FTD에서 OSPF 컨피그레이션 문제 해결
소개
이 문서에서는 FMC를 관리자로 사용하여 FTD 디바이스에서 OSPF 컨피그레이션을 확인하고 문제를 해결하는 방법에 대해 설명합니다.
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- OSPF(Open Shortest Path First) 개념 및 기능
- Cisco FMC(Secure Firewall Management Center)
- Cisco FTD(Secure Firewall Threat Defense)
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
- 가상 FTD 7.2.5
- 가상 FMC 7.2.5
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
OSPF 백그라운드
FTD 디바이스와 다른 OSPF 지원 디바이스 간의 동적 라우팅을 사용하도록 FMC에서 OSPF를 구성할 수 있습니다.
FMC에서는 서로 다른 인터페이스 집합에 대해 두 개의 OSPF 프로세스를 동시에 실행할 수 있습니다.
각 디바이스에는 OSPF 프로세스의 디바이스 이름과 같은 라우터 ID가 있습니다. 이는 기본적으로 하위 인터페이스 IP로 설정되지만 다른 IP로 사용자 지정할 수 있습니다.
중요한 점은 이러한 매개변수가 네이버에서 일치해야 OSPF 인접성을 형성할 수 있다는 것입니다.
- 인터페이스가 동일한 IP 네트워크에 속함
- 서브넷 마스크
- 영역
- Hello 및 Dead 간격
- MTU
- 영역 유형(일반/NSSA/스텁)
- 인증
기본 설정
이 섹션에서는 OSPF가 인접 디바이스와의 인접성 검색을 시작하도록 구성된 기본 매개변수를 보여줍니다.
1. Devices(디바이스) > Device Management(디바이스 관리) > Edit device(디바이스 수정)로 이동합니다
2. 공정순서 탭을 클릭합니다.
3. 왼쪽 메뉴 모음에서 OSPF를 클릭합니다.
4. 프로세스 1을 선택하여 OSPF 컨피그레이션을 활성화합니다. FTD는 서로 다른 인터페이스 집합에서 두 개의 동시 프로세스를 실행할 수 있습니다.
ABR(Area Border Router)은 서로 다른 두 영역 사이에 위치하고 ASBR(Autonomous System Border Router)은 다른 라우팅 프로토콜을 사용하는 디바이스 사이에 위치합니다.
5. OSPF 역할을 Internal, ABR, ASBR, ABR 및 ASBR로 선택합니다.
역할 선택
6. (선택 사항) 자동 라우터 ID를 변경합니다. OSPF 역할 옆의 Advanced(고급)를 선택하고 Router ID as IP address(라우터 ID를 IP 주소로 선택하여 사용자 지정합니다.
라우터 ID 선택
7. 영역 > 추가를 선택합니다.
8. 영역 정보를 입력합니다.
- OSPF 프로세스
- 영역 ID
- 영역 유형
- 사용 가능한 네트워크
9. 확인을 클릭하여 구성을 저장합니다.
영역 선택
재배포
FTD는 하나의 OSPF 프로세스에서 다른 프로세스로 경로를 재배포할 수 있습니다. RIP, BGP, EIGRP(7.2+ 버전), 고정 경로 및 연결된 경로를 OSPF 라우팅 프로세스로 재배포할 수도 있습니다.
1. OSPF 재배포를 구성하려면 Devices(디바이스) > Device Management(디바이스 관리) > Edit device(디바이스 수정)로 이동합니다.
2. 공정순서를 클릭합니다.
3. OSPF를 클릭합니다.
4. 재분배 > 추가를 선택합니다.
5. 재분배 필드를 입력합니다.
- OSPF 프로세스
- 경로 유형(재배포 위치)
- 고정
- 연결됨
- OSPF 프로세스
- BGP
- RIP
- EIGRP
BGP 및 EIGRP의 경우 AS 번호를 추가합니다.
6. (선택 사항) 서브넷을 사용할지 여부를 선택합니다.
7. 척도 유형을 선택합니다.
- 유형 1은 외부 메트릭을 사용하고 각 홉의 내부 비용을 더하여 ASBR로 이어집니다.
- 유형 2는 외부 메트릭만 사용합니다.
8. 확인을 클릭하여 변경 사항을 저장합니다.
재배포 구성
필터링
영역 간 필터링을 수행할 수 있습니다. 즉, 인바운드 또는 아웃바운드 전송 경로를 영역에서 다른 영역으로 제한합니다. 이 작업은 ABR에서만 수행됩니다.
OSPF 컨피그레이션에 연결된 접두사 목록으로 필터링이 구성됩니다. 이 기능은 선택 사항이며 OSPF가 작동하는 데 필요하지 않습니다.
1. OSPF 영역 간 필터링을 구성하려면 Devices(디바이스) > Device Management(디바이스 관리) > Edit device(디바이스 수정)로 이동합니다.
2. 공정순서를 클릭합니다.
3. OSPF를 클릭합니다.
4. 영역 간 > 추가를 선택합니다.
5. 필터링 필드를 구성합니다.
- OSPF 프로세스
- 영역 ID
- 접두사 목록
- 트래픽 방향 - 인바운드 또는 아웃바운드
영역 간 필터링 컨피그레이션
6. 접두사 목록을 구성한 경우 단계 10으로 이동합니다. 새 기호를 생성해야 하는 경우 더하기 기호를 선택하거나 Objects(개체) > Object Management(개체 관리) > Prefix Lists(접두사 목록) > IPv4 prefix list(IPv4 접두사 목록) > Add(추가)에서 만들 수 있습니다.
7. 항목 추가를 클릭합니다.
8. 다음 필드로 접두사 목록을 구성합니다.
- 시퀀스 번호
- IP 주소
- 작업
- 최소/최대 접두사 길이(선택 사항)
접두사 목록 개체 수정
9. 확인을 클릭하여 접두사 목록을 저장합니다.
10. 확인을 클릭하여 영역 간 구성을 저장합니다.
인터페이스 매개변수
OSPF에 참여하는 각 인터페이스에 대해 수정할 수 있는 특정 매개변수가 있습니다.
1. OSPF 인터페이스 매개변수를 구성하려면 Devices(디바이스) > Device Management(디바이스 관리) > Edit device(디바이스 수정)로 이동합니다.
2. 공정순서를 클릭합니다.
3. OSPF를 클릭합니다.
4. 인터페이스 > 추가를 선택합니다.
5. 수정할 매개변수를 선택합니다
안녕하세요데드 타이머
OSPF Hello 패킷은 디바이스 간의 인접성을 유지하기 위해 전송됩니다. 이러한 패킷은 구성 가능한 간격으로 전송됩니다. 디바이스가 데드 간격(또한 구성 가능) 내에 인접 디바이스로부터 hello 패킷을 수신하지 않는 경우, 인접 디바이스는 중단 상태로 변경됩니다.
hello 간격은 기본적으로 10초이며, dead 간격은 hello 간격의 4배인 40초입니다. 이러한 간격은 인접 디바이스 간에 일치해야 합니다.
타이머 구성
MTU Ignore-OSPF
MTU ignore(MTU 무시) 확인란은 인접 인터페이스 간의 MTU 불일치로 인해 OSPF 인접성이 EXSTART 상태에 머물지 않도록 하는 옵션입니다. 이 상태에서 DBD가 네이버 간에 전송되며 크기가 다르면 문제가 발생할 수 있으므로 MTU 일치가 확인됩니다. 그러나 모범 사례는 이 옵션을 선택하지 않는 것입니다.
MTU 컨피그레이션 무시
인증
3가지 유형의 인터페이스 OSPF 인증을 선택할 수 있습니다. 기본적으로 인증은 활성화되어 있지 않습니다.
- 없음
- 암호 - 일반 텍스트 암호
- MD5 - MD5 해싱 사용
보안을 제공하는 해싱 알고리즘이므로 MD5를 인증으로 사용하는 것이 좋습니다.
MD5 ID 및 MD5 키를 구성하고 OK를 클릭하여 저장합니다.
MD5 키 컨피그레이션
MD5 키 또는 비밀번호는 인증된 네이버의 인터페이스 매개변수와 일치해야 합니다.
일반 CLI 확인
토폴로지 예
이 네트워크 토폴로지를 예로 들어 보겠습니다.
네트워크 토폴로지 예
다음 사항을 고려하십시오.
- OSPF는 외부 FTD, 내부 FTD 및 내부 라우터에 구성됩니다.
- 외부 FTD는 ASBR 역할, 내부 FTD는 ABR, 내부 라우터는 내부 역할로 선택됩니다.
- 영역 0은 외부 FTD와 내부 FTD 간에 생성되고 영역 1은 내부 FTD와 내부 라우터 간에 생성됩니다.
- 외부 FTD는 다른 디바이스와의 BGP 네이버십도 수행합니다.
- 자율 시스템(312)에 의해 학습된 BGP 경로는 OSPF로 재배포된다.
- MTU 및 간격은 기본값으로 구성됩니다.
- 내부 FTD는 내부 라우터에서 학습한 영역 0에 대한 인바운드 영역 간 경로를 필터링합니다.
- 인터페이스 인증은 OSPF에 참여하는 모든 디바이스에서 MD5로 구성됩니다.
내부 FTD
내부 FTD의 컨피그레이션은 다음과 같습니다.
MD5 인증을 사용한 인터페이스 컨피그레이션
interface GigabitEthernet0/0
nameif inside
security-level 0
ip address 10.6.11.1 255.255.255.0
ospf message-digest-key 1 md5 *****
ospf authentication message-digest
!
interface GigabitEthernet0/1
nameif outside
security-level 0
ip address 10.3.11.2 255.255.255.0
ospf message-digest-key 1 md5 *****
ospf authentication message-digest
!
OSPF 컨피그레이션에서는 네트워크 10.3.11.0/24이 영역 0에 광고되고 네트워크 10.6.11.0/24이 영역 1의 네이버에 광고된다고 설명합니다.
영역 간 필터링은 영역 0으로 들어오는 인바운드 경로에 접두사 목록을 적용합니다. 이 접두사 목록에서는 내부 라우터의 네트워크 192.168.4.0이 거부되고 다른 모든 것이 허용됩니다.
내부 FTD 영역 컨피그레이션
내부 FTD 필터링 컨피그레이션
내부 FTD 접두사 목록
router ospf 1
network 10.3.11.0 255.255.255.0 area 0
network 10.6.11.0 255.255.255.0 area 1
area 0 filter-list prefix filter_192.168.4.0 in
log-adj-changes
prefix-list filter_192.168.4.0 seq 5 deny 192.168.4.0/24
prefix-list filter_192.168.4.0 seq 10 permit 0.0.0.0/0 le 32
외부 FTD
외부 FTD의 컨피그레이션은 CLI에서 다음과 같이 표시됩니다.
MD5 인증을 사용하는 인터페이스 컨피그레이션입니다.
interface GigabitEthernet0/0
nameif inside
security-level 0
ip address 10.3.11.1 255.255.255.0
ospf message-digest-key 1 md5 *****
ospf authentication message-digest
!
interface GigabitEthernet0/1
nameif outside
security-level 0
ip address 172.16.11.1 255.255.255.0
!
OSPF 컨피그레이션에서는 경로 10.3.11.0/24이 영역 0의 내부 FTD에 광고됨을 보여줍니다.
OSPF로의 BGP 재배포도 관찰할 수 있습니다.
외부 FTD 영역 컨피그레이션
외부 FTD 재배포 컨피그레이션
router ospf 1
network 10.3.11.0 255.255.255.0 area 0
log-adj-changes
redistribute bgp 312 subnets
트러블슈팅 명령
OSPF가 예상대로 작동하는지 여부를 확인하는 데 유용한 몇 가지 명령이 있습니다.
참고: 이 명령은 FTD 문제 해결 파일이 OSPF 컨피그레이션과 별개로 생성되고 FTD CLI에서 수동으로 입력해야 할 경우 show tech 파일에 표시되지 않습니다.
show running-config router
이 명령은 OSPF뿐만 아니라 동적 라우팅 프로토콜의 컨피그레이션도 표시합니다.
CLI에서 OSPF 관련 컨피그레이션을 확인하는 데 유용합니다.
경로 표시
show route 출력에는 현재 사용 가능한 경로에 대한 중요한 정보가 표시됩니다.
- OSPF를 통해 학습된 경로는 문자 O와 함께 표시됩니다.
- O IA와 함께 영역 간 경로가 표시됩니다.
- 재배포를 통해 다른 라우팅 프로토콜에서 학습된 경로는 선택한 메트릭 유형에 따라 문자 O E1 또는 O E2를 표시합니다.
show route output from Internal FTD(내부 FTD의 경로 출력)를 보면 ASBR 네이버 10.3.11.1에서 알려진 3개의 외부 경로가 있음을 알 수 있습니다.
또한 같은 영역에서 네이버 10.6.11.2에서 학습한 네트워크 192.168.4.0/24도 보여 줍니다.
Internal-FTD# show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, + - replicated route SI - Static InterVRF Gateway of last resort is not set C 10.3.11.0 255.255.255.0 is directly connected, outside L 10.3.11.2 255.255.255.255 is directly connected, outside O E2 10.5.11.0 255.255.255.224 [110/1] via 10.3.11.1, 6w5d, outside O E2 10.5.11.32 255.255.255.224 [110/1] via 10.3.11.1, 6w5d, outside O E2 10.5.11.64 255.255.255.224 [110/1] via 10.3.11.1, 6w5d, outside C 10.6.11.0 255.255.255.0 is directly connected, inside L 10.6.11.1 255.255.255.255 is directly connected, inside O 192.168.4.0 255.255.255.0 [110/20] via 10.6.11.2, 02:19:24, inside
외부 FTD에서 경로 10.6.11.0/24이 인접 디바이스 10.3.11.2에서 알려지며 다른 영역에 속함을 확인할 수 있습니다.
경로 192.168.4.0/24은 내부 FTD에서 필터링되었으므로 이 출력에서 관찰되지 않습니다.
또한 다른 디바이스에서 학습된 3개의 BGP 경로가 있으며, 이는 Internal FTD에 나와 있는 것처럼 External type 2 경로로서 OSPF에 재배포됩니다.
External-FTD# show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF, BI - BGP InterVRF
Gateway of last resort is not set
C 10.3.11.0 255.255.255.0 is directly connected, inside
L 10.3.11.1 255.255.255.255 is directly connected, inside
B 10.5.11.0 255.255.255.224 [20/0] via 172.16.11.2, 6w5d
B 10.5.11.32 255.255.255.224 [20/0] via 172.16.11.2, 6w5d
B 10.5.11.64 255.255.255.224 [20/0] via 172.16.11.2, 6w5d
O IA 10.6.11.0 255.255.255.0 [110/20] via 10.3.11.2, 02:03:27, inside
C 172.16.11.0 255.255.255.0 is directly connected, outside
L 172.16.11.1 255.255.255.255 is directly connected, outside
show ospf neighbor
이 명령은 OSPF 인접성의 상태가 무엇이며 해당 인접 디바이스가 DR(Designated Router), BDR(Backup Designated Router) 또는 DROTHER(기타)인지 확인하는 데 도움이 됩니다.
DR은 네트워크에 변경 사항이 있을 때마다 동일한 서브넷의 나머지 디바이스를 업데이트하는 디바이스입니다. 더 이상 사용할 수 없는 경우 BDR이 DR 역할을 수행합니다.
이 기능은 인접 디바이스의 라우터 ID는 물론 인접 디바이스가 알려진 IP 주소 및 인터페이스도 표시하므로 유용합니다.
데드 타임 카운트다운도 관찰됩니다. 기본 타이머가 있는 경우 00:40에서 00:30으로 내려간 시간을 확인할 수 있습니다. 이 시간은 새 hello 패킷이 전송되고 타이머가 다시 시작됩니다.
이 시간이 0까지 가면 인접성이 상실된다.
이 예에서 Internal FTD(내부 FTD) 출력은 이 디바이스가 FULL(전체) 상태인 BDR이며, 두 네이버 각각은 각 인터페이스에서 연결 가능한 DR입니다. 해당 라우터 ID는 각각 10.3.11.1 및 192.168.4.1입니다.
Internal-FTD# show ospf neighbor Neighbor ID Pri State Dead Time Address Interface 10.3.11.1 1 FULL/DR 0:00:38 10.3.11.1 outside 192.168.4.1 1 FULL/DR 0:00:33 10.6.11.2 inside
show ospf interface
show ospf interface 출력은 자세한 정보를 표시하고 구성된 각 인터페이스에서 OSPF 프로세스에 대한 더 폭넓은 비전을 제공합니다.
다음은 이 출력에서 볼 수 있는 매개 변수 중 일부입니다.
- OSPF 프로세스 ID
- 라우터 ID
- 메트릭(비용)
- 상태 - DR, BDR 또는 DROTHER
- DR과 BDR은 누구입니까?
- Hello 및 Dead 타이머 간격
- 네이버 요약
- 인증 세부 정보
Internal FTD의 다음 출력에서는 이 디바이스가 실제로 두 인터페이스의 BDR이며 인접 디바이스가 show ospf neighbors의 정보와 일치함을 확인할 수 있습니다.
Internal-FTD#show ospf interface
outside is up, line protocol is up
Internet Address 10.3.11.2 mask 255.255.255.0, Area 0
Process ID 1, Router ID 10.6.11.1, Network Type BROADCAST, Cost: 10
Transmit Delay is 1 sec, State BDR, Priority 1
Designated Router (ID) 10.3.11.1, Interface address 10.3.11.1
Backup Designated router (ID) 10.6.11.1, Interface address 10.3.11.2
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
oob-resync timeout 40
Hello due in 0:00:04
Supports Link-local Signaling (LLS)
Cisco NSF helper support enabled
IETF NSF helper support enabled
Index 1/1, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 1, maximum is 2
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 1, Adjacent neighbor count is 1
Adjacent with neighbor 10.3.11.1 (Designated Router)
Suppress hello for 0 neighbor(s)
Cryptographic authentication enabled
Youngest key id is 1
inside is up, line protocol is up
Internet Address 10.6.11.1 mask 255.255.255.0, Area 1
Process ID 1, Router ID 10.6.11.1, Network Type BROADCAST, Cost: 10
Transmit Delay is 1 sec, State BDR, Priority 1
Designated Router (ID) 192.168.4.1, Interface address 10.6.11.2
Backup Designated router (ID) 10.6.11.1, Interface address 10.6.11.1
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
oob-resync timeout 40
Hello due in 0:00:03
Supports Link-local Signaling (LLS)
Cisco NSF helper support enabled
IETF NSF helper support enabled
Index 1/2, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 1, maximum is 2
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 1, Adjacent neighbor count is 1
Adjacent with neighbor 192.168.4.1 (Designated Router)
Suppress hello for 0 neighbor(s)
Cryptographic authentication enabled
Youngest key id is 1
ospf 데이터베이스 표시
이 명령에는 OSPF의 LSA(Link State Advertisement) 유형에 대한 추가 정보가 있습니다. 출력이 복잡하고 더 심층적인 트러블슈팅에만 도움이 됩니다.
LSA는 OSPF가 전체 라우팅 테이블을 전송하는 대신 디바이스 간에 정보 및 업데이트를 교환하는 방식입니다.
가장 일반적인 LSA 유형은 다음과 같습니다.
Type 1 - Router Link States - Advertising 라우터의 라우터 ID
Type 2 - Network Link States(유형 2 - 네트워크 링크 상태) - Designated Router(전용 라우터)와 동일한 링크에서 연결된 인터페이스.
Type 3 - Summary Network Link States - ABR(Area Border Router)에 의해 이 영역에 삽입된 영역 간 경로입니다.
Type 4 - Summary ASB Link States - ASBR(Autonomous System Border Router)의 라우터 ID.
Type 5 - AS External Link States - ASBR에서 학습한 외부 경로.
이를 염두에 두고 이 명령의 출력을 Internal FTD 예에서 해석할 수 있습니다.
- 데이터베이스는 영역별로 표시됩니다.
- 링크 ID 열에는 주목할 중요한 정보가 포함되어 있습니다.
- 앞에서 설명한 것처럼 Type 1은 영역에 있는 각 디바이스의 라우터 ID를, Type 2는 각 서브넷 링크의 DR을 표시합니다. 이 경우 영역 0의 경우 10.3.11.1, 영역 1의 경우 10.6.11.2입니다.
- Type 3은 Area 0의 경우 ABR 10.6.11.0, Area 1의 경우 10.3.11.0으로 각 영역에 주입된 영역 간 경로를 나타낸다.
- 유형 4는 ASBR의 라우터 ID를 보여줍니다. 영역 1에서는 10.3.11.1 디바이스가 프로세스의 ASBR인 것으로 간주합니다.
- Type 5는 ASBR에 의해 재배포된 경로를 보여줍니다. 이 경우 외부 경로는 10.5.11.0, 10.5.11.32, 10.5.11.64의 세 가지입니다.
Internal-FTD# show ospf database
OSPF Router with ID (10.6.11.1) (Process ID 1)
Router Link States (Area 0)
Link ID ADV Router Age Seq# Checksum Link count
10.3.11.1 10.3.11.1 234 0x8000002b 0x4c4d 1
10.6.11.1 10.6.11.1 187 0x8000002e 0x157b 1
Net Link States (Area 0)
Link ID ADV Router Age Seq# Checksum
10.3.11.1 10.3.11.1 234 0x80000029 0x7f2b
Summary Net Link States (Area 0)
Link ID ADV Router Age Seq# Checksum
10.6.11.0 10.6.11.1 187 0x8000002a 0x7959
Router Link States (Area 1)
Link ID ADV Router Age Seq# Checksum Link count
10.6.11.1 10.6.11.1 187 0x8000002c 0x513b 1
192.168.4.1 192.168.4.1 1758 0x8000002a 0x70f1 2
Net Link States (Area 1)
Link ID ADV Router Age Seq# Checksum
10.6.11.2 192.168.4.1 1759 0x80000028 0xd725
Summary Net Link States (Area 1)
Link ID ADV Router Age Seq# Checksum
10.3.11.0 10.6.11.1 189 0x80000029 0x9f37
Summary ASB Link States (Area 1)
Link ID ADV Router Age Seq# Checksum
10.3.11.1 10.6.11.1 189 0x80000029 0x874d
Type-5 AS External Link States
Link ID ADV Router Age Seq# Checksum Tag
10.5.11.0 10.3.11.1 1726 0x80000028 0x152b 311
10.5.11.32 10.3.11.1 1726 0x80000028 0xd34c 311
10.5.11.64 10.3.11.1 1726 0x80000028 0x926d 311
관련 정보
개정 이력
| 개정 | 게시 날짜 | 의견 |
|---|---|---|
1.0 |
14-Feb-2024 |
최초 릴리스 |
피드백