본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.
Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.
이 문서에서는 FMC를 관리자로 사용하여 FTD 디바이스에서 OSPF 컨피그레이션을 확인하고 문제를 해결하는 방법에 대해 설명합니다.
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
FTD 디바이스와 다른 OSPF 지원 디바이스 간의 동적 라우팅을 사용하도록 FMC에서 OSPF를 구성할 수 있습니다.
FMC에서는 서로 다른 인터페이스 집합에 대해 두 개의 OSPF 프로세스를 동시에 실행할 수 있습니다.
각 디바이스에는 OSPF 프로세스의 디바이스 이름과 같은 라우터 ID가 있습니다. 이는 기본적으로 하위 인터페이스 IP로 설정되지만 다른 IP로 사용자 지정할 수 있습니다.
중요한 점은 이러한 매개변수가 네이버에서 일치해야 OSPF 인접성을 형성할 수 있다는 것입니다.
이 섹션에서는 OSPF가 인접 디바이스와의 인접성 검색을 시작하도록 구성된 기본 매개변수를 보여줍니다.
1. Devices(디바이스) > Device Management(디바이스 관리) > Edit device(디바이스 수정)로 이동합니다
2. 공정순서 탭을 클릭합니다.
3. 왼쪽 메뉴 모음에서 OSPF를 클릭합니다.
4. 프로세스 1을 선택하여 OSPF 컨피그레이션을 활성화합니다. FTD는 서로 다른 인터페이스 집합에서 두 개의 동시 프로세스를 실행할 수 있습니다.
ABR(Area Border Router)은 서로 다른 두 영역 사이에 위치하고 ASBR(Autonomous System Border Router)은 다른 라우팅 프로토콜을 사용하는 디바이스 사이에 위치합니다.
5. OSPF 역할을 Internal, ABR, ASBR, ABR 및 ASBR로 선택합니다.
6. (선택 사항) 자동 라우터 ID를 변경합니다. OSPF 역할 옆의 Advanced(고급)를 선택하고 Router ID as IP address(라우터 ID를 IP 주소로 선택하여 사용자 지정합니다.
7. 영역 > 추가를 선택합니다.
8. 영역 정보를 입력합니다.
9. 확인을 클릭하여 구성을 저장합니다.
FTD는 하나의 OSPF 프로세스에서 다른 프로세스로 경로를 재배포할 수 있습니다. RIP, BGP, EIGRP(7.2+ 버전), 고정 경로 및 연결된 경로를 OSPF 라우팅 프로세스로 재배포할 수도 있습니다.
1. OSPF 재배포를 구성하려면 Devices(디바이스) > Device Management(디바이스 관리) > Edit device(디바이스 수정)로 이동합니다.
2. 공정순서를 클릭합니다.
3. OSPF를 클릭합니다.
4. 재분배 > 추가를 선택합니다.
5. 재분배 필드를 입력합니다.
BGP 및 EIGRP의 경우 AS 번호를 추가합니다.
6. (선택 사항) 서브넷을 사용할지 여부를 선택합니다.
7. 척도 유형을 선택합니다.
8. 확인을 클릭하여 변경 사항을 저장합니다.
영역 간 필터링을 수행할 수 있습니다. 즉, 인바운드 또는 아웃바운드 전송 경로를 영역에서 다른 영역으로 제한합니다. 이 작업은 ABR에서만 수행됩니다.
OSPF 컨피그레이션에 연결된 접두사 목록으로 필터링이 구성됩니다. 이 기능은 선택 사항이며 OSPF가 작동하는 데 필요하지 않습니다.
1. OSPF 영역 간 필터링을 구성하려면 Devices(디바이스) > Device Management(디바이스 관리) > Edit device(디바이스 수정)로 이동합니다.
2. 공정순서를 클릭합니다.
3. OSPF를 클릭합니다.
4. 영역 간 > 추가를 선택합니다.
5. 필터링 필드를 구성합니다.
6. 접두사 목록을 구성한 경우 단계 10으로 이동합니다. 새 기호를 생성해야 하는 경우 더하기 기호를 선택하거나 Objects(개체) > Object Management(개체 관리) > Prefix Lists(접두사 목록) > IPv4 prefix list(IPv4 접두사 목록) > Add(추가)에서 만들 수 있습니다.
7. 항목 추가를 클릭합니다.
8. 다음 필드로 접두사 목록을 구성합니다.
9. 확인을 클릭하여 접두사 목록을 저장합니다.
10. 확인을 클릭하여 영역 간 구성을 저장합니다.
OSPF에 참여하는 각 인터페이스에 대해 수정할 수 있는 특정 매개변수가 있습니다.
1. OSPF 인터페이스 매개변수를 구성하려면 Devices(디바이스) > Device Management(디바이스 관리) > Edit device(디바이스 수정)로 이동합니다.
2. 공정순서를 클릭합니다.
3. OSPF를 클릭합니다.
4. 인터페이스 > 추가를 선택합니다.
5. 수정할 매개변수를 선택합니다
OSPF Hello 패킷은 디바이스 간의 인접성을 유지하기 위해 전송됩니다. 이러한 패킷은 구성 가능한 간격으로 전송됩니다. 디바이스가 데드 간격(또한 구성 가능) 내에 인접 디바이스로부터 hello 패킷을 수신하지 않는 경우, 인접 디바이스는 중단 상태로 변경됩니다.
hello 간격은 기본적으로 10초이며, dead 간격은 hello 간격의 4배인 40초입니다. 이러한 간격은 인접 디바이스 간에 일치해야 합니다.
MTU ignore(MTU 무시) 확인란은 인접 인터페이스 간의 MTU 불일치로 인해 OSPF 인접성이 EXSTART 상태에 머물지 않도록 하는 옵션입니다. 이 상태에서 DBD가 네이버 간에 전송되며 크기가 다르면 문제가 발생할 수 있으므로 MTU 일치가 확인됩니다. 그러나 모범 사례는 이 옵션을 선택하지 않는 것입니다.
3가지 유형의 인터페이스 OSPF 인증을 선택할 수 있습니다. 기본적으로 인증은 활성화되어 있지 않습니다.
보안을 제공하는 해싱 알고리즘이므로 MD5를 인증으로 사용하는 것이 좋습니다.
MD5 ID 및 MD5 키를 구성하고 OK를 클릭하여 저장합니다.
MD5 키 또는 비밀번호는 인증된 네이버의 인터페이스 매개변수와 일치해야 합니다.
이 네트워크 토폴로지를 예로 들어 보겠습니다.
다음 사항을 고려하십시오.
내부 FTD의 컨피그레이션은 다음과 같습니다.
MD5 인증을 사용한 인터페이스 컨피그레이션
interface GigabitEthernet0/0
nameif inside
security-level 0
ip address 10.6.11.1 255.255.255.0
ospf message-digest-key 1 md5 *****
ospf authentication message-digest
!
interface GigabitEthernet0/1
nameif outside
security-level 0
ip address 10.3.11.2 255.255.255.0
ospf message-digest-key 1 md5 *****
ospf authentication message-digest
!
OSPF 컨피그레이션에서는 네트워크 10.3.11.0/24이 영역 0에 광고되고 네트워크 10.6.11.0/24이 영역 1의 네이버에 광고된다고 설명합니다.
영역 간 필터링은 영역 0으로 들어오는 인바운드 경로에 접두사 목록을 적용합니다. 이 접두사 목록에서는 내부 라우터의 네트워크 192.168.4.0이 거부되고 다른 모든 것이 허용됩니다.
router ospf 1
network 10.3.11.0 255.255.255.0 area 0
network 10.6.11.0 255.255.255.0 area 1
area 0 filter-list prefix filter_192.168.4.0 in
log-adj-changes
prefix-list filter_192.168.4.0 seq 5 deny 192.168.4.0/24
prefix-list filter_192.168.4.0 seq 10 permit 0.0.0.0/0 le 32
외부 FTD의 컨피그레이션은 CLI에서 다음과 같이 표시됩니다.
MD5 인증을 사용하는 인터페이스 컨피그레이션입니다.
interface GigabitEthernet0/0
nameif inside
security-level 0
ip address 10.3.11.1 255.255.255.0
ospf message-digest-key 1 md5 *****
ospf authentication message-digest
!
interface GigabitEthernet0/1
nameif outside
security-level 0
ip address 172.16.11.1 255.255.255.0
!
OSPF 컨피그레이션에서는 경로 10.3.11.0/24이 영역 0의 내부 FTD에 광고됨을 보여줍니다.
OSPF로의 BGP 재배포도 관찰할 수 있습니다.
router ospf 1
network 10.3.11.0 255.255.255.0 area 0
log-adj-changes
redistribute bgp 312 subnets
OSPF가 예상대로 작동하는지 여부를 확인하는 데 유용한 몇 가지 명령이 있습니다.
참고: 이 명령은 FTD 문제 해결 파일이 OSPF 컨피그레이션과 별개로 생성되고 FTD CLI에서 수동으로 입력해야 할 경우 show tech 파일에 표시되지 않습니다.
이 명령은 OSPF뿐만 아니라 동적 라우팅 프로토콜의 컨피그레이션도 표시합니다.
CLI에서 OSPF 관련 컨피그레이션을 확인하는 데 유용합니다.
show route 출력에는 현재 사용 가능한 경로에 대한 중요한 정보가 표시됩니다.
show route output from Internal FTD(내부 FTD의 경로 출력)를 보면 ASBR 네이버 10.3.11.1에서 알려진 3개의 외부 경로가 있음을 알 수 있습니다.
또한 같은 영역에서 네이버 10.6.11.2에서 학습한 네트워크 192.168.4.0/24도 보여 줍니다.
Internal-FTD# show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, + - replicated route SI - Static InterVRF Gateway of last resort is not set C 10.3.11.0 255.255.255.0 is directly connected, outside L 10.3.11.2 255.255.255.255 is directly connected, outside O E2 10.5.11.0 255.255.255.224 [110/1] via 10.3.11.1, 6w5d, outside O E2 10.5.11.32 255.255.255.224 [110/1] via 10.3.11.1, 6w5d, outside O E2 10.5.11.64 255.255.255.224 [110/1] via 10.3.11.1, 6w5d, outside C 10.6.11.0 255.255.255.0 is directly connected, inside L 10.6.11.1 255.255.255.255 is directly connected, inside O 192.168.4.0 255.255.255.0 [110/20] via 10.6.11.2, 02:19:24, inside
외부 FTD에서 경로 10.6.11.0/24이 인접 디바이스 10.3.11.2에서 알려지며 다른 영역에 속함을 확인할 수 있습니다.
경로 192.168.4.0/24은 내부 FTD에서 필터링되었으므로 이 출력에서 관찰되지 않습니다.
또한 다른 디바이스에서 학습된 3개의 BGP 경로가 있으며, 이는 Internal FTD에 나와 있는 것처럼 External type 2 경로로서 OSPF에 재배포됩니다.
External-FTD# show route Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, + - replicated route SI - Static InterVRF, BI - BGP InterVRF Gateway of last resort is not set C 10.3.11.0 255.255.255.0 is directly connected, inside L 10.3.11.1 255.255.255.255 is directly connected, inside B 10.5.11.0 255.255.255.224 [20/0] via 172.16.11.2, 6w5d B 10.5.11.32 255.255.255.224 [20/0] via 172.16.11.2, 6w5d B 10.5.11.64 255.255.255.224 [20/0] via 172.16.11.2, 6w5d O IA 10.6.11.0 255.255.255.0 [110/20] via 10.3.11.2, 02:03:27, inside C 172.16.11.0 255.255.255.0 is directly connected, outside L 172.16.11.1 255.255.255.255 is directly connected, outside
이 명령은 OSPF 인접성의 상태가 무엇이며 해당 인접 디바이스가 DR(Designated Router), BDR(Backup Designated Router) 또는 DROTHER(기타)인지 확인하는 데 도움이 됩니다.
DR은 네트워크에 변경 사항이 있을 때마다 동일한 서브넷의 나머지 디바이스를 업데이트하는 디바이스입니다. 더 이상 사용할 수 없는 경우 BDR이 DR 역할을 수행합니다.
이 기능은 인접 디바이스의 라우터 ID는 물론 인접 디바이스가 알려진 IP 주소 및 인터페이스도 표시하므로 유용합니다.
데드 타임 카운트다운도 관찰됩니다. 기본 타이머가 있는 경우 00:40에서 00:30으로 내려간 시간을 확인할 수 있습니다. 이 시간은 새 hello 패킷이 전송되고 타이머가 다시 시작됩니다.
이 시간이 0까지 가면 인접성이 상실된다.
이 예에서 Internal FTD(내부 FTD) 출력은 이 디바이스가 FULL(전체) 상태인 BDR이며, 두 네이버 각각은 각 인터페이스에서 연결 가능한 DR입니다. 해당 라우터 ID는 각각 10.3.11.1 및 192.168.4.1입니다.
Internal-FTD# show ospf neighbor Neighbor ID Pri State Dead Time Address Interface 10.3.11.1 1 FULL/DR 0:00:38 10.3.11.1 outside 192.168.4.1 1 FULL/DR 0:00:33 10.6.11.2 inside
show ospf interface 출력은 자세한 정보를 표시하고 구성된 각 인터페이스에서 OSPF 프로세스에 대한 더 폭넓은 비전을 제공합니다.
다음은 이 출력에서 볼 수 있는 매개 변수 중 일부입니다.
Internal FTD의 다음 출력에서는 이 디바이스가 실제로 두 인터페이스의 BDR이며 인접 디바이스가 show ospf neighbors의 정보와 일치함을 확인할 수 있습니다.
Internal-FTD#show ospf interface
outside is up, line protocol is up
Internet Address 10.3.11.2 mask 255.255.255.0, Area 0
Process ID 1, Router ID 10.6.11.1, Network Type BROADCAST, Cost: 10
Transmit Delay is 1 sec, State BDR, Priority 1
Designated Router (ID) 10.3.11.1, Interface address 10.3.11.1
Backup Designated router (ID) 10.6.11.1, Interface address 10.3.11.2
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
oob-resync timeout 40
Hello due in 0:00:04
Supports Link-local Signaling (LLS)
Cisco NSF helper support enabled
IETF NSF helper support enabled
Index 1/1, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 1, maximum is 2
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 1, Adjacent neighbor count is 1
Adjacent with neighbor 10.3.11.1 (Designated Router)
Suppress hello for 0 neighbor(s)
Cryptographic authentication enabled
Youngest key id is 1
inside is up, line protocol is up
Internet Address 10.6.11.1 mask 255.255.255.0, Area 1
Process ID 1, Router ID 10.6.11.1, Network Type BROADCAST, Cost: 10
Transmit Delay is 1 sec, State BDR, Priority 1
Designated Router (ID) 192.168.4.1, Interface address 10.6.11.2
Backup Designated router (ID) 10.6.11.1, Interface address 10.6.11.1
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
oob-resync timeout 40
Hello due in 0:00:03
Supports Link-local Signaling (LLS)
Cisco NSF helper support enabled
IETF NSF helper support enabled
Index 1/2, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 1, maximum is 2
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 1, Adjacent neighbor count is 1
Adjacent with neighbor 192.168.4.1 (Designated Router)
Suppress hello for 0 neighbor(s)
Cryptographic authentication enabled
Youngest key id is 1
이 명령에는 OSPF의 LSA(Link State Advertisement) 유형에 대한 추가 정보가 있습니다. 출력이 복잡하고 더 심층적인 트러블슈팅에만 도움이 됩니다.
LSA는 OSPF가 전체 라우팅 테이블을 전송하는 대신 디바이스 간에 정보 및 업데이트를 교환하는 방식입니다.
가장 일반적인 LSA 유형은 다음과 같습니다.
Type 1 - Router Link States - Advertising 라우터의 라우터 ID
Type 2 - Network Link States(유형 2 - 네트워크 링크 상태) - Designated Router(전용 라우터)와 동일한 링크에서 연결된 인터페이스.
Type 3 - Summary Network Link States - ABR(Area Border Router)에 의해 이 영역에 삽입된 영역 간 경로입니다.
Type 4 - Summary ASB Link States - ASBR(Autonomous System Border Router)의 라우터 ID.
Type 5 - AS External Link States - ASBR에서 학습한 외부 경로.
이를 염두에 두고 이 명령의 출력을 Internal FTD 예에서 해석할 수 있습니다.
Internal-FTD# show ospf database OSPF Router with ID (10.6.11.1) (Process ID 1) Router Link States (Area 0) Link ID ADV Router Age Seq# Checksum Link count 10.3.11.1 10.3.11.1 234 0x8000002b 0x4c4d 1 10.6.11.1 10.6.11.1 187 0x8000002e 0x157b 1 Net Link States (Area 0) Link ID ADV Router Age Seq# Checksum 10.3.11.1 10.3.11.1 234 0x80000029 0x7f2b Summary Net Link States (Area 0) Link ID ADV Router Age Seq# Checksum 10.6.11.0 10.6.11.1 187 0x8000002a 0x7959 Router Link States (Area 1) Link ID ADV Router Age Seq# Checksum Link count 10.6.11.1 10.6.11.1 187 0x8000002c 0x513b 1 192.168.4.1 192.168.4.1 1758 0x8000002a 0x70f1 2 Net Link States (Area 1) Link ID ADV Router Age Seq# Checksum 10.6.11.2 192.168.4.1 1759 0x80000028 0xd725 Summary Net Link States (Area 1) Link ID ADV Router Age Seq# Checksum 10.3.11.0 10.6.11.1 189 0x80000029 0x9f37 Summary ASB Link States (Area 1) Link ID ADV Router Age Seq# Checksum 10.3.11.1 10.6.11.1 189 0x80000029 0x874d Type-5 AS External Link States Link ID ADV Router Age Seq# Checksum Tag 10.5.11.0 10.3.11.1 1726 0x80000028 0x152b 311 10.5.11.32 10.3.11.1 1726 0x80000028 0xd34c 311 10.5.11.64 10.3.11.1 1726 0x80000028 0x926d 311
개정 | 게시 날짜 | 의견 |
---|---|---|
1.0 |
14-Feb-2024 |
최초 릴리스 |