In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
In diesem Dokument wird beschrieben, wie Sie die OSPF-Konfiguration auf FTD-Geräten mit FMC als Manager überprüfen und Fehler bei diesen beheben.
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
OSPF kann auf dem FMC konfiguriert werden, um dynamisches Routing zwischen FTD-Geräten und anderen OSPF-fähigen Geräten zu verwenden.
Das FMC ermöglicht die gleichzeitige Ausführung von zwei OSPF-Prozessen für verschiedene Schnittstellensätze.
Jedes Gerät hat eine Router-ID, die dem Gerätenamen im OSPF-Prozess entspricht. Diese Einstellung ist standardmäßig auf die niedrigere IP-Adresse der Schnittstelle festgelegt, kann jedoch an eine andere IP-Adresse angepasst werden.
Zu beachten ist, dass diese Parameter bei Nachbarn übereinstimmen müssen, um OSPF-Adjacency zu bilden:
In diesem Abschnitt werden die grundlegenden Parameter erläutert, die für OSPF konfiguriert wurden, um die Suche nach Adjacency mit Nachbarn zu starten.
1. Navigieren Sie zu Geräte > Geräteverwaltung > Gerät bearbeiten
2. Klicken Sie auf die Registerkarte Routing.
3. Klicken Sie in der linken Menüleiste auf OSPF.
4. Wählen Sie Prozess 1 aus, um die OSPF-Konfiguration zu aktivieren. FTD kann zwei Prozesse gleichzeitig auf verschiedenen Schnittstellen ausführen.
Ein Area Border Router (ABR) befindet sich zwischen zwei verschiedenen Bereichen, während sich der Autonome System Border Router (ASBR) zwischen Geräten befindet, die andere Routing-Protokolle verwenden.
5. Wählen Sie die OSPF-Rolle entweder Internal, ABR, ASBR, ABR oder ASBR aus.
6. (optional) Automatische Router-ID ändern. Wählen Sie neben der OSPF-Rolle die Option Advanced (Erweitert) aus, und wählen Sie als IP-Adresse die Option Router ID (Router-ID) aus, um sie anzupassen.
7. Wählen Sie Bereich > Hinzufügen.
8. Geben Sie die Bereichsinformationen ein:
9. Klicken Sie auf OK, um die Konfiguration zu speichern.
Die FTD kann Routen von einem OSPF-Prozess auf einen anderen verteilen. Die Neuverteilung kann auch über RIP, BGP, EIGRP (Version 7.2+), statische und verbundene Routen in den OSPF-Routing-Prozess erfolgen.
1. Um die OSPF-Neuverteilung zu konfigurieren, navigieren Sie zu Devices (Geräte) > Device Management (Geräteverwaltung) > Edit Device (Gerät bearbeiten).
2. Klicken Sie auf Routing
3. Klicken Sie auf OSPF.
4. Wählen Sie Umverteilung > Hinzufügen.
5. Geben Sie die Umverteilungsfelder ein:
Fügen Sie für BGP und EIGRP die AS-Nummer hinzu.
6. (Optional) Wählen Sie aus, ob Subnetze verwendet werden sollen.
7. Wählen Sie den Metriktyp aus.
8. Klicken Sie auf OK, um die Änderungen zu speichern.
Sie können eine Inter-Area-Filterung durchführen, die die Routen einschränkt, die ein- oder ausgehend von einer Area an eine andere gesendet werden. Diese Aktion wird nur auf ABRs ausgeführt.
Die Filterung wird mit Präfixlisten konfiguriert, die dann mit der OSPF-Konfiguration verknüpft werden. Dies ist eine optionale Funktion, die für die Funktion von OSPF nicht erforderlich ist.
1. Um die OSPF-Inter-Area-Filterung zu konfigurieren, navigieren Sie zu Devices (Geräte) > Device Management (Geräteverwaltung) > Edit (Gerät bearbeiten).
2. Klicken Sie auf Routing
3. Klicken Sie auf OSPF.
4. Wählen Sie Inter-Area > Add.
5. Konfigurieren Sie die Filterfelder:
6. Fahren Sie mit Schritt 10 fort, wenn Sie eine Präfixliste konfiguriert haben. Wenn Sie ein neues erstellen müssen, können Sie das Pluszeichen auswählen oder es über Objekte > Objektverwaltung > Präfixlisten > IPv4-Präfixliste > Hinzufügen erstellen.
7. Klicken Sie auf Eintrag hinzufügen.
8. Konfigurieren Sie die Präfixliste mit folgenden Feldern:
9. Klicken Sie auf OK, um die Präfixliste zu speichern.
10. Klicken Sie auf OK, um die Inter-Area-Konfiguration zu speichern.
Für jede Schnittstelle, die an OSPF teilnimmt, können bestimmte Parameter geändert werden.
1. Um OSPF-Schnittstellenparameter zu konfigurieren, navigieren Sie zu Devices (Geräte) > Device Management (Geräteverwaltung) > Edit (Gerät bearbeiten).
2. Klicken Sie auf Routing
3. Klicken Sie auf OSPF.
4. Wählen Sie Schnittstelle > Hinzufügen.
5. Wählen Sie die zu ändernden Parameter
OSPF-Hello-Pakete werden gesendet, um die Adjacency zwischen Geräten aufrechtzuerhalten. Diese Pakete werden in konfigurierbaren Intervallen gesendet. Wenn das Gerät innerhalb des ebenfalls konfigurierbaren Dead-Intervalls keine Hello-Pakete von einem Nachbarn empfängt, wechselt dieser in den Status "Down".
Das Hello-Intervall beträgt standardmäßig 10 Sekunden, und das Dead-Intervall beträgt das Vierfache des Hello-Intervalls, 40 Sekunden. Diese Intervalle müssen zwischen Nachbarn übereinstimmen.
Das Kontrollkästchen "MTU ignore" (MTU ignorieren) ist eine Option, mit der verhindert werden kann, dass die OSPF-Adjacency aufgrund einer MTU-Diskrepanz zwischen benachbarten Schnittstellen im EXSTART-Status feststeckt. Die MTU-Übereinstimmung wird überprüft, da in diesem Zustand DBDs zwischen Nachbarn gesendet werden und Größenunterschiede Probleme verursachen können. Es empfiehlt sich jedoch, diese Option nicht zu aktivieren.
Sie können drei verschiedene Typen der OSPF-Schnittstellenauthentifizierung auswählen. Standardmäßig ist die Authentifizierung nicht aktiviert.
Es wird empfohlen, MD5 als Authentifizierung zu verwenden, da es sich um einen Hash-Algorithmus handelt, der Sicherheit bietet.
Konfigurieren Sie die MD5-ID und den MD5-Schlüssel, und klicken Sie zum Speichern auf OK.
Der MD5-Schlüssel oder das MD5-Kennwort müssen mit den Schnittstellenparametern des authentifizierten Nachbarn übereinstimmen.
Betrachten Sie diese Netzwerktopologie als Beispiel:
Berücksichtigen Sie dabei Folgendes:
Die Konfiguration der internen FTD ist wie folgt dargestellt:
Schnittstellenkonfiguration mit MD5-Authentifizierung
interface GigabitEthernet0/0
nameif inside
security-level 0
ip address 10.6.11.1 255.255.255.0
ospf message-digest-key 1 md5 *****
ospf authentication message-digest
!
interface GigabitEthernet0/1
nameif outside
security-level 0
ip address 10.3.11.2 255.255.255.0
ospf message-digest-key 1 md5 *****
ospf authentication message-digest
!
In der OSPF-Konfiguration wird das Netzwerk 10.3.11.0/24 für Bereich 0 und das Netzwerk 10.6.11.0/24 für Nachbarn in Bereich 1 angekündigt.
Bei der Inter-Area-Filterung wird eine Präfixliste auf eingehende Routen angewendet, die in Bereich 0 eingehen. In dieser Präfixliste wird das Netzwerk 192.168.4.0 von Internal Router abgelehnt und alles andere ist zulässig.
router ospf 1
network 10.3.11.0 255.255.255.0 area 0
network 10.6.11.0 255.255.255.0 area 1
area 0 filter-list prefix filter_192.168.4.0 in
log-adj-changes
prefix-list filter_192.168.4.0 seq 5 deny 192.168.4.0/24
prefix-list filter_192.168.4.0 seq 10 permit 0.0.0.0/0 le 32
Die Konfiguration der externen FTD wird in der CLI wie folgt angezeigt:
Schnittstellenkonfiguration mit MD5-Authentifizierung.
interface GigabitEthernet0/0
nameif inside
security-level 0
ip address 10.3.11.1 255.255.255.0
ospf message-digest-key 1 md5 *****
ospf authentication message-digest
!
interface GigabitEthernet0/1
nameif outside
security-level 0
ip address 172.16.11.1 255.255.255.0
!
Die OSPF-Konfiguration zeigt, dass die Route 10.3.11.0/24 der internen FTD in Bereich 0 angekündigt wird.
Die BGP-Neuverteilung in OSPF kann ebenfalls beobachtet werden.
router ospf 1
network 10.3.11.0 255.255.255.0 area 0
log-adj-changes
redistribute bgp 312 subnets
Es gibt mehrere Befehle, die nützlich sind, um zu bestimmen, ob OSPF wie erwartet funktioniert.
Hinweis: Diese Befehle werden bei der Erstellung von FTD-Dateien zur Fehlerbehebung nicht in Show-Tech-Dateien angezeigt. Die Dateien zur Fehlerbehebung werden außer in der OSPF-Konfiguration erstellt und müssen manuell über die FTD-CLI eingegeben werden.
Dieser Befehl zeigt die Konfiguration der dynamischen Routing-Protokolle an, nicht nur OSPF.
Hilfreich zum Überprüfen der OSPF-bezogenen Konfiguration in der CLI.
Die Ausgabe von show route gibt wichtige Informationen über die aktuell verfügbaren Routen an.
zeigt die Routing-Ausgabe von Internal FTD, dass vom ASBR-Nachbarn 10.3.11.1 drei externe Routen bekannt sind.
Außerdem wird das Netzwerk 192.168.4.0/24 angezeigt, das vom Nachbarn 10.6.11.2 in derselben Region bezogen wurde.
Internal-FTD# show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, + - replicated route SI - Static InterVRF Gateway of last resort is not set C 10.3.11.0 255.255.255.0 is directly connected, outside L 10.3.11.2 255.255.255.255 is directly connected, outside O E2 10.5.11.0 255.255.255.224 [110/1] via 10.3.11.1, 6w5d, outside O E2 10.5.11.32 255.255.255.224 [110/1] via 10.3.11.1, 6w5d, outside O E2 10.5.11.64 255.255.255.224 [110/1] via 10.3.11.1, 6w5d, outside C 10.6.11.0 255.255.255.0 is directly connected, inside L 10.6.11.1 255.255.255.255 is directly connected, inside O 192.168.4.0 255.255.255.0 [110/20] via 10.6.11.2, 02:19:24, inside
Aus der externen FTD kann festgestellt werden, dass die Route 10.6.11.0/24 vom Nachbarn 10.3.11.2 bekannt ist und zu einem anderen Gebiet gehört.
Die Route 192.168.4.0/24 wird in dieser Ausgabe nicht beobachtet, da sie über Internal FTD gefiltert wurde.
Darüber hinaus gibt es drei BGP-Routen, die von einem anderen Gerät empfangen werden und als externe Typ-2-Routen in OSPF umverteilt werden (siehe Internal FTD).
External-FTD# show route Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, + - replicated route SI - Static InterVRF, BI - BGP InterVRF Gateway of last resort is not set C 10.3.11.0 255.255.255.0 is directly connected, inside L 10.3.11.1 255.255.255.255 is directly connected, inside B 10.5.11.0 255.255.255.224 [20/0] via 172.16.11.2, 6w5d B 10.5.11.32 255.255.255.224 [20/0] via 172.16.11.2, 6w5d B 10.5.11.64 255.255.255.224 [20/0] via 172.16.11.2, 6w5d O IA 10.6.11.0 255.255.255.0 [110/20] via 10.3.11.2, 02:03:27, inside C 172.16.11.0 255.255.255.0 is directly connected, outside L 172.16.11.1 255.255.255.255 is directly connected, outside
Mit diesem Befehl kann der Status der OSPF-Adjacency überprüft werden, und es kann festgestellt werden, ob es sich bei dem Nachbarn um einen designierten Router (DR), einen designierten Backup-Router (BDR) oder einen anderen (DROTHER) handelt.
Der DR ist das Gerät, das die restlichen Geräte im gleichen Subnetz aktualisiert, wenn es zu einer Änderung im Netzwerk kommt. BDR übernimmt die DR-Rolle, wenn diese nicht mehr verfügbar ist.
Dies ist ebenfalls nützlich, da hier die Router-ID der Nachbarn sowie die IP-Adresse und die Schnittstelle angezeigt werden, von der der Nachbar bekannt ist.
Auch der Totzeitzähler wird beachtet. Wenn Sie über die Standard-Timer verfügen, wird die Zeit von 00:40 auf 00:30 reduziert, bevor ein neues Hello-Paket gesendet und der Timer neu gestartet wird.
Wenn diese Zeit bis auf Null geht, geht die Adjacency verloren.
In diesem Beispiel zeigt die interne FTD-Ausgabe, dass es sich bei diesem Gerät um einen BDR im VOLLSTÄNDIGEN Zustand handelt, wobei jeder der beiden Nachbarn, die wiederum DRs sind, von jeder Schnittstelle aus erreichbar ist. Ihre Router-IDs sind 10.3.11.1 bzw. 192.168.4.1.
Internal-FTD# show ospf neighbor Neighbor ID Pri State Dead Time Address Interface 10.3.11.1 1 FULL/DR 0:00:38 10.3.11.1 outside 192.168.4.1 1 FULL/DR 0:00:33 10.6.11.2 inside
Die Ausgabe von show ospf interface zeigt detaillierte Informationen und eine breitere Sicht des OSPF-Prozesses für jede konfigurierte Schnittstelle.
Dies sind einige der Parameter, die mit dieser Ausgabe sichtbar sind:
In der nächsten Ausgabe von Internal FTD kann beobachtet werden, dass dieses Gerät tatsächlich der BDR an beiden Schnittstellen ist und dass der Nachbar mit den Informationen von show ospf neighbors übereinstimmt.
Internal-FTD#show ospf interface
outside is up, line protocol is up
Internet Address 10.3.11.2 mask 255.255.255.0, Area 0
Process ID 1, Router ID 10.6.11.1, Network Type BROADCAST, Cost: 10
Transmit Delay is 1 sec, State BDR, Priority 1
Designated Router (ID) 10.3.11.1, Interface address 10.3.11.1
Backup Designated router (ID) 10.6.11.1, Interface address 10.3.11.2
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
oob-resync timeout 40
Hello due in 0:00:04
Supports Link-local Signaling (LLS)
Cisco NSF helper support enabled
IETF NSF helper support enabled
Index 1/1, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 1, maximum is 2
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 1, Adjacent neighbor count is 1
Adjacent with neighbor 10.3.11.1 (Designated Router)
Suppress hello for 0 neighbor(s)
Cryptographic authentication enabled
Youngest key id is 1
inside is up, line protocol is up
Internet Address 10.6.11.1 mask 255.255.255.0, Area 1
Process ID 1, Router ID 10.6.11.1, Network Type BROADCAST, Cost: 10
Transmit Delay is 1 sec, State BDR, Priority 1
Designated Router (ID) 192.168.4.1, Interface address 10.6.11.2
Backup Designated router (ID) 10.6.11.1, Interface address 10.6.11.1
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
oob-resync timeout 40
Hello due in 0:00:03
Supports Link-local Signaling (LLS)
Cisco NSF helper support enabled
IETF NSF helper support enabled
Index 1/2, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 1, maximum is 2
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 1, Adjacent neighbor count is 1
Adjacent with neighbor 192.168.4.1 (Designated Router)
Suppress hello for 0 neighbor(s)
Cryptographic authentication enabled
Youngest key id is 1
Dieser Befehl enthält weitere Informationen zu den LSA-Typen (Link State Advertisement) von OSPF. Die Ausgabe ist komplex und nur für eine tiefere Fehlerbehebung hilfreich.
LSA ist die Art und Weise, wie OSPF Informationen und Updates zwischen Geräten austauscht, anstatt die vollständige Routing-Tabelle zu senden.
Die häufigsten LSA-Typen sind:
Typ 1 - Router-Verbindungsstatus - Die Router-IDs der Werberouter
Typ 2 - Netzwerk-Verbindungsstatus - Die Schnittstellen, die über denselben Link wie der designierte Router verbunden sind.
Typ 3 - Zusammenfassung der Netzwerkverbindungsstatus - Bereichsübergreifende Routen, die über den Area Border Router (ABR) in diesen Bereich geleitet werden.
Typ 4 - Zusammenfassung der ASB-Verbindungsstatus - Die Router-IDs des ASBR (Autonomous System Border Router).
Typ 5 - AS External Link States - Von ASBRs übernommene externe Routen
Vor diesem Hintergrund kann die Ausgabe dieses Befehls aus dem internen FTD-Beispiel interpretiert werden.
Internal-FTD# show ospf database OSPF Router with ID (10.6.11.1) (Process ID 1) Router Link States (Area 0) Link ID ADV Router Age Seq# Checksum Link count 10.3.11.1 10.3.11.1 234 0x8000002b 0x4c4d 1 10.6.11.1 10.6.11.1 187 0x8000002e 0x157b 1 Net Link States (Area 0) Link ID ADV Router Age Seq# Checksum 10.3.11.1 10.3.11.1 234 0x80000029 0x7f2b Summary Net Link States (Area 0) Link ID ADV Router Age Seq# Checksum 10.6.11.0 10.6.11.1 187 0x8000002a 0x7959 Router Link States (Area 1) Link ID ADV Router Age Seq# Checksum Link count 10.6.11.1 10.6.11.1 187 0x8000002c 0x513b 1 192.168.4.1 192.168.4.1 1758 0x8000002a 0x70f1 2 Net Link States (Area 1) Link ID ADV Router Age Seq# Checksum 10.6.11.2 192.168.4.1 1759 0x80000028 0xd725 Summary Net Link States (Area 1) Link ID ADV Router Age Seq# Checksum 10.3.11.0 10.6.11.1 189 0x80000029 0x9f37 Summary ASB Link States (Area 1) Link ID ADV Router Age Seq# Checksum 10.3.11.1 10.6.11.1 189 0x80000029 0x874d Type-5 AS External Link States Link ID ADV Router Age Seq# Checksum Tag 10.5.11.0 10.3.11.1 1726 0x80000028 0x152b 311 10.5.11.32 10.3.11.1 1726 0x80000028 0xd34c 311 10.5.11.64 10.3.11.1 1726 0x80000028 0x926d 311
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
14-Feb-2024 |
Erstveröffentlichung |