Identificar e Solucionar Problemas de Configuração do OSPF no FTD

Introdução

Este documento descreve como verificar e solucionar problemas de configuração do OSPF em dispositivos FTD usando o FMC como gerenciador.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

• Conceitos e funcionalidade do Open Shortest Path First (OSPF)
• Cisco Secure Firewall Management Center (FMC)
• Defesa contra ameaças (FTD) do Cisco Secure Firewall

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• FTD Virtual 7.2.5
• FMC virtual 7.2.5

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

OSPF background

O OSPF pode ser configurado no FMC para usar o roteamento dinâmico entre dispositivos FTD e outros dispositivos com capacidade OSPF. 

O FMC permite executar dois processos OSPF ao mesmo tempo para diferentes conjuntos de interfaces.

Cada dispositivo tem um ID de roteador, que é como o nome do dispositivo no processo OSPF. Por padrão, ele é definido como o IP de interface mais baixo, mas pode ser personalizado para um IP diferente. 

É importante observar que esses parâmetros devem corresponder em vizinhos para formar a adjacência OSPF:

• A interface pertence à mesma rede IP
• Máscara de sub-rede
• Área
• Intervalos Hello e Dead
• MTU
• Tipo de área (normal/NSSA/stub) 
• Autenticação

Configuração básica

Esta seção mostra os parâmetros básicos configurados para que o OSPF comece a procurar adjacência com seus vizinhos. 

1. Navegue até Devices > Device Management > Edit device

2. Clique na guia Roteamento.

3. Clique em OSPF na barra de menus à esquerda.

4. Selecione Process 1 para ativar a configuração do OSPF. O FTD pode executar dois processos simultâneos em diferentes conjuntos de interfaces.

Um roteador de borda de área (ABR) está localizado entre duas áreas diferentes, enquanto o roteador de borda de sistema autônomo (ASBR) está localizado entre os dispositivos que usam outros protocolos de roteamento. 

5. Escolha a função OSPF como Internal, ABR, ASBR e ABR e ASBR.

Seleção de função

6. (opcional) Altere o ID automático do roteador. Selecione Advanced, ao lado de OSPF role e selecione Router ID as IP address para personalizá-lo.

Seleção de ID do roteador

7. Selecione Área > Adicionar.

8. Especifique as informações da Área:

• processo OSPF
• ID da área
• Tipo de área
• Redes disponíveis

9. Clique em OK para salvar a configuração.

Seleção de Área

Redistribuição 

O FTD pode redistribuir rotas de um processo OSPF para outro. A redistribuição também pode ser de RIP, BGP, EIGRP (versão 7.2+), rotas estáticas e conectadas no processo de roteamento OSPF.

1. Para configurar a redistribuição OSPF, navegue para Devices > Device Management > Edit device.

2. Clique em Roteamento

3. Clique em OSPF.

4. Selecione Redistribuição > Adicionar.

5. Informe os campos de reclassificação contábil:

• processo OSPF
• Tipo de rota (de onde você está redistribuindo)
  • Estático
  • Conectado
  • processo OSPF
  • BGP
  • RIP
  • EIGRP

Para BGP e EIGRP, adicione o número AS.

6. (Opcional) Selecione se deseja usar sub-redes.

7. Selecione o Tipo de Métrica.

• O tipo 1 usa a métrica externa e adiciona o custo interno de cada salto que leva ao ASBR. 
• O tipo 2 usa somente a métrica externa. 

8. Clique em OK para salvar as alterações.

Configuração de redistribuição

Filtrando

Você pode executar uma filtragem entre áreas, que restringe as rotas que são enviadas de entrada ou saída de uma área para outra. Esta ação é executada apenas em ABRs. 

A filtragem é configurada com listas de prefixos que são vinculadas à configuração do OSPF. Esse é um recurso opcional e não é necessário para que o OSPF funcione. 

1. Para configurar a filtragem entre áreas do OSPF, navegue para Devices > Device Management > Edit device.

2. Clique em Roteamento

3. Clique em OSPF.

4. Selecione Inter-Área > Adicionar.

5. Configure os campos de filtragem:

• processo OSPF
• ID da área
• Lista de prefixos
• Direção do tráfego - entrada ou saída

Configuração da filtragem entre áreas

6. Vá para a etapa 10 se você tiver uma lista de prefixos configurada. Se precisar criar um novo, você pode selecionar o sinal de mais ou criá-lo em Objetos > Gerenciamento de objetos > Listas de prefixos > Lista de prefixos IPv4 > Adicionar. 

7. Clique em Adicionar entrada.

8. Configure a lista de prefixos com estes campos:

• Número de seqüência 
• IP Address
• Ação
• Comprimento do prefixo mínimo/máximo (opcional) 

Edição de objeto da lista de prefixos

9. Clique em OK para salvar a lista de prefixos. 

10. Clique em OK para salvar a configuração entre áreas.

Parâmetros de interface

Há certos parâmetros que podem ser modificados para cada interface que faz parte do OSPF.  

1. Para configurar os parâmetros da interface OSPF, navegue para Devices > Device Management > Edit device.

2. Clique em Roteamento

3. Clique em OSPF.

4. Selecione Interface > Adicionar.

5. Selecione os parâmetros a serem modificados

Temporizadores Hello e Dead

Os pacotes Hello do OSPF são enviados para manter a adjacência entre dispositivos. Esses pacotes são enviados em um intervalo que pode ser configurado. Se o dispositivo não receber pacotes hello de um vizinho dentro do intervalo dead, também configurável, o vizinho muda para o estado down.

Por padrão, o intervalo de Hello é de 10 segundos e o intervalo de Dead é quatro vezes o intervalo de Hello, 40 segundos. Esses intervalos devem corresponder entre vizinhos.

Configuração dos Temporizadores

MTU Ignore-OSPF

A caixa de seleção MTU ignore é uma opção para evitar que a adjacência OSPF fique presa no estado EXSTART devido à incompatibilidade de MTU entre interfaces vizinhas. A correspondência de MTU é verificada porque, nesse estado, o DBD é enviado entre vizinhos e uma diferença de tamanho pode criar problemas. A prática recomendada, no entanto, é manter essa opção desmarcada. 

MTU Ignore Check Config

Autenticação

Você pode selecionar três tipos diferentes de autenticação OSPF de interface. Por padrão, a autenticação não está habilitada.

• Nenhum
• Senha - senha em texto claro
• MD5 - Usa hashing MD5

A recomendação é usar MD5 como autenticação, já que é um algoritmo de hash que fornece segurança. 

Configure MD5 ID e chave MD5 e clique em OK para salvar. 

Configuração de chave MD5

A chave ou senha MD5 deve corresponder aos parâmetros de interface do vizinho autenticado. 

Verificação CLI geral  

Exemplo de topologia

Considere esta topologia de rede como um exemplo: 

Exemplo de topologia de rede

Tenha em conta as seguintes considerações: 

• O OSPF é configurado em FTD externo, FTD interno e roteador interno.
• O FTD externo é selecionado como a função ASBR, o FTD interno como ABR e o Roteador interno como a função interna. 
• A área 0 é criada entre FTD externo e interno, enquanto a área 1 é criada entre FTD interno e roteador interno. 
• O FTD externo também está executando a vizinhança BGP com outro dispositivo. 
• As rotas BGP aprendidas pelo Sistema Autônomo 312 são redistribuídas no OSPF.
• MTU e intervalos são configurados com valores padrão. 
• O FTD interno está filtrando rotas de entrada entre áreas para a Área 0 aprendida do Roteador Interno. 
• A autenticação da interface é configurada como MD5 em todos os dispositivos que fazem parte do OSPF. 

FTD interno 

A configuração do FTD interno é mostrada da seguinte forma:

Configuração da interface usando a autenticação MD5

interface GigabitEthernet0/0
nameif inside
security-level 0
ip address 10.6.11.1 255.255.255.0
ospf message-digest-key 1 md5 *****
ospf authentication message-digest 
!
interface GigabitEthernet0/1
nameif outside
security-level 0
ip address 10.3.11.2 255.255.255.0
ospf message-digest-key 1 md5 *****
ospf authentication message-digest 
!

A configuração do OSPF afirma que a rede 10.3.11.0/24 é anunciada para a área 0 e a rede 10.6.11.0/24 é anunciada para os vizinhos na área 1. 

A filtragem entre áreas está aplicando uma lista de prefixos às rotas de entrada que entram na área 0. Nesta lista de prefixos, a rede 192.168.4.0 do Roteador Interno é negada e todo o resto é permitido. 

Configuração de Área FTD Interna

Configuração de Filtragem FTD Interna

Lista de prefixos internos de FTD

router ospf 1
network 10.3.11.0 255.255.255.0 area 0
network 10.6.11.0 255.255.255.0 area 1
area 0 filter-list prefix filter_192.168.4.0 in 
log-adj-changes

prefix-list filter_192.168.4.0 seq 5 deny 192.168.4.0/24
prefix-list filter_192.168.4.0 seq 10 permit 0.0.0.0/0 le 32

FTD externo 

A configuração do FTD externo é mostrada da seguinte forma na CLI:

Configuração da interface usando a autenticação MD5.

interface GigabitEthernet0/0
nameif inside
security-level 0
ip address 10.3.11.1 255.255.255.0
ospf message-digest-key 1 md5 *****
ospf authentication message-digest 
!
interface GigabitEthernet0/1
nameif outside
security-level 0
ip address 172.16.11.1 255.255.255.0 
!

A configuração do OSPF mostra que a rota 10.3.11.0/24 é anunciada para o FTD interno na área 0.

A redistribuição do BGP no OSPF também pode ser observada.  

Configuração da Área FTD Externa

Configuração de Redistribuição de FTD Externo

router ospf 1
network 10.3.11.0 255.255.255.0 area 0
log-adj-changes
redistribute bgp 312 subnets

Comandos para Troubleshooting

Há vários comandos que são úteis para determinar se o OSPF está funcionando conforme esperado. 

show running-config router

Esse comando mostra a configuração dos protocolos de roteamento dinâmico, não apenas do OSPF. 

Útil para verificar a configuração relacionada ao OSPF na CLI. 

show route

A saída do comando show route fornece informações importantes sobre as rotas disponíveis no momento. 

• Uma rota aprendida através do OSPF é mostrada com a letra O. 
• Uma rota interáreas é mostrada com as letras O IA.
• Uma rota que é aprendida de outro protocolo de roteamento através de redistribuição mostra as letras O E1 ou O E2, dependendo do tipo de métrica selecionado. 

show route saída do FTD interno mostra que há três rotas externas conhecidas do vizinho ASBR 10.3.11.1.

Ele também mostra a rede 192.168.4.0/24 aprendida do vizinho 10.6.11.2 em sua mesma área. 

Internal-FTD# show route

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, + - replicated route
       SI - Static InterVRF
Gateway of last resort is not set

C        10.3.11.0 255.255.255.0 is directly connected, outside
L        10.3.11.2 255.255.255.255 is directly connected, outside
O E2     10.5.11.0 255.255.255.224 [110/1] via 10.3.11.1, 6w5d, outside
O E2     10.5.11.32 255.255.255.224 [110/1] via 10.3.11.1, 6w5d, outside
O E2     10.5.11.64 255.255.255.224 [110/1] via 10.3.11.1, 6w5d, outside
C        10.6.11.0 255.255.255.0 is directly connected, inside
L        10.6.11.1 255.255.255.255 is directly connected, inside
O        192.168.4.0 255.255.255.0 [110/20] via 10.6.11.2, 02:19:24, inside

No FTD externo, pode-se observar que a rota 10.6.11.0/24 é conhecida do vizinho 10.3.11.2 e pertence a uma área diferente. 

A rota 192.168.4.0/24 não é observada nesta saída porque foi filtrada no FTD interno. 

Além disso, há três rotas BGP aprendidas de outro dispositivo que são redistribuídas no OSPF como rotas externas tipo 2, como visto no FTD interno. 

External-FTD# show route

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, + - replicated route
       SI - Static InterVRF, BI - BGP InterVRF
Gateway of last resort is not set

C        10.3.11.0 255.255.255.0 is directly connected, inside
L        10.3.11.1 255.255.255.255 is directly connected, inside
B        10.5.11.0 255.255.255.224 [20/0] via 172.16.11.2, 6w5d
B        10.5.11.32 255.255.255.224 [20/0] via 172.16.11.2, 6w5d
B        10.5.11.64 255.255.255.224 [20/0] via 172.16.11.2, 6w5d
O IA     10.6.11.0 255.255.255.0 [110/20] via 10.3.11.2, 02:03:27, inside
C        172.16.11.0 255.255.255.0 is directly connected, outside
L        172.16.11.1 255.255.255.255 is directly connected, outside

show ospf neighbor

Esse comando ajuda a verificar qual é o estado da adjacência OSPF e se esse vizinho é um roteador designado (DR), um roteador designado de backup (BDR) ou outro (DROTHER). 

O DR é o dispositivo que atualiza o restante dos dispositivos na mesma sub-rede sempre que há uma alteração na rede. O BDR assume a função de DR se não estiver mais disponível. 

Isso também é útil, pois mostra o ID do roteador dos vizinhos, bem como o endereço IP e a interface da qual o vizinho é conhecido.

A contagem regressiva para o tempo de Dead também é observada. Se você tiver os temporizadores padrão, poderá ver o tempo diminuir de 00:40 para 00:30 antes que um novo pacote de saudação seja enviado e o temporizador seja reiniciado. 

Se esse tempo chegar até zero, a adjacência será perdida. 

Neste exemplo, a saída FTD interna mostra que esse dispositivo é um BDR no estado FULL com cada um de seus dois vizinhos, que em troca são DRs, alcançáveis de cada interface. Seus IDs de roteador são 10.3.11.1 e 192.168.4.1, respectivamente. 

Internal-FTD# show ospf neighbor 

Neighbor ID     Pri   State           Dead Time   Address         Interface
10.3.11.1         1   FULL/DR         0:00:38    10.3.11.1       outside
192.168.4.1       1   FULL/DR         0:00:33    10.6.11.2       inside

show ospf interface

A saída do comando show ospf interface mostra informações detalhadas e fornece uma visão mais ampla do processo OSPF em cada interface configurada. 

Estes são alguns dos parâmetros visíveis com esta saída:

• ID de processo do OSPF
• ID de Roteador
• Métrica (custo)
• Estado - DR, BDR ou DROTHER
• Quem é DR e BDR? 
• Intervalos do temporizador de Hello e de Dead 
• Resumo de vizinhos
• Detalhes da autenticação

Na próxima saída do FTD interno, pode-se observar que esse dispositivo é realmente o BDR em ambas as interfaces e que o vizinho corresponde às informações de show ospf neighbors.

Internal-FTD#show ospf interface

outside is up, line protocol is up 
Internet Address 10.3.11.2 mask 255.255.255.0, Area 0 
Process ID 1, Router ID 10.6.11.1, Network Type BROADCAST, Cost: 10
Transmit Delay is 1 sec, State BDR, Priority 1
Designated Router (ID) 10.3.11.1, Interface address 10.3.11.1
Backup Designated router (ID) 10.6.11.1, Interface address 10.3.11.2
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
oob-resync timeout 40
Hello due in 0:00:04
Supports Link-local Signaling (LLS)
Cisco NSF helper support enabled
IETF NSF helper support enabled
Index 1/1, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 1, maximum is 2
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 1, Adjacent neighbor count is 1 
Adjacent with neighbor 10.3.11.1 (Designated Router)
Suppress hello for 0 neighbor(s)
Cryptographic authentication enabled
Youngest key id is 1

inside is up, line protocol is up 
Internet Address 10.6.11.1 mask 255.255.255.0, Area 1 
Process ID 1, Router ID 10.6.11.1, Network Type BROADCAST, Cost: 10
Transmit Delay is 1 sec, State BDR, Priority 1
Designated Router (ID) 192.168.4.1, Interface address 10.6.11.2
Backup Designated router (ID) 10.6.11.1, Interface address 10.6.11.1
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
oob-resync timeout 40
Hello due in 0:00:03
Supports Link-local Signaling (LLS)
Cisco NSF helper support enabled
IETF NSF helper support enabled
Index 1/2, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 1, maximum is 2
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 1, Adjacent neighbor count is 1 
Adjacent with neighbor 192.168.4.1 (Designated Router)
Suppress hello for 0 neighbor(s)
Cryptographic authentication enabled
Youngest key id is 1

show ospf database 

Esse comando tem mais informações sobre os tipos de anúncio de estado de link (LSA) do OSPF. A saída é complexa e é útil somente para uma solução de problemas mais detalhada. 

O LSA é a forma como o OSPF troca informações e atualizações entre dispositivos, em vez de enviar a tabela de roteamento completa.  

Os tipos de LSA mais comuns são:

Tipo 1 - Estados de enlace do roteador - As IDs dos roteadores de anúncio

Tipo 2 - Estados de link de rede - As interfaces conectadas no mesmo link que o roteador designado.

Tipo 3 - Estados resumidos do link de rede - Rotas interáreas injetadas nesta área pelo roteador de borda de área (ABR).

Tipo 4 - Estados resumidos do link ASB - Os IDs do roteador de borda de sistema autônomo (ASBR).

Tipo 5 - Estados de enlace externo de AS - Rotas externas aprendidas de ASBRs.

Com isso em mente, a saída desse comando pode ser interpretada a partir do exemplo de FTD interno. 

• Os bancos de dados são mostrados por área.
• A coluna ID do link contém as informações importantes a serem observadas. 
• Como mencionado anteriormente, o Tipo 1 mostra os IDs do roteador de cada dispositivo na área e o Tipo 2 mostra o DR de cada link de sub-rede. Nesse caso, 10.3.11.1 para a área 0 e 10.6.11.2 para a área 1. 
• O Tipo 3 mostra rotas interáreas injetadas na respectiva área pelo ABR 10.6.11.0 para a Área 0 e 10.3.11.0 para a Área 1. 
• O Tipo 4 mostra o ID do roteador do ASBR. A área 1 vê que o dispositivo 10.3.11.1 é o ASBR do processo. 
• O tipo 5 mostra as rotas redistribuídas pelo ASBR. Nesse caso, três rotas externas: 10.5.11.0, 10.5.11.32 e 10.5.11.64.  

Internal-FTD# show ospf database 


            OSPF Router with ID (10.6.11.1) (Process ID 1)

                Router Link States (Area 0)

Link ID         ADV Router      Age         Seq#       Checksum Link count
10.3.11.1       10.3.11.1       234         0x8000002b 0x4c4d 1
10.6.11.1       10.6.11.1       187         0x8000002e 0x157b 1

                Net Link States (Area 0)

Link ID         ADV Router      Age         Seq#       Checksum
10.3.11.1       10.3.11.1       234         0x80000029 0x7f2b

                Summary Net Link States (Area 0)

Link ID         ADV Router      Age         Seq#       Checksum
10.6.11.0       10.6.11.1       187         0x8000002a 0x7959

                Router Link States (Area 1)

Link ID         ADV Router      Age         Seq#       Checksum Link count
10.6.11.1       10.6.11.1       187         0x8000002c 0x513b 1
192.168.4.1     192.168.4.1     1758        0x8000002a 0x70f1 2

                Net Link States (Area 1)

Link ID         ADV Router      Age         Seq#       Checksum
10.6.11.2       192.168.4.1     1759        0x80000028 0xd725

                Summary Net Link States (Area 1)

Link ID         ADV Router      Age         Seq#       Checksum
10.3.11.0       10.6.11.1       189         0x80000029 0x9f37

                Summary ASB Link States (Area 1)

Link ID         ADV Router      Age         Seq#       Checksum
10.3.11.1       10.6.11.1       189         0x80000029 0x874d

                Type-5 AS External Link States

Link ID         ADV Router      Age         Seq#       Checksum Tag
10.5.11.0       10.3.11.1       1726        0x80000028 0x152b 311
10.5.11.32      10.3.11.1       1726        0x80000028 0xd34c 311
10.5.11.64      10.3.11.1       1726        0x80000028 0x926d 311 

Informações Relacionadas

• Suporte técnico e downloads da Cisco
• Entender o protocolo OSPF – Guia de design