Risoluzione dei problemi di configurazione OSPF in FTD

Introduzione

In questo documento viene descritto come verificare e risolvere i problemi relativi alla configurazione OSPF su dispositivi FTD utilizzando FMC come manager.

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti:

• Concetti e funzionalità OSPF (Open Shortest Path First)
• Cisco Secure Firewall Management Center (FMC)
• Cisco Secure Firewall Threat Defense (FTD)

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

• Virtual FTD 7.2.5
• Virtual FMC 7.2.5

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Sfondo OSPF

È possibile configurare OSPF su FMC per utilizzare il routing dinamico tra dispositivi FTD e altri dispositivi compatibili con OSPF. 

La console centrale di gestione della cache consente di eseguire due processi OSPF contemporaneamente per set diversi di interfacce.

Ogni dispositivo dispone di un ID router, che corrisponde al nome del dispositivo nel processo OSPF. Per impostazione predefinita, questa opzione è impostata sull'indirizzo IP dell'interfaccia inferiore, ma può essere personalizzata su un indirizzo IP diverso. 

È importante notare che questi parametri devono corrispondere sui router adiacenti per formare l'adiacenza OSPF:

• L'interfaccia appartiene alla stessa rete IP
• Subnet mask
• Area
• Intervalli Hello e Dead
• MTU
• Tipo di area (normale/NSSA/stub) 
• Autenticazione

Configurazione di base

In questa sezione vengono illustrati i parametri di base configurati per l'avvio della ricerca delle adiacenze di OSPF con i router adiacenti. 

1. Selezionare Dispositivi > Gestione dispositivi > Modifica dispositivo

2. Fare clic sulla scheda Instradamento.

3. Fare clic su OSPF sulla barra dei menu a sinistra.

4. Selezionare il processo 1 per abilitare la configurazione OSPF. FTD è in grado di eseguire due processi simultanei su set di interfacce diversi.

Un Border Router (ABR) si trova tra due aree diverse, mentre un Autonomous System Border Router (ASBR) si trova tra due dispositivi che utilizzano altri protocolli di routing. 

5. Scegliere il ruolo OSPF come Interno, ABR, ASBR e ABR e ASBR.

Selezione ruolo

6. (facoltativo) Modificare l'ID automatico del router. Selezionare Advanced (Avanzate), accanto al ruolo OSPF, quindi selezionare Router ID (ID router) come indirizzo IP per personalizzarlo.

Selezione ID router

7. Selezionare Area > Aggiungi.

8. Inserire le informazioni relative all'area:

• Processo OSPF
• ID area
• Tipo area
• Reti disponibili

9. Fare clic su OK per salvare la configurazione.

Selezione area

Ridistribuzione 

L'FTD può ridistribuire le route da un processo OSPF a un altro. La ridistribuzione può essere effettuata anche da RIP, BGP, EIGRP (versione 7.2+), route statiche e connesse nel processo di routing OSPF.

1. Per configurare la ridistribuzione OSPF, selezionare Dispositivi > Gestione dispositivi > Modifica dispositivo.

2. Fare clic su Instradamento

3. Fare clic su OSPF.

4. Selezionare Ridistribuzione > Aggiungi.

5. Inserire i campi di ridistribuzione:

• Processo OSPF
• Tipo di instradamento (da cui si sta effettuando la ridistribuzione)
  • Statico
  • Connesso
  • Processo OSPF
  • BGP
  • RIP
  • EIGRP

Per BGP e EIGRP, aggiungere il numero AS.

6. (Facoltativo) Selezionare se utilizzare le subnet.

7. Selezionare il tipo di metrica.

• Il tipo 1 utilizza la metrica esterna e aggiunge il costo interno di ciascun hop che porta all'ASBR. 
• Il tipo 2 utilizza solo la metrica esterna. 

8. Fare clic su OK per salvare le modifiche.

Configurazione ridistribuzione

Filtro

È possibile eseguire un filtro tra aree, che limita le route inviate in entrata o in uscita da un'area a un'altra. Questa azione viene eseguita solo sugli ABR. 

Il filtro viene configurato con elenchi di prefissi che vengono quindi collegati alla configurazione OSPF. Si tratta di una funzionalità facoltativa non necessaria per il funzionamento di OSPF. 

1. Per configurare il filtro tra aree OSPF, selezionare Dispositivi > Gestione dispositivi > Modifica dispositivo.

2. Fare clic su Instradamento

3. Fare clic su OSPF.

4. Selezionare Interarea > Aggiungi.

5. Configurare i filtri:

• Processo OSPF
• ID area
• Elenco prefissi
• Direzione del traffico - in entrata o in uscita

Configurazione filtro inter-area

6. Passare al passo 10 se è stato configurato un elenco di prefissi. Per crearne uno nuovo, è possibile selezionare il segno più o crearlo da Oggetti > Gestione oggetti > Elenchi prefissi > Elenco prefissi IPv4 > Aggiungi. 

7. Fare clic su Add entry (Aggiungi voce).

8. Configurare l'elenco di prefissi con questi campi:

• Numero progressivo 
• Indirizzo IP
• Azione
• Lunghezza prefisso min/max (opzionale) 

Modifica oggetto elenco prefissi

9. Fare clic su OK per salvare prefix-list. 

10. Fare clic su OK per salvare la configurazione tra aree.

Parametri interfaccia

Per ogni interfaccia che partecipa a OSPF è possibile modificare alcuni parametri.  

1. Per configurare i parametri dell'interfaccia OSPF, selezionare Dispositivi > Gestione dispositivi > Modifica dispositivo.

2. Fare clic su Instradamento

3. Fare clic su OSPF.

4. Selezionare Interfaccia > Aggiungi.

5. Selezionare i parametri da modificare

Timer Hello e Dead

I pacchetti OSPF Hello vengono inviati per mantenere le adiacenze tra i dispositivi. Questi pacchetti vengono inviati a un intervallo configurabile. Se il dispositivo non riceve pacchetti hello da un router adiacente entro un intervallo inattivo, anch'esso configurabile, il router adiacente passa allo stato inattivo.

Per impostazione predefinita, l'intervallo hello è pari a 10 secondi e l'intervallo di inattività è quattro volte l'intervallo hello, ovvero 40 secondi. Questi intervalli devono corrispondere tra vicini.

Configurazione Timer

MTU Ignore-OSPF

La casella di controllo MTU ignorata consente di evitare che l'adiacenza OSPF rimanga bloccata nello stato EXSTART a causa di una mancata corrispondenza MTU tra le interfacce adiacenti. La corrispondenza MTU viene verificata perché in questo stato i DBD vengono inviati tra router adiacenti e una differenza nelle dimensioni può causare problemi. La procedura ottimale, tuttavia, consiste nel mantenere questa opzione non selezionata. 

Configurazione controllo ignoramento MTU

Autenticazione

È possibile selezionare tre diversi tipi di autenticazione OSPF dell'interfaccia. Per impostazione predefinita, l'autenticazione non è attivata.

• Nessuna
• Password - password non crittografata
• MD5 - Utilizza l'hashing MD5

Si consiglia di utilizzare MD5 come autenticazione, poiché si tratta di un algoritmo di hashing che fornisce protezione. 

Configurare l'ID MD5 e la chiave MD5 e fare clic su OK per salvare. 

Configurazione tasti MD5

La chiave o la password MD5 deve corrispondere sui parametri di interfaccia della risorsa adiacente autenticata. 

Verifica generale della CLI  

Topologia di esempio

Si consideri questa topologia di rete come un esempio: 

Esempio di topologia di rete

Tenere conto delle seguenti considerazioni: 

• OSPF è configurato su FTD esterno, FTD interno e router interno.
• FTD esterno è selezionato come ruolo ASBR, FTD interno come ABR e Router interno come ruolo interno. 
• L'area 0 viene creata tra FTD esterno e interno, mentre l'area 1 viene creata tra FTD interno e router interno. 
• L'FTD esterno sta anche eseguendo la connessione BGP con un altro dispositivo. 
• Le route BGP apprese da Autonomous System 312 vengono ridistribuite in OSPF.
• L'MTU e gli intervalli sono configurati con i valori predefiniti. 
• L'FTD interno sta filtrando le route tra aree in ingresso verso l'area 0 rilevate dal router interno. 
• L'autenticazione dell'interfaccia è configurata come MD5 su tutti i dispositivi che fanno parte di OSPF. 

FTD interno 

La configurazione dell'FTD interno è illustrata nel modo seguente:

Configurazione interfaccia tramite autenticazione MD5

interface GigabitEthernet0/0
nameif inside
security-level 0
ip address 10.6.11.1 255.255.255.0
ospf message-digest-key 1 md5 *****
ospf authentication message-digest 
!
interface GigabitEthernet0/1
nameif outside
security-level 0
ip address 10.3.11.2 255.255.255.0
ospf message-digest-key 1 md5 *****
ospf authentication message-digest 
!

La configurazione OSPF indica che la rete 10.3.11.0/24 viene annunciata nell'area 0 e la rete 10.6.11.0/24 viene annunciata ai vicini nell'area 1. 

Il filtro tra aree sta applicando un prefisso-elenco alle route in ingresso che entrano nell'area 0. In questo elenco di prefissi, la rete 192.168.4.0 dal router interno è negata e tutto il resto è permesso. 

Configurazione area FTD interna

Configurazione filtro FTD interno

Elenco prefissi FTD interni

router ospf 1
network 10.3.11.0 255.255.255.0 area 0
network 10.6.11.0 255.255.255.0 area 1
area 0 filter-list prefix filter_192.168.4.0 in 
log-adj-changes

prefix-list filter_192.168.4.0 seq 5 deny 192.168.4.0/24
prefix-list filter_192.168.4.0 seq 10 permit 0.0.0.0/0 le 32

FTD esterno 

La configurazione dell'FTD esterno è mostrata come segue nella CLI:

Configurazione interfaccia tramite autenticazione MD5.

interface GigabitEthernet0/0
nameif inside
security-level 0
ip address 10.3.11.1 255.255.255.0
ospf message-digest-key 1 md5 *****
ospf authentication message-digest 
!
interface GigabitEthernet0/1
nameif outside
security-level 0
ip address 172.16.11.1 255.255.255.0 
!

La configurazione OSPF mostra che la route 10.3.11.0/24 viene annunciata a un FTD interno nell'area 0.

È inoltre possibile osservare la ridistribuzione BGP in OSPF.  

Configurazione area FTD esterna

Configurazione ridistribuzione FTD esterna

router ospf 1
network 10.3.11.0 255.255.255.0 area 0
log-adj-changes
redistribute bgp 312 subnets

Comandi per la risoluzione dei problemi

Sono disponibili diversi comandi utili per determinare se OSPF funziona come previsto. 

show running-config router

Questo comando mostra la configurazione dei protocolli di routing dinamico, non solo OSPF. 

Utile per controllare la configurazione relativa a OSPF nella CLI. 

mostra route

L'output show route indica informazioni importanti sulle route disponibili correnti. 

• Viene visualizzata una route appresa tramite OSPF con la lettera O. 
• Viene visualizzato un percorso interarea con le lettere O IA.
• Una route che viene appresa da un altro protocollo di routing tramite ridistribuzione mostra le lettere O E1 o O E2, a seconda del tipo di metrica selezionato. 

show route output from Internal FTD indica che sono disponibili tre route esterne conosciute dal router adiacente ASBR 10.3.11.1.

Mostra anche la rete 192.168.4.0/24 appresa dal vicino 10.6.11.2 sulla stessa area. 

Internal-FTD# show route

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, + - replicated route
       SI - Static InterVRF
Gateway of last resort is not set

C        10.3.11.0 255.255.255.0 is directly connected, outside
L        10.3.11.2 255.255.255.255 is directly connected, outside
O E2     10.5.11.0 255.255.255.224 [110/1] via 10.3.11.1, 6w5d, outside
O E2     10.5.11.32 255.255.255.224 [110/1] via 10.3.11.1, 6w5d, outside
O E2     10.5.11.64 255.255.255.224 [110/1] via 10.3.11.1, 6w5d, outside
C        10.6.11.0 255.255.255.0 is directly connected, inside
L        10.6.11.1 255.255.255.255 is directly connected, inside
O        192.168.4.0 255.255.255.0 [110/20] via 10.6.11.2, 02:19:24, inside

Da FTD esterno, si può osservare che la route 10.6.11.0/24 è conosciuta dal vicino 10.3.11.2 e appartiene a un'area diversa. 

Il router 192.168.4.0/24 non viene osservato in questo output perché è stato filtrato in base all'FTD interno. 

Inoltre, esistono tre route BGP apprese da un altro dispositivo che vengono ridistribuite in OSPF come route esterne di tipo 2, come illustrato in FTD interno. 

External-FTD# show route

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, + - replicated route
       SI - Static InterVRF, BI - BGP InterVRF
Gateway of last resort is not set

C        10.3.11.0 255.255.255.0 is directly connected, inside
L        10.3.11.1 255.255.255.255 is directly connected, inside
B        10.5.11.0 255.255.255.224 [20/0] via 172.16.11.2, 6w5d
B        10.5.11.32 255.255.255.224 [20/0] via 172.16.11.2, 6w5d
B        10.5.11.64 255.255.255.224 [20/0] via 172.16.11.2, 6w5d
O IA     10.6.11.0 255.255.255.0 [110/20] via 10.3.11.2, 02:03:27, inside
C        172.16.11.0 255.255.255.0 is directly connected, outside
L        172.16.11.1 255.255.255.255 is directly connected, outside

mostra router adiacente ospf

Questo comando consente di verificare lo stato dell'adiacenza OSPF e se il router adiacente è un router designato (DR), un router designato per il backup (BDR) o un altro router (DROTHER). 

Il DR è il dispositivo che aggiorna gli altri dispositivi nella stessa subnet ogni volta che si verifica un cambiamento nella rete. Se non è più disponibile, BDR assumerà il ruolo di DR. 

Questa opzione è utile anche per visualizzare l'ID router dei router adiacenti, nonché l'indirizzo IP e l'interfaccia da cui è noto il router adiacente.

Si osserva anche il conto alla rovescia del tempo morto. Se si dispone dei timer predefiniti, è possibile visualizzare il tempo che scende dalle 00.40 alle 00.30 prima dell'invio di un nuovo pacchetto hello e del riavvio del timer. 

Se questa volta arriva fino allo zero, l'adiacenza viene persa. 

Nell'esempio, l'output del comando FTD interno mostra che il dispositivo è un BDR in stato FULL con ciascuno dei due dispositivi adiacenti, che in cambio sono DR, raggiungibili da ciascuna interfaccia. Gli ID dei router sono rispettivamente 10.3.11.1 e 192.168.4.1. 

Internal-FTD# show ospf neighbor 

Neighbor ID     Pri   State           Dead Time   Address         Interface
10.3.11.1         1   FULL/DR         0:00:38    10.3.11.1       outside
192.168.4.1       1   FULL/DR         0:00:33    10.6.11.2       inside

show ospf interface

L'output del comando show ospf interface mostra informazioni dettagliate e offre una visione più ampia del processo OSPF su ciascuna interfaccia configurata. 

Di seguito sono riportati alcuni dei parametri visibili con questo output:

• ID processo OSPF
• ID router
• Metrica (costo)
• Stato - DR, BDR o DROTHER
• Chi sono DR e BDR 
• Intervalli di Hellos e Dead timer 
• Riepilogo router adiacenti
• Dettagli autenticazione

Nell'output successivo dell'FTD interno, è possibile osservare che questo dispositivo è effettivamente il BDR su entrambe le interfacce e che il router adiacente corrisponde alle informazioni dei router adiacenti show ospf.

Internal-FTD#show ospf interface

outside is up, line protocol is up 
Internet Address 10.3.11.2 mask 255.255.255.0, Area 0 
Process ID 1, Router ID 10.6.11.1, Network Type BROADCAST, Cost: 10
Transmit Delay is 1 sec, State BDR, Priority 1
Designated Router (ID) 10.3.11.1, Interface address 10.3.11.1
Backup Designated router (ID) 10.6.11.1, Interface address 10.3.11.2
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
oob-resync timeout 40
Hello due in 0:00:04
Supports Link-local Signaling (LLS)
Cisco NSF helper support enabled
IETF NSF helper support enabled
Index 1/1, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 1, maximum is 2
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 1, Adjacent neighbor count is 1 
Adjacent with neighbor 10.3.11.1 (Designated Router)
Suppress hello for 0 neighbor(s)
Cryptographic authentication enabled
Youngest key id is 1

inside is up, line protocol is up 
Internet Address 10.6.11.1 mask 255.255.255.0, Area 1 
Process ID 1, Router ID 10.6.11.1, Network Type BROADCAST, Cost: 10
Transmit Delay is 1 sec, State BDR, Priority 1
Designated Router (ID) 192.168.4.1, Interface address 10.6.11.2
Backup Designated router (ID) 10.6.11.1, Interface address 10.6.11.1
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
oob-resync timeout 40
Hello due in 0:00:03
Supports Link-local Signaling (LLS)
Cisco NSF helper support enabled
IETF NSF helper support enabled
Index 1/2, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 1, maximum is 2
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 1, Adjacent neighbor count is 1 
Adjacent with neighbor 192.168.4.1 (Designated Router)
Suppress hello for 0 neighbor(s)
Cryptographic authentication enabled
Youngest key id is 1

mostra database ospf 

Per ulteriori informazioni sui tipi LSA (Link State Advertisement) di OSPF, vedere questo comando. L'output è complesso ed è utile solo per una risoluzione più approfondita dei problemi. 

LSA è il modo in cui OSPF scambia informazioni e aggiornamenti tra i dispositivi, anziché inviare la tabella di routing completa.  

I tipi LSA più comuni sono:

Tipo 1 - Stati collegamento router - ID router dei router pubblicitari

Tipo 2 - Stati collegamento di rete - Interfacce connesse nello stesso collegamento del router designato.

Tipo 3 - Riepilogo stati collegamento di rete - Route interarea iniettate in quest'area da ABR (Area Border Router).

Tipo 4 - Stati del collegamento ASB di riepilogo - ID dei router del router di confine del sistema autonomo (ASBR).

Tipo 5 - Stati collegamento esterno AS - Route esterne apprese da ASBR.

Tenendo presente questo aspetto, l'output di questo comando può essere interpretato dall'esempio di FTD interno. 

• I database vengono visualizzati per area.
• La colonna ID link contiene le informazioni importanti da notare. 
• Come accennato in precedenza, il Tipo 1 mostra gli ID dei router di ciascun dispositivo nell'area e il Tipo 2 mostra il DR di ciascun collegamento di subnet. In questo caso, 10.3.11.1 per la zona 0 e 10.6.11.2 per la zona 1. 
• Il tipo 3 mostra le rotte interarea iniettate nella rispettiva area da ABR 10.6.11.0 per l'area 0 e 10.3.11.0 per l'area 1. 
• Il tipo 4 mostra l'ID router dell'ASBR. Nell'area 1, il dispositivo 10.3.11.1 è l'ASBR del processo. 
• Il tipo 5 mostra le route ridistribuite dall'ASBR. In questo caso, tre rotte esterne: 10.5.11.0, 10.5.11.32 e 10.5.11.64.  

Internal-FTD# show ospf database 


            OSPF Router with ID (10.6.11.1) (Process ID 1)

                Router Link States (Area 0)

Link ID         ADV Router      Age         Seq#       Checksum Link count
10.3.11.1       10.3.11.1       234         0x8000002b 0x4c4d 1
10.6.11.1       10.6.11.1       187         0x8000002e 0x157b 1

                Net Link States (Area 0)

Link ID         ADV Router      Age         Seq#       Checksum
10.3.11.1       10.3.11.1       234         0x80000029 0x7f2b

                Summary Net Link States (Area 0)

Link ID         ADV Router      Age         Seq#       Checksum
10.6.11.0       10.6.11.1       187         0x8000002a 0x7959

                Router Link States (Area 1)

Link ID         ADV Router      Age         Seq#       Checksum Link count
10.6.11.1       10.6.11.1       187         0x8000002c 0x513b 1
192.168.4.1     192.168.4.1     1758        0x8000002a 0x70f1 2

                Net Link States (Area 1)

Link ID         ADV Router      Age         Seq#       Checksum
10.6.11.2       192.168.4.1     1759        0x80000028 0xd725

                Summary Net Link States (Area 1)

Link ID         ADV Router      Age         Seq#       Checksum
10.3.11.0       10.6.11.1       189         0x80000029 0x9f37

                Summary ASB Link States (Area 1)

Link ID         ADV Router      Age         Seq#       Checksum
10.3.11.1       10.6.11.1       189         0x80000029 0x874d

                Type-5 AS External Link States

Link ID         ADV Router      Age         Seq#       Checksum Tag
10.5.11.0       10.3.11.1       1726        0x80000028 0x152b 311
10.5.11.32      10.3.11.1       1726        0x80000028 0xd34c 311
10.5.11.64      10.3.11.1       1726        0x80000028 0x926d 311 

Informazioni correlate

• Supporto tecnico Cisco e download
• Informazioni su OSPF (Open Shortest Path First): guida alla progettazione