排除FTD裝置上的EIGRP故障
簡介
本文檔介紹如何使用FMC作為管理器對FTD裝置上的EIGRP配置進行驗證和故障排除。
必要條件
需求
思科建議您瞭解以下主題:
- 增強型內部閘道路由通訊協定(EIGRP)概念和功能
- 思科安全防火牆管理中心(FMC)
- 思科安全防火牆威脅防禦(FTD)
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- 適用於VMWare的FTDv版本為7.2.8。
- 適用於VMWare的FMC版本為7.2.8。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
EIGRP背景
可以在FMC上配置EIGRP,以在FTD裝置與其他EIGRP裝置之間使用動態路由。
FMC僅允許在單模式下配置一個EIGRP自治系統(AS)。
接下來的引數必須與EIGRP鄰居匹配,才能形成EIGRP鄰接關係。
- 屬於同一IP子網的介面。
- EIGRP AS
- Hello間隔和保持間隔
-MTU
- 介面身份驗證。
基本配置
本節介紹配置EIGRP所需的引數。
- 導航至裝置>裝置管理>編輯裝置
- 按一下Routing頁籤。
- 按一下左側選單欄中的EIGRP。
- 選中Enable EIGRP覈取方塊以啟用協定,並為AS編號分配介於1到65535之間的值。
- 請注意,預設情況下已停用自動彙總選項
- 選擇一個網路/主機,即可使用之前建立的對象,或者透過按一下add按鈕增加新對象(+)
- (可選)選中覈取方塊Passive interface,以選擇不重分配流量的介面。
- 按一下「儲存」以儲存變更。
篩選規則
FTD允許使用者設定通訊群組清單以控制傳入和傳出路由。
- 導航至裝置>裝置管理>編輯裝置
- 按一下Routing頁籤。
- 按一下EIGRP。
- 按一下Filtering Rules > Add。
- 選取過濾欄位的對應資訊。
- 篩選方向
- 選取介面
- 選取存取清單
6. 如果有已設定的「標準存取清單」,請移至步驟。
如果使用者需要配置標準訪問清單,請點選加號按鈕或從對象>對象管理>訪問清單>標準>增加標準訪問清單建立標準訪問清單。
7. 指定清單的名稱
8. 按一下加號( + )按鈕
- 選取動作
- 將網路或主機從可用網路增加到所選網路。
9. 按一下底部的增加以儲存訪問清單條目。
10. 按一下儲存,儲存標準訪問清單。
11. 按一下確定。
12. 按一下儲存以驗證變更。
重分發
FTD有能力將來自BGP、RIP和OSPF協定的路由,或者來自靜態和已連線路由的路由重分配到EIGRP中。
- 導航至裝置>裝置管理>編輯裝置
- 按一下Routing頁籤。
- 按一下EIGRP。
- 按一下Redistribution。
- 在重分配欄位中輸入資訊。
- 通訊協定
- RIP
- OSPF
- BGP
- 已連線
- 靜態
對於OSPF,必須指定進程ID;對於BGP,則必須指定欄位進程ID*上的AS編號。
如果配置要求重分配OSPF協定生成的資訊,使用者可以選擇OSPF型別的重分配。
可選度量指的是EIGRP度量和路由對映。
介面
Hello計時器和保持計時器
Hello資料包用於鄰居發現並檢測可用的鄰居。這些資料包按時間間隔傳送,預設情況下,此計時器的值為5秒。
保持計時器,確定EIGRP認為路由可到達且正常運行的時間量。預設情況下,保持時間值是hello間隔的3倍。
驗證
FTD支援MD5雜湊演演算法驗證EIGRP封包。預設情況下,身份驗證處於停用狀態。
選中覈取方塊MD5 Authentication以啟用MD5雜湊演算法。
主要
未加密-純文字檔案。
已加密
故障排除和驗證命令
- show run router eigrp。顯示EIGRP配置
- show run interface [ interface]。顯示EIGRP介面身份驗證和計時器資訊。
- show eigrp events [{ start end} | 型別]。顯示EIGRP事件日誌。
- show eigrp interfaces [ if-name] [ detail]。顯示參與EIGRP路由的介面。
- show eigrp neighbors [ detail | static] [ if-name]。顯示EIGRP鄰居表。
- show eigrp topology [ ip-addr [ mask] | active(作用中) | 所有連結 | 擱置 | 摘要 | zero-successors]。顯示EIGRP拓撲表。
- show eigrp traffic。顯示EIGRP流量統計資訊。
驗證
考慮下一個拓撲,本節使用前面介紹的命令驗證應用於FTD的EIGRP配置。
EIGRP拓撲
基本配置
EIGRP基本配置
重分發
EIGRP重新分發配置
介面配置
EIGRP介面配置
使用命令進行驗證
firepower# show run router eigrp
router eigrp 100
no default-information in
no default-information out
no eigrp log-neighbor-warnings
no eigrp log-neighbor-changes
network 10.10.0.0 255.255.255.0
network 192.168.0.0 255.255.255.0
passive-interface OUTSIDE
passive-interface INSIDE
redistribute static
!
firepower# show run int g 0/2
!
interface GigabitEthernet0/2
nameif FTD-EIGRP
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
security-level 0
ip address 192.168.0.2 255.255.255.0
hello-interval eigrp 100 10
hold-time eigrp 100 30
firepower# show eigrp events
106 04:24:27.980 Conn rt change: 192.168.0.0 255.255.255.0 FTD-EIGRP
107 04:24:27.980 Lost route 1=forceactv: 192.168.0.0 255.255.255.0 0
108 04:24:27.980 Change queue emptied, entries: 1
109 04:24:27.980 Metric set: 192.168.0.0 255.255.255.0 512
110 04:24:27.980 Update reason, delay: new if 4294967295
111 04:24:27.980 Update sent, RD: 192.168.0.0 255.255.255.0 4294967295
112 04:24:27.980 Update reason, delay: metric chg 4294967295
113 04:24:27.980 Update sent, RD: 192.168.0.0 255.255.255.0 4294967295
114 04:24:27.980 Route installed: 192.168.0.0 255.255.255.0 0.0.0.0
115 04:24:27.980 Find FS: 192.168.0.0 255.255.255.0 4294967295
116 04:24:27.980 Rcv update met/succmet: 512 0
117 04:24:27.980 Rcv update dest/orig: 192.168.0.0 255.255.255.0 Connected
118 04:24:27.980 Metric set: 192.168.0.0 255.255.255.0 4294967295
119 04:24:27.980 Conn rt change: 192.168.0.0 255.255.255.0 FTD-EIGRP
firepower# show eigrp interfaces
EIGRP-IPv4 Interfaces for AS(100)
Xmit Queue Mean Pacing Time Multicast Pending
Interface Peers Un/Reliable SRTT Un/Reliable Flow Timer Routes
FTD-EIGRP 1 0 / 0 48 0 / 1 193 0
firepower# show eigrp neighbors
EIGRP-IPv4 Neighbors for AS(100)
H Address Interface Hold Uptime SRTT RTO Q Seq
(sec) (ms) Cnt Num
0 192.168.0.1 FTD-EIGRP 27 09:15:22 48 1458 0 4
firepower# show eigrp topology
EIGRP-IPv4 Topology Table for AS(100)/ID(192.168.0.2)
Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,
r - reply Status, s - sia Status
P 10.10.0.0 255.255.255.0, 1 successors, FD is 512
via Connected, STORES
P 10.40.0.0 255.255.255.0, 1 successors, FD is 768 ---------- Route learn from EIGRP neighbor
via 192.168.0.1 (768/512), FTD-EIGRP
P 192.168.0.0 255.255.255.0, 1 successors, FD is 512
via Connected, FTD-EIGRP
P 0.0.0.0 0.0.0.0, 1 successors, FD is 512
via Rstatic (512/0)
firepower# show eigrp traffic
EIGRP-IPv4 Traffic Statistics for AS(100)
Hellos sent/received: 16606/6989
Updates sent/received: 8/4
Queries sent/received: 2/0
Replies sent/received: 0/1
Acks sent/received: 3/5
SIA-Queries sent/received: 0/0
SIA-Replies sent/received: 0/0
Hello Process ID: 4007513056
PDM Process ID: 4007513984
Socket Queue:
Input Queue: 0/2000/2/0 (current/max/highest/drops)
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
23-Oct-2024 |
初始版本 |
意見