Configurazione di EIGRP IPV6 su ASA
Sommario
Introduzione
In questo documento viene descritto come configurare EIGRP IPV6 su Cisco Adaptive Security Appliance (ASA).
Prerequisiti
Minimo piattaforme software e hardware supportate
| Versione minima di Gestione supportata |
Dispositivi gestiti |
Versione minima dispositivo gestito supportato richiesta |
Note |
| ASA |
Tutte le piattaforme ASA |
9.20.1 |
CLI |
| CSM |
Tutte le piattaforme ASA |
4.27 |
GUI CSM |
| ASDM |
Tutte le piattaforme ASA |
7.20.1 |
GUI ASDM |
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- Cisco Security Manager
- Adaptive Security Device Manager
Componenti usati
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
- Cisco Adaptive Security Appliance (ASA), 9.20.1 o superiore
- Cisco Security Manager (CSM) con versione 4.27
- Cisco Adaptive Security Device Manager con versione 7.20.1
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
EIGRP per IPV6
· EIGRP è già supportato e disponibile sull'appliance ASA. La domanda di EIGRP IPV6 è in aumento.
· La configurazione di EIGRPv4 e EIGRPv6 è simile, ma è possibile configurarle e gestirle in modo indipendente.
· A causa delle differenze nei protocolli, la configurazione e il funzionamento sono leggermente diversi.
Novità
· Nelle versioni precedenti, il protocollo EIGRP era supportato solo per IPv4 e, a partire da ASA 9.20, anche per IPV6.
· Supporto per IPv6 EIGRP con indirizzo locale del collegamento solo su appliance ASA.
Limitazioni
Supportato
· EIGRPv6 è attualmente supportato sull'appliance ASA solo in modalità di routing, HA e cluster.
· Il vicinato EIGRPv6 può essere abilitato solo con l'indirizzo locale del collegamento.
Non supportata
· Modalità trasparente
· Multicontesto
•Autenticazione
· Su FTD
Dettagli funzionalità
Descrizione funzionalità funzionale
· EIGRP per IPv6 utilizza lo stesso framework di EIGRP per IPv4.
· EIGRP IPv6 comunicherebbe solo con peer IPv6 e annuncierebbe solo route IPv6.
EIGRP IPV4 e EIGRP IPv6 hanno caratteristiche simili e sono simili a:
· Tabelle adiacenti, di routing e di topologia gestite.
· Utilizza lo stack DOPPIO per una convergenza rapida e una rete senza loop.
Le differenze sono:
· Il comando network in modalità router non viene utilizzato per EIGRP IPv6.
· Utilizzare ipv6 router eigrp <AS> per abilitare il processo del router IPV6 EIGRP.
· Configurare in modo esplicito ipv6 eigrp <AS> per abilitare EIGRP IPv6 su un'interfaccia specifica.
· L'indirizzo IPv6 configurato dall'utente non può essere utilizzato per stabilire relazioni di vicinato.
· Autenticazione non supportata nella versione corrente.
Funzioni EIGRP
Panoramica funzionale EIGRP
· EIGRP per IPv6 è uguale a EIGRP IPv4.
· EIGRP utilizza l'algoritmo di aggiornamento diffusione (DUAL) per ottenere una rapida convergenza.
DUAL non solo calcola le route migliori, ma calcola anche le route senza loop.
Esistono principalmente due tabelle utilizzate da DUAL to per il calcolo del percorso migliore. Sono tabelle di routing adiacenti, tabelle di topologia.
DUAL calcola il percorso alternativo in base alla distanza percorribile indicata.
· La tabella dei vicini consente di tenere traccia di tutti i vicini connessi direttamente. I pacchetti Hello vengono utilizzati per controllare lo stato del router adiacente.
· La tabella di topologia conserva le informazioni sulle metriche di tutti i percorsi nella rete. I successori e i successori possibili mantengono le informazioni sul percorso migliore e alternativo.
Come funziona
I messaggi Hello vengono utilizzati per individuare i vicini prima di stabilire l'adiacenza.
I messaggi di aggiornamento vengono scambiati tra router adiacenti per compilare la tabella di topologia e la tabella di routing.
I messaggi di query vengono inviati ad altri vicini EIGRP per individuare un successore possibile quando DUAL sta ricalcolando un percorso in cui il firewall non dispone di un successore fattibile.
I messaggi di risposta vengono inviati come risposta a un pacchetto di query EIGRP.
I messaggi Conferma vengono utilizzati per confermare aggiornamenti, query e risposte EIGRP.
Flussi di messaggi EIGRP
EIGRP IPv6 utilizza un pacchetto Hello per individuare altri dispositivi compatibili con EIGRP su collegamenti collegati direttamente e per creare relazioni di tipo adiacente.
EIGRP IPv6 trasmette pacchetti Hello con un indirizzo di origine che corrisponde all'indirizzo locale del collegamento dell'interfaccia di trasmissione.
I messaggi Hello sono come i messaggi keep-alive che consentono di tenere traccia dello stato dei vicini.
Il timer predefinito per il messaggio di benvenuto è 5 secondi. Dopo lo scambio di messaggi Hello, viene ricevuto e inviato un messaggio di aggiornamento. Questa opzione viene utilizzata per creare la tabella della topologia e installare di conseguenza le route nel RIB.
Stabilire un vicinato
Vista interna/CLI ASA
Adiacente: configurazione di base e multicast
Per stabilire le relazioni di vicinato, è necessaria la configurazione in modalità router. È lo stesso per IPv4, ad eccezione della configurazione che inizia con la parola chiave IPv6.
Deve inoltre collegare l'interfaccia partecipante al sistema autonomo.
È possibile creare un tipo di vicinato in due modi, multicast o unicast.
Adiacente: specifica l'interfaccia e l'ID del router
- Oltre alla configurazione in modalità router, l'interfaccia che fa parte del vicinato deve essere collegata al rispettivo sistema autonomo.
- Assicurarsi di abilitare IPv6 sull'interfaccia.
- L'ID router è necessario per formare il vicinato. Sarebbero prelevati implicitamente dall'interfaccia IPv4, o avrebbero dovuto essere configurati esplicitamente in modalità router, altrimenti non si formerebbe vicinanza.
Villaggio di base
La topologia e la configurazione della connessione sono state semplicemente indirizzate per il protocollo unicast e multicast.
Verifica
Verifica stato di prossimità
show ipv6 eigrp neighbors viene utilizzato per controllare lo stato del vicinato.
ciscoasa(config-rtr)# show ipv6 eigrp neighbors
EIGRP-IPv6 Neighbors for AS(50)
H Address Interface Hold Uptime SRTT RTO Q Seq
(sec) (ms) Cnt Num
1 Link-local address: m3 12 1w3d 270 1620 0 153 fe80::250:56ff:fe9f:e7e8
0 Link-local address: m2 12 1w3d 174 1044 0 152 fe80::250:56ff:fe9f:8d83
Configurazione intervallo Hello e Hold
- L'intervallo Hello e l'intervallo Hold possono essere configurati usando le configurazioni sotto l'interfaccia.
- Per le interfacce NBMA (Non-Broadcast Multiple Access Network), il valore predefinito del timer hello è 5 secondi e il valore predefinito del tempo di attesa è 15 secondi.
ciscoasa(config-if)# ipv6 hello-interval eigrp 100 ?
interface mode commands/options:
<1-65535> Seconds between hello transmissions
ciscoasa(config-if)#
ciscoasa(config-if)# ipv6 hold-time eigrp 200 ?
interface mode commands/options:
<1-65535> Seconds before neighbor is considered down
ciscoasa(config-if)#
Configurazione interfaccia passiva
- Se non si desidera che l'interfaccia formi un'area adiacente, è possibile usare la configurazione dell'interfaccia passiva in modo che Hellos sull'interfaccia non venga inviato e non formi un'area adiacente.
ciscoasa(config-rtr)# passive-interface ?
ipv6-router mode commands/options:
Current available interface(s):
default Suppress routing updates on all interfaces
g0 Name of interface GigabitEthernet0/0
mgmt Name of interface Management0/0
ciscoasa(config-rtr)#
Distribuisci lista per filtro route
- La lista di distribuzione può essere utilizzata insieme alla configurazione del prefisso per filtrare gli aggiornamenti del routing in entrata o in uscita per una determinata interfaccia.
ciscoasa(config-rtr)# distribute-list prefix-list abc ?
ipv6-router mode commands/options:
in Filter incoming routing updates
out Filter outgoing routing updates
ciscoasa(config-rtr)#
Ridistribuzione delle route da altri protocolli
- Le route di altri protocolli di routing possono essere ridistribuite in EIGRP.
- Usare il comando redistribute in router.
ciscoasa(config-rtr)# redistribute ?
ipv6-router mode commands/options:
bgp Border Gateway Protocol (BGP)
connected Connected Routes
eigrp Enhanced Interior Gateway Routing Protocol (EIGRP)
isis ISO IS-IS
ospf Open Shortest Path First (OSPF)
static Static Routes
ciscoasa(config-rtr)#
EIGRP IPv6 in ASDM
Panoramica delle nuove opzioni per EIGRPv6
- Il supporto EIGRPv6 è stato aggiunto come parte di ASDM 7.20.1.
- Configurazione EIGRPv6 aggiunta come parte del comando interfaces sub CLI.
- La configurazione EIGRPv6 è stata aggiunta al router e supporta i comandi del router.
Configurazione EIGRPv6 nell'interfaccia
- Passare a Configurazione > Impostazione dispositivo > Instradamento > EIGRPv6.
- Selezionare Interface (Interfaccia) per visualizzare tutte le interfacce supportate.
Configurare le impostazioni EIGRPv6 per un'interfaccia
- Selezionare Configurazione > Impostazione dispositivo > Ciclo > EIGRPv6 > Interfaccia.
- Selezionare Interface (Interfaccia), quindi fare clic su Edit (Modifica).
- Selezionare le caselle di controllo per configurare l'ID processo, l'intervallo Hello, il tempo di attesa, l'orizzonte di divisione e/o l'indirizzo di riepilogo.
- Configurare le impostazioni, quindi fare clic su OK.
- Fare clic su Invia.
- Quando viene visualizzata la CLI, fare clic su Send, Cancel o Save to File.
Istanze di processo e interfacce passive
- Selezionare Configurazione > Impostazione dispositivo > Ciclo > EIGRPv6 > Imposta.
- Possibilità di visualizzare istanze di processo e interfacce passive.
- In Istanze di processo abilitare il processo EIGRPv6.
Configurazione interfacce passive
- Selezionare Configurazione > Impostazione dispositivo > Ciclo > EIGRPv6 > Imposta.
- Fare clic su Interfacce passive > Aggiungi > Seleziona interfaccia.
- Fare clic su OK.
- Fare clic su Apply (Applica).
- Viene visualizzata la finestra CLI.
Configurazione EIGRP router e metriche predefinite
- Passare a Impostazione dispositivo > Ciclo > EIGRPv6 > Configura.
- Fate clic su Istanze processo (Process Instances) > Fornisci valore ID processo (Provide Process ID Value).
- Fare clic sul pulsante Avanzate.
- Fornire i valori ID router, Metriche predefinite, Stub e log adiacenti.
- Fare clic su Apply (Applica).
- Viene visualizzata la finestra CLI.
Configurazione delle regole di filtro (lista di distribuzione)
- Passare a Configurazione > Impostazione dispositivo > Ciclo > EIGRPv6 > Regole filtro.
- Fate clic su Aggiungi (Add) > Seleziona elenco prefissi (Select Prefix list) > Direzione (Direction) > Interfaccia (Interface).
- Fare clic su OK.
- Fare clic su Apply (Applica).
- Viene visualizzata la finestra CLI.
Ridistribuisci configurazione route
- Passare a Configurazione > Impostazione dispositivo > Ciclo > EIGRPv6 > Ridistribuzione.
- Fare clic su Add > Select protocol.
- Fornire metriche opzionali
- Fare clic su OK.
- Fare clic su Apply (Applica).
- Viene visualizzata la finestra CLI
Router adiacente: modalità router unicast
- Passare a Configurazione > Impostazione dispositivo > Ciclo > EIGRPv6 > Router adiacente statico.
- Fare clic su Add > Select Interface (Aggiungi > Seleziona interfaccia).
- Specificare l'indirizzo del router adiacente.
- Fare clic su OK.
- Fare clic su Apply (Applica).
- Viene visualizzata la finestra CLI.
Modalità router multicast
La configurazione della modalità router multicast è simile a quella della modalità router unicast.
- Selezionare Configurazione > Impostazione dispositivo > Ciclo > EIGRPv6 > Impostazione.
- Selezionare la casella di controllo Enable per abilitare il processo EIGRPv6.
- Immettere il valore nel campo di input del processo EIGRPv6.
- Fare clic su Apply (Applica).
- In grado di visualizzare la CLI.
IPv6 EIGRP in CSM
Panoramica delle nuove opzioni in CSM per EIGRPv6
- Il supporto EIGRPv6 è stato aggiunto come parte di CSM 4.27.
- Configurazione EIGRPv6 aggiunta come parte del comando Interfaces Sub CLI.
- Configurazione EIGRPv6 aggiunta ai comandi del router e del router di supporto.
Abilita supporto IPv6 EIGRP
- Passare a Piattaforma > Routing > EIGRP > Famiglia IPv6.
- Per abilitare IPv6, fare clic sulla casella di controllo Abilita IPv6 EIGRP.
- Specificare un numero AS compreso tra 1 e 65535.
- Le schede consentono di configurare l'impostazione (qui), le regole di filtro, le risorse adiacenti, la ridistribuzione, l'indirizzo di riepilogo e le interfacce.
Scheda Installazione di EIGRP IPv6
- Passare a Piattaforma > Ciclo > EIGRP > Famiglia IPv6 > scheda Impostazione.
- L'interfaccia passiva ha 3 opzioni
1. Nessuna
2. Predefinito
3. Interfaccia specifica
- Impostazione predefinita Elimina gli aggiornamenti del routing su tutte le interfacce.
- In Interfaccia specifica, selezionare interfaccia da Selettore interfaccia.
- Assegnare i valori alle metriche predefinite.
- Fare clic su OK e su Salva.
Scheda Regole filtro IPv6 EIGRP
- Selezionare Piattaforma > Ciclo > EIGRP > Famiglia IPv6 > scheda Regole filtro.
- Selezionare Direzione filtro Eigrp in base alla Direzione (in entrata o in uscita).
- Selezionare Interfaccia.
- Immettere l'elenco prefissi IPv6 per filtrare le connessioni in base a un elenco prefissi IPv6.
Scheda Router adiacenti EIGRP IPv6
- Passare alla scheda Piattaforma > Ciclo > EIGRP > Famiglia IPv6 > Router adiacenti.
- Immettere l'interfaccia e la rete nella finestra di dialogo Add/Edit IPv6 Eigrp Neighbor Page.
Scheda Ridistribuzione IPv6 EIGRP
- Passare a Piattaforma > Ciclo > EIGRP > Famiglia IPv6 > scheda Ridistribuzione.
- Fare clic sul pulsante Aggiungi e selezionare Protocollo. In base alla selezione del protocollo, vengono attivate altre opzioni.
- Per BGP e OSPF, casella di testo ID abilitata.
- Se OSPF è abilitato, le opzioni facoltative di ridistribuzione OSPF sono abilitate
- Se ISIS è abilitato, Livello ISIS è abilitato.
Scheda Indirizzo di riepilogo IPv6 EIGRP
- Selezionare Piattaforma > Ciclo > EIGRP > Famiglia IPv6 > scheda Summary Address.
- Fare clic sul pulsante Add (Aggiungi) e selezionare interface (Interfaccia) da Interface selector (Selettore interfaccia).
- In Rete, selezionare Indirizzo IPv6 e Valore Distanza amministrativa.
- Fare clic su OK e su Salva.
Scheda Interfacce IPv6 EIGRP
- Selezionare Piattaforma > Routing > EIGRP > Famiglia IPv6 > scheda Interfacce.
- Fare clic su Pulsante Aggiungi e selezionare interfaccia dal selettore interfaccia.
- È possibile modificare le opzioni Intervallo Hello e Tempo di attesa (facoltativo).
- L'opzione Dividi orizzonte (Split Horizon) è attivata per default. Può essere deselezionata.
- Fare clic su OK e su Salva.
Risoluzione dei problemi
Procedure per la risoluzione dei problemi
- Controllare lo stato del vicinato utilizzando i comandi show.
- Selezionare show ipv6 eigrp topology output per verificare il contenuto della tabella della topologia.
- Utilizzare il comando show ipv6 eigrp events per ottenere informazioni utili sugli eventi principali correlati a EIGRP.
- Usare show eigrp tech-support detailed per controllare i valori del timer delle tabelle di vicinato e topologia.
Mostra eventi di registrazione ipv6
show ipv6 eigrp events visualizza la registrazione degli eventi importanti nei sistemi che sono utili per il debug.
ciscoasa(config-rtr)# show ipv6 eigrp events
Event information for AS 50:
1 18:05:56.203 Metric set: 1001::/64 768
2 18:05:56.203 Route installing: 1001::/64 fe80::250:56ff:fe9f:e7e8
4 18:05:56.203 FC sat rdbmet/succmet: 768 512
5 18:05:56.203 Rcv update dest/nh: 1001::/64 fe80::250:56ff:fe9f:e7e8
6 18:05:56.203 Change queue emptied, entries: 1
7 18:05:56.203 Metric set: 1001::/64 768
8 18:05:56.203 Update reason, delay: new if 4294967295
Mostra timer di registrazione ipv6
show ipv6 eigrp timers visualizza il timer hello corrente e il timer di attesa applicati.
- Il timer predefinito per l'intervallo di attesa è 5 secondi e 15 secondi.
- Se l'interfaccia NBMA ha una larghezza di banda inferiore, il valore predefinito per il timer hello è 15 secondi; per il timer di attesa, 180 secondi
ciscoasa(config-rtr)# show ipv6 eigrp timers
EIGRP-IPv6 Timers for AS(50)
Hello Process
Expiration Type
| 0 .406 (parent)
| 0 .406 Hello (m2)
Update Process
Expiration Type
| 11.600 (parent)
| 11.600 (parent)
| 11.600 Peer holding
| 11.930 (parent)
| 11.930 Peer holding
Mostra topologia ipv6 eigrp
show ipv6 eigrp topology La tabella della topologia è costituita da tutte le destinazioni annunciate da un router adiacente.
ciscoasa(config-rtr)# show ipv6 eigrp topology
EIGRP-IPv6 Topology Table for AS(50)/ID(172.27.173.103)
Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,
r - reply Status, s - sia Status
P 1001::/64, 1 successors, FD is 768, serno 8907
via fe80::250:56ff:fe9f:8d83 (768/512), m2
P 3001::/64, 1 successors, FD is 768, serno 8906
via fe80::250:56ff:fe9f:8d83 (768/512), m2
P 2001::/64, 1 successors, FD is 768, serno 8905
via fe80::250:56ff:fe9f:8d83 (768/512), m2
Show Tech for EIGRP
Show tech può essere utilizzato per la risoluzione dei problemi in quanto raccoglie informazioni utili tra cui parametri del timer, dettagli di vicinato, statistiche del traffico per EIGRP, contatori di utilizzo della memoria e altri.
ciscoasa(config-if)# show eigrp tech-support detailed ?
exec mode commands/options:
| Output modifiers
<cr>
ciscoasa(config-if)#
Problema
Problema rilevato con la formazione router adiacente
- Se si verifica un problema con la formazione dei vicini:
- Verificare se è stato configurato almeno un indirizzo IPv4 se l'ID del router non è configurato in modo esplicito nella configurazione in modalità router.
- Accertarsi di configurare l'ID del router in modalità router.
Cronologia delle revisioni
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
|
2.0
|
19 luglio 2024
|
Formattazione aggiornata.
|
|
1.0
|
18 luglio 2024
|
Release iniziale
|
Cronologia delle revisioni
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
1.0 |
29-Jul-2024 |
Versione iniziale |
Feedback