Konfigurieren von EIGRP IPV6 auf ASA

Einleitung

 In diesem Dokument wird beschrieben, wie EIGRP IPV6 auf der Cisco Adaptive Security Appliance (ASA) konfiguriert wird.

Voraussetzungen

Mindestanzahl unterstützter Software- und Hardwareplattformen

Anforderungen

Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

• Cisco Security Manager
• Adaptive Security Device Manager

Verwendete Komponenten 

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

• Cisco Adaptive Security Appliance (ASA), Version 9.20.1 oder höher
• Cisco Security Manager (CSM) mit 4.27 
• Cisco Adaptive Security Device Manager mit 7.20.1

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

EIGRP für IPV6

・ EIGRP wird bereits unterstützt und ist auf ASA verfügbar. Die Nachfrage nach EIGRP IPV6 steigt.

・ Die Konfigurationen für EIGRPv4 und EIGRPv6 sind ähnlich, können jedoch unabhängig voneinander konfiguriert und verwaltet werden.
・ Aufgrund von Protokollen unterscheiden sich Konfiguration und Betrieb geringfügig.

Neuerungen

・ In früheren Versionen wurde EIGRP nur für IPv4 und ab ASA 9.20 mit IPV6 unterstützt.
・ Unterstützung für EIGRP IPv6 mit Link-lokaler Adresse nur auf ASA.

Einschränkungen

Unterstützt

・ EIGRPv6 wird derzeit auf ASA nur im Routing-Modus, HA und Cluster unterstützt.
・ EIGRPv6-Nachbarschaft kann nur mit lokaler Link-Adresse aktiviert werden.

Nicht unterstützt

・ Transparenter Modus
・ Mehrere Kontexte
•Authentifizierung
・ Über FTD

Funktionsdetails

Beschreibung der Funktionsmerkmale

・ EIGRP für IPv6 verwendet das gleiche Framework wie EIGRP für IPv4.
・ EIGRP IPv6 würde nur mit IPv6-Peers kommunizieren und nur IPv6-Routen ankündigen.

EIGRP IPV4 und EIGRP IPv6 haben ähnliche Merkmale und Eigenschaften wie:
・ Nachbartabellen, Routing- und Topologietabellen werden gepflegt.
・ Es verwendet DUAL Stack für schnelle Konvergenz und schleifenfreies Netzwerk.

Die Unterschiede sind:
・ Der Netzwerkbefehl unter "router-mode" wird nicht für EIGRP IPv6 verwendet.
・ Verwenden Sie ipv6 router eigrp <AS>, um den EIGRP IPv6-Router-Prozess zu aktivieren.
・ explizite Konfiguration von ipv6 eigrp <AS> zur Aktivierung von EIGRP IPv6 auf einer bestimmten Schnittstelle
・ Benutzerkonfigurierte IPv6-Adressen können nicht zum Aufbau einer Nachbarschaft verwendet werden.
・ Die Authentifizierung wird in der aktuellen Version nicht unterstützt.

EIGRP-Funktionen

EIGRP-Funktionsübersicht

・ EIGRP für IPv6 entspricht EIGRP IPv4.
・ EIGRP verwendet den Diffusing Update Algorithm (DUAL), um eine schnelle Konvergenz zu erreichen.
      DUAL berechnet nicht nur die besten Routen, sondern auch schleifenfreie Routen.
      Es gibt hauptsächlich zwei Tabellen, die von DUAL verwendet werden, um die beste Route zu berechnen. Es handelt sich um die Tabelle für das Nachbar-Routing und die Topologie.
      DUAL berechnet alternative Pfade auf Basis der gemeldeten erreichbaren Entfernung.
・ Die Nachbartabelle verfolgt alle direkt verbundenen Nachbarn. Hello-Pakete werden verwendet, um diesen Status des Nachbarn zu überprüfen.
・ Die Topologietabelle speichert Informationen zu Metriken aller Routen im Netzwerk. Nachfolger und möglicher Nachfolger behalten den besten Pfad und alternative Pfadinformationen bei.

So funktioniert es

Hello-Nachrichten werden verwendet, um den Nachbarn zu erkennen, bevor die Adjacency eingerichtet wird.

Aktualisierungsnachrichten werden zwischen Nachbarn ausgetauscht, um eine Topologietabelle und eine Routing-Tabelle zu erstellen.

Abfragenachrichten werden an andere EIGRP-Nachbarn für einen möglichen Nachfolger gesendet, wenn DUAL eine Route neu berechnet, bei der die Firewall keinen realisierbaren Nachfolger hat.

Antwortnachrichten werden als Antwort auf ein EIGRP-Abfragepaket gesendet.

Bestätigungsmeldungen werden verwendet, um EIGRP-Updates, -Abfragen und -Antworten zu bestätigen.

EIGRP-Nachrichtenflüsse

EIGRP IPv6 verwendet ein Hello-Paket, um andere EIGRP-fähige Geräte an direkt verbundenen Links zu erkennen und Nachbarbeziehungen herzustellen. 

EIGRP IPv6 überträgt Hello-Pakete, wobei die Quelladresse die Link-Local-Adresse der übertragenden Schnittstelle ist.

Hello-Nachrichten sind wie Keep-Alive-Nachrichten, um den Nachbarstatus nachzuverfolgen.

Der Standard-Timer für hello-Nachrichten ist 5 Sekunden. Beim Austausch einer Hello-Nachricht wird eine Update-Nachricht empfangen und gesendet. Diese wird verwendet, um die Topologietabelle zu erstellen und die Routen entsprechend in der RIB zu installieren. 

Etablieren der Nachbarschaft

Interne Ansicht/ASA-CLI

Nachbarschaft: Basiskonfiguration und Multi/Unicast

Um eine Nachbarschaft herzustellen, ist eine Konfiguration des Routermodus erforderlich. Das Gleiche gilt für IPv4, mit Ausnahme der Konfiguration, die mit dem IPv6-Schlüsselwort beginnt.

Außerdem muss die teilnehmende Schnittstelle an das autonome System angeschlossen werden.

Die Nachbarschaft kann auf zwei Arten gebildet werden, entweder mithilfe von Multicast oder Unicast. 

Nachbarschaft: Schnittstellen- und Router-ID angeben

• Zusätzlich zur Konfiguration des Routermodus muss die Schnittstelle, die zu der Nachbarschaft gehört, an das entsprechende autonome System angeschlossen werden.    
• Stellen Sie sicher, dass Sie IPv6 auf der Schnittstelle aktivieren.
• Die Router-ID wird benötigt, damit sich die Nachbarschaft bildet. Sie wird implizit von der IPv4-Schnittstelle übernommen oder muss explizit im Routermodus konfiguriert werden, da sonst keine Nachbarschaft gebildet wird.

Grundlegende Nachbarschaft 

Sie haben lediglich die Verbindungstopologie und -konfiguration für Unicast- und Multicast-Nachbarschaft festgelegt.

Überprüfung

Nachbarschaftsstatus überprüfen

show ipv6 eigrp neighbors wird verwendet, um den Nachbarschaftsstatus zu überprüfen.

ciscoasa(config-rtr)# show ipv6 eigrp neighbors
EIGRP-IPv6 Neighbors for AS(50)

H Address              Interface  Hold    Uptime   SRTT  RTO         Q         Seq
                                         (sec)     (ms)              Cnt       Num
1 Link-local address:     m3     12      1w3d      270    1620       0     153 fe80::250:56ff:fe9f:e7e8
0 Link-local address:     m2     12      1w3d      174    1044       0     152 fe80::250:56ff:fe9f:8d83

Konfiguration des Hello- und Hold-Intervalls

• Das Hello-Intervall und das Hold-Intervall können mithilfe der Konfigurationen unter Schnittstelle konfiguriert werden.
• Für NBMA-Schnittstellen (Multiple Access Network) ohne Broadcast-Funktion beträgt der Standardwert des Hello-Timers 5 Sekunden und der Standardwert für die Haltezeit 15 Sekunden.

ciscoasa(config-if)# ipv6 hello-interval eigrp 100 ?

interface mode commands/options:

  <1-65535>  Seconds between hello transmissions

ciscoasa(config-if)#

ciscoasa(config-if)# ipv6 hold-time eigrp 200 ?

interface mode commands/options:

  <1-65535>  Seconds before neighbor is considered down

ciscoasa(config-if)#

Passive Schnittstellenkonfiguration

• Falls Sie nicht möchten, dass eine Schnittstelle eine Nachbarschaft bildet, können Sie die Konfiguration der passiven Schnittstelle verwenden, damit Hellos auf der Schnittstelle nicht gesendet werden und nicht als Adjacency fungieren.

ciscoasa(config-rtr)# passive-interface ?

ipv6-router mode commands/options:

Current available interface(s):

  default  Suppress routing updates on all interfaces

  g0       Name of interface GigabitEthernet0/0

  mgmt     Name of interface Management0/0

ciscoasa(config-rtr)#

Verteilerliste für die Routenfilterung

• Mithilfe der Verteilerliste können Sie zusammen mit der Präfixkonfiguration Routing-Updates filtern, die für eine bestimmte Schnittstelle ein- oder ausgehen.

ciscoasa(config-rtr)# distribute-list prefix-list abc ?

ipv6-router mode commands/options:

  in   Filter incoming routing updates

  out  Filter outgoing routing updates

ciscoasa(config-rtr)#

Verteilen von Routen aus anderen Protokollen

• Routen von anderen Routing-Protokollen können auf EIGRP umverteilt werden.
• Verwenden Sie den Befehl redistribute unter router.

ciscoasa(config-rtr)# redistribute ?

ipv6-router mode commands/options:

  bgp        Border Gateway Protocol (BGP)

  connected  Connected Routes

  eigrp      Enhanced Interior Gateway Routing Protocol (EIGRP)

  isis       ISO IS-IS

  ospf       Open Shortest Path First (OSPF)

  static     Static Routes

ciscoasa(config-rtr)#

EIGRP IPv6 in ASDM

Überblick über neue EIGRPv6-Optionen

• Die EIGRPv6-Unterstützung wurde als Teil von ASDM 7.20.1 hinzugefügt.
• Die EIGRPv6-Konfiguration wurde als Teil des Schnittstellen-Sub-CLI-Befehls hinzugefügt.
• EIGRPv6-Konfiguration wurde in Router- und Support-Router-Befehlen hinzugefügt.

EIGRPv6-Konfiguration in der Schnittstelle

1. Navigieren Sie zu Configuration > Device Setup > Routing > EIGRPv6.
2. Wählen Sie Interface (Schnittstelle) aus, um alle unterstützten Schnittstellen anzuzeigen.

EIGRPv6-Einstellungen für eine Schnittstelle konfigurieren

1. Navigieren Sie zu Configuration > Device Setup > Routing > EIGRPv6 > Interface (Konfiguration > Geräteeinrichtung > Routing > EIGRPv6 > Schnittstelle).
2. Wählen Sie Interface aus, und klicken Sie auf Edit.
3. Aktivieren Sie das bzw. die Kontrollkästchen, um die Prozess-ID, das Hello-Intervall, die Haltezeit, den Split Horizon und/oder die Summary Address zu konfigurieren.
4. Konfigurieren Sie die Einstellungen, und klicken Sie dann auf OK.
5. Klicken Sie auf Senden.
6. Wenn die CLIs angezeigt werden, klicken Sie auf Senden, Abbrechen oder In Datei speichern.

Prozessinstanzen und passive Schnittstellen

1. Navigieren Sie zu Configuration > Device Setup > Routing > EIGRPv6 > Setup.
2. Anzeige von Prozessinstanzen und passiven Schnittstellen.
3. Aktivieren Sie unter Prozessinstanzen den EIGRPv6-Prozess.

Konfiguration passiver Schnittstellen

1. Navigieren Sie zu Configuration > Device Setup > Routing > EIGRPv6 > Setup.
2. Klicken Sie auf Passive Interfaces > Add > Select Interface.
3. Klicken Sie auf OK.
4. Klicken Sie auf Apply (Anwenden).
5. Das CLI-Fenster wird angezeigt.

Konfiguration von Router-EIGRP und Standard-Metriken

1. Navigieren Sie zu Device Setup > Routing > EIGRPv6 > Setup.
2. Klicken Sie auf Prozessinstanzen > Prozess-ID-Wert angeben.
3. Klicken Sie auf die Schaltfläche Erweitert.
4. Geben Sie die Router-ID, Standardmetriken, Stub und Werte für Protokollnachbarn an.

        

   
5. Klicken Sie auf Apply (Anwenden).
6. Das CLI-Fenster wird angezeigt.

Konfiguration der Filterregeln (Verteilerliste)

1. Navigieren Sie zu Configuration > Device Setup > Routing > EIGRPv6 > Filter Rules.
2. Klicken Sie auf Hinzufügen > Präfixliste auswählen > Richtung > Schnittstelle.
3. Klicken Sie auf OK.

                 

   
4. Klicken Sie auf Apply (Anwenden).
5. Das CLI-Fenster wird angezeigt.

Routenkonfiguration umverteilen

1. Navigieren Sie zu Configuration > Device Setup > Routing > EIGRPv6 > Redistribution.
2. Klicken Sie auf Hinzufügen > Protokoll auswählen.
3. Bereitstellung optionaler Metriken
4. Klicken Sie auf OK.                                               
5. Klicken Sie auf Apply (Anwenden).
6. Das CLI-Fenster wird angezeigt.

Nachbar: Unicast-Router-Modus

1. Navigieren Sie zu Configuration > Device Setup > Routing > EIGRPv6 > Static Neighbor.
2. Klicken Sie auf Hinzufügen > Schnittstelle auswählen.
3. Geben Sie die Nachbaradresse an.
4. Klicken Sie auf OK. 
   
5. Klicken Sie auf Apply (Anwenden).
6. Das CLI-Fenster wird angezeigt.

Multicast-Router-Modus

Die Konfiguration für den Multicast-Router-Modus ähnelt der für den Unicast-Router-Modus.

1. Navigieren Sie zu Configuration > Device Setup > Routing > EIGRPv6 > Setup.
2. Aktivieren Sie das Kontrollkästchen, um den EIGRPv6-Prozess zu aktivieren.
3. Geben Sie einen Wert in das Eingabefeld EIGRPv6-Prozess ein.
4. Klicken Sie auf Apply (Anwenden).
5. CLI konnte angezeigt werden.

IPv6 EIGRP im CSM

Überblick über neue CSM-Optionen für EIGRPv6

• Die EIGRPv6-Unterstützung wurde als Teil von CSM 4.27 hinzugefügt.
• Die EIGRPv6-Konfiguration wurde als Teil des CLI-Befehls Interfaces Sub hinzugefügt.
• EIGRPv6-Konfiguration wurde in den Befehlen "Router" und "Support Router" hinzugefügt.

EIGRP-IPv6-Unterstützung aktivieren

1. Navigieren Sie zu Platform > Routing > EIGRP > IPv6 Family.
2. Aktivieren Sie IPv6, indem Sie auf das Kontrollkästchen IPv6 EIGRP aktivieren klicken.
3. Geben Sie eine AS-Nummer zwischen 1 und 65.535 an. 
4. Registerkarten ermöglichen die Konfiguration von Setup (hier abgebildet), Filterregeln, Nachbarn, Umverteilung, Zusammenfassungsadresse und Schnittstellen.

Registerkarte "EIGRP IPv6 Setup"

1. Navigieren Sie zu Platform > Routing > EIGRP > IPv6 Family > Setup (Plattform > Routing > EIGRP > IPv6-Familie > Registerkarte Setup).
2. Passive Schnittstelle hat 3 Optionen

       1. Keine 

       2. Standard  

       3. Spezifische Schnittstelle

3. Standard Routing-Updates auf allen Schnittstellen unterdrücken.
4. Wählen Sie in Specific Interface (Spezifische Schnittstelle) die Option interface (Schnittstelle) aus dem Schnittstellenauswahl aus.
5. Weisen Sie Standardmetriken Werte zu. 
6. Klicken Sie auf OK und Speichern.      

Registerkarte "EIGRP IPv6 Filter Rules"

1. Navigieren Sie zu Platform > Routing > EIGRP > IPv6 Family > Filter Rules (Plattform > Routing > EIGRP > IPv6-Familie > Registerkarte Filter Rules).
2. Wählen Sie EIGRP Filter Direction (Eingehende oder Ausgehende Richtung) aus.
3. Wählen Sie Schnittstelle aus.
4. Geben Sie die IPv6-Präfixliste ein, um Verbindungen basierend auf einer IPv6-Präfixliste zu filtern.

Registerkarte "EIGRP IPv6 Neighbors"

1. Navigieren Sie zu Platform > Routing > EIGRP > IPv6 Family > Neighbors (Plattform > Routing > EIGRP > IPv6-Familie > Nachbarn).
2. Geben Sie die Schnittstelle und das Netzwerk im Dialogfeld IPv6 EIGRP Neighbor Page hinzufügen/bearbeiten ein.

Registerkarte "EIGRP IPv6 Redistribution"

1. Navigieren Sie zu Platform > Routing > EIGRP > IPv6 Family > Redistribution (Registerkarte "Neuverteilung").
2. Klicken Sie auf die Schaltfläche Hinzufügen, und wählen Sie Protokoll aus. Je nach Protokollauswahl werden andere Optionen aktiviert. 
3. Für BGP und OSPF ist das ID-Textfeld aktiviert.
4. Wenn OSPF aktiviert ist, sind optionale OSPF-Umverteilungsoptionen aktiviert.
5. Wenn ISIS aktiviert ist, ist die ISIS-Ebene aktiviert.

Registerkarte "EIGRP IPv6 Summary Address"

1. Navigieren Sie zu Platform > Routing > EIGRP > IPv6 Family > Summary Address (Registerkarte "Plattform > Routing > EIGRP > IPv6-Familie > Zusammengefasste Adresse").
2. Klicken Sie auf die Schaltfläche Hinzufügen, und wählen Sie Schnittstelle aus der Schnittstellenauswahl aus.
3. Wählen Sie in Network (Netzwerk) die Werte IPv6 address (IPv6-Adresse und Administrative Distanz) aus.
4. Klicken Sie auf OK und Speichern. 

Registerkarte EIGRP IPv6 Interfaces

1. Navigieren Sie zu Platform > Routing > EIGRP > IPv6 Family > Interfaces (Plattform > Routing > EIGRP > IPv6-Familie > Schnittstellen).
2. Klicken Sie auf die Schaltfläche Hinzufügen, und wählen Sie Schnittstelle aus der Schnittstellenauswahl aus.
3. Sie können das Hello-Intervall und die Haltezeit ändern (optional).
4. Horizon aufteilen ist standardmäßig aktiviert.  Diese Option kann deaktiviert werden. 
5. Klicken Sie auf OK und Speichern. 

Fehlerbehebung

Fehlerbehebung

• Überprüfen Sie den Nachbarschaftsstatus mit den Befehlen show.
• Aktivieren Sie show ipv6 eigrp topology output, um den Inhalt der Topologietabelle zu überprüfen.
• Verwenden Sie den Befehl show ipv6 eigrp events, der nützliche Informationen zu den wichtigsten EIGRP-Ereignissen liefern kann.
• Verwenden Sie show eigrp tech-support details, um Timer-Werte für die Nachbarschafts- und Topologietabelle zu überprüfen.

IPv6-EIGRP-Ereignisse anzeigen

show ipv6 eigrp events zeigt wichtige Ereignisprotokollierung in den Systemen an, die beim Debuggen hilfreich sind.

ciscoasa(config-rtr)# show ipv6 eigrp events

Event information for AS 50:

   1 18:05:56.203 Metric set: 1001::/64 768

   2 18:05:56.203 Route installing: 1001::/64 fe80::250:56ff:fe9f:e7e8

   4 18:05:56.203 FC sat rdbmet/succmet: 768 512

   5 18:05:56.203 Rcv update dest/nh: 1001::/64 fe80::250:56ff:fe9f:e7e8

   6 18:05:56.203 Change queue emptied, entries: 1

  7 18:05:56.203 Metric set: 1001::/64 768

  8 18:05:56.203 Update reason, delay: new if 4294967295

IPv6-EIGRP-Timer anzeigen

show ipv6 eigrp timers zeigt den aktuellen Hello-Timer und den angewendeten Hold-Timer an.

• Der Standard-Timer für das Hello-Intervall und den Hold-Timer ist 5 Sekunden und 15 Sekunden.
• Wenn die NBMA-Schnittstelle eine geringere Bandbreite aufweist, beträgt der Standardwert für den Hello-Timer 15 Sekunden; für den Hold-Timer 180 Sekunden.

ciscoasa(config-rtr)# show ipv6 eigrp timers

EIGRP-IPv6 Timers for AS(50)

  Hello Process

    Expiration    Type

|       0 .406  (parent)

  |       0 .406  Hello (m2)

  Update Process

    Expiration    Type

|       11.600  (parent)

  |       11.600  (parent)

    |       11.600  Peer holding

  |       11.930  (parent)

    |       11.930  Peer holding

IPv6-EIGRP-Topologie anzeigen

show ipv6 eigrp topology Die Topologietabelle besteht aus allen Zielen, die von einem benachbarten Router angekündigt werden.

ciscoasa(config-rtr)# show ipv6 eigrp topology

EIGRP-IPv6 Topology Table for AS(50)/ID(172.27.173.103)

Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,

       r - reply Status, s - sia Status

P 1001::/64, 1 successors, FD is 768, serno 8907

        via fe80::250:56ff:fe9f:8d83 (768/512), m2

P 3001::/64, 1 successors, FD is 768, serno 8906

        via fe80::250:56ff:fe9f:8d83 (768/512), m2

P 2001::/64, 1 successors, FD is 768, serno 8905

        via fe80::250:56ff:fe9f:8d83 (768/512), m2

Technologie für EIGRP anzeigen

Show-Technologie kann für die Fehlerbehebung verwendet werden, da sie nützliche Informationen sammelt, darunter Timer-Parameter, Nachbarschaftsdetails, Datenverkehrsstatistiken für EIGRP, Zähler zur Speichernutzung und andere.

ciscoasa(config-if)# show eigrp tech-support detailed ?

exec mode commands/options:

  |  Output modifiers

  <cr>

ciscoasa(config-if)#

Beispielproblem

Problem bei Bildung von Nachbarn festgestellt

• Wenn bei der Bildung von Nachbarn ein Problem auftritt:
  • Überprüfen Sie, ob mindestens eine IPv4-Adresse konfiguriert ist, wenn die Router-ID nicht explizit unter der Router-Modus-Konfiguration konfiguriert ist.
  • Konfigurieren Sie die Router-ID unter "Konfiguration des Router-Modus".

Revisionsverlauf