O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.
A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este documento descreve como verificar e solucionar problemas de configuração do OSPF em dispositivos FTD usando o FMC como gerenciador.
A Cisco recomenda que você tenha conhecimento destes tópicos:
As informações neste documento são baseadas nestas versões de software e hardware:
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
O OSPF pode ser configurado no FMC para usar o roteamento dinâmico entre dispositivos FTD e outros dispositivos com capacidade OSPF.
O FMC permite executar dois processos OSPF ao mesmo tempo para diferentes conjuntos de interfaces.
Cada dispositivo tem um ID de roteador, que é como o nome do dispositivo no processo OSPF. Por padrão, ele é definido como o IP de interface mais baixo, mas pode ser personalizado para um IP diferente.
É importante observar que esses parâmetros devem corresponder em vizinhos para formar a adjacência OSPF:
Esta seção mostra os parâmetros básicos configurados para que o OSPF comece a procurar adjacência com seus vizinhos.
1. Navegue até Devices > Device Management > Edit device
2. Clique na guia Roteamento.
3. Clique em OSPF na barra de menus à esquerda.
4. Selecione Process 1 para ativar a configuração do OSPF. O FTD pode executar dois processos simultâneos em diferentes conjuntos de interfaces.
Um roteador de borda de área (ABR) está localizado entre duas áreas diferentes, enquanto o roteador de borda de sistema autônomo (ASBR) está localizado entre os dispositivos que usam outros protocolos de roteamento.
5. Escolha a função OSPF como Internal, ABR, ASBR e ABR e ASBR.
6. (opcional) Altere o ID automático do roteador. Selecione Advanced, ao lado de OSPF role e selecione Router ID as IP address para personalizá-lo.
7. Selecione Área > Adicionar.
8. Especifique as informações da Área:
9. Clique em OK para salvar a configuração.
O FTD pode redistribuir rotas de um processo OSPF para outro. A redistribuição também pode ser de RIP, BGP, EIGRP (versão 7.2+), rotas estáticas e conectadas no processo de roteamento OSPF.
1. Para configurar a redistribuição OSPF, navegue para Devices > Device Management > Edit device.
2. Clique em Roteamento
3. Clique em OSPF.
4. Selecione Redistribuição > Adicionar.
5. Informe os campos de reclassificação contábil:
Para BGP e EIGRP, adicione o número AS.
6. (Opcional) Selecione se deseja usar sub-redes.
7. Selecione o Tipo de Métrica.
8. Clique em OK para salvar as alterações.
Você pode executar uma filtragem entre áreas, que restringe as rotas que são enviadas de entrada ou saída de uma área para outra. Esta ação é executada apenas em ABRs.
A filtragem é configurada com listas de prefixos que são vinculadas à configuração do OSPF. Esse é um recurso opcional e não é necessário para que o OSPF funcione.
1. Para configurar a filtragem entre áreas do OSPF, navegue para Devices > Device Management > Edit device.
2. Clique em Roteamento
3. Clique em OSPF.
4. Selecione Inter-Área > Adicionar.
5. Configure os campos de filtragem:
6. Vá para a etapa 10 se você tiver uma lista de prefixos configurada. Se precisar criar um novo, você pode selecionar o sinal de mais ou criá-lo em Objetos > Gerenciamento de objetos > Listas de prefixos > Lista de prefixos IPv4 > Adicionar.
7. Clique em Adicionar entrada.
8. Configure a lista de prefixos com estes campos:
9. Clique em OK para salvar a lista de prefixos.
10. Clique em OK para salvar a configuração entre áreas.
Há certos parâmetros que podem ser modificados para cada interface que faz parte do OSPF.
1. Para configurar os parâmetros da interface OSPF, navegue para Devices > Device Management > Edit device.
2. Clique em Roteamento
3. Clique em OSPF.
4. Selecione Interface > Adicionar.
5. Selecione os parâmetros a serem modificados
Os pacotes Hello do OSPF são enviados para manter a adjacência entre dispositivos. Esses pacotes são enviados em um intervalo que pode ser configurado. Se o dispositivo não receber pacotes hello de um vizinho dentro do intervalo dead, também configurável, o vizinho muda para o estado down.
Por padrão, o intervalo de Hello é de 10 segundos e o intervalo de Dead é quatro vezes o intervalo de Hello, 40 segundos. Esses intervalos devem corresponder entre vizinhos.
A caixa de seleção MTU ignore é uma opção para evitar que a adjacência OSPF fique presa no estado EXSTART devido à incompatibilidade de MTU entre interfaces vizinhas. A correspondência de MTU é verificada porque, nesse estado, o DBD é enviado entre vizinhos e uma diferença de tamanho pode criar problemas. A prática recomendada, no entanto, é manter essa opção desmarcada.
Você pode selecionar três tipos diferentes de autenticação OSPF de interface. Por padrão, a autenticação não está habilitada.
A recomendação é usar MD5 como autenticação, já que é um algoritmo de hash que fornece segurança.
Configure MD5 ID e chave MD5 e clique em OK para salvar.
A chave ou senha MD5 deve corresponder aos parâmetros de interface do vizinho autenticado.
Considere esta topologia de rede como um exemplo:
Tenha em conta as seguintes considerações:
A configuração do FTD interno é mostrada da seguinte forma:
Configuração da interface usando a autenticação MD5
interface GigabitEthernet0/0
nameif inside
security-level 0
ip address 10.6.11.1 255.255.255.0
ospf message-digest-key 1 md5 *****
ospf authentication message-digest
!
interface GigabitEthernet0/1
nameif outside
security-level 0
ip address 10.3.11.2 255.255.255.0
ospf message-digest-key 1 md5 *****
ospf authentication message-digest
!
A configuração do OSPF afirma que a rede 10.3.11.0/24 é anunciada para a área 0 e a rede 10.6.11.0/24 é anunciada para os vizinhos na área 1.
A filtragem entre áreas está aplicando uma lista de prefixos às rotas de entrada que entram na área 0. Nesta lista de prefixos, a rede 192.168.4.0 do Roteador Interno é negada e todo o resto é permitido.
router ospf 1
network 10.3.11.0 255.255.255.0 area 0
network 10.6.11.0 255.255.255.0 area 1
area 0 filter-list prefix filter_192.168.4.0 in
log-adj-changes
prefix-list filter_192.168.4.0 seq 5 deny 192.168.4.0/24
prefix-list filter_192.168.4.0 seq 10 permit 0.0.0.0/0 le 32
A configuração do FTD externo é mostrada da seguinte forma na CLI:
Configuração da interface usando a autenticação MD5.
interface GigabitEthernet0/0
nameif inside
security-level 0
ip address 10.3.11.1 255.255.255.0
ospf message-digest-key 1 md5 *****
ospf authentication message-digest
!
interface GigabitEthernet0/1
nameif outside
security-level 0
ip address 172.16.11.1 255.255.255.0
!
A configuração do OSPF mostra que a rota 10.3.11.0/24 é anunciada para o FTD interno na área 0.
A redistribuição do BGP no OSPF também pode ser observada.
router ospf 1
network 10.3.11.0 255.255.255.0 area 0
log-adj-changes
redistribute bgp 312 subnets
Há vários comandos que são úteis para determinar se o OSPF está funcionando conforme esperado.
Observação: esses comandos não são mostrados em show tech files quando os arquivos de Troubleshooting de FTD são gerados separadamente da configuração do OSPF e precisam ser inseridos manualmente a partir da CLI do FTD.
Esse comando mostra a configuração dos protocolos de roteamento dinâmico, não apenas do OSPF.
Útil para verificar a configuração relacionada ao OSPF na CLI.
A saída do comando show route fornece informações importantes sobre as rotas disponíveis no momento.
show route saída do FTD interno mostra que há três rotas externas conhecidas do vizinho ASBR 10.3.11.1.
Ele também mostra a rede 192.168.4.0/24 aprendida do vizinho 10.6.11.2 em sua mesma área.
Internal-FTD# show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, + - replicated route SI - Static InterVRF Gateway of last resort is not set C 10.3.11.0 255.255.255.0 is directly connected, outside L 10.3.11.2 255.255.255.255 is directly connected, outside O E2 10.5.11.0 255.255.255.224 [110/1] via 10.3.11.1, 6w5d, outside O E2 10.5.11.32 255.255.255.224 [110/1] via 10.3.11.1, 6w5d, outside O E2 10.5.11.64 255.255.255.224 [110/1] via 10.3.11.1, 6w5d, outside C 10.6.11.0 255.255.255.0 is directly connected, inside L 10.6.11.1 255.255.255.255 is directly connected, inside O 192.168.4.0 255.255.255.0 [110/20] via 10.6.11.2, 02:19:24, inside
No FTD externo, pode-se observar que a rota 10.6.11.0/24 é conhecida do vizinho 10.3.11.2 e pertence a uma área diferente.
A rota 192.168.4.0/24 não é observada nesta saída porque foi filtrada no FTD interno.
Além disso, há três rotas BGP aprendidas de outro dispositivo que são redistribuídas no OSPF como rotas externas tipo 2, como visto no FTD interno.
External-FTD# show route Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, + - replicated route SI - Static InterVRF, BI - BGP InterVRF Gateway of last resort is not set C 10.3.11.0 255.255.255.0 is directly connected, inside L 10.3.11.1 255.255.255.255 is directly connected, inside B 10.5.11.0 255.255.255.224 [20/0] via 172.16.11.2, 6w5d B 10.5.11.32 255.255.255.224 [20/0] via 172.16.11.2, 6w5d B 10.5.11.64 255.255.255.224 [20/0] via 172.16.11.2, 6w5d O IA 10.6.11.0 255.255.255.0 [110/20] via 10.3.11.2, 02:03:27, inside C 172.16.11.0 255.255.255.0 is directly connected, outside L 172.16.11.1 255.255.255.255 is directly connected, outside
Esse comando ajuda a verificar qual é o estado da adjacência OSPF e se esse vizinho é um roteador designado (DR), um roteador designado de backup (BDR) ou outro (DROTHER).
O DR é o dispositivo que atualiza o restante dos dispositivos na mesma sub-rede sempre que há uma alteração na rede. O BDR assume a função de DR se não estiver mais disponível.
Isso também é útil, pois mostra o ID do roteador dos vizinhos, bem como o endereço IP e a interface da qual o vizinho é conhecido.
A contagem regressiva para o tempo de Dead também é observada. Se você tiver os temporizadores padrão, poderá ver o tempo diminuir de 00:40 para 00:30 antes que um novo pacote de saudação seja enviado e o temporizador seja reiniciado.
Se esse tempo chegar até zero, a adjacência será perdida.
Neste exemplo, a saída FTD interna mostra que esse dispositivo é um BDR no estado FULL com cada um de seus dois vizinhos, que em troca são DRs, alcançáveis de cada interface. Seus IDs de roteador são 10.3.11.1 e 192.168.4.1, respectivamente.
Internal-FTD# show ospf neighbor Neighbor ID Pri State Dead Time Address Interface 10.3.11.1 1 FULL/DR 0:00:38 10.3.11.1 outside 192.168.4.1 1 FULL/DR 0:00:33 10.6.11.2 inside
A saída do comando show ospf interface mostra informações detalhadas e fornece uma visão mais ampla do processo OSPF em cada interface configurada.
Estes são alguns dos parâmetros visíveis com esta saída:
Na próxima saída do FTD interno, pode-se observar que esse dispositivo é realmente o BDR em ambas as interfaces e que o vizinho corresponde às informações de show ospf neighbors.
Internal-FTD#show ospf interface
outside is up, line protocol is up
Internet Address 10.3.11.2 mask 255.255.255.0, Area 0
Process ID 1, Router ID 10.6.11.1, Network Type BROADCAST, Cost: 10
Transmit Delay is 1 sec, State BDR, Priority 1
Designated Router (ID) 10.3.11.1, Interface address 10.3.11.1
Backup Designated router (ID) 10.6.11.1, Interface address 10.3.11.2
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
oob-resync timeout 40
Hello due in 0:00:04
Supports Link-local Signaling (LLS)
Cisco NSF helper support enabled
IETF NSF helper support enabled
Index 1/1, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 1, maximum is 2
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 1, Adjacent neighbor count is 1
Adjacent with neighbor 10.3.11.1 (Designated Router)
Suppress hello for 0 neighbor(s)
Cryptographic authentication enabled
Youngest key id is 1
inside is up, line protocol is up
Internet Address 10.6.11.1 mask 255.255.255.0, Area 1
Process ID 1, Router ID 10.6.11.1, Network Type BROADCAST, Cost: 10
Transmit Delay is 1 sec, State BDR, Priority 1
Designated Router (ID) 192.168.4.1, Interface address 10.6.11.2
Backup Designated router (ID) 10.6.11.1, Interface address 10.6.11.1
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
oob-resync timeout 40
Hello due in 0:00:03
Supports Link-local Signaling (LLS)
Cisco NSF helper support enabled
IETF NSF helper support enabled
Index 1/2, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 1, maximum is 2
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 1, Adjacent neighbor count is 1
Adjacent with neighbor 192.168.4.1 (Designated Router)
Suppress hello for 0 neighbor(s)
Cryptographic authentication enabled
Youngest key id is 1
Esse comando tem mais informações sobre os tipos de anúncio de estado de link (LSA) do OSPF. A saída é complexa e é útil somente para uma solução de problemas mais detalhada.
O LSA é a forma como o OSPF troca informações e atualizações entre dispositivos, em vez de enviar a tabela de roteamento completa.
Os tipos de LSA mais comuns são:
Tipo 1 - Estados de enlace do roteador - As IDs dos roteadores de anúncio
Tipo 2 - Estados de link de rede - As interfaces conectadas no mesmo link que o roteador designado.
Tipo 3 - Estados resumidos do link de rede - Rotas interáreas injetadas nesta área pelo roteador de borda de área (ABR).
Tipo 4 - Estados resumidos do link ASB - Os IDs do roteador de borda de sistema autônomo (ASBR).
Tipo 5 - Estados de enlace externo de AS - Rotas externas aprendidas de ASBRs.
Com isso em mente, a saída desse comando pode ser interpretada a partir do exemplo de FTD interno.
Internal-FTD# show ospf database OSPF Router with ID (10.6.11.1) (Process ID 1) Router Link States (Area 0) Link ID ADV Router Age Seq# Checksum Link count 10.3.11.1 10.3.11.1 234 0x8000002b 0x4c4d 1 10.6.11.1 10.6.11.1 187 0x8000002e 0x157b 1 Net Link States (Area 0) Link ID ADV Router Age Seq# Checksum 10.3.11.1 10.3.11.1 234 0x80000029 0x7f2b Summary Net Link States (Area 0) Link ID ADV Router Age Seq# Checksum 10.6.11.0 10.6.11.1 187 0x8000002a 0x7959 Router Link States (Area 1) Link ID ADV Router Age Seq# Checksum Link count 10.6.11.1 10.6.11.1 187 0x8000002c 0x513b 1 192.168.4.1 192.168.4.1 1758 0x8000002a 0x70f1 2 Net Link States (Area 1) Link ID ADV Router Age Seq# Checksum 10.6.11.2 192.168.4.1 1759 0x80000028 0xd725 Summary Net Link States (Area 1) Link ID ADV Router Age Seq# Checksum 10.3.11.0 10.6.11.1 189 0x80000029 0x9f37 Summary ASB Link States (Area 1) Link ID ADV Router Age Seq# Checksum 10.3.11.1 10.6.11.1 189 0x80000029 0x874d Type-5 AS External Link States Link ID ADV Router Age Seq# Checksum Tag 10.5.11.0 10.3.11.1 1726 0x80000028 0x152b 311 10.5.11.32 10.3.11.1 1726 0x80000028 0xd34c 311 10.5.11.64 10.3.11.1 1726 0x80000028 0x926d 311
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
14-Feb-2024 |
Versão inicial |