Resolución de Problemas de Configuración OSPF en FTD
Contenido
Introducción
Este documento describe cómo verificar y resolver problemas de configuración OSPF en dispositivos FTD usando FMC como administrador.
Prerequisites
Requirements
Cisco recomienda que tenga conocimiento sobre estos temas:
- Conceptos y funciones de OSPF (Abrir primero la ruta de acceso más corta)
- Cisco Secure Firewall Management Center (FMC)
- Cisco Secure Firewall Threat Defence (FTD)
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- FTD virtual 7.2.5
- Virtual FMC 7.2.5
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Segundo plano de OSPF
OSPF se puede configurar en FMC para utilizar el ruteo dinámico entre los dispositivos FTD y otros dispositivos compatibles con OSPF.
El FMC permite ejecutar dos procesos OSPF al mismo tiempo para diferentes conjuntos de interfaces.
Cada dispositivo tiene un ID de router, que es como el nombre del dispositivo en el proceso OSPF. De forma predeterminada, se establece en la IP de interfaz inferior, pero se puede personalizar en una IP diferente.
Algo importante a tener en cuenta es que estos parámetros deben coincidir en los vecinos para formar la adyacencia OSPF:
- La interfaz pertenece a la misma red IP
- Máscara de subnet
- Área
- Intervalos Hello y Dead
- MTU (unidad de transmisión básica)
- Tipo de área (normal/NSSA/stub)
- Autenticación
Configuración Básica
Esta sección muestra los parámetros básicos que se configuran para que OSPF comience a buscar adyacencia con sus vecinos.
1. Vaya a Dispositivos > Administración de dispositivos > Editar dispositivo
2. Haga clic en la pestaña Routing.
3. Haga clic en OSPF en la barra de menú de la izquierda.
4. Seleccione Proceso 1 para habilitar la configuración OSPF. FTD puede ejecutar dos procesos simultáneos en diferentes conjuntos de interfaces.
Un Router de borde de área (ABR) se encuentra entre dos áreas diferentes, mientras que el Router de borde de sistema autónomo (ASBR) se encuentra entre dos dispositivos que utilizan otros protocolos de ruteo.
5. Elija el rol OSPF como Interno, ABR, ASBR, y ABR y ASBR.
Selección de roles
6. (opcional) Cambiar la ID del router automático. Seleccione Advanced, junto a OSPF role y seleccione Router ID as IP address para personalizarlo.
Selección de ID de router
7. Seleccione Área > Agregar.
8. Introduzca la información de área:
- proceso OSPF
- ID de área
- Tipo de área
- Redes disponibles
9. Pulse Aceptar para guardar la configuración.
Selección de área
Redistribución
El FTD puede redistribuir rutas de un proceso OSPF a otro. La redistribución también puede ser desde RIP, BGP, EIGRP (versión 7.2+), rutas estáticas y conectadas en el proceso de ruteo OSPF.
1. Para configurar la redistribución OSPF, navegue hasta Devices > Device Management > Edit device.
2. Haga clic en Enrutamiento
3. Haga clic en OSPF.
4. Seleccione Redistribución > Añadir.
5. Introduzca los campos de redistribución:
- proceso OSPF
- Tipo de ruta (desde donde se está redistribuyendo)
- Estática
- Conectado
- proceso OSPF
- BGP
- RIP
- EIGRP
Para BGP y EIGRP, agregue el número AS.
6. (Opcional) Seleccione si desea utilizar subredes.
7. Seleccione el tipo de métrica.
- El tipo 1 utiliza la métrica externa y agrega el costo interno de cada salto que conduce al ASBR.
- El tipo 2 sólo utiliza la métrica externa.
8. Pulse Aceptar para guardar los cambios.
Configuración de redistribución
Filtro
Puede realizar un filtrado entre áreas, que restringe las rutas que se envían de entrada o de salida desde un área a otra. Esta acción se realiza sólo en ABR.
El filtrado se configura con listas de prefijos que luego se vinculan a la configuración OSPF. Esta es una función opcional y no es necesaria para que OSPF funcione.
1. Para configurar el filtrado entre áreas OSPF, navegue hasta Dispositivos > Administración de dispositivos > Editar dispositivo.
2. Haga clic en Enrutamiento
3. Haga clic en OSPF.
4. Seleccione Inter-Area > Add.
5. Configure los campos de filtrado:
- proceso OSPF
- ID de área
- Lista de prefijos
- Dirección del tráfico: entrante o saliente
Configuración del filtrado entre áreas
6. Vaya al paso 10 si tiene configurada la lista de prefijos. Si necesita crear uno nuevo, puede seleccionar el signo más o crearlo en Objetos > Administración de objetos > Listas de prefijos > Lista de prefijos IPv4 > Agregar.
7. Haga clic en Agregar entrada.
8. Configure la lista de prefijos con estos campos:
- Número de secuencia
- IP Address
- Acción
- Longitud de prefijo mín./máx. (opcional)
Prefix-list Object Edit
9. Pulse Aceptar para guardar la lista de prefijos.
10. Haga clic en Aceptar para guardar la configuración entre áreas.
Parámetros de interfaz
Hay ciertos parámetros que se pueden modificar para cada interfaz que participa en OSPF.
1. Para configurar los parámetros de la interfaz OSPF, navegue hasta Devices > Device Management > Edit device.
2. Haga clic en Enrutamiento
3. Haga clic en OSPF.
4. Seleccione Interfaz > Agregar.
5. Seleccione los parámetros que desea modificar
Temporizadores Hello y Dead
Los paquetes de saludo OSPF se envían para mantener la adyacencia entre los dispositivos. Estos paquetes se envían en un intervalo que se puede configurar. Si el dispositivo no recibe paquetes de saludo de un vecino dentro del intervalo muerto, también configurable, el vecino cambia al estado inactivo.
El intervalo de saludo predeterminado es 10 segundos y el intervalo muerto es cuatro veces el intervalo de saludo, 40 segundos. Estos intervalos deben coincidir entre vecinos.
Configuración de temporizadores
MTU Ignore-OSPF
La casilla de verificación MTU ignore es una opción para evitar que la adyacencia OSPF se atasque en el estado EXSTART debido a la discordancia de MTU entre las interfaces vecinas. La coincidencia de MTU se verifica porque en ese estado, los DBD se envían entre vecinos y una diferencia de tamaño puede crear problemas. Sin embargo, lo mejor es mantener esta opción sin marcar.
MTU Ignore Check Config
Autenticación
Puede seleccionar tres tipos diferentes de autenticación OSPF de interfaz. De forma predeterminada, la autenticación no está habilitada.
- Ninguno
- Contraseña: contraseña de texto no cifrado
- MD5: utiliza hashing MD5
Se recomienda utilizar MD5 como autenticación, ya que es un algoritmo de hashing que proporciona seguridad.
Configure MD5 ID y MD5 key y haga clic en Aceptar para guardar.
Configuración de la clave MD5
La clave o la contraseña MD5 deben coincidir en los parámetros de interfaz del vecino autenticado.
Verificación general de CLI
Topología de ejemplo
Considere esta topología de red como ejemplo:
Ejemplo de Topología de Red
Tenga en cuenta las siguientes consideraciones:
- OSPF se configura en FTD externo, FTD interno y router interno.
- El FTD externo se selecciona como función ASBR, el FTD interno como ABR y el router interno como función interna.
- El área 0 se crea entre el FTD externo e interno, mientras que el área 1 se crea entre el FTD interno y el router interno.
- El FTD externo también realiza la vecindad BGP con otro dispositivo.
- Las rutas BGP aprendidas por el Sistema Autónomo 312 se redistribuyen en OSPF.
- La MTU y los intervalos se configuran con valores predeterminados.
- El FTD interno filtra las rutas de entrada entre áreas al área 0 aprendida del router interno.
- La autenticación de interfaz se configura como MD5 en todos los dispositivos que participan en OSPF.
FTD interno
La configuración del FTD interno se muestra de la siguiente manera:
Configuración de interfaz mediante autenticación MD5
interface GigabitEthernet0/0
nameif inside
security-level 0
ip address 10.6.11.1 255.255.255.0
ospf message-digest-key 1 md5 *****
ospf authentication message-digest
!
interface GigabitEthernet0/1
nameif outside
security-level 0
ip address 10.3.11.2 255.255.255.0
ospf message-digest-key 1 md5 *****
ospf authentication message-digest
!
La configuración OSPF establece que la red 10.3.11.0/24 se anuncia al área 0 y la red 10.6.11.0/24 se anuncia a los vecinos del área 1.
El filtrado entre áreas aplica una lista de prefijos a las rutas entrantes que ingresan al área 0. En esta lista de prefijos, la red 192.168.4.0 del router interno es denegada y todo lo demás permitido.
Configuración de área FTD interna
Configuración de filtrado de FTD interno
Internal FTD Prefix-list
router ospf 1
network 10.3.11.0 255.255.255.0 area 0
network 10.6.11.0 255.255.255.0 area 1
area 0 filter-list prefix filter_192.168.4.0 in
log-adj-changes
prefix-list filter_192.168.4.0 seq 5 deny 192.168.4.0/24
prefix-list filter_192.168.4.0 seq 10 permit 0.0.0.0/0 le 32
FTD externo
La configuración del FTD externo se muestra así en CLI:
Configuración de interfaz mediante autenticación MD5.
interface GigabitEthernet0/0
nameif inside
security-level 0
ip address 10.3.11.1 255.255.255.0
ospf message-digest-key 1 md5 *****
ospf authentication message-digest
!
interface GigabitEthernet0/1
nameif outside
security-level 0
ip address 172.16.11.1 255.255.255.0
!
La configuración OSPF muestra que la ruta 10.3.11.0/24 se anuncia al FTD interno en el Área 0.
También se puede observar la redistribución BGP en OSPF.
Configuración de área FTD externa
Configuración de Redistribución de FTD Externa
router ospf 1
network 10.3.11.0 255.255.255.0 area 0
log-adj-changes
redistribute bgp 312 subnets
Comandos para resolución de problemas
Hay varios comandos que son útiles para determinar si OSPF funciona como se espera.
Nota: Estos comandos no se muestran en los archivos show tech cuando los archivos de Troubleshooting de FTD se generan aparte de la configuración OSPF y deben ingresarse manualmente desde la CLI de FTD.
show running-config router
Este comando muestra la configuración de los protocolos de ruteo dinámico, no solamente OSPF.
Útil para verificar la configuración relacionada con OSPF en la CLI.
show route
El resultado de show route muestra información importante sobre las rutas disponibles actuales.
- Una ruta aprendida a través de OSPF se muestra con la letra O.
- Se muestra una ruta entre áreas con las letras O IA.
- Una ruta que se aprende de otro protocolo de ruteo a través de la redistribución muestra letras O E1 u O E2, dependiendo del tipo de métrica seleccionado.
show route output from Internal FTD muestra que hay tres rutas externas conocidas desde el vecino ASBR 10.3.11.1.
También muestra la red 192.168.4.0/24 aprendida del vecino 10.6.11.2 en su misma área.
Internal-FTD# show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, + - replicated route SI - Static InterVRF Gateway of last resort is not set C 10.3.11.0 255.255.255.0 is directly connected, outside L 10.3.11.2 255.255.255.255 is directly connected, outside O E2 10.5.11.0 255.255.255.224 [110/1] via 10.3.11.1, 6w5d, outside O E2 10.5.11.32 255.255.255.224 [110/1] via 10.3.11.1, 6w5d, outside O E2 10.5.11.64 255.255.255.224 [110/1] via 10.3.11.1, 6w5d, outside C 10.6.11.0 255.255.255.0 is directly connected, inside L 10.6.11.1 255.255.255.255 is directly connected, inside O 192.168.4.0 255.255.255.0 [110/20] via 10.6.11.2, 02:19:24, inside
Desde el FTD externo, se puede observar que la ruta 10.6.11.0/24 se conoce desde el vecino 10.3.11.2 y pertenece a un área diferente.
La ruta 192.168.4.0/24 no se observa en esta salida porque se filtró en el FTD interno.
Además, hay tres rutas BGP aprendidas de otro dispositivo que se redistribuyen en OSPF como rutas de tipo 2 externas, como se ve en el FTD interno.
External-FTD# show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF, BI - BGP InterVRF
Gateway of last resort is not set
C 10.3.11.0 255.255.255.0 is directly connected, inside
L 10.3.11.1 255.255.255.255 is directly connected, inside
B 10.5.11.0 255.255.255.224 [20/0] via 172.16.11.2, 6w5d
B 10.5.11.32 255.255.255.224 [20/0] via 172.16.11.2, 6w5d
B 10.5.11.64 255.255.255.224 [20/0] via 172.16.11.2, 6w5d
O IA 10.6.11.0 255.255.255.0 [110/20] via 10.3.11.2, 02:03:27, inside
C 172.16.11.0 255.255.255.0 is directly connected, outside
L 172.16.11.1 255.255.255.255 is directly connected, outside
show ospf neighbor
Este comando ayuda a verificar cuál es el estado de la adyacencia OSPF y si ese vecino es un router designado (DR), un router designado de respaldo (BDR) u otro (DROTHER).
El DR es el dispositivo que actualiza el resto de los dispositivos en la misma subred cada vez que hay un cambio en la red. BDR asume la función de DR si ya no está disponible.
Esto también es útil ya que muestra el ID de router de los vecinos, así como la dirección IP y la interfaz desde la cual se conoce al vecino.
También se observa la cuenta regresiva del tiempo muerto. Si tiene los temporizadores predeterminados, puede ver que el tiempo disminuye de 00:40 a 00:30 antes de que se envíe un nuevo paquete de saludo y se reinicie el temporizador.
Si este tiempo llega hasta cero, se pierde la adyacencia.
En este ejemplo, la salida FTD interna muestra que este dispositivo es un BDR en estado FULL con cada uno de sus dos vecinos, que a cambio son DR, accesibles desde cada interfaz. Sus ID de router son 10.3.11.1 y 192.168.4.1 respectivamente.
Internal-FTD# show ospf neighbor Neighbor ID Pri State Dead Time Address Interface 10.3.11.1 1 FULL/DR 0:00:38 10.3.11.1 outside 192.168.4.1 1 FULL/DR 0:00:33 10.6.11.2 inside
show ospf interface
El resultado de show ospf interface muestra información detallada y proporciona una visión más amplia del proceso OSPF en cada interfaz configurada.
Estos son algunos de los parámetros visibles con este resultado:
- ID de proceso OSPF
- ID del router
- Métrica (coste)
- Estado: DR, BDR o DROTHER
- Quién es DR y BDR
- Intervalos de saltos y temporizador muerto
- Resumen de vecino
- Detalles de autenticación
En el siguiente resultado de FTD interno, se puede observar que este dispositivo es de hecho el BDR en ambas interfaces y que el vecino coincide con la información de show ospf neighbors.
Internal-FTD#show ospf interface
outside is up, line protocol is up
Internet Address 10.3.11.2 mask 255.255.255.0, Area 0
Process ID 1, Router ID 10.6.11.1, Network Type BROADCAST, Cost: 10
Transmit Delay is 1 sec, State BDR, Priority 1
Designated Router (ID) 10.3.11.1, Interface address 10.3.11.1
Backup Designated router (ID) 10.6.11.1, Interface address 10.3.11.2
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
oob-resync timeout 40
Hello due in 0:00:04
Supports Link-local Signaling (LLS)
Cisco NSF helper support enabled
IETF NSF helper support enabled
Index 1/1, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 1, maximum is 2
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 1, Adjacent neighbor count is 1
Adjacent with neighbor 10.3.11.1 (Designated Router)
Suppress hello for 0 neighbor(s)
Cryptographic authentication enabled
Youngest key id is 1
inside is up, line protocol is up
Internet Address 10.6.11.1 mask 255.255.255.0, Area 1
Process ID 1, Router ID 10.6.11.1, Network Type BROADCAST, Cost: 10
Transmit Delay is 1 sec, State BDR, Priority 1
Designated Router (ID) 192.168.4.1, Interface address 10.6.11.2
Backup Designated router (ID) 10.6.11.1, Interface address 10.6.11.1
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
oob-resync timeout 40
Hello due in 0:00:03
Supports Link-local Signaling (LLS)
Cisco NSF helper support enabled
IETF NSF helper support enabled
Index 1/2, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 1, maximum is 2
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 1, Adjacent neighbor count is 1
Adjacent with neighbor 192.168.4.1 (Designated Router)
Suppress hello for 0 neighbor(s)
Cryptographic authentication enabled
Youngest key id is 1
show ospf database
Este comando tiene más información sobre los tipos de anuncio de estado de link (LSA) de OSPF. El resultado es complejo y es útil sólo para una resolución de problemas más profunda.
LSA es la forma en que OSPF intercambia información y actualizaciones entre dispositivos, en lugar de enviar la tabla de ruteo completa.
Los tipos de LSA más comunes son:
Tipo 1 - Estados de enlace del router - Los ID de router de los routers de publicidad
Tipo 2 - Estados de enlace de red - Las interfaces conectadas en el mismo enlace que el router designado.
Tipo 3 - Estados de link de red resumidos - Rutas entre áreas inyectadas en esta área por el Router de borde de área (ABR).
Tipo 4 - Estados de link ASB de resumen - Los IDs de router del Router de borde del sistema autónomo (ASBR).
Tipo 5 - Estados de link externo AS - Rutas externas aprendidas de ASBRs.
Teniendo esto en cuenta, el resultado de este comando se puede interpretar a partir de un ejemplo de FTD interno.
- Las bases de datos se muestran por área.
- La columna ID de enlace contiene la información importante que debe tenerse en cuenta.
- Como se mencionó anteriormente, el Tipo 1 muestra los ID de router de cada dispositivo en el área y el Tipo 2 muestra el DR de cada link de subred. En este caso, 10.3.11.1 para el Área 0 y 10.6.11.2 para el Área 1.
- El Tipo 3 muestra las rutas interzonales inyectadas en el área respectiva por ABR 10.6.11.0 para el Área 0 y 10.3.11.0 para el Área 1.
- El Tipo 4 muestra el ID de router del ASBR. El área 1 ve que el dispositivo 10.3.11.1 es el ASBR del proceso.
- El tipo 5 muestra las rutas redistribuidas por el ASBR. En este caso, tres rutas externas: 10.5.11.0, 10.5.11.32 y 10.5.11.64.
Internal-FTD# show ospf database
OSPF Router with ID (10.6.11.1) (Process ID 1)
Router Link States (Area 0)
Link ID ADV Router Age Seq# Checksum Link count
10.3.11.1 10.3.11.1 234 0x8000002b 0x4c4d 1
10.6.11.1 10.6.11.1 187 0x8000002e 0x157b 1
Net Link States (Area 0)
Link ID ADV Router Age Seq# Checksum
10.3.11.1 10.3.11.1 234 0x80000029 0x7f2b
Summary Net Link States (Area 0)
Link ID ADV Router Age Seq# Checksum
10.6.11.0 10.6.11.1 187 0x8000002a 0x7959
Router Link States (Area 1)
Link ID ADV Router Age Seq# Checksum Link count
10.6.11.1 10.6.11.1 187 0x8000002c 0x513b 1
192.168.4.1 192.168.4.1 1758 0x8000002a 0x70f1 2
Net Link States (Area 1)
Link ID ADV Router Age Seq# Checksum
10.6.11.2 192.168.4.1 1759 0x80000028 0xd725
Summary Net Link States (Area 1)
Link ID ADV Router Age Seq# Checksum
10.3.11.0 10.6.11.1 189 0x80000029 0x9f37
Summary ASB Link States (Area 1)
Link ID ADV Router Age Seq# Checksum
10.3.11.1 10.6.11.1 189 0x80000029 0x874d
Type-5 AS External Link States
Link ID ADV Router Age Seq# Checksum Tag
10.5.11.0 10.3.11.1 1726 0x80000028 0x152b 311
10.5.11.32 10.3.11.1 1726 0x80000028 0xd34c 311
10.5.11.64 10.3.11.1 1726 0x80000028 0x926d 311
Información Relacionada
Historial de revisiones
| Revisión | Fecha de publicación | Comentarios |
|---|---|---|
1.0 |
14-Feb-2024 |
Versión inicial |
ComentariosContacte a Cisco
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)