排除FTD设备上的EIGRP故障
简介
本文档介绍如何使用FMC作为管理器对FTD设备上的EIGRP配置进行验证和故障排除。
先决条件
要求
Cisco 建议您了解以下主题:
- 增强型内部网关路由协议(EIGRP)的概念和功能
- 思科安全防火墙管理中心(FMC)
- 思科安全防火墙威胁防御(FTD)
使用的组件
本文档中的信息基于以下软件和硬件版本:
- FTDv for VMWare在版本7.2.8中。
- FMC for VMWare在版本7.2.8中。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
EIGRP背景
可以在FMC上配置EIGRP,以在FTD设备和其他支持EIGRP的设备之间使用动态路由。
FMC仅允许在单模式下配置一个EIGRP自治系统(AS)。
接下来的参数必须与EIGRP邻居匹配才能形成EIGRP邻接关系。
- 属于同一IP子网的接口。
- EIGRP AS
- Hello和保持间隔
-MTU
-接口认证.
基本配置
本节介绍配置EIGRP所需的参数。
- 导航至设备>设备管理>编辑设备
- 单击Routing选项卡。
- 单击左侧菜单栏中的EIGRP。
- 选中Enable EIGRP复选框以启用协议,并为AS编号分配介于1和65535之间的值。
- 请注意,默认情况下禁用Auto Summary选项
- 选择一个网络/主机,您可以使用之前创建的对象,也可以通过单击“添加”按钮添加新对象(+)
- (可选)选中Passive interface复选框,以选择不重分配流量的接口。
- 点击Save以存储更改。
筛选规则
FTD允许用户配置分发列表以控制入站和出站路由。
- 导航至设备>设备管理>编辑设备
- 单击Routing选项卡。
- 单击EIGRP。
- 单击Filtering Rules > Add。
- 选择过滤字段的对应信息。
- 过滤器方向
- 选择界面
- 选择访问列表
6. 如果配置了标准访问列表,请转到步骤。
如果用户需要配置标准访问列表,请点击加号按钮或从对象>对象管理>访问列表>标准>添加标准访问列表创建标准访问列表。
7. 为列表指定名称
8. 单击加号( + )按钮
- 选择操作
- 将网络或主机从可用网络添加到选定网络。
9. 单击底部的添加以保存访问列表条目。
10. 单击Save,以便保存标准访问列表。
11. 单击Ok。
12. 单击Save验证更改。
重分发
FTD能够将从BGP、RIP和OSPF协议生成的路由,或者从静态和连接的路由重分发到EIGRP。
- 导航至设备>设备管理>编辑设备
- 单击Routing选项卡。
- 单击EIGRP。
- 单击Redistribution。
- 在重分布字段中输入信息。
- 协议
- RIP
- OSPF
- 调试输出中显示“BGP
- 已连接
- 静态
对于OSPF,需要指定进程ID;对于BGP,需要指定字段进程ID*上的AS编号。
如果配置需要重分发OSPF协议生成的信息,用户可以选择OSPF重分发类型。
可选度量指EIGRP度量和路由映射。
接口
Hello 计时器和保持计时器
Hello数据包用于发现邻居和检测可用的邻居。这些数据包按时间间隔发送,此计时器的默认值为5秒。
保持计时器,确定EIGRP认为路由可到达且正常运行的时间长度。默认情况下,保持时间值是hello间隔的3倍。
身份验证
FTD支持MD5散列算法来验证EIGRP数据包。默认情况下,身份验证处于禁用状态。
选中MD5 Authentication复选框,以启用MD5散列算法。
密钥
未加密-纯文本。
已加密
故障排除和验证命令
- show run router eigrp。显示EIGRP配置
- show run interface [ interface]。显示EIGRP接口身份验证和计时器信息。
- show eigrp events [{start end} | 键入]。显示EIGRP事件日志。
- show eigrp interfaces [ if-name] [ detail]。显示参与EIGRP路由的接口。
- show eigrp neighbors [ detail | static] [ if-name]。显示EIGRP邻居表。
- show eigrp topology [ ip-addr [ mask] | 主用 | 所有链路 | 挂起 | 摘要 | zero-successors]。显示EIGRP拓扑表。
- show eigrp traffic。显示EIGRP流量统计信息。
确认
考虑下一个拓扑,此部分使用前面所述的命令来验证应用于FTD的EIGRP配置。
EIGRP拓扑
基本配置
EIGRP基本配置
重分发
EIGRP重分布配置
接口配置
EIGRP接口配置
使用命令进行验证
firepower# show run router eigrp
router eigrp 100
no default-information in
no default-information out
no eigrp log-neighbor-warnings
no eigrp log-neighbor-changes
network 10.10.0.0 255.255.255.0
network 192.168.0.0 255.255.255.0
passive-interface OUTSIDE
passive-interface INSIDE
redistribute static
!
firepower# show run int g 0/2
!
interface GigabitEthernet0/2
nameif FTD-EIGRP
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
security-level 0
ip address 192.168.0.2 255.255.255.0
hello-interval eigrp 100 10
hold-time eigrp 100 30
firepower# show eigrp events
106 04:24:27.980 Conn rt change: 192.168.0.0 255.255.255.0 FTD-EIGRP
107 04:24:27.980 Lost route 1=forceactv: 192.168.0.0 255.255.255.0 0
108 04:24:27.980 Change queue emptied, entries: 1
109 04:24:27.980 Metric set: 192.168.0.0 255.255.255.0 512
110 04:24:27.980 Update reason, delay: new if 4294967295
111 04:24:27.980 Update sent, RD: 192.168.0.0 255.255.255.0 4294967295
112 04:24:27.980 Update reason, delay: metric chg 4294967295
113 04:24:27.980 Update sent, RD: 192.168.0.0 255.255.255.0 4294967295
114 04:24:27.980 Route installed: 192.168.0.0 255.255.255.0 0.0.0.0
115 04:24:27.980 Find FS: 192.168.0.0 255.255.255.0 4294967295
116 04:24:27.980 Rcv update met/succmet: 512 0
117 04:24:27.980 Rcv update dest/orig: 192.168.0.0 255.255.255.0 Connected
118 04:24:27.980 Metric set: 192.168.0.0 255.255.255.0 4294967295
119 04:24:27.980 Conn rt change: 192.168.0.0 255.255.255.0 FTD-EIGRP
firepower# show eigrp interfaces
EIGRP-IPv4 Interfaces for AS(100)
Xmit Queue Mean Pacing Time Multicast Pending
Interface Peers Un/Reliable SRTT Un/Reliable Flow Timer Routes
FTD-EIGRP 1 0 / 0 48 0 / 1 193 0
firepower# show eigrp neighbors
EIGRP-IPv4 Neighbors for AS(100)
H Address Interface Hold Uptime SRTT RTO Q Seq
(sec) (ms) Cnt Num
0 192.168.0.1 FTD-EIGRP 27 09:15:22 48 1458 0 4
firepower# show eigrp topology
EIGRP-IPv4 Topology Table for AS(100)/ID(192.168.0.2)
Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,
r - reply Status, s - sia Status
P 10.10.0.0 255.255.255.0, 1 successors, FD is 512
via Connected, STORES
P 10.40.0.0 255.255.255.0, 1 successors, FD is 768 ---------- Route learn from EIGRP neighbor
via 192.168.0.1 (768/512), FTD-EIGRP
P 192.168.0.0 255.255.255.0, 1 successors, FD is 512
via Connected, FTD-EIGRP
P 0.0.0.0 0.0.0.0, 1 successors, FD is 512
via Rstatic (512/0)
firepower# show eigrp traffic
EIGRP-IPv4 Traffic Statistics for AS(100)
Hellos sent/received: 16606/6989
Updates sent/received: 8/4
Queries sent/received: 2/0
Replies sent/received: 0/1
Acks sent/received: 3/5
SIA-Queries sent/received: 0/0
SIA-Replies sent/received: 0/0
Hello Process ID: 4007513056
PDM Process ID: 4007513984
Socket Queue:
Input Queue: 0/2000/2/0 (current/max/highest/drops)
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
23-Oct-2024 |
初始版本 |
反馈