ASA에서 EIGRP IPV6 구성
목차
소개
이 문서에서는 Cisco ASA(Adaptive Security Appliance)에서 EIGRP IPV6를 구성하는 방법에 대해 설명합니다.
사전 요구 사항
지원되는 최소 소프트웨어 및 하드웨어 플랫폼
| 지원되는 최소 관리자 버전 |
관리되는 디바이스 |
최소 지원 관리되는 디바이스 버전 필요 |
참고 |
| ASA |
모든 ASA 플랫폼 |
9.20.1 |
CLI |
| CSM |
모든 ASA 플랫폼 |
4.27 |
CSM GUI |
| ASDM |
모든 ASA 플랫폼 |
7.20.1 |
ASDM GUI |
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- Cisco 보안 관리자
- 적응형 보안 장치 관리자
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
- Cisco ASA(Adaptive Security Appliance), 9.20.1 이상
- CSM(Cisco Security Manager) 실행 4.27
- 7.20.1을 실행하는 Cisco Adaptive Security Device Manager
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
IPV6용 EIGRP
· EIGRP는 이미 지원되며 ASA에서 사용할 수 있습니다. EIGRP IPV6에 대한 수요가 증가하고 있습니다.
· EIGRPv4 및 EIGRPv6에 대한 구성은 유사하지만 독립적으로 구성 및 관리할 수 있습니다.
· 프로토콜의 차이로 인해 구성과 운영이 조금씩 차이가 있습니다.
새로운 기능
· 이전 릴리스에서는 EIGRP가 IPv4에 대해서만 지원되었으며 ASA 9.20 이상에서는 EIGRP가 IPV6에서 지원됩니다.
· ASA에서만 링크-로컬 주소를 사용하는 EIGRP IPv6 지원
제한 사항
지원됨
· EIGRPv6는 현재 라우팅된 모드, HA 및 클러스터의 ASA에서만 지원됩니다.
· EIGRPv6 네이버십은 링크 로컬 주소에서만 활성화할 수 있습니다.
지원되지 않음
· 투명 모드
· 멀티 컨텍스트
•인증
· FTD
기능 세부사항
기능 기능 설명
· IPv6용 EIGRP는 IPv4용 EIGRP와 동일한 프레임워크를 사용합니다.
· EIGRP IPv6는 IPv6 피어와만 통신하며 IPv6 경로만 광고합니다.
EIGRP IPV4 및 EIGRP IPv6는 다음과 유사한 특성을 공유합니다.
· 네이버, 라우팅 및 토폴로지 테이블이 유지됩니다.
· 빠른 컨버전스와 루프 프리 네트워크에 DUAL stack을 사용합니다.
차이점은 다음과 같습니다.
· router-mode 아래의 network 명령은 EIGRP IPv6에 사용되지 않습니다.
· ipv6 라우터 eigrp <AS>를 사용하여 EIGRP IPV6 라우터 프로세스를 활성화합니다.
· 특정 인터페이스에서 EIGRP IPv6를 활성화하도록 ipv6 eigrp <AS>를 명시적으로 구성합니다.
· 사용자가 구성한 IPv6 주소를 사용하여 인접 관계를 설정할 수 없습니다.
· 현재 릴리스에서는 인증이 지원되지 않습니다.
EIGRP 기능
EIGRP 기능 개요
· IPv6용 EIGRP는 EIGRP IPv4와 동일합니다.
· EIGRP는 신속한 통합을 위해 DUAL(Difffering Update Algorithm)을 사용합니다.
DUAL은 최상의 경로를 계산할 뿐만 아니라 루프 프리 경로도 계산합니다.
DUAL에서 최상의 경로 계산을 위해 사용하는 테이블은 주로 두 개입니다. 네이버 라우팅 테이블, 토폴로지 테이블입니다.
DUAL은 보고된 실행 가능한 거리를 기반으로 대체 경로를 계산합니다.
· 네이버 테이블은 직접 연결된 모든 네이버를 추적합니다. Hello 패킷은 인접 디바이스의 상태를 확인하는 데 사용됩니다.
· Topology(토폴로지) 테이블은 네트워크의 모든 경로에 대한 메트릭에 대한 정보를 유지합니다. Successor와 실행 가능한 successor는 최상의 경로와 대체 경로 정보를 유지합니다.
운영 방식
Hello 메시지는 인접성을 설정하기 전에 네이버를 검색하는 데 사용됩니다.
토폴로지 테이블과 라우팅 테이블을 구축하기 위해 인접 디바이스 간에 업데이트 메시지가 교환됩니다.
방화벽에 실행 가능한 successor가 없는 경로를 DUAL이 다시 계산하는 경우 실행 가능한 successor를 찾기 위해 쿼리 메시지가 다른 EIGRP 네이버로 전송됩니다.
응답 메시지는 EIGRP 쿼리 패킷에 대한 응답으로 전송됩니다.
Acknowledge 메시지는 EIGRP 업데이트, 쿼리 및 응답을 확인하는 데 사용됩니다.
EIGRP 메시지 흐름
EIGRP IPv6는 Hello 패킷을 사용하여 직접 연결된 링크에서 다른 EIGRP 지원 디바이스를 검색하고 인접 관계를 형성합니다.
EIGRP IPv6는 소스 주소가 전송 인터페이스의 링크-로컬 주소인 Hello 패킷을 전송합니다.
Hello 메시지는 인접 디바이스 상태를 추적하기 위한 keep alive 메시지와 같습니다.
hello 메시지의 기본 타이머는 5초입니다. Hello 메시지 교환 시 업데이트 메시지가 수신되고 전송됩니다. 이는 토폴로지 테이블을 구축하고 그에 따라 RIB에 경로를 설치하는 데 사용됩니다.
인접 관계 설정
내부 보기/ASA CLI
인접 디바이스: 기본 컨피그레이션 및 멀티/유니캐스트
인접 관계를 설정하려면 라우터 모드 컨피그레이션이 필요합니다. IPv4의 경우 컨피그레이션이 IPv6 키워드로 시작한다는 점을 제외하고는 동일합니다.
또한 자율 시스템에 참여 인터페이스를 연결해야 합니다.
멀티캐스트나 유니캐스트를 사용하여 두 가지 방법으로 인접 관계를 형성할 수 있습니다.
인접 디바이스: 인터페이스 및 라우터 ID 지정
- 라우터 모드 컨피그레이션 외에도, 네이버십에 참여하는 인터페이스는 각각의 자율 시스템에 연결되어야 합니다.
- 인터페이스에서 IPv6를 활성화해야 합니다.
- 인접 관계가 형성되려면 라우터 ID가 필요합니다. IPv4 인터페이스에서 암시적으로 가져와야 합니다. 또는 라우터 모드에서 명시적으로 구성해야 합니다. 그렇지 않으면 인접 관계가 형성되지 않습니다.
기본 인접 관계
유니캐스트 및 멀티캐스트 네이버쉽에 대해 연결된 토폴로지 및 컨피그레이션을 지정했습니다.
다음을 확인합니다.
인접 디바이스 상태 확인
show ipv6 eigrp neighbors는 인접 디바이스 상태를 확인하는 데 사용됩니다.
ciscoasa(config-rtr)# show ipv6 eigrp neighbors
EIGRP-IPv6 Neighbors for AS(50)
H Address Interface Hold Uptime SRTT RTO Q Seq
(sec) (ms) Cnt Num
1 Link-local address: m3 12 1w3d 270 1620 0 153 fe80::250:56ff:fe9f:e7e8
0 Link-local address: m2 12 1w3d 174 1044 0 152 fe80::250:56ff:fe9f:8d83
Hello and Hold Interval 컨피그레이션
- Hello 간격 및 보류 간격은 인터페이스의 컨피그레이션을 사용하여 구성할 수 있습니다.
- 비 브로드캐스트 NBMA(Multiple Access Network) 인터페이스의 경우 hello 타이머의 기본값은 5초, 보류 시간 기본값은 15초입니다.
ciscoasa(config-if)# ipv6 hello-interval eigrp 100 ?
interface mode commands/options:
<1-65535> Seconds between hello transmissions
ciscoasa(config-if)#
ciscoasa(config-if)# ipv6 hold-time eigrp 200 ?
interface mode commands/options:
<1-65535> Seconds before neighbor is considered down
ciscoasa(config-if)#
수동 인터페이스 컨피그레이션
- 인터페이스가 네이버십을 형성하지 않도록 하려는 경우 패시브 인터페이스 컨피그레이션을 사용하면 인터페이스의 Hello가 전송되지 않고 인접성을 형성하지 않을 수 있습니다.
ciscoasa(config-rtr)# passive-interface ?
ipv6-router mode commands/options:
Current available interface(s):
default Suppress routing updates on all interfaces
g0 Name of interface GigabitEthernet0/0
mgmt Name of interface Management0/0
ciscoasa(config-rtr)#
경로 필터링을 위한 배포 목록
- 배포 목록은 접두사 컨피그레이션과 함께 사용하여 지정된 인터페이스에 대한 라우팅 업데이트를 수신 또는 발신으로 필터링할 수 있습니다.
ciscoasa(config-rtr)# distribute-list prefix-list abc ?
ipv6-router mode commands/options:
in Filter incoming routing updates
out Filter outgoing routing updates
ciscoasa(config-rtr)#
다른 프로토콜의 경로 재배포
- 다른 라우팅 프로토콜의 경로를 EIGRP로 재배포할 수 있습니다.
- router 아래에서 redistribute 명령을 사용합니다.
ciscoasa(config-rtr)# redistribute ?
ipv6-router mode commands/options:
bgp Border Gateway Protocol (BGP)
connected Connected Routes
eigrp Enhanced Interior Gateway Routing Protocol (EIGRP)
isis ISO IS-IS
ospf Open Shortest Path First (OSPF)
static Static Routes
ciscoasa(config-rtr)#
ASDM의 EIGRP IPv6
EIGRPv6의 새 옵션 개요
- EIGRPv6 지원은 ASDM 7.20.1의 일부로 추가됩니다.
- EIGRPv6 컨피그레이션이 인터페이스 하위 CLI 명령의 일부로 추가되었습니다.
- EIGRPv6 컨피그레이션이 router 및 support router 명령에 추가되었습니다.
인터페이스의 EIGRPv6 컨피그레이션
- Configuration(컨피그레이션) > Device Setup(디바이스 설정) > Routing(라우팅) > EIGRPv6로 이동합니다.
- 지원되는 모든 인터페이스를 보려면 Interface를 선택합니다.
인터페이스에 대한 EIGRPv6 설정 구성
- Configuration(컨피그레이션) > Device Setup(디바이스 설정) > Routing(라우팅) > EIGRPv6 > Interface(인터페이스)로 이동합니다.
- Interface를 선택하고 Edit를 클릭합니다.
- 프로세스 ID, Hello Interval, Hold Time, Split Horizon 및/또는 Summary Address를 구성하려면 확인란을 선택합니다.
- 설정을 구성한 다음 확인을 클릭합니다.
- Send(보내기)를 클릭합니다.
- CLI가 나타나면 Send(보내기), Cancel(취소) 또는 Save to File(파일에 저장)을 클릭합니다.
프로세스 인스턴스 및 패시브 인터페이스
- Configuration(컨피그레이션) > Device Setup(디바이스 설정) > Routing(라우팅) > EIGRPv6 > Set up(설정)으로 이동합니다.
- 프로세스 인스턴스 및 패시브 인터페이스를 볼 수 있습니다.
- Process Instances(프로세스 인스턴스)에서 EIGRPv6 프로세스를 활성화합니다.
패시브 인터페이스 컨피그레이션
- Configuration(컨피그레이션) > Device Setup(디바이스 설정) > Routing(라우팅) > EIGRPv6 > Set up(설정)으로 이동합니다.
- Passive Interfaces > Add > Select Interface를 클릭합니다.
- OK(확인)를 클릭합니다.
- 적용을 클릭합니다.
- CLI 창이 나타납니다.
라우터 EIGRP 및 기본 메트릭 컨피그레이션
- Device Setup(디바이스 설정) > Routing(라우팅) > EIGRPv6 > Set up(설정)으로 이동합니다.
- Process Instances(프로세스 인스턴스) > Provide Process ID Value(프로세스 ID 값 제공)를 클릭합니다.
- Advanced(고급) 버튼을 클릭합니다.
- 라우터 ID, 기본 메트릭, 스텁 및 로그 네이버 값을 제공합니다.
- 적용을 클릭합니다.
- CLI 창이 나타납니다.
필터 규칙(Distribute-List) 구성
- Configuration(컨피그레이션) > Device Setup(디바이스 설정) > Routing(라우팅) > EIGRPv6 > Filter Rules(필터 규칙)로 이동합니다.
- Add(추가) > Select Prefix list(접두사 목록 선택) > Direction(방향) > Interface(인터페이스)를 클릭합니다.
- OK(확인)를 클릭합니다.
- 적용을 클릭합니다.
- CLI 창이 나타납니다.
경로 컨피그레이션 재배포
- Configuration(컨피그레이션) > Device Setup(디바이스 설정) > Routing(라우팅) > EIGRPv6 > Redistribution(재배포)으로 이동합니다.
- Add(추가) > Select protocol(프로토콜 선택)을 클릭합니다.
- 선택적 메트릭 제공
- OK(확인)를 클릭합니다.
- 적용을 클릭합니다.
- CLI 창이 나타납니다
인접 디바이스: 유니캐스트 라우터 모드
- Configuration(컨피그레이션) > Device Setup(디바이스 설정) > Routing(라우팅) > EIGRPv6 > Static Neighbor(고정 인접 디바이스)로 이동합니다.
- Add(추가) > Select Interface(인터페이스 선택)를 클릭합니다.
- 인접 주소를 제공합니다.
- OK(확인)를 클릭합니다.
- 적용을 클릭합니다.
- CLI 창이 나타납니다.
멀티캐스트 라우터 모드
멀티캐스트 라우터 모드의 컨피그레이션은 유니캐스트 라우터 모드의 컨피그레이션과 유사합니다.
- Configuration(컨피그레이션) > Device Setup(디바이스 설정) > Routing(라우팅) > EIGRPv6 > Setup(설정)으로 이동합니다.
- EIGRPv6 프로세스를 활성화하려면 확인란을 선택합니다.
- EIGRPv6 Process 입력 필드에 값을 입력합니다.
- 적용을 클릭합니다.
- CLI를 볼 수 있습니다.
CSM의 IPv6 EIGRP
EIGRPv6용 CSM의 새 옵션 개요
- EIGRPv6 지원이 CSM 4.27의 일부로 추가됩니다.
- 인터페이스 하위 CLI 명령의 일부로 추가된 EIGRPv6 컨피그레이션
- EIGRPv6 컨피그레이션이 Router 및 Support Router 명령에 추가되었습니다.
EIGRP IPv6 지원 활성화
- Platform(플랫폼) > Routing(라우팅) > EIGRP > IPv6 Family(IPv6 제품군)로 이동합니다.
- Enable IPv6 EIGRP(IPv6 EIGRP 활성화) 확인란을 클릭하여 IPv6를 활성화합니다.
- 1~65535의 AS 번호를 제공합니다.
- 탭에서는 설정(여기에 표시됨), 필터 규칙, 네이버, 재배포, 요약 주소 및 인터페이스를 구성할 수 있습니다.
EIGRP IPv6 설정 탭
- Platform(플랫폼) > Routing(라우팅) > EIGRP > IPv6 Family(IPv6 제품군) > Setup(설정) 탭으로 이동합니다.
- 패시브 인터페이스에는 3가지 옵션이 있습니다.
1. 없음
2. 기본값
3. 특정 인터페이스
- Default(기본값) 모든 인터페이스에서 라우팅 업데이트를 억제합니다.
- Specific Interface(특정 인터페이스)의 Interface selector(인터페이스 선택기)에서 interface(인터페이스)를 선택합니다.
- 기본 측정 단위에 값을 할당합니다.
- OK(확인) 및 Save(저장)를 클릭합니다.
EIGRP IPv6 Filter Rules 탭
- Platform(플랫폼) > Routing(라우팅) > EIGRP > IPv6 Family(IPv6 제품군) > Filter Rules(필터 규칙) 탭으로 이동합니다.
- Direction(방향)에 따라 Eigrp Filter Direction(Eigrp 필터 방향)을 선택합니다(Inbound 또는 Outbound).
- Interface를 선택합니다.
- IPv6 접두사 목록을 기반으로 연결을 필터링하려면 IPv6 Prefix-list를 입력합니다.
EIGRP IPv6 Neighbors 탭
- Platform(플랫폼) > Routing(라우팅) > EIGRP > IPv6 Family(IPv6 제품군) > Neighbors(인접 디바이스) 탭으로 이동합니다.
- Add/Edit IPv6 Eigrp Neighbor Page(IPv6 Eigrp 네이버 페이지 추가/수정) 대화 상자에 Interface and Network(인터페이스 및 네트워크)를 입력합니다.
EIGRP IPv6 Redistribution 탭
- Platform(플랫폼) > Routing(라우팅) > EIGRP > IPv6 Family(IPv6 제품군) > Redistribution(재배포) 탭으로 이동합니다.
- Add(추가) 버튼을 클릭하고 Protocol(프로토콜)을 선택합니다. 프로토콜 선택에 따라 다른 옵션이 활성화됩니다.
- BGP 및 OSPF의 경우 ID 텍스트 상자가 활성화됩니다.
- OSPF가 활성화된 경우 선택적 OSPF 재배포 옵션이 활성화됩니다
- ISIS가 활성화된 경우 ISIS 레벨이 활성화됩니다.
EIGRP IPv6 Summary Address 탭
- Platform(플랫폼) > Routing(라우팅) > EIGRP > IPv6 Family(IPv6 제품군) > Summary Address(요약 주소) 탭으로 이동합니다.
- Add(추가) 버튼을 클릭하고 Interface(인터페이스) 선택기에서 interface(인터페이스)를 선택합니다.
- Network(네트워크)에서 IPv6 주소 및 Administrative Distance 값을 선택합니다.
- OK(확인) 및 Save(저장)를 클릭합니다.
EIGRP IPv6 Interfaces(EIGRP IPv6 인터페이스) 탭
- Platform(플랫폼) > Routing(라우팅) > EIGRP > IPv6 Family(IPv6 제품군) > Interfaces(인터페이스) 탭으로 이동합니다.
- Add(추가) 버튼을 클릭하고 Interface(인터페이스) 선택기에서 interface(인터페이스)를 선택합니다.
- Hello Interval and Hold Time(선택 사항)을 변경할 수 있습니다.
- Split Horizon은 기본적으로 사용됩니다. 선택 취소할 수 있습니다.
- OK(확인) 및 Save(저장)를 클릭합니다.
문제 해결
문제 해결 단계
- show 명령을 사용하여 인접 디바이스 상태를 확인합니다.
- 토폴로지 테이블의 내용을 확인하려면 show ipv6 eigrp topology output을 선택합니다.
- EIGRP와 관련된 주요 이벤트에 대한 유용한 정보를 제공할 수 있는 show ipv6 eigrp events 명령을 사용합니다.
- show eigrp tech-support detailed를 사용하여 인접 디바이스 및 토폴로지 테이블 타이머 값을 확인합니다.
ipv6 eigrp 이벤트 표시
show ipv6 eigrp events는 디버깅에 유용한 시스템의 중요한 이벤트 로깅을 표시합니다.
ciscoasa(config-rtr)# show ipv6 eigrp events
Event information for AS 50:
1 18:05:56.203 Metric set: 1001::/64 768
2 18:05:56.203 Route installing: 1001::/64 fe80::250:56ff:fe9f:e7e8
4 18:05:56.203 FC sat rdbmet/succmet: 768 512
5 18:05:56.203 Rcv update dest/nh: 1001::/64 fe80::250:56ff:fe9f:e7e8
6 18:05:56.203 Change queue emptied, entries: 1
7 18:05:56.203 Metric set: 1001::/64 768
8 18:05:56.203 Update reason, delay: new if 4294967295
ipv6 eigrp 타이머 표시
show ipv6 eigrp timers는 현재 hello 타이머와 적용된 보류 타이머를 보여줍니다.
- hello 간격 및 보류 타이머의 기본 타이머는 5초 및 15초입니다.
- NBMA가 대역폭이 낮은 인터페이스인 경우 hello 타이머의 기본값은 15초이며, 보류 타이머의 기본값은 180초입니다
ciscoasa(config-rtr)# show ipv6 eigrp timers
EIGRP-IPv6 Timers for AS(50)
Hello Process
Expiration Type
| 0 .406 (parent)
| 0 .406 Hello (m2)
Update Process
Expiration Type
| 11.600 (parent)
| 11.600 (parent)
| 11.600 Peer holding
| 11.930 (parent)
| 11.930 Peer holding
ipv6 eigrp 토폴로지 표시
show ipv6 eigrp topology 토폴로지 테이블은 인접 라우터가 광고하는 모든 대상으로 구성됩니다.
ciscoasa(config-rtr)# show ipv6 eigrp topology
EIGRP-IPv6 Topology Table for AS(50)/ID(172.27.173.103)
Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,
r - reply Status, s - sia Status
P 1001::/64, 1 successors, FD is 768, serno 8907
via fe80::250:56ff:fe9f:8d83 (768/512), m2
P 3001::/64, 1 successors, FD is 768, serno 8906
via fe80::250:56ff:fe9f:8d83 (768/512), m2
P 2001::/64, 1 successors, FD is 768, serno 8905
via fe80::250:56ff:fe9f:8d83 (768/512), m2
EIGRP용 Tech 표시
Show tech는 타이머 매개 변수, 네이버 세부 정보, EIGRP에 대한 트래픽 통계, 메모리 사용량 카운터 등을 비롯한 유용한 정보를 수집하므로 문제 해결에 사용할 수 있습니다.
ciscoasa(config-if)# show eigrp tech-support detailed ?
exec mode commands/options:
| Output modifiers
<cr>
ciscoasa(config-if)#
샘플 문제
네이버 형성과 관련하여 문제가 발생했습니다.
- 네이버 형성과 관련하여 문제가 발생하는 경우:
- 라우터 모드 컨피그레이션에서 라우터 ID가 명시적으로 구성되지 않은 경우 IPv4 주소가 하나 이상 구성되어 있는지 확인합니다.
- 라우터 모드 컨피그레이션에서 router-id를 구성해야 합니다.
개정 이력
| 개정 | 게시 날짜 | 의견 |
|---|---|---|
|
2.0
|
2024년 7월 19일
|
서식이 업데이트되었습니다.
|
|
1.0
|
2024년 7월 18일
|
최초 릴리스
|
개정 이력
| 개정 | 게시 날짜 | 의견 |
|---|---|---|
1.0 |
29-Jul-2024 |
최초 릴리스 |
피드백