De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Dit document beschrijft hoe de OSPF-configuratie op FTD-apparaten kan worden geverifieerd en opgelost met behulp van FMC als beheerder.
Cisco raadt kennis van de volgende onderwerpen aan:
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
OSPF kan op FMC worden geconfigureerd om dynamische routing tussen FTD-apparaten en andere OSPF-compatibele apparaten te gebruiken.
Met het FMC kunnen twee OSPF-processen tegelijkertijd worden uitgevoerd voor verschillende interfaces.
Elk apparaat heeft een router-id, wat lijkt op de apparaatnaam in het OSPF-proces. Dit wordt standaard ingesteld op de onderste interface IP, maar kan worden aangepast aan een ander IP.
Iets belangrijks om op te merken is dat deze parameters op buren moeten aanpassen om OSPF nabijheid te vormen:
Deze sectie toont de basisparameters die voor OSPF worden gevormd beginnen naar nabijheid met zijn buren te zoeken.
1. Navigeer naar Apparaten > Apparaatbeheer > Apparaat bewerken
2. Klik op het tabblad Routing.
3. Klik op OSPF in de linkermenubalk.
4. Selecteer Proces 1 om OSPF-configuratie mogelijk te maken. FTD kan twee gelijktijdige processen op verschillende interfaces uitvoeren.
Een Area border router (ABR) bevindt zich tussen twee verschillende gebieden, terwijl Autonomous System border router (ASBR) zich bevindt tussen apparaten die gebruik maken van andere routeringsprotocollen.
5. Kies de OSPF-rol als Intern, ABR, ASBR en ABR en ASBR.
6. (optioneel) Wijzig automatische router-ID. Selecteer Geavanceerd, naast de OSPF-rol en selecteer Router-ID als IP-adres om het aan te passen.
7. Selecteer Gebied > Toevoegen.
8. Voer de informatie over het gebied in:
9. Klik op OK om de configuratie op te slaan.
FTD kan routes van één proces OSPF in een andere opnieuw verdelen. Herdistributie kan ook van RIP, BGP, EIGRP (7.2+ versie), statische en verbonden routes naar OSPF-routeringsproces komen.
1. Om OSPF herdistributie te configureren navigeer je naar Apparaten > Apparaatbeheer > Apparaat bewerken.
2. Klik op Routing
3. Klik op OSPF.
4. Selecteer Herdistributie > Toevoegen.
5. Voer de herdistributievelden in:
Voeg voor BGP en EIGRP het AS-nummer toe.
6. (Optioneel) Selecteer of subnetten moeten worden gebruikt.
7. Selecteer het metrieke type.
8. Klik op OK om de wijzigingen op te slaan.
U kunt een Inter-Area filtering uitvoeren, die de routes beperkt die van een Area naar een ander worden verzonden. Deze actie wordt alleen op ABR's uitgevoerd.
Het filtreren wordt gevormd met prefix-lijsten die dan met de configuratie OSPF verbonden zijn. Dit is een facultatieve eigenschap en is niet nodig voor OSPF om te werken.
1. Om OSPF intergebiedfiltering te configureren navigeer je naar Apparaten > Apparaatbeheer > Apparaat bewerken.
2. Klik op Routing
3. Klik op OSPF.
4. Selecteer Inter-Area > Add.
5. Configureer de filtervelden:
6. Ga naar stap 10 als u een prefixlijst hebt geconfigureerd. Als u een nieuwe moet maken, kunt u het plusteken selecteren of maken van Objecten > Objectbeheer > Prefixlijsten > IPv4 prefixlijst > Toevoegen.
7. Klik op Add entry.
8. Configureer de prefixlijst met deze velden:
9. Klik op OK om de prefixlijst op te slaan.
10. Klik op OK om de configuratie tussen de gebieden op te slaan.
Er zijn bepaalde parameters die voor elke interface kunnen worden gewijzigd die aan OSPF deelneemt.
1. Om OSPF interfaceparameters te vormen, navigeer aan Apparaten > Apparaatbeheer > Bewerk apparaat.
2. Klik op Routing
3. Klik op OSPF.
4. Selecteer Interface > Add.
5. Selecteer de parameters die u wilt wijzigen
De pakketten van OSPF Hello worden verzonden om nabijheid tussen apparaten te handhaven. Deze pakketten worden verzonden met een interval dat kan worden geconfigureerd. Als het apparaat geen hello pakketten van een buur binnen dood interval ontvangt, ook configureerbaar, verandert de buur in benedenstaat.
Het hello-interval is standaard 10 seconden en het dode interval is vier keer het hello-interval, 40 seconden. Deze intervallen moeten tussen buren overeenkomen.
De MTU negeer controledoos is een optie om OSPF nabijheid te vermijden om in staat worden geplakt EXSTART toe te schrijven aan MTU wanverhouding tussen buurinterfaces. MTU match is geverifieerd omdat in die staat DBD wordt verzonden tussen buren en een verschil in grootte kan tot problemen leiden. Het beste is echter om deze optie ongecontroleerd te laten.
U kunt drie verschillende typen interface-OSPF-verificatie selecteren. Verificatie is standaard niet ingeschakeld.
Aanbevolen wordt om MD5 als authenticatie te gebruiken, aangezien het een hashing algoritme is dat beveiliging biedt.
Configureer de MD5-id en de MD5-toets en klik op OK om op te slaan.
De MD5-toets of het wachtwoord moet overeenkomen met de interfaceparameters van de buur die wordt geverifieerd.
Beschouw deze netwerktopologie als een voorbeeld:
Houd rekening met deze overwegingen:
De configuratie van Interne FTD wordt getoond als dit:
Interfaceconfiguratie met MD5-verificatie
interface GigabitEthernet0/0
nameif inside
security-level 0
ip address 10.6.11.1 255.255.255.0
ospf message-digest-key 1 md5 *****
ospf authentication message-digest
!
interface GigabitEthernet0/1
nameif outside
security-level 0
ip address 10.3.11.2 255.255.255.0
ospf message-digest-key 1 md5 *****
ospf authentication message-digest
!
OSPF-configuratie geeft aan dat netwerk 10.3.11.0/24 wordt geadverteerd naar gebied 0 en netwerk 10.6.11.0/24 wordt geadverteerd naar buren op gebied 1.
Het inter-gebied filtreren past een prefix-lijst op binnenkomende routes toe die gebied 0 ingaan. In deze prefixlijst wordt het netwerk 192.168.4.0 van de interne router geweigerd en is al het andere toegestaan.
router ospf 1
network 10.3.11.0 255.255.255.0 area 0
network 10.6.11.0 255.255.255.0 area 1
area 0 filter-list prefix filter_192.168.4.0 in
log-adj-changes
prefix-list filter_192.168.4.0 seq 5 deny 192.168.4.0/24
prefix-list filter_192.168.4.0 seq 10 permit 0.0.0.0/0 le 32
De configuratie van Externe FTD wordt getoond als dit in CLI:
Interfaceconfiguratie met MD5-verificatie.
interface GigabitEthernet0/0
nameif inside
security-level 0
ip address 10.3.11.1 255.255.255.0
ospf message-digest-key 1 md5 *****
ospf authentication message-digest
!
interface GigabitEthernet0/1
nameif outside
security-level 0
ip address 172.16.11.1 255.255.255.0
!
De configuratie van OSPF toont aan dat de route 10.3.11.0/24 aan Interne FTD in Gebied 0 wordt geadverteerd.
De BGP-herverdeling in OSPF kan ook worden waargenomen.
router ospf 1
network 10.3.11.0 255.255.255.0 area 0
log-adj-changes
redistribute bgp 312 subnets
Er zijn verscheidene bevelen die nuttig zijn om te bepalen of OSPF zoals verwacht werkt.
Opmerking: deze opdrachten worden niet weergegeven in de show tech-bestanden wanneer FTD Problemen oplossen bestanden worden gegenereerd behalve OSPF-configuratie en handmatig moeten worden ingevoerd vanuit FTD CLI.
Dit bevel toont de configuratie van de dynamische routeringsprotocollen, niet alleen OSPF.
Handig om OSPF-gerelateerde configuratie in de CLI te controleren.
De output van de showroute geeft belangrijke informatie over de huidige beschikbare routes.
toont routeoutput van Interne FTD toont aan dat er drie externe routes zijn die van buur 10.3.11.1 ASBR gekend zijn.
Het toont ook netwerk 192.168.4.0/24 geleerd van buur 10.6.11.2 op zijn zelfde gebied.
Internal-FTD# show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, + - replicated route SI - Static InterVRF Gateway of last resort is not set C 10.3.11.0 255.255.255.0 is directly connected, outside L 10.3.11.2 255.255.255.255 is directly connected, outside O E2 10.5.11.0 255.255.255.224 [110/1] via 10.3.11.1, 6w5d, outside O E2 10.5.11.32 255.255.255.224 [110/1] via 10.3.11.1, 6w5d, outside O E2 10.5.11.64 255.255.255.224 [110/1] via 10.3.11.1, 6w5d, outside C 10.6.11.0 255.255.255.0 is directly connected, inside L 10.6.11.1 255.255.255.255 is directly connected, inside O 192.168.4.0 255.255.255.0 [110/20] via 10.6.11.2, 02:19:24, inside
Vanuit Externe FTD kan worden opgemerkt dat route 10.6.11.0/24 bekend is van buurland 10.3.11.2 en tot een ander gebied behoort.
De route 192.168.4.0/24 wordt niet waargenomen in deze output omdat het op Interne FTD werd gefilterd.
Bovendien zijn er drie BGP-routes die van een ander apparaat zijn geleerd die in OSPF worden herverdeeld als Externe type 2-routes zoals te zien in Interne FTD.
External-FTD# show route Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, + - replicated route SI - Static InterVRF, BI - BGP InterVRF Gateway of last resort is not set C 10.3.11.0 255.255.255.0 is directly connected, inside L 10.3.11.1 255.255.255.255 is directly connected, inside B 10.5.11.0 255.255.255.224 [20/0] via 172.16.11.2, 6w5d B 10.5.11.32 255.255.255.224 [20/0] via 172.16.11.2, 6w5d B 10.5.11.64 255.255.255.224 [20/0] via 172.16.11.2, 6w5d O IA 10.6.11.0 255.255.255.0 [110/20] via 10.3.11.2, 02:03:27, inside C 172.16.11.0 255.255.255.0 is directly connected, outside L 172.16.11.1 255.255.255.255 is directly connected, outside
Deze opdracht helpt te verifiëren wat de status van de OSPF-nabijheid is en of die buur een toegewezen router (DR), een back-up toegewezen router (BDR) of een andere router (DROTHER) is.
DR is het apparaat dat de rest van apparaten in zelfde subnetnet bijwerkt wanneer er een verandering op het netwerk is. BDR neemt de DR-rol over als deze niet langer beschikbaar is.
Dit is ook nuttig omdat het de router-ID van de buren toont, evenals het IP-adres en de interface waarvan de buur bekend is.
Ook het dode tijdaftellen wordt waargenomen. Als u de standaardtimers hebt, kunt u zien dat de tijd daalt van 00:40 naar 00:30 voordat een nieuw hello-pakket wordt verzonden en de timer opnieuw wordt gestart.
Als deze tijd helemaal tot nul gaat, gaat de nabijheid verloren.
In dit voorbeeld laat de interne FTD-uitvoer zien dat dit apparaat een BDR in FULL-state is met elk van zijn twee buren, die in ruil DR's zijn, bereikbaar via elke interface. Hun router-ID’s zijn respectievelijk 10.3.11.1 en 192.168.4.1.
Internal-FTD# show ospf neighbor Neighbor ID Pri State Dead Time Address Interface 10.3.11.1 1 FULL/DR 0:00:38 10.3.11.1 outside 192.168.4.1 1 FULL/DR 0:00:33 10.6.11.2 inside
De show ospf interface output toont gedetailleerde informatie en verstrekt een bredere visie van het proces OSPF op elke gevormde interface.
Dit zijn enkele parameters die zichtbaar zijn met deze uitvoer:
In de volgende output van Interne FTD, kan worden opgemerkt dat dit apparaat inderdaad BDR op beide interfaces is en dat de buur met de informatie van toont ospf buren aanpast.
Internal-FTD#show ospf interface
outside is up, line protocol is up
Internet Address 10.3.11.2 mask 255.255.255.0, Area 0
Process ID 1, Router ID 10.6.11.1, Network Type BROADCAST, Cost: 10
Transmit Delay is 1 sec, State BDR, Priority 1
Designated Router (ID) 10.3.11.1, Interface address 10.3.11.1
Backup Designated router (ID) 10.6.11.1, Interface address 10.3.11.2
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
oob-resync timeout 40
Hello due in 0:00:04
Supports Link-local Signaling (LLS)
Cisco NSF helper support enabled
IETF NSF helper support enabled
Index 1/1, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 1, maximum is 2
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 1, Adjacent neighbor count is 1
Adjacent with neighbor 10.3.11.1 (Designated Router)
Suppress hello for 0 neighbor(s)
Cryptographic authentication enabled
Youngest key id is 1
inside is up, line protocol is up
Internet Address 10.6.11.1 mask 255.255.255.0, Area 1
Process ID 1, Router ID 10.6.11.1, Network Type BROADCAST, Cost: 10
Transmit Delay is 1 sec, State BDR, Priority 1
Designated Router (ID) 192.168.4.1, Interface address 10.6.11.2
Backup Designated router (ID) 10.6.11.1, Interface address 10.6.11.1
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
oob-resync timeout 40
Hello due in 0:00:03
Supports Link-local Signaling (LLS)
Cisco NSF helper support enabled
IETF NSF helper support enabled
Index 1/2, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 1, maximum is 2
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 1, Adjacent neighbor count is 1
Adjacent with neighbor 192.168.4.1 (Designated Router)
Suppress hello for 0 neighbor(s)
Cryptographic authentication enabled
Youngest key id is 1
Deze opdracht heeft verdere informatie over de Link State Advertisement (LSA) Typen OSPF. De output is complex en is nuttig voor een diepere slechts probleemoplossing.
LSA is de manier waarop OSPF informatie en updates tussen apparaten ruilt, in plaats van het verzenden van de volledige routeringstabel.
De meest voorkomende LSA-typen zijn:
Type 1 - Router Link States - De router-ID’s van de advertentierouters
Type 2 - Network Link States - De interfaces die zijn aangesloten in dezelfde link als de aangewezen router.
Type 3 - Samenvatting van de netwerkverbindingsstaten - intergebiedroutes die in dit gebied zijn geïnjecteerd door Area Border Router (ABR).
Type 4 - Samenvatting van ASB Link States - De router-ID’s van de Autonomous System Border Router (ASBR).
Type 5 - AS Externe Link States - Externe routes geleerd van ASBRs.
Met dit in gedachten, kan de output van dit bevel van Intern FTD voorbeeld worden geïnterpreteerd.
Internal-FTD# show ospf database OSPF Router with ID (10.6.11.1) (Process ID 1) Router Link States (Area 0) Link ID ADV Router Age Seq# Checksum Link count 10.3.11.1 10.3.11.1 234 0x8000002b 0x4c4d 1 10.6.11.1 10.6.11.1 187 0x8000002e 0x157b 1 Net Link States (Area 0) Link ID ADV Router Age Seq# Checksum 10.3.11.1 10.3.11.1 234 0x80000029 0x7f2b Summary Net Link States (Area 0) Link ID ADV Router Age Seq# Checksum 10.6.11.0 10.6.11.1 187 0x8000002a 0x7959 Router Link States (Area 1) Link ID ADV Router Age Seq# Checksum Link count 10.6.11.1 10.6.11.1 187 0x8000002c 0x513b 1 192.168.4.1 192.168.4.1 1758 0x8000002a 0x70f1 2 Net Link States (Area 1) Link ID ADV Router Age Seq# Checksum 10.6.11.2 192.168.4.1 1759 0x80000028 0xd725 Summary Net Link States (Area 1) Link ID ADV Router Age Seq# Checksum 10.3.11.0 10.6.11.1 189 0x80000029 0x9f37 Summary ASB Link States (Area 1) Link ID ADV Router Age Seq# Checksum 10.3.11.1 10.6.11.1 189 0x80000029 0x874d Type-5 AS External Link States Link ID ADV Router Age Seq# Checksum Tag 10.5.11.0 10.3.11.1 1726 0x80000028 0x152b 311 10.5.11.32 10.3.11.1 1726 0x80000028 0xd34c 311 10.5.11.64 10.3.11.1 1726 0x80000028 0x926d 311
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
14-Feb-2024 |
Eerste vrijgave |