ASA/PIX مع مثال تكوين OSPF

خيارات التنزيل

PDF (776.3 KB)
عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
ePub (617.6 KB)
العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
Mobi (Kindle) (822.6 KB)
عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة

تم التحديث:٢٩ مايو ٢٠٠٨

معرّف المستند:107196

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

المحتويات

المقدمة

المتطلبات الأساسية

المتطلبات

المكونات المستخدمة

المنتجات ذات الصلة

الاصطلاحات

معلومات أساسية

التكوين

الرسم التخطيطي للشبكة

التكوينات

تكوين ASDM

تكوين مصادقة OSPF

تكوين ASA CLI من Cisco

تكوين واجهة سطر الأوامر (CLI) لموجه Cisco IOS (R2)

تكوين واجهة سطر الأوامر (CLI) لموجه Cisco IOS (R1)

تكوين واجهة سطر الأوامر (CLI) لموجه Cisco IOS (R3)

إعادة التوزيع في OSPF مع ASA

التحقق من الصحة

استكشاف الأخطاء وإصلاحها

تكوين الجار الثابت لشبكة من نقطة إلى نقطة

أوامر استكشاف الأخطاء وإصلاحها

معلومات ذات صلة

المقدمة

يصف هذا المستند كيفية تكوين Cisco ASA لمعرفة المسارات من خلال فتح أقصر مسار أولا (OSPF)، وإجراء المصادقة، وإعادة التوزيع.

راجع PIX/ASA 8.x: تكوين EIGRP على جهاز الأمان القابل للتكيف (ASA) من Cisco للحصول على مزيد من المعلومات حول تكوين EIGRP.

ملاحظة: التوجيه غير المتماثل غير مدعوم في ASA/PIX.

المتطلبات الأساسية

المتطلبات

تأكد من استيفاء المتطلبات التالية قبل أن تحاول إجراء هذا التكوين:

يجب أن يقوم Cisco ASA/PIX بتشغيل الإصدار 7.x أو إصدار أحدث.
لا يتم دعم OSPF في الوضع متعدد السياقات، وهو مدعوم فقط في الوضع المفرد.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

جهاز الأمان القابل للتكيف (ASA) من Cisco 5500 Series الذي يشغل الإصدار 8.0 من البرنامج والإصدارات الأحدث
برنامج مدير أجهزة الأمان المعدلة (ASDM) Cisco Adaptive Security Device Manager، الإصدار 6.0 والإصدارات الأحدث

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

المنتجات ذات الصلة

المعلومات الواردة في هذا المستند تنطبق أيضا على جدار حماية Cisco 500 Series PIX الذي يشغل الإصدار 8.0 من البرنامج والإصدارات الأحدث.

الاصطلاحات

راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.

معلومات أساسية

يستخدم OSPF خوارزمية حالة الارتباط لإنشاء أقصر مسار إلى جميع الوجهات المعروفة وحسابه. يحتوي كل موجه في منطقة OSPF على قاعدة بيانات حالة إرتباط متطابقة، وهي قائمة بكل واجهة من الواجهات القابلة للاستخدام للموجه والجيران الذين يمكن الوصول إليهم.

تتضمن مزايا OSPF على RIP:

يتم إرسال تحديثات قاعدة بيانات حالة الارتباط ل OSPF بشكل أقل تواترا من تحديثات RIP، ويتم تحديث قاعدة بيانات حالة الارتباط على الفور بدلا من أن يتم تحديثها بشكل تدريجي مع انتهاء مهلة المعلومات القديمة.
تستند قرارات التوجيه إلى التكلفة، وهي إشارة إلى النفقات العامة المطلوبة لإرسال الحزم عبر واجهة معينة. يقوم جهاز الأمان بحساب تكلفة الواجهة استنادا إلى النطاق الترددي للارتباط بدلا من عدد التنقلات إلى الوجهة. يمكن تكوين التكلفة لتحديد المسارات المفضلة.

وتتمثل مساوئ خوارزميات المسار الأول الأقصر في أنها تتطلب الكثير من دورات وحدة المعالجة المركزية (CPU) والذاكرة.

يمكن أن يقوم جهاز الأمان بتشغيل عمليتين من بروتوكول OSPF في وقت واحد، على مجموعات مختلفة من الواجهات. قد ترغب في تشغيل عمليتين إذا كان لديك واجهات تستخدم عناوين IP نفسها (NAT يسمح لهذه الواجهات بالتعايش، ولكن OSPF لا يسمح بالعناوين المتداخلة). أو قد ترغب في تشغيل عملية واحدة في الداخل، وأخرى في الخارج، وإعادة توزيع مجموعة فرعية من المسارات بين العمليتين. وبالمثل، قد تحتاج إلى فصل العناوين الخاصة عن العناوين العامة.

يمكنك إعادة توزيع الموجهات إلى عملية توجيه OSPF من عملية توجيه OSPF أخرى، أو عملية توجيه RIP، أو من المسارات الثابتة والمتصلة التي تم تكوينها على الواجهات التي تم تمكين OSPF بها.

يدعم جهاز الأمان ميزات OSPF التالية:

دعم المسارات داخل المناطق وفيما بينها والخارجية (النوعان الأول والثاني).
دعم إرتباط ظاهري.
غمر OSPF LSA.
مصادقة لحزم OSPF (كل من كلمة المرور ومصادقة MD5).
دعم تكوين جهاز الأمان كموجه مخصص أو موجه نسخ إحتياطي مخصص. كما يمكن إعداد جهاز الأمان على هيئة ABR. ومع ذلك، تقتصر إمكانية تكوين جهاز الأمان كبروتوكول ASBR على المعلومات الافتراضية فقط (على سبيل المثال، إدخال مسار افتراضي).
دعم مناطق الاستحمام والمناطق التي لا تحتوي على ما سبق.
تصفية موجه حد المنطقة النوع-3 LSA.

التكوين

في هذا القسم، تُقدّم لك معلومات تكوين الميزات الموضحة في هذا المستند.

ملاحظة: أستخدم أداة بحث الأوامر (للعملاء المسجلين فقط) للحصول على مزيد من المعلومات حول الأوامر المستخدمة في هذا القسم.

الرسم التخطيطي للشبكة

يستخدم هذا المستند إعداد الشبكة التالي:

في مخطط الشبكة هذا، يكون Cisco ASA Inside IP عنوان 10.1.1.1/24. الهدف هو تكوين OSPF على Cisco ASA لتعلم المسارات إلى الشبكات الداخلية (172.16.1.0/24، و 172.16.2.0/24، و 172.16.5.0/24، و 172.16.10.0/24) بشكل ديناميكي من خلال الموجه المجاور (R2). يتعلم R2 المسارات إلى الشبكات الداخلية البعيدة من خلال الموجهين الآخرين (R1 و R3).

التكوينات

يستخدم هذا المستند التكوينات التالية:

تكوين ASDM
تكوين مصادقة OSPF
تكوين ASA CLI من Cisco
تكوين واجهة سطر الأوامر (CLI) لموجه Cisco IOS (R2)
تكوين واجهة سطر الأوامر (CLI) لموجه Cisco IOS (R1)
تكوين واجهة سطر الأوامر (CLI) لموجه Cisco IOS (R3)
إعادة التوزيع في OSPF مع ASA

تكوين ASDM

مدير أجهزة Adaptive Security (ASDM) هو تطبيق قائم على المستعرض يستخدم لتكوين البرامج ومراقبتها على أجهزة الأمان. يتم تحميل ASDM من جهاز الأمان، ثم يتم إستخدامه لتكوين الجهاز ومراقبته وإدارته. يمكنك أيضا إستخدام مشغل ASDM (في Windows فقط) لتشغيل تطبيق ASDM بشكل أسرع من تطبيق Java الصغير. يصف هذا القسم المعلومات التي تحتاج إلى تكوين الميزات الموضحة في هذا المستند باستخدام ASDM.

أتمت هذا steps in order to شكلت OSPF في ال cisco ASA:

سجل الدخول إلى Cisco ASA مع ASDM.
انتقل إلى التكوين > إعداد الجهاز > التوجيه > منطقة OSPF من واجهة ASDM، كما هو موضح في هذه الصورة.
قم بتمكين عملية توجيه OSPF على علامة التبويب إعداد > مثيلات العملية، كما هو موضح في هذه الصورة. في هذا المثال، تكون عملية معرف OSPF هي 1.
يمكنك النقر فوق خيارات متقدمة في الإعداد > علامة التبويب مثيلات العملية لتكوين معلمات عملية توجيه OSPF المتقدمة الاختيارية. يمكنك تحرير الإعدادات الخاصة بالعملية، مثل معرف الموجه، وتغييرات التجاور، ومسافات المسار الإدارية، وأجهزة التوقيت، والإعدادات الافتراضية لإنشاء المعلومات.

تصف هذه القائمة كل حقل:
- عملية OSPF—يعرض عملية OSPF التي تقوم بتكوينها. لا يمكنك تغيير هذه القيمة.
- معرف الموجه — لاستخدام معرف موجه ثابت، أدخل معرف الموجه في تنسيق عنوان IP في حقل معرف الموجه. إذا تركت هذه القيمة فارغة، يتم إستخدام عنوان IP الأعلى مستوى على جهاز الأمان كمعرف الموجه.
  
  في هذا المثال، يتم تكوين معرف الموجه بشكل ثابت باستخدام عنوان IP الخاص بالواجهة الداخلية (10.1.1.1).
- تجاهل LSA MOSPF— حدد خانة الاختيار هذه لمنع إرسال رسائل سجل النظام عندما يستلم جهاز الأمان حزم LSA من النوع 6 (MOSPF). يتم إلغاء تحديد هذا الإعداد بشكل افتراضي.
- المتوافق مع المعيار RFC 1583 - حدد خانة الاختيار هذه لحساب تكاليف المسار الملخصة لكل RFC 1583. قم بإلغاء تحديد خانة الاختيار هذه لحساب تكاليف المسار الملخصة لكل RFC 2328. لتقليل فرصة حلقات التوجيه، يجب أن يكون لدى جميع أجهزة OSPF في مجال توجيه OSPF مجموعة توافق RFC بشكل مماثل. يتم تحديد هذا الإعداد بشكل افتراضي.
- تغييرات التجاور—يحتوي على إعدادات تحدد تغييرات التجاور التي تتسبب في إرسال رسائل سجل النظام.
  - تسجيل تغييرات التجاور—حدد خانة الاختيار هذه لجعل جهاز الأمان يرسل رسالة سجل نظام كلما إرتفعت كلمة مرور OSPF المجاورة أو انخفضت. يتم تحديد هذا الإعداد بشكل افتراضي.
  - تفاصيل تغييرات سجل التجاور—حدد خانة الاختيار هذه لجعل جهاز الأمان يرسل رسالة سجل نظام كلما حدث أي تغيير في الحالة، وليس فقط عندما يذهب أحد الأجهزة المجاورة لأعلى أو لأسفل. يتم إلغاء تحديد هذا الإعداد بشكل افتراضي.
- مسافات المسار الإدارية—يحتوي على إعدادات المسافات الإدارية للمسارات استنادا إلى نوع المسار.
  - المسافة الإدارية بين المناطق — يحدد المسافة بين جميع المسارات من منطقة إلى أخرى. تتراوح القيم الصالحة من 1 إلى 255. القيمة الافتراضية هي 100.
  - المنطقة الداخلية - يحدد المسافة الإدارية لجميع الممرات داخل المنطقة. تتراوح القيم الصالحة من 1 إلى 255. القيمة الافتراضية هي 100.
  - خارجي — يحدد المسافة الإدارية لجميع المسارات من مجالات التوجيه الأخرى التي يتم التعرف عليها من خلال إعادة التوزيع. تتراوح القيم الصالحة من 1 إلى 255. القيمة الافتراضية هي 100.
- وحدات التوقيت - تحتوي على الإعدادات المستخدمة لتكوين حزم LSA وأجهزة توقيت حساب SPF.
  - وقت تأخير SPF—يحدد الوقت بين عندما يستلم OSPF تغيير طبولوجيا وعند بدء حساب SPF. تتراوح القيم الصالحة من 0 إلى 65535. القيمة الافتراضية هي 5.
  - وقت التعليق ل SPF—يحدد وقت التعليق بين حسابات SPF المتتالية.تتراوح القيم الصالحة من 1 إلى 65534. القيمة الافتراضية هي 10.
  - يحدد تدفق مجموعة LSA— الفاصل الزمني الذي يتم فيه تجميع LSAs في مجموعة ويتم تحديثه أو المجموع الاختباري أو تقادمه. تتراوح القيم الصالحة من 10 إلى 1800. القيمة الافتراضية هي 240.
- منشأ المعلومات الافتراضية—تحتوي على الإعدادات المستخدمة من قبل ASBR لإنشاء مسار خارجي افتراضي في مجال توجيه OSPF.
  - قم بتمكين إنشاء المعلومات الافتراضية—حدد خانة الاختيار هذه لتمكين إنشاء المسار الافتراضي إلى مجال توجيه OSPF.
  - قم بالإعلان دائما عن المسار الافتراضي- حدد خانة الاختيار هذه للإعلان دائما عن المسار الافتراضي. هذا الخيار غير محدد بشكل افتراضي.
  - القيمة المترية—يحدد القياس الافتراضي ل OSPF. تتراوح القيم الصالحة من 0 إلى 1677214. القيمة الافتراضية هي 1.
  - النوع المتري—يحدد نوع الارتباط الخارجي المقترن بالموجه الافتراضي المعلن عنه في مجال توجيه OSPF. القيم الصالحة هي 1 أو 2، تشير إلى مسار خارجي من النوع 1 أو النوع 2. القيمة الافتراضية هي 2.
  - خريطة المسار— (إختياري) اسم خريطة المسار المطلوب تطبيقها. تقوم عملية التوجيه بإنشاء المسار الافتراضي إذا تم الوفاء بخريطة المسار.
بعد اكتمال الخطوات السابقة، قم بتعريف الشبكات والواجهات التي تشارك في توجيه OSPF على علامة التبويب إعداد > مساحة/شبكات، ثم انقر فوق إضافة كما هو موضح في هذه الصورة:

تظهر شاشة إضافة مساحة OSPF.

في هذا المثال، الشبكة الوحيدة التي تتم إضافتها هي الشبكة الداخلية (10.1.1.0/24) نظرا لتمكين OSPF فقط على الواجهة الداخلية.

ملاحظة: لا تشارك في عملية توجيه OSPF إلا الواجهات ذات عنوان IP الذي يقع ضمن الشبكات المحددة.
وانقر فوق OK.

تصف هذه القائمة كل حقل:
- عملية OSPF—عند إضافة مساحة جديدة، أختر معرف عملية OSPF . في حالة تمكين عملية OSPF واحدة فقط على جهاز الأمان، يتم تحديد هذه العملية بشكل افتراضي. عندما تقوم بتحرير منطقة موجودة، لا يمكنك تغيير معرف عملية OSPF.
- معرف المنطقة - عند إضافة مساحة جديدة، أدخل معرف المنطقة. يمكنك تحديد معرف المنطقة كرقم عشري أو عنوان IP. تتراوح القيم العشرية الصالحة من 0 إلى 4294967295. لا يمكنك تغيير معرف المنطقة عندما تقوم بتحرير منطقة موجودة.
  
  في هذا المثال، يكون معرف المنطقة هو 0.
- نوع المنطقة—يحتوي على الإعدادات الخاصة بنوع المنطقة التي يتم تكوينها.
  - عادي-أختر هذا الخيار in order to جعلت المساحة مساحة OSPF قياسية. يتم تحديد هذا الخيار بشكل افتراضي عندما تقوم بإنشاء مساحة أولا.
  - كعب الروتين - أختر هذا الخيار لجعل المنطقة كمنطقة كعب الروتين. لا تحتوي مناطق الكعب على أي موجهات أو مناطق تقع خارج هذا الموجه. تمنع مناطق الكعب تدفق LSAs الخارجية (النوع 5 LSAs) إلى منطقة الكعب. عندما تقوم بإنشاء منطقة كعب، يمكنك إلغاء تحديد خانة الاختيار "ملخص" لمنع تدفق LSAs الملخصة (النوع 3 و 4) إلى المنطقة.
  - الملخص- عندما تكون المساحة التي يتم تعريفها منطقة كعب، قم بإلغاء تحديد خانة الاختيار هذه لمنع LSAs من أن يتم إرسالها إلى منطقة الكعب. يتم تحديد خانة الاختيار هذه بشكل افتراضي لمساحات الكعب.
  - NSSA — أختر هذا الخيار لجعل المنطقة ليست كمنطقة عادية. تقبل NSSAs النوع 7 LSAs. عندما تقوم بإنشاء NSSA، يمكنك إلغاء تحديد خانة الاختيار Summary لمنع تدفق LSAs الملخصة إلى المنطقة. بالإضافة إلى ذلك، يمكنك إلغاء تحديد خانة الاختيار إعادة التوزيع وتمكين إنشاء معلومات الأخطاء لتعطيل إعادة توزيع المسار.
  - إعادة التوزيع- قم بإلغاء تحديد خانة الاختيار هذه لمنع إستيراد المسارات إلى NSSA. يتم تحديد خانة الاختيار هذه بشكل افتراضي.
  - الملخص - عندما تكون المنطقة التي يتم تعريفها NSSA، قم بإلغاء تحديد خانة الاختيار هذه لمنع إرسال LSAs إلى منطقة التخزين المؤقت. يتم تحديد خانة الاختيار هذه بشكل افتراضي ل NSSAs.
  - تنشأ المعلومات الافتراضية- حدد خانة الاختيار هذه لإنشاء افتراضي من النوع 7 في NSSA. مربع الاختيار هذا غير محدد بشكل افتراضي.
  - القيمة المترية—أدخل قيمة لتحديد قيمة مقياس OSPF للمسار الافتراضي. تتراوح القيم الصالحة من 0 إلى 1677214. القيمة الافتراضية هي 1.
  - النوع المتري— أختر قيمة لتحديد نوع مقياس OSPF للمسار الافتراضي. الخيارات هي 1 (النوع 1) أو 2 (النوع 2). القيمة الافتراضية هي 2.
- شبكات المساحة- تحتوي على الإعدادات التي تعرف مساحة OSPF.
  - أدخل عنوان IP وقناع—يحتوي على الإعدادات المستخدمة لتعريف الشبكات في المنطقة.
    - عنوان IP—أدخل عنوان IP للشبكة أو المضيف لإضافته إلى المنطقة. أستخدم 0.0.0.0 مع قناع الشبكة 0.0.0.0 لإنشاء المنطقة الافتراضية. يمكنك إستخدام 0.0.0.0 في منطقة واحدة فقط.
    - NetMask—أختر قناع الشبكة لعنوان IP أو المضيف المراد إضافته إلى المنطقة. إذا قمت بإضافة مضيف، فأختر القناع 255.255.255.255.
      
      في هذا المثال، 10.1.1.0/24 هي الشبكة التي يجب تكوينها.
  - add-يضيف الشبكة المعرفة في منطقة إدخال عنوان وقناع IP إلى المنطقة. تظهر الشبكة المضافة في جدول شبكات المناطق.
  - الحذف—يحذف الشبكة المحددة من جدول شبكات المنطقة.
  - شبكات المنطقة—يعرض الشبكات المعرفة للمنطقة.
  - عنوان IP—يعرض عنوان IP للشبكة.
  - NetMask—يعرض قناع الشبكة للشبكة.
- المصادقة—تحتوي على إعدادات مصادقة منطقة OSPF.
  - none—أختر هذا الخيار لتعطيل مصادقة منطقة OSPF. هذا هو الإعداد الافتراضي.
  - كلمة المرور- أختر هذا الخيار لاستخدام كلمة مرور نص واضح لمصادقة المنطقة. لا يوصى بهذا الخيار حيث يكون الأمان مصدر قلق.
  - MD5—أختر هذا الخيار لاستخدام مصادقة MD5.
- التكلفة الافتراضية- حدد تكلفة افتراضية للمنطقة. تتراوح القيم الصالحة من 0 إلى 65535. القيمة الافتراضية هي 1.
طقطقة يطبق.
إختياريا، يمكنك تحديد عوامل تصفية المسار في جزء قواعد التصفية. توفر تصفية المسار المزيد من التحكم في المسارات المسموح بإرسالها أو استقبالها في تحديثات OSPF.
يمكنك تكوين إعادة توزيع المسار إختياريا. يمكن أن يقوم Cisco ASA بإعادة توزيع المسارات التي تم اكتشافها بواسطة RIP و EIGRP في عملية توجيه OSPF. يمكنك أيضا إعادة توزيع المسارات الثابتة والمتصلة في عملية توجيه OSPF. تحديد إعادة توزيع المسار على جزء إعادة التوزيع.
يتم إرسال حزم مرحبا الخاصة ب OSPF كحزم بث متعددة. إذا تم تحديد موقع جار OSPF عبر شبكة غير إذاعية، فيجب عليك تعريف هذا المجاور يدويا. عندما تقوم بتعريف جار OSPF يدويا، يتم إرسال حزم الترحيب إلى ذلك المجاور كرسائل البث الأحادي. لتحديد جيران OSPF الثابتة، انتقل إلى الجزء المجاور الثابت.
يمكن تلخيص المسارات التي تم التعرف عليها من بروتوكولات التوجيه الأخرى. القياس المستخدم للإعلان عن الملخص هو أصغر قياس لكل المسارات الأكثر تحديدا. تساعد مسارات الملخص على تقليل حجم جدول التوجيه.

يتسبب إستخدام مسارات الملخص ل OSPF في قيام OSPF ASBR بالإعلان عن مسار خارجي واحد كتجميع لجميع المسارات التي تمت إعادة توزيعها والتي يغطيها العنوان. يمكن تلخيص المسارات من بروتوكولات التوجيه الأخرى التي يتم إعادة توزيعها على OSPF فقط.
في جزء الارتباط الظاهري، يمكنك إضافة منطقة إلى شبكة OSPF، ولا يمكن توصيل المنطقة مباشرة بالمنطقة الأساسية، ويجب عليك إنشاء إرتباط ظاهري. يربط إرتباط ظاهري جهازين من OSPF لديهما منطقة مشتركة، تسمى منطقة النقل. يجب توصيل أحد أجهزة OSPF بالمنطقة الأساسية.

تكوين مصادقة OSPF

يدعم Cisco ASA مصادقة MD5 لتحديثات التوجيه من بروتوكول توجيه OSPF. يمنع الملخص MD5 المزود بمؤشر OSPF في كل حزمة من حزم OSPF تقديم رسائل التوجيه غير المصرح بها أو الخاطئة من المصادر غير المعتمدة. تضمن إضافة المصادقة إلى رسائل OSPF أن الموجهات و Cisco ASA تقبل رسائل التوجيه من أجهزة التوجيه الأخرى التي تم تكوينها باستخدام المفتاح المشترك مسبقا نفسه. دون تكوين هذه المصادقة، إذا قدم شخص ما جهاز توجيه آخر بمعلومات مسار مختلفة أو مخالفة على الشبكة، يمكن أن تصبح جداول التوجيه على الموجهات أو Cisco ASA تالفة، ويمكن أن ينتج عن ذلك هجوم لمنع الخدمة. عند إضافة مصادقة إلى رسائل EIGRP المرسلة بين أجهزة التوجيه لديك (والتي تتضمن ASA)، فإنها تمنع الإضافة المقصودة أو العرضية لموجه آخر إلى الشبكة وأي مشكلة.

يتم تكوين مصادقة مسار OSPF على أساس كل واجهة. يجب تكوين جميع جيران OSPF على الواجهات التي تم تكوينها لمصادقة رسائل OSPF باستخدام وضع المصادقة نفسه والمفتاح نفسه للتجاور الذي سيتم إنشاؤه.

أكمل الخطوات التالية لتمكين مصادقة OSPF MD5 على Cisco ASA:

في ASDM، انتقل إلى التكوين > إعداد الجهاز > التوجيه > OSPF > الواجهة، ثم انقر فوق علامة التبويب المصادقة كما هو موضح في هذه الصورة.

في هذه الحالة، يتم تمكين OSPF على الواجهة الداخلية.
أخترت القارن داخلي، وطقطقة يحرر.
تحت المصادقة، أختر مصادقة MD5، وأضف المزيد من المعلومات حول معلمات المصادقة هنا.

في هذه الحالة، يكون المفتاح المشترك مسبقا Cisco123، ومعرف المفتاح 1.
انقر فوق موافق، ثم انقر فوق تطبيق.

تكوين ASA CLI من Cisco

ASA من Cisco
ciscoasa#show running-config : Saved : ASA Version 8.0(2) ! hostname ciscoasa enable password 8Ry2YjIyt7RRXU24 encrypted names !--- Inside interface configuration interface Ethernet0/1 nameif inside security-level 100 ip address 10.1.1.1 255.255.255.0 ospf cost 10 !--- OSPF authentication is configured on the inside interface ospf message-digest-key 1 md5 <removed> ospf authentication message-digest ! !--- Outside interface configuration interface Ethernet0/2 nameif outside security-level 0 ip address 192.168.1.2 255.255.255.0 ospf cost 10 ! !--- Output Suppressed icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-602.bin no asdm history enable arp timeout 14400 ! !--- OSPF Configuration router ospf 1 network 10.1.1.0 255.255.255.0 area 0 log-adj-changes ! !--- This is the static default gateway configuration in order to reach Internet route outside 0.0.0.0 0.0.0.0 192.168.1.1 1 ciscoasa#

ASA من Cisco

ciscoasa#show running-config
: Saved
:
ASA Version 8.0(2)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names


!--- Inside interface configuration


interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
 ospf cost 10
 

!--- OSPF authentication is configured on the inside interface 


 ospf message-digest-key 1 md5 <removed>
 ospf authentication message-digest
!


!--- Outside interface configuration


interface Ethernet0/2
 nameif outside
 security-level 0
 ip address 192.168.1.2 255.255.255.0
 ospf cost 10
!

!--- Output Suppressed


icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
!


!--- OSPF Configuration


router ospf 1
 network 10.1.1.0 255.255.255.0 area 0
 log-adj-changes
!


!--- This is the static default gateway configuration in order to reach Internet


route outside 0.0.0.0 0.0.0.0 192.168.1.1 1

ciscoasa#

تكوين واجهة سطر الأوامر (CLI) لموجه Cisco IOS (R2)

الموجه IOS (R2) من Cisco
!--- Interface that connects to the Cisco ASA. !--- Notice the OSPF authentication parameters interface Ethernet0 ip address 10.1.1.2 255.255.255.0 ip ospf authentication message-digest ip ospf message-digest-key 1 md5 cisco123 !--- Output Suppressed !--- OSPF Configuration router ospf 1 log-adjacency-changes network 10.1.1.0 0.0.0.255 area 0 network 172.16.1.0 0.0.0.255 area 0 network 172.16.2.0 0.0.0.255 area 0

الموجه IOS (R2) من Cisco



!--- Interface that connects to the Cisco ASA. !--- Notice the OSPF authentication parameters


interface Ethernet0
 ip address 10.1.1.2 255.255.255.0
 ip ospf authentication message-digest
 ip ospf message-digest-key 1 md5 cisco123


!--- Output Suppressed



!--- OSPF Configuration


router ospf 1
 log-adjacency-changes
 network 10.1.1.0 0.0.0.255 area 0
 network 172.16.1.0 0.0.0.255 area 0
 network 172.16.2.0 0.0.0.255 area 0

تكوين واجهة سطر الأوامر (CLI) لموجه Cisco IOS (R1)

الموجه IOS (R1) من Cisco
!--- Output Suppressed !--- OSPF Configuration router ospf 1 log-adjacency-changes network 172.16.5.0 0.0.0.255 area 0 network 172.16.2.0 0.0.0.255 area 0

تكوين واجهة سطر الأوامر (CLI) لموجه Cisco IOS (R3)

الموجه IOS (R3) من Cisco
!--- Output Suppressed !--- OSPF Configuration router ospf 1 log-adjacency-changes network 172.16.1.0 0.0.0.255 area 0 network 172.16.10.0 0.0.0.255 area 0

إعادة التوزيع في OSPF مع ASA

كما تمت الإشارة سابقا، يمكنك إعادة توزيع المسارات إلى عملية توجيه OSPF من عملية توجيه OSPF أخرى، أو عملية توجيه RIP، أو من المسارات الثابتة والمتصلة التي تم تكوينها على الواجهات التي تم تمكين OSPF بها.

في هذا المثال، تتم إعادة توزيع مسارات بروتوكول معلومات التوجيه (RIP) إلى OSPF باستخدام الرسم التخطيطي للشبكة كما هو موضح:

تكوين ASDM

أخترت تشكيل>أداة setup>تحشد>RIP>setup in order to مكنت RIP، وأضفت الشبكة 192.168.1.0 كما هو موضح في هذه الصورة.
طقطقة يطبق.
أخترت تشكيل>أداة setup>تحشد>OSPF>إعادة توزيع>يضيف in order to أعدت توزيع إتجاه RIP إلى OSPF.
انقر فوق موافق، ثم انقر فوق تطبيق.

CLI تشكيل مكافئ

CLI تشكيل من ASA لإعادة توزيع RIP في OSPF as
router ospf 1 network 10.1.1.0 255.255.255.0 area 0 log-adj-changes redistribute rip subnets router rip network 192.168.1.0

يمكنك رؤية جدول توجيه موجه IOS المجاور (R2) بعد إعادة توزيع مسارات بروتوكول معلومات التوجيه (RIP) إلى OSPF باسم.

R2#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

     172.16.0.0/16 is variably subnetted, 4 subnets, 2 masks
O       172.16.10.1/32 [110/11] via 172.16.1.2, 01:17:29, Ethernet1
O       172.16.5.1/32 [110/65] via 172.16.2.2, 01:17:29, Serial1
C       172.16.1.0/24 is directly connected, Ethernet1
C       172.16.2.0/24 is directly connected, Serial1
     10.0.0.0/24 is subnetted, 1 subnets
C       10.1.1.0 is directly connected, Ethernet0
O E2 192.168.1.0/24 [110/20] via 10.1.1.1, 01:17:29, Ethernet0

!--- Redistributed route adverstied by Cisco ASA

التحقق من الصحة

أكمل الخطوات التالية للتحقق من التكوين الخاص بك:

في ASDM، يمكنك الانتقال إلى المراقبة > التوجيه > جيران OSPF لرؤية كل من جيران OSPF. تظهر هذه الصورة الموجه الداخلي (R2) كجار نشط. أنت يستطيع أيضا رأيت القارن حيث هذا مجاور، مجاور مسحاج تخديد id، دولة، ووقت ميت.
بالإضافة إلى ذلك، يمكنك التحقق من جدول التوجيه إذا قمت بالانتقال إلى المراقبة > التوجيه > المسارات. في هذه الصورة، يتم التعرف على الشبكات 172.16.1.0/24 و 172.16.2.0/24 و 172.16.5.0/24 و 172.16.10.0/24 من خلال R2 (10.1.1.2).

من ال CLI، أنت يستطيع استعملت العرض طريق أمر in order to حصلت ال نفسه إنتاج.

ciscoasa#show route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route

Gateway of last resort is 192.168.1.1 to network 0.0.0.0

O    172.16.10.1 255.255.255.255 [110/21] via 10.1.1.2, 0:00:06, inside
O    172.16.5.1 255.255.255.255 [110/75] via 10.1.1.2, 0:00:06, inside
O    172.16.1.0 255.255.255.0 [110/20] via 10.1.1.2, 0:00:06, inside
O    172.16.2.0 255.255.255.0 [110/74] via 10.1.1.2, 0:00:06, inside
C    10.1.1.0 255.255.255.0 is directly connected, inside
C    10.77.241.128 255.255.255.192 is directly connected, dmz
S    10.77.0.0 255.255.0.0 [1/0] via 10.77.241.129, dmz
C    192.168.1.0 255.255.255.0 is directly connected, outside
S*   0.0.0.0 0.0.0.0 [1/0] via 192.168.1.1, outside

يمكنك أيضا إستخدام الأمر show ospf database للحصول على معلومات حول الشبكات التي تم التعرف عليها وهيكل OSPF.

ciscoasa#show ospf database


       OSPF Router with ID (192.168.1.2) (Process ID 1)


                Router Link States (Area 0)

Link ID         ADV Router      Age         Seq#       Checksum Link count
172.16.1.2      172.16.1.2      123         0x80000039 0xfd1d 2
172.16.2.1      172.16.2.1      775         0x8000003c 0x9b42 4
172.16.5.1      172.16.5.1      308         0x80000038 0xb91b 3
192.168.1.2     192.168.1.2     1038        0x80000037 0x29d7 1

                Net Link States (Area 0)

Link ID         ADV Router      Age         Seq#       Checksum
10.1.1.1        192.168.1.2     1038        0x80000034 0x72ee
172.16.1.1      172.16.2.1      282         0x80000036 0x9e68

كما أن الأمر show ospf neighbors مفيد للتحقق من معلومات الجوار النشط والمراسل. يوضح هذا المثال نفس المعلومات التي حصلت عليها من ASDM في الخطوة 1.
```
ciscoasa#show ospf neighbor


Neighbor ID     Pri   State           Dead Time   Address         Interface
172.16.2.1        1   FULL/BDR        0:00:36     10.1.1.2        inside
```

استكشاف الأخطاء وإصلاحها

يوفر هذا القسم معلومات قد تسهل أستكشاف أخطاء OSPF وإصلاحها.

تكوين الجار الثابت لشبكة من نقطة إلى نقطة

إذا كنت قد قمت بتكوين عمليات بث شبكة OSPF من نقطة إلى نقطة غير على ASA، فيجب عليك تحديد جيران OSPF الثابتة للإعلان عن مسارات OSPF عبر شبكة من نقطة إلى نقطة غير بث. راجع تحديد جيران OSPF الثابتة للحصول على مزيد من المعلومات.

أوامر استكشاف الأخطاء وإصلاحها

تدعم أداة مترجم الإخراج (للعملاءالمسجلين فقط) بعض أوامر show. استخدم أداة مترجم الإخراج (OIT) لعرض تحليل مُخرَج الأمر show .

ملاحظة: ارجع إلى معلومات مهمة حول أوامر التصحيح قبل إستخدام أوامر debug.

debug ospf events— يمكن تصحيح أحداث OSPF.

ciscoasa(config)#debug ospf events
OSPF events debugging is on
ciscoasa(config)# int e0/1
ciscoasa(config-if)# no shu
ciscoasa(config-if)#
OSPF: Interface inside going Up
OSPF: Send with youngest Key 1
OSPF: Rcv hello from 172.16.2.1 area 0 from inside 10.1.1.2
OSPF: 2 Way Communication to 172.16.2.1 on inside, state 2WAY
OSPF: Backup seen Event before WAIT timer on inside
OSPF: DR/BDR election on inside
OSPF: Elect BDR 172.16.2.1
OSPF: Elect DR 172.16.2.1
       DR: 172.16.2.1 (Id)   BDR: 172.16.2.1 (Id)
OSPF: Send DBD to 172.16.2.1 on inside seq 0x1abd opt 0x2 flag 0x7 len 32
OSPF: Send with youngest Key 1
OSPF: End of hello processing
OSPF: Rcv hello from 172.16.2.1 area 0 from inside 10.1.1.2
OSPF: End of hello processing
OSPF: Rcv DBD from 172.16.2.1 on inside seq 0x12f3 opt 0x42 flag 0x7 len 32  mtu
 1500 state EXSTART
OSPF: First DBD and we are not SLAVE
OSPF: Rcv DBD from 172.16.2.1 on inside seq 0x1abd opt 0x42 flag 0x2 len 152  mt
u 1500 state EXSTART
OSPF: NBR Negotiation Done. We are the MASTER
OSPF: Send DBD to 172.16.2.1 on inside seq 0x1abe opt 0x2 flag 0x3 len 132
OSPF: Send with youngest Key 1
OSPF: Send with youngest Key 1
OSPF: Database request to 172.16.2.1
OSPF: sent LS REQ packet to 10.1.1.2, length 12
OSPF: Rcv DBD from 172.16.2.1 on inside seq 0x1abe opt 0x42 flag 0x0 len 32  mtu
 1500 state EXCHANGE
OSPF: Send DBD to 172.16.2.1 on inside seq 0x1abf opt 0x2 flag 0x1 len 32
OSPF: Send with youngest Key 1
OSPF: Send with youngest Key 1
OSPF: Rcv DBD from 172.16.2.1 on inside seq 0x1abf opt 0x42 flag 0x0 len 32  mtu
 1500 state EXCHANGE
OSPF: Exchange Done with 172.16.2.1 on inside
OSPF: Synchronized with 172.16.2.1 on inside, state FULL
OSPF: Send with youngest Key 1
OSPF: Send with youngest Key 1
OSPF: Rcv hello from 172.16.2.1 area 0 from inside 10.1.1.2
OSPF: Neighbor change Event on interface inside
OSPF: DR/BDR election on inside
OSPF: Elect BDR 192.168.1.2
OSPF: Elect DR 172.16.2.1
OSPF: Elect BDR 192.168.1.2
OSPF: Elect DR 172.16.2.1
       DR: 172.16.2.1 (Id)   BDR: 192.168.1.2 (Id)
OSPF: End of hello processing
OSPF: Send with youngest Key 1
OSPF: Send with youngest Key 1
OSPF: Send with youngest Key 1
OSPF: Send with youngest Key 1
OSPF: Rcv hello from 172.16.2.1 area 0 from inside 10.1.1.2
OSPF: End of hello processing
OSPF: Send with youngest Key 1
OSPF: Rcv hello from 172.16.2.1 area 0 from inside 10.1.1.2
OSPF: End of hello processing
OSPF: Send with youngest Key 1
OSPF: Rcv hello from 172.16.2.1 area 0 from inside 10.1.1.2
OSPF: End of hello processing
OSPF: Send with youngest Key 1
OSPF: Rcv hello from 172.16.2.1 area 0 from inside 10.1.1.2
OSPF: End of hello processing

ملاحظة: راجع قسم debug ospf من مرجع أمر جهاز الأمان من Cisco، الإصدار 8.0 للحصول على مزيد من المعلومات حول أوامر مختلفة مفيدة لاستكشاف الأخطاء وإصلاحها.