pri State Dead Time Address Interface 10.3.11.1 1 FULL/DR 0:00:38 10.3.11.1 outside 192.168.4.1 1 FULL/DR 0:00:33 10.6.11.2 inside
show ospf interface輸出顯示詳細資訊,並提供每個已配置介面上OSPF進程的更廣闊的視野。
以下是此輸出中可見的一些引數:
在內部FTD的下一個輸出中,可以觀察到,此裝置確實是兩個介面上的BDR,且此鄰居與來自show ospf neighbors的資訊相符。
Internal-FTD#show ospf interface
outside is up, line protocol is up
Internet Address 10.3.11.2 mask 255.255.255.0, Area 0
Process ID 1, Router ID 10.6.11.1, Network Type BROADCAST, Cost: 10
Transmit Delay is 1 sec, State BDR, Priority 1
Designated Router (ID) 10.3.11.1, Interface address 10.3.11.1
Backup Designated router (ID) 10.6.11.1, Interface address 10.3.11.2
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
oob-resync timeout 40
Hello due in 0:00:04
Supports Link-local Signaling (LLS)
Cisco NSF helper support enabled
IETF NSF helper support enabled
Index 1/1, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 1, maximum is 2
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 1, Adjacent neighbor count is 1
Adjacent with neighbor 10.3.11.1 (Designated Router)
Suppress hello for 0 neighbor(s)
Cryptographic authentication enabled
Youngest key id is 1
inside is up, line protocol is up
Internet Address 10.6.11.1 mask 255.255.255.0, Area 1
Process ID 1, Router ID 10.6.11.1, Network Type BROADCAST, Cost: 10
Transmit Delay is 1 sec, State BDR, Priority 1
Designated Router (ID) 192.168.4.1, Interface address 10.6.11.2
Backup Designated router (ID) 10.6.11.1, Interface address 10.6.11.1
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
oob-resync timeout 40
Hello due in 0:00:03
Supports Link-local Signaling (LLS)
Cisco NSF helper support enabled
IETF NSF helper support enabled
Index 1/2, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 1, maximum is 2
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 1, Adjacent neighbor count is 1
Adjacent with neighbor 192.168.4.1 (Designated Router)
Suppress hello for 0 neighbor(s)
Cryptographic authentication enabled
Youngest key id is 1
此命令具有有關OSPF的鏈路狀態通告(LSA)型別的詳細資訊。輸出非常複雜,僅有助於進行更深入的故障排除。
LSA是OSPF在裝置之間交換資訊和更新,而不是傳送完整的路由表的方式。
最常見的LSA型別包括:
第1類 — 路由器鏈路狀態 — 通告路由器的路由器ID
第2類 — 網路鏈路狀態 — 與指定路由器連線在同一鏈路中的介面。
第3類 — 總結網路鏈路狀態 — 區域邊界路由器(ABR)注入此區域的區域間路由。
第4類 — 彙總ASB鏈路狀態 — 自治系統邊界路由器(ASBR)的路由器ID。
第5類 — AS外部鏈路狀態 — 從ASBR獲知的外部路由。
有鑑於此,此命令的輸出可從內部FTD範例中解釋。
Internal-FTD# show ospf database OSPF Router with ID (10.6.11.1) (Process ID 1) Router Link States (Area 0) Link ID ADV Router Age Seq# Checksum Link count 10.3.11.1 10.3.11.1 234 0x8000002b 0x4c4d 1 10.6.11.1 10.6.11.1 187 0x8000002e 0x157b 1 Net Link States (Area 0) Link ID ADV Router Age Seq# Checksum 10.3.11.1 10.3.11.1 234 0x80000029 0x7f2b Summary Net Link States (Area 0) Link ID ADV Router Age Seq# Checksum 10.6.11.0 10.6.11.1 187 0x8000002a 0x7959 Router Link States (Area 1) Link ID ADV Router Age Seq# Checksum Link count 10.6.11.1 10.6.11.1 187 0x8000002c 0x513b 1 192.168.4.1 192.168.4.1 1758 0x8000002a 0x70f1 2 Net Link States (Area 1) Link ID ADV Router Age Seq# Checksum 10.6.11.2 192.168.4.1 1759 0x80000028 0xd725 Summary Net Link States (Area 1) Link ID ADV Router Age Seq# Checksum 10.3.11.0 10.6.11.1 189 0x80000029 0x9f37 Summary ASB Link States (Area 1) Link ID ADV Router Age Seq# Checksum 10.3.11.1 10.6.11.1 189 0x80000029 0x874d Type-5 AS External Link States Link ID ADV Router Age Seq# Checksum Tag 10.5.11.0 10.3.11.1 1726 0x80000028 0x152b 311 10.5.11.32 10.3.11.1 1726 0x80000028 0xd34c 311 10.5.11.64 10.3.11.1 1726 0x80000028 0x926d 311
修訂 | 發佈日期 | 意見 |
---|---|---|
1.0 |
14-Feb-2024 |
初始版本 |