本文檔介紹如何配置Cisco ASA以通過路由資訊協定(RIP)獲知路由、執行身份驗證和重新分發。
請參閱PIX/ASA 8.X:有關EIGRP配置的詳細資訊,請在思科自適應安全裝置(ASA)上配置EIGRP。
注意:本文檔的配置基於RIP第2版。
注意:ASA/PIX不支援非對稱路由。
嘗試此組態之前,請確保符合以下要求:
Cisco ASA/PIX必須運行7.x版或更高版本。
多情景模式不支援RIP;它僅在單一模式下受支援。
本文中的資訊係根據以下軟體和硬體版本:
執行軟體版本8.0和更新版本的Cisco 5500系列調適型安全裝置(ASA)。
Cisco Adaptive Security Device Manager(ASDM)軟體版本6.0及更高版本。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
本文檔中的資訊也適用於運行軟體版本8.0及更高版本的Cisco 500系列PIX防火牆。
RIP是一種距離向量路由協定,它使用跳數作為路徑選擇的度量。當介面上啟用RIP時,該介面會與相鄰裝置交換RIP廣播,以便動態瞭解並通告路由。
安全裝置同時支援RIP第1版和RIP第2版。RIP第1版不隨路由更新傳送子網掩碼。RIP第2版傳送帶有路由更新的子網掩碼,並支援可變長子網掩碼。此外,RIP第2版在交換路由更新時支援鄰居身份驗證。此身份驗證可確保安全裝置從受信任的來源接收可靠的路由資訊。
限制:
安全裝置無法在介面之間傳遞RIP更新。
RIP第1版不支援可變長子網掩碼(VLSM)。
RIP的最大跳數為15。跳數大於15的路由被視為不可達。
與其他路由協定相比,RIP收斂速度相對較慢。
您只能在安全裝置上啟用一個RIP進程。
注意:此資訊僅適用於RIP第2版:
如果使用鄰居身份驗證,則向介面提供RIP第2版更新的所有鄰居裝置上的身份驗證金鑰和金鑰ID必須相同。
在RIP第2版中,安全裝置使用組播地址224.0.0.9傳輸和接收預設路由更新。在被動模式下,它在該地址接收路由更新。
當在介面上配置RIP第2版時,組播地址224.0.0.9會在該介面上註冊。當從介面刪除RIP第2版配置時,該組播地址將取消註冊。
本節提供用於設定本文件中所述功能的資訊。
註:使用Command Lookup Tool(僅限註冊客戶)可獲取本節中使用的命令的詳細資訊。
本檔案會使用以下網路設定:
本檔案會使用以下設定:
自適應安全裝置管理器(ASDM)是一種基於瀏覽器的應用程式,用於配置和監控安全裝置上的軟體。ASDM從安全裝置載入,然後用於配置、監控和管理裝置。您還可以使用ASDM Launcher(僅Windows®)以比Java小程式更快的速度啟動ASDM應用程式。本節介紹使用ASDM配置本文檔中所述功能所需的資訊。
要在Cisco ASA中配置RIP,請完成以下步驟:
使用ASDM登入到Cisco ASA。
在ASDM介面中選擇Configuration > Device Setup > Routing > RIP,如螢幕截圖所示。
選擇Configuration > Device Setup > Routing > RIP > Setup以啟用RIP路由,如下所示。
選中啟用RIP路由覈取方塊。
選中Enable RIP version with單選按鈕Version 2覈取方塊。
在Networks頁籤下,新增網路10.1.1.0。
按一下「Apply」。
欄位
Enable RIP Routing — 選中此覈取方塊可在安全裝置上啟用RIP路由。啟用RIP後,所有介面都會啟用RIP。如果選中此覈取方塊,還將啟用此窗格中的其他欄位。取消選中此覈取方塊可在安全裝置上禁用RIP路由。
Enable Auto-summarization — 清除此覈取方塊以禁用自動路由總結。選中此覈取方塊可重新啟用自動路由總結。RIP第1版總是使用自動總結。您不能為RIP第1版禁用自動總結。如果您使用RIP第2版,則可以取消選中此覈取方塊來關閉自動總結。如果必須在斷開連線的子網之間執行路由,請禁用自動總結。禁用自動總結後,子網將被通告。
Enable RIP version — 選中此覈取方塊以指定安全裝置使用的RIP版本。如果清除此覈取方塊,安全裝置將傳送RIP第1版更新並接受RIP第1版和第2版更新。可以在Interface窗格中逐個介面覆蓋此設定。
版本1 — 指定安全裝置僅傳送和接收RIP版本1更新。收到的任何版本2更新都會被丟棄。
版本2 — 指定安全裝置僅傳送和接收RIP版本2更新。收到的任何版本1更新都會被丟棄。
Enable default information originate — 選中此覈取方塊可生成到RIP路由進程的預設路由。您可以配置在生成預設路由之前必須滿足的路由對映。
Route-map — 輸入要應用的路由對映的名稱。如果滿足路由對映,則路由過程將生成預設路由。
IP Network to Add — 為RIP路由過程定義網路。指定的網路號不能包含任何子網資訊。您可以新增到安全裝置配置的網路數量沒有限制。RIP路由更新僅通過指定網路中的介面傳送和接收。此外,如果未指定介面網路,則不會在任何RIP更新中通告該介面。
Add — 按一下此按鈕可將指定的網路新增到網路清單中。
Delete — 按一下此按鈕可從網路清單中刪除選定的網路
將介面配置為被動全域性模式 — 選中此覈取方塊可將安全裝置上的所有介面設定為被動的RIP模式。安全裝置偵聽所有介面上的RIP路由廣播,並使用該資訊填充路由表,但不會廣播路由更新。使用Passive Interfaces表將特定介面設定為被動RIP。
Passive Interfaces表 — 列出安全裝置上已配置的介面。選中要以被動模式運行的介面的被動列中的覈取方塊。其他介面仍傳送和接收RIP廣播。
Cisco ASA支援對來自RIP v2路由協定的路由更新進行MD5身份驗證。每個RIP資料包中的MD5鍵控摘要可防止從未經批准的來源引入未經授權的或錯誤的路由消息。在RIP消息中新增身份驗證可確保您的路由器和Cisco ASA只接受來自配置了相同預共用金鑰的其他路由裝置的路由消息。如果沒有配置此身份驗證,如果您將具有不同或相反路由資訊的另一個路由裝置引入網路,您的路由器或Cisco ASA上的路由表可能會損壞,並且可能會發生拒絕服務攻擊。當您在路由裝置(包括ASA)之間傳送的RIP消息中新增身份驗證時,可以防止有目的地或意外將另一台路由器新增到網路以及任何問題。
RIP路由身份驗證是針對每個介面配置的。為RIP消息身份驗證配置的介面上的所有RIP鄰居必須配置相同的身份驗證模式和金鑰。
完成以下步驟,以便在Cisco ASA上啟用RIP MD5身份驗證。
在ASDM上,選擇Configuration > Device Setup > Routing > RIP > Interface,然後使用滑鼠選擇內部介面。按一下「Edit」。
選中Enable authentication key覈取方塊,然後輸入Key值和Key ID值。
按一下「OK」,然後「Apply」。
Cisco ASA |
---|
ciscoasa#show running-config : Saved : ASA Version 8.0(2) ! hostname ciscoasa enable password 8Ry2YjIyt7RRXU24 encrypted names ! !--- Inside interface configuration interface Ethernet0/1 nameif inside security-level 100 ip address 10.1.1.1 255.255.255.0 !--- RIP authentication is configured on the inside interface. rip authentication mode md5 rip authentication key |
Cisco IOS路由器(R2) |
---|
interface Ethernet0 ip address 10.1.1.2 255.255.255.0 ip rip authentication mode md5 ip rip authentication key-chain 1 ! router rip version 2 network 10.0.0.0 network 172.16.0.0 no auto-summary |
Cisco IOS路由器(R1) |
---|
router rip version 2 network 172.16.0.0 no auto-summary |
Cisco IOS路由器(R3) |
---|
router rip version 2 network 172.16.0.0 no auto-summary |
您可以將路由從OSPF、EIGRP、靜態和連線的路由進程重分發到RIP路由進程中。
在此示例中,使用網路圖將OSPF路由重分配到RIP中時會顯示以下資訊:
請完成以下步驟:
OSPF配置
在ASDM介面中選擇Configuration > Device Setup > Routing > OSPF,如螢幕截圖所示。
在Setup > Process Instances頁籤上啟用OSPF路由進程,如螢幕截圖所示。在本示例中,OSPF ID進程為1。
在Setup > Process Instances頁籤上按一下Advanced,以配置可選的高級OSPF路由進程引數。您可以編輯特定於進程的設定,例如Router ID、Adjacency Changes、Administrative Route Distances、Timers和Default Information Originate設定。
按一下「OK」(確定)。
完成上述步驟後,在Setup > Area/Networks頁籤上定義參與OSPF路由的網路和介面。按如下螢幕截圖所示,按一下Add。
出現此螢幕。在本示例中,我們新增的唯一網路是外部網路(192.168.1.0/24),因為OSPF僅在外部介面上啟用。
注意:只有屬於已定義網路的IP地址介面才能參與OSPF路由過程。
按一下「OK」(確定)。
按一下「Apply」。
選擇Configuration > Device Setup > Routing > RIP > Redistribution > Add以將OSPF路由重分發到RIP。
按一下「OK」,然後「Apply」。
ASA的CLI配置,用於將OSPF重新分發到RIP AS |
---|
router rip network 10.0.0.0 redistribute ospf 1 metric transparent version 2 ! router ospf 1 router-id 192.168.1.1 network 192.168.1.0 255.255.255.0 area 0 area 0 log-adj-changes |
將OSPF路由重分發到RIP AS後,您可以看到鄰居Cisco IOS路由器(R2)的路由表。
R2#show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set 172.16.0.0/24 is subnetted, 4 subnets R 172.16.10.0 [120/1] via 172.16.1.2, 00:00:25, Ethernet1 R 172.16.5.0 [120/1] via 172.16.2.2, 00:00:20, Serial1 C 172.16.1.0 is directly connected, Ethernet1 C 172.16.2.0 is directly connected, Serial1 10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks C 10.1.1.0/24 is directly connected, Ethernet0 R 10.77.241.128/26 [120/1] via 10.1.1.1, 00:00:06, Ethernet0 R 192.168.1.0/24 [120/1] via 10.1.1.1, 00:00:05, Ethernet0 192.168.2.0/32 is subnetted, 1 subnets R 192.168.2.1 [120/12] via 10.1.1.1, 00:00:05, Ethernet0 192.168.3.0/32 is subnetted, 1 subnets R 192.168.3.1 [120/12] via 10.1.1.1, 00:00:05, Ethernet0 !--- Redistributed route advertised by Cisco ASA
完成以下步驟以驗證您的設定:
如果導航到監控>路由>路由,則可以驗證路由表。在此螢幕截圖中,您可以看到172.16.1.0/24、172.16.2.0/24、172.16.5.0/24和172.16.10.0/24網路是通過R2(10.1.1.2)和RIP獲取的。
您可以在CLI中使用show route命令來取得相同的輸出。
ciscoasa#show route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is not set R 172.16.10.0 255.255.255.0 [120/2] via 10.1.1.2, 0:00:10, inside R 172.16.5.0 255.255.255.0 [120/2] via 10.1.1.2, 0:00:10, inside R 172.16.1.0 255.255.255.0 [120/1] via 10.1.1.2, 0:00:10, inside R 172.16.2.0 255.255.255.0 [120/1] via 10.1.1.2, 0:00:10, inside C 10.1.1.0 255.255.255.0 is directly connected, inside C 10.77.241.128 255.255.255.192 is directly connected, dmz S 10.77.0.0 255.255.0.0 [1/0] via 10.77.241.129, dmz C 192.168.1.0 255.255.255.0 is directly connected, outside O 192.168.2.1 255.255.255.255 [110/11] via 192.168.1.1, 0:34:46, outside O 192.168.3.1 255.255.255.255 [110/11] via 192.168.1.1, 0:34:46, outside ciscoasa#
本節包含有關debug命令的資訊,這些命令可用於排除OSPF故障。
輸出直譯器工具(僅供已註冊客戶使用)(OIT)支援某些show命令。使用OIT檢視show命令輸出的分析。
附註:使用 debug 指令之前,請先參閱有關 Debug 指令的重要資訊。
debug rip events — 啟用RIP事件的調試
ciscoasa#debug rip events rip_route_adjust for inside coming up RIP: sending request on inside to 224.0.0.9 RIP: received v2 update from 10.1.1.2 on inside 172.16.1.0255.255.255.0 via 0.0.0.0 in 1 hops 172.16.2.0255.255.255.0 via 0.0.0.0 in 1 hops 172.16.5.0255.255.255.0 via 0.0.0.0 in 2 hops 172.16.10.0255.255.255.0 via 0.0.0.0 in 2 hops RIP: Update contains 4 routes RIP: received v2 update from 10.1.1.2 on inside 172.16.1.0255.255.255.0 via 0.0.0.0 in 1 hops 172.16.2.0255.255.255.0 via 0.0.0.0 in 1 hops 172.16.5.0255.255.255.0 via 0.0.0.0 in 2 hops 172.16.10.0255.255.255.0 via 0.0.0.0 in 2 hops RIP: Update contains 4 routes RIP: sending v2 flash update to 224.0.0.9 via dmz (10.77.241.142) RIP: build flash update entries 10.1.1.0 255.255.255.0 via 0.0.0.0, metric 1, tag 0 172.16.1.0 255.255.255.0 via 0.0.0.0, metric 2, tag 0 172.16.2.0 255.255.255.0 via 0.0.0.0, metric 2, tag 0 172.16.5.0 255.255.255.0 via 0.0.0.0, metric 3, tag 0 172.16.10.0 255.255.255.0 via 0.0.0.0, metric 3, tag 0 RIP: Update contains 5 routes RIP: Update queued RIP: sending v2 flash update to 224.0.0.9 via inside (10.1.1.1) RIP: build flash update entries - suppressing null update RIP: Update sent via dmz rip-len:112 RIP: sending v2 update to 224.0.0.9 via dmz (10.77.241.142) RIP: build update entries 10.1.1.0 255.255.255.0 via 0.0.0.0, metric 1, tag 0 172.16.1.0 255.255.255.0 via 0.0.0.0, metric 2, tag 0 172.16.2.0 255.255.255.0 via 0.0.0.0, metric 2, tag 0 172.16.5.0 255.255.255.0 via 0.0.0.0, metric 3, tag 0 172.16.10.0 255.255.255.0 via 0.0.0.0, metric 3, tag 0 192.168.1.0 255.255.255.0 via 0.0.0.0, metric 1, tag 0 192.168.2.1 255.255.255.255 via 0.0.0.0, metric 12, tag 0 192.168.3.1 255.255.255.255 via 0.0.0.0, metric 12, tag 0 RIP: Update contains 8 routes RIP: Update queued RIP: sending v2 update to 224.0.0.9 via inside (10.1.1.1) RIP: build update entries 10.77.241.128 255.255.255.192 via 0.0.0.0, metric 1, tag 0 192.168.1.0 255.255.255.0 via 0.0.0.0, metric 1, tag 0 192.168.2.1 255.255.255.255 via 0.0.0.0, metric 12, tag 0 192.168.3.1 255.255.255.255 via 0.0.0.0, metric 12, tag 0 RIP: Update contains 4 routes RIP: Update queued RIP: Update sent via dmz rip-len:172 RIP: Update sent via inside rip-len:92 RIP: received v2 update from 10.1.1.2 on inside 172.16.1.0255.255.255.0 via 0.0.0.0 in 1 hops 172.16.2.0255.255.255.0 via 0.0.0.0 in 1 hops 172.16.5.0255.255.255.0 via 0.0.0.0 in 2 hops 172.16.10.0255.255.255.0 via 0.0.0.0 in 2 hops RIP: Update contains 4 routes