Probleemoplossing voor OSPF-configuratie in FTD

Inleiding

Dit document beschrijft hoe de OSPF-configuratie op FTD-apparaten kan worden geverifieerd en opgelost met behulp van FMC als beheerder.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Open Shortest Path First (OSPF)-concepten en -functionaliteit
• Cisco Secure Firewall Management Center (FMC)
• Cisco Secure Firewall Threat Defence (FTD)

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• Virtual FTD 7.2.5
• Virtual FMC 7.2.5

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

OSPF-achtergrond

OSPF kan op FMC worden geconfigureerd om dynamische routing tussen FTD-apparaten en andere OSPF-compatibele apparaten te gebruiken. 

Met het FMC kunnen twee OSPF-processen tegelijkertijd worden uitgevoerd voor verschillende interfaces.

Elk apparaat heeft een router-id, wat lijkt op de apparaatnaam in het OSPF-proces. Dit wordt standaard ingesteld op de onderste interface IP, maar kan worden aangepast aan een ander IP. 

Iets belangrijks om op te merken is dat deze parameters op buren moeten aanpassen om OSPF nabijheid te vormen:

• De interface behoort tot hetzelfde IP-netwerk
• Subnetmasker
• Gebied
• Hallo en Dead intervallen
• MTU
• Gebiedstype (normaal/NSSA/stub) 
• Verificatie

Basisconfiguratie

Deze sectie toont de basisparameters die voor OSPF worden gevormd beginnen naar nabijheid met zijn buren te zoeken. 

1. Navigeer naar Apparaten > Apparaatbeheer > Apparaat bewerken

2. Klik op het tabblad Routing.

3. Klik op OSPF in de linkermenubalk.

4. Selecteer Proces 1 om OSPF-configuratie mogelijk te maken. FTD kan twee gelijktijdige processen op verschillende interfaces uitvoeren.

Een Area border router (ABR) bevindt zich tussen twee verschillende gebieden, terwijl Autonomous System border router (ASBR) zich bevindt tussen apparaten die gebruik maken van andere routeringsprotocollen. 

5. Kies de OSPF-rol als Intern, ABR, ASBR en ABR en ASBR.

Rol selecteren

6. (optioneel) Wijzig automatische router-ID. Selecteer Geavanceerd, naast de OSPF-rol en selecteer Router-ID als IP-adres om het aan te passen.

Selectie van router-ID

7. Selecteer Gebied > Toevoegen.

8. Voer de informatie over het gebied in:

• OSPF-proces
• Gebied-ID
• Gebiedstype
• Beschikbare netwerken

9. Klik op OK om de configuratie op te slaan.

Gebiedsselectie

Herdistributie 

FTD kan routes van één proces OSPF in een andere opnieuw verdelen. Herdistributie kan ook van RIP, BGP, EIGRP (7.2+ versie), statische en verbonden routes naar OSPF-routeringsproces komen.

1. Om OSPF herdistributie te configureren navigeer je naar Apparaten > Apparaatbeheer > Apparaat bewerken.

2. Klik op Routing

3. Klik op OSPF.

4. Selecteer Herdistributie > Toevoegen.

5. Voer de herdistributievelden in:

• OSPF-proces
• Routetype (van waaruit u opnieuw distribueert)
  • Statisch
  • Verbonden
  • OSPF-proces
  • BGP
  • RIP
  • EIGRP

Voeg voor BGP en EIGRP het AS-nummer toe.

6. (Optioneel) Selecteer of subnetten moeten worden gebruikt.

7. Selecteer het metrieke type.

• Type 1 gebruikt de externe metriek en voegt de interne kosten van elke hop die tot ASBR leidt toe. 
• Type 2 gebruikt alleen de externe metriek. 

8. Klik op OK om de wijzigingen op te slaan.

Configuratie van herdistributie

Filtering

U kunt een Inter-Area filtering uitvoeren, die de routes beperkt die van een Area naar een ander worden verzonden. Deze actie wordt alleen op ABR's uitgevoerd. 

Het filtreren wordt gevormd met prefix-lijsten die dan met de configuratie OSPF verbonden zijn. Dit is een facultatieve eigenschap en is niet nodig voor OSPF om te werken. 

1. Om OSPF intergebiedfiltering te configureren navigeer je naar Apparaten > Apparaatbeheer > Apparaat bewerken.

2. Klik op Routing

3. Klik op OSPF.

4. Selecteer Inter-Area > Add.

5. Configureer de filtervelden:

• OSPF-proces
• Gebied-ID
• Prefixlijst
• Verkeersrichting - inkomend of uitgaand

Configuratie van intergebiedfiltering

6. Ga naar stap 10 als u een prefixlijst hebt geconfigureerd. Als u een nieuwe moet maken, kunt u het plusteken selecteren of maken van Objecten > Objectbeheer > Prefixlijsten > IPv4 prefixlijst > Toevoegen. 

7. Klik op Add entry.

8. Configureer de prefixlijst met deze velden:

• Volgnummer 
• IP-adres
• Actie
• Min./Max. prefixlengte (optioneel) 

Voorvoegsel-lijst object bewerken

9. Klik op OK om de prefixlijst op te slaan. 

10. Klik op OK om de configuratie tussen de gebieden op te slaan.

Interfaceparameters

Er zijn bepaalde parameters die voor elke interface kunnen worden gewijzigd die aan OSPF deelneemt.  

1. Om OSPF interfaceparameters te vormen, navigeer aan Apparaten > Apparaatbeheer > Bewerk apparaat.

2. Klik op Routing

3. Klik op OSPF.

4. Selecteer Interface > Add.

5. Selecteer de parameters die u wilt wijzigen

Hallo en Dead timers

De pakketten van OSPF Hello worden verzonden om nabijheid tussen apparaten te handhaven. Deze pakketten worden verzonden met een interval dat kan worden geconfigureerd. Als het apparaat geen hello pakketten van een buur binnen dood interval ontvangt, ook configureerbaar, verandert de buur in benedenstaat.

Het hello-interval is standaard 10 seconden en het dode interval is vier keer het hello-interval, 40 seconden. Deze intervallen moeten tussen buren overeenkomen.

Configuratie van timers

MTU Negeren-OSPF

De MTU negeer controledoos is een optie om OSPF nabijheid te vermijden om in staat worden geplakt EXSTART toe te schrijven aan MTU wanverhouding tussen buurinterfaces. MTU match is geverifieerd omdat in die staat DBD wordt verzonden tussen buren en een verschil in grootte kan tot problemen leiden. Het beste is echter om deze optie ongecontroleerd te laten. 

MTU Config voor controle negeren

Verificatie

U kunt drie verschillende typen interface-OSPF-verificatie selecteren. Verificatie is standaard niet ingeschakeld.

• None
• Wachtwoord - Wachtwoord voor duidelijke tekst
• MD5 - maakt gebruik van MD5-hashing

Aanbevolen wordt om MD5 als authenticatie te gebruiken, aangezien het een hashing algoritme is dat beveiliging biedt. 

Configureer de MD5-id en de MD5-toets en klik op OK om op te slaan. 

MD5-sleutelconfiguratie

De MD5-toets of het wachtwoord moet overeenkomen met de interfaceparameters van de buur die wordt geverifieerd. 

Algemene CLI-verificatie  

Voorbeeldtopologie

Beschouw deze netwerktopologie als een voorbeeld: 

Voorbeeld van netwerktopologie

Houd rekening met deze overwegingen: 

• OSPF is geconfigureerd op externe FTD, interne FTD en interne router.
• Externe FTD is geselecteerd als ASBR rol, Interne FTD als ABR en Interne router als Interne rol. 
• Gebied 0 wordt gecreëerd tussen externe en interne FTD, terwijl gebied 1 wordt gecreëerd tussen interne FTD en interne router. 
• Externe FTD voert ook BGP-nabuurschap uit met een ander apparaat. 
• De BGP-routes die door Autonomous System 312 zijn geleerd, worden opnieuw verdeeld in OSPF.
• MTU en de intervallen worden gevormd met standaardwaarden. 
• Interne FTD filtert inkomende intergebiedroutes naar gebied 0 die van Interne router worden geleerd. 
• Interfaceverificatie is geconfigureerd als MD5 op alle apparaten die deelnemen aan OSPF. 

Interne FTD 

De configuratie van Interne FTD wordt getoond als dit:

Interfaceconfiguratie met MD5-verificatie

interface GigabitEthernet0/0
nameif inside
security-level 0
ip address 10.6.11.1 255.255.255.0
ospf message-digest-key 1 md5 *****
ospf authentication message-digest 
!
interface GigabitEthernet0/1
nameif outside
security-level 0
ip address 10.3.11.2 255.255.255.0
ospf message-digest-key 1 md5 *****
ospf authentication message-digest 
!

OSPF-configuratie geeft aan dat netwerk 10.3.11.0/24 wordt geadverteerd naar gebied 0 en netwerk 10.6.11.0/24 wordt geadverteerd naar buren op gebied 1. 

Het inter-gebied filtreren past een prefix-lijst op binnenkomende routes toe die gebied 0 ingaan. In deze prefixlijst wordt het netwerk 192.168.4.0 van de interne router geweigerd en is al het andere toegestaan. 

Interne FTD-gebiedsconfiguratie

Interne FTD-filtering

Interne FTD-prefixlijst

router ospf 1
network 10.3.11.0 255.255.255.0 area 0
network 10.6.11.0 255.255.255.0 area 1
area 0 filter-list prefix filter_192.168.4.0 in 
log-adj-changes

prefix-list filter_192.168.4.0 seq 5 deny 192.168.4.0/24
prefix-list filter_192.168.4.0 seq 10 permit 0.0.0.0/0 le 32

Extern FTD 

De configuratie van Externe FTD wordt getoond als dit in CLI:

Interfaceconfiguratie met MD5-verificatie.

interface GigabitEthernet0/0
nameif inside
security-level 0
ip address 10.3.11.1 255.255.255.0
ospf message-digest-key 1 md5 *****
ospf authentication message-digest 
!
interface GigabitEthernet0/1
nameif outside
security-level 0
ip address 172.16.11.1 255.255.255.0 
!

De configuratie van OSPF toont aan dat de route 10.3.11.0/24 aan Interne FTD in Gebied 0 wordt geadverteerd.

De BGP-herverdeling in OSPF kan ook worden waargenomen.  

Configuratie extern FTD-gebied

Configuratie externe FTD-herdistributie

router ospf 1
network 10.3.11.0 255.255.255.0 area 0
log-adj-changes
redistribute bgp 312 subnets

Opdrachten voor troubleshooting

Er zijn verscheidene bevelen die nuttig zijn om te bepalen of OSPF zoals verwacht werkt. 

tonen in werking stelt -in werking stellen-configuratierouter

Dit bevel toont de configuratie van de dynamische routeringsprotocollen, niet alleen OSPF. 

Handig om OSPF-gerelateerde configuratie in de CLI te controleren. 

route weergeven

De output van de showroute geeft belangrijke informatie over de huidige beschikbare routes. 

• Een route die door OSPF wordt geleerd wordt getoond met de brief O. 
• Een intergebiedroute wordt getoond met de letters O IA.
• Een route die van een ander routeringsprotocol door herverdeling wordt geleerd toont letters O E1 of O E2, afhankelijk van het geselecteerde metrische type. 

toont routeoutput van Interne FTD toont aan dat er drie externe routes zijn die van buur 10.3.11.1 ASBR gekend zijn.

Het toont ook netwerk 192.168.4.0/24 geleerd van buur 10.6.11.2 op zijn zelfde gebied. 

Internal-FTD# show route

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, + - replicated route
       SI - Static InterVRF
Gateway of last resort is not set

C        10.3.11.0 255.255.255.0 is directly connected, outside
L        10.3.11.2 255.255.255.255 is directly connected, outside
O E2     10.5.11.0 255.255.255.224 [110/1] via 10.3.11.1, 6w5d, outside
O E2     10.5.11.32 255.255.255.224 [110/1] via 10.3.11.1, 6w5d, outside
O E2     10.5.11.64 255.255.255.224 [110/1] via 10.3.11.1, 6w5d, outside
C        10.6.11.0 255.255.255.0 is directly connected, inside
L        10.6.11.1 255.255.255.255 is directly connected, inside
O        192.168.4.0 255.255.255.0 [110/20] via 10.6.11.2, 02:19:24, inside

Vanuit Externe FTD kan worden opgemerkt dat route 10.6.11.0/24 bekend is van buurland 10.3.11.2 en tot een ander gebied behoort. 

De route 192.168.4.0/24 wordt niet waargenomen in deze output omdat het op Interne FTD werd gefilterd. 

Bovendien zijn er drie BGP-routes die van een ander apparaat zijn geleerd die in OSPF worden herverdeeld als Externe type 2-routes zoals te zien in Interne FTD. 

External-FTD# show route

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, + - replicated route
       SI - Static InterVRF, BI - BGP InterVRF
Gateway of last resort is not set

C        10.3.11.0 255.255.255.0 is directly connected, inside
L        10.3.11.1 255.255.255.255 is directly connected, inside
B        10.5.11.0 255.255.255.224 [20/0] via 172.16.11.2, 6w5d
B        10.5.11.32 255.255.255.224 [20/0] via 172.16.11.2, 6w5d
B        10.5.11.64 255.255.255.224 [20/0] via 172.16.11.2, 6w5d
O IA     10.6.11.0 255.255.255.0 [110/20] via 10.3.11.2, 02:03:27, inside
C        172.16.11.0 255.255.255.0 is directly connected, outside
L        172.16.11.1 255.255.255.255 is directly connected, outside

ospf-buur tonen

Deze opdracht helpt te verifiëren wat de status van de OSPF-nabijheid is en of die buur een toegewezen router (DR), een back-up toegewezen router (BDR) of een andere router (DROTHER) is. 

DR is het apparaat dat de rest van apparaten in zelfde subnetnet bijwerkt wanneer er een verandering op het netwerk is. BDR neemt de DR-rol over als deze niet langer beschikbaar is. 

Dit is ook nuttig omdat het de router-ID van de buren toont, evenals het IP-adres en de interface waarvan de buur bekend is.

Ook het dode tijdaftellen wordt waargenomen. Als u de standaardtimers hebt, kunt u zien dat de tijd daalt van 00:40 naar 00:30 voordat een nieuw hello-pakket wordt verzonden en de timer opnieuw wordt gestart. 

Als deze tijd helemaal tot nul gaat, gaat de nabijheid verloren. 

In dit voorbeeld laat de interne FTD-uitvoer zien dat dit apparaat een BDR in FULL-state is met elk van zijn twee buren, die in ruil DR's zijn, bereikbaar via elke interface. Hun router-ID’s zijn respectievelijk 10.3.11.1 en 192.168.4.1. 

Internal-FTD# show ospf neighbor 

Neighbor ID     Pri   State           Dead Time   Address         Interface
10.3.11.1         1   FULL/DR         0:00:38    10.3.11.1       outside
192.168.4.1       1   FULL/DR         0:00:33    10.6.11.2       inside

ospf-interface tonen

De show ospf interface output toont gedetailleerde informatie en verstrekt een bredere visie van het proces OSPF op elke gevormde interface. 

Dit zijn enkele parameters die zichtbaar zijn met deze uitvoer:

• OSPF-proces-ID
• Router-id
• Metriek (kosten)
• Staat - DR, BDR of DROTHER
• Wie zijn DR en BDR 
• Hellos en Dead timer intervallen 
• Samenvatting buur
• Verificatiegegevens

In de volgende output van Interne FTD, kan worden opgemerkt dat dit apparaat inderdaad BDR op beide interfaces is en dat de buur met de informatie van toont ospf buren aanpast.

Internal-FTD#show ospf interface

outside is up, line protocol is up 
Internet Address 10.3.11.2 mask 255.255.255.0, Area 0 
Process ID 1, Router ID 10.6.11.1, Network Type BROADCAST, Cost: 10
Transmit Delay is 1 sec, State BDR, Priority 1
Designated Router (ID) 10.3.11.1, Interface address 10.3.11.1
Backup Designated router (ID) 10.6.11.1, Interface address 10.3.11.2
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
oob-resync timeout 40
Hello due in 0:00:04
Supports Link-local Signaling (LLS)
Cisco NSF helper support enabled
IETF NSF helper support enabled
Index 1/1, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 1, maximum is 2
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 1, Adjacent neighbor count is 1 
Adjacent with neighbor 10.3.11.1 (Designated Router)
Suppress hello for 0 neighbor(s)
Cryptographic authentication enabled
Youngest key id is 1

inside is up, line protocol is up 
Internet Address 10.6.11.1 mask 255.255.255.0, Area 1 
Process ID 1, Router ID 10.6.11.1, Network Type BROADCAST, Cost: 10
Transmit Delay is 1 sec, State BDR, Priority 1
Designated Router (ID) 192.168.4.1, Interface address 10.6.11.2
Backup Designated router (ID) 10.6.11.1, Interface address 10.6.11.1
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
oob-resync timeout 40
Hello due in 0:00:03
Supports Link-local Signaling (LLS)
Cisco NSF helper support enabled
IETF NSF helper support enabled
Index 1/2, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 1, maximum is 2
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 1, Adjacent neighbor count is 1 
Adjacent with neighbor 192.168.4.1 (Designated Router)
Suppress hello for 0 neighbor(s)
Cryptographic authentication enabled
Youngest key id is 1

ospf-database tonen 

Deze opdracht heeft verdere informatie over de Link State Advertisement (LSA) Typen OSPF. De output is complex en is nuttig voor een diepere slechts probleemoplossing. 

LSA is de manier waarop OSPF informatie en updates tussen apparaten ruilt, in plaats van het verzenden van de volledige routeringstabel.  

De meest voorkomende LSA-typen zijn:

Type 1 - Router Link States - De router-ID’s van de advertentierouters

Type 2 - Network Link States - De interfaces die zijn aangesloten in dezelfde link als de aangewezen router.

Type 3 - Samenvatting van de netwerkverbindingsstaten - intergebiedroutes die in dit gebied zijn geïnjecteerd door Area Border Router (ABR).

Type 4 - Samenvatting van ASB Link States - De router-ID’s van de Autonomous System Border Router (ASBR).

Type 5 - AS Externe Link States - Externe routes geleerd van ASBRs.

Met dit in gedachten, kan de output van dit bevel van Intern FTD voorbeeld worden geïnterpreteerd. 

• De databases worden per gebied weergegeven.
• De kolom Koppeling-ID bevat de belangrijke informatie die moet worden gemeld. 
• Zoals eerder vermeld, toont Type 1 de router-ID’s van elk apparaat in het gebied en Type 2 toont de DR van elke subnetlink. In dit geval, 10.3.11.1 voor gebied 0 en 10.6.11.2 voor gebied 1. 
• Type 3 toont intergebiedroutes die in het betreffende gebied worden geïnjecteerd met ABR 10.6.11.0 voor gebied 0 en 10.3.11.0 voor gebied 1. 
• Type 4 toont de router-ID van de ASBR. Gebied 1 ziet dat het 10.3.11.1-apparaat de ASBR van het proces is. 
• Type 5 toont de routes die door de ASBR worden herverdeeld. In dit geval drie externe routes: 10.5.11.0, 10.5.11.32 en 10.5.11.64.  

Internal-FTD# show ospf database 


            OSPF Router with ID (10.6.11.1) (Process ID 1)

                Router Link States (Area 0)

Link ID         ADV Router      Age         Seq#       Checksum Link count
10.3.11.1       10.3.11.1       234         0x8000002b 0x4c4d 1
10.6.11.1       10.6.11.1       187         0x8000002e 0x157b 1

                Net Link States (Area 0)

Link ID         ADV Router      Age         Seq#       Checksum
10.3.11.1       10.3.11.1       234         0x80000029 0x7f2b

                Summary Net Link States (Area 0)

Link ID         ADV Router      Age         Seq#       Checksum
10.6.11.0       10.6.11.1       187         0x8000002a 0x7959

                Router Link States (Area 1)

Link ID         ADV Router      Age         Seq#       Checksum Link count
10.6.11.1       10.6.11.1       187         0x8000002c 0x513b 1
192.168.4.1     192.168.4.1     1758        0x8000002a 0x70f1 2

                Net Link States (Area 1)

Link ID         ADV Router      Age         Seq#       Checksum
10.6.11.2       192.168.4.1     1759        0x80000028 0xd725

                Summary Net Link States (Area 1)

Link ID         ADV Router      Age         Seq#       Checksum
10.3.11.0       10.6.11.1       189         0x80000029 0x9f37

                Summary ASB Link States (Area 1)

Link ID         ADV Router      Age         Seq#       Checksum
10.3.11.1       10.6.11.1       189         0x80000029 0x874d

                Type-5 AS External Link States

Link ID         ADV Router      Age         Seq#       Checksum Tag
10.5.11.0       10.3.11.1       1726        0x80000028 0x152b 311
10.5.11.32      10.3.11.1       1726        0x80000028 0xd34c 311
10.5.11.64      10.3.11.1       1726        0x80000028 0x926d 311 

Gerelateerde informatie

• Cisco Technical Support en downloads
• Inzicht in Open Shortest Path First (OSPF) – ontwerphandleiding