- Configuration ASA/PIX Sécurité - ASA/PIX 7.x - Configuration ASA/PIX avec OSPF ccnp_cch
Sommaire Introduction - Prérequis - Composants utilisés - Produits liés Rappel Configuration - Schéma du réseau - Configuration avec l'ASDM - Configuration de l' authentification OSPF - Configuration CLI ASA - Configuration CLI IOS Cisco Routeur R2 - Configuration CLI IOS Cisco Routeur R1 - Configuration CLI IOS Cisco Routeur R3 - Redistribution dans OSPF avec l'ASA Vérification Résolution de problèmes - Commandes pour résolution de problèmes ccnp_cch
Introduction Ce document décrit comment configurer l'appliance de sécurité Cisco ASA pour qu'elle apprenne les routes à travers OSPF (Open Shortest Path First), réalise l' authentifica- tion et la redistribution dans OSPF. Note: Le routage assymétrique n'est pas supporté dans l'ASA/PIX. Prérequis Assurez-vous d'avoir les prérequis suivants avant de tenter cette configuration: L'ASA/PIX Cisco doit opérer avec la version 7.x ou suivantes OSPF n'est pas supporté en mode muli-context, il est supporté en mode "single". Components Used Les informations présentées dans ce document sont basées sur les versions logicielles et matérielles suivantes: Cisco 5500 Adaptive Security Appliance (ASA) qui opère avec un logiciel version 8.0 ou suivantes. Cisco Adaptive Security Manager (ASDM) version 6.0 ou suivantes. Produits liés Cette configuration peut être aussi utilisée avec le PIX Cisco série 500 qui opère avec une version 8.0(x) ou suivantes. Rappel OSPF utilise un algorithme état de liens pour construire et calculer le chemin le plus court vers toutes les destinations connues. Chaque routeur dans une area OSPF con- tient une base de données d'état de liens identique à celles des autres routeurs, laquelle est une liste de chacune des interfaces utilisables du routeur et des voisins accessibles. Les avantages d'OSPF par rapport à RIP sont: Les mises à jour de la base de données d'état de liens OSPF sont transmises moins fréquemment et la base de données d'état de liens est mise à jour instantanément au lieu d'attendre un délai pour que l'information soit invalidée. Les décisions de routage sont basées sur un coût. L'appliance de sécurité calcule le coût d'une interface sur la base de la bande passante de la liaison au lieu du nom- bre de sauts vers la destination. Le coût peut être configuré pour spécifier des che- mins préférés. ccnp_cch
L'inconvénient des algorithmes de chemin le plus court est qu'ils requièrent des res- sources CPU et mémoire. L'appliance de sécurité peut exécuter deux processus OSPF simultanément sur des ensembles d'interfaces différents. Vous pouvez désirer d'opérer avec deux processus OSPF si vous avez des interfaces qui utilisent la même adresse IP (NAT permet à ces interfaces de coexister mais OSPF n'autorise pas le recouvrement d'adresses). Vous pouvez désirer opérer avec un processus en interne et un autre processus en externe et redistribuer un sous-ensemble de routes entre deux processus. De manière similai- re, vous aurez peut-être besoin de distinguer les adresses publiques et les adresses privées. Vous pouvez redistribuer des routes dans un processus de routage OSPF à partir d'un autre processus de routage OSPF, un processus de routage RIP ou à partir de routes statiques ou directement connectées et configurées sur des interfaces faisant partie du processus de routage OSPF. L'appliance de sécurité supporte ces caractéristiques OSPF: Support de routes intra-area, inter-area et externes (Type 1 et Type 2) Support de virtual link Diffusion générale des LSAs OSPF Authentification des paquets OSPF (authentification par mot de passe et MD5) Support pour la configuration de l'appliance de sécurité comme routeur désigné ou routeur désigné de secours. L'appliance de sécurité peut également être un routeur ABR. Toutefois la possibilité de configurer l'appliance de sécurité comme un ASBR est limitée à la route par défaut (injection d'une route par défaut) Support des areas stub et not-so-stubby Filtrage des LSAs type 3 des ABRs Configuration Dans cette section sont présentées les informations nécessaires pour configurer les fonctionnalités décrites dans ce document. ccnp_cch
Schéma du réseau ccnp_cch Internet 172.16.1.0/24 172.16.5.0/24 Outside R3 R2 R1 Area 0 ASA Inside 172.16.2.0/24 .2 .1 Dans cette topologie de réseau, l'adresse IP de l'interface interne de l'ASA Cisco est 10.1.1.1/24. Le but est de configurer OSPF sur l'ASA Cisco pour apprendre dynami- quement les routes des réseaux internes (172.16.1.0/24, 172.16.2.0/24, 172.16.5.0/ 24 et 172.16.10.0/24) à travers le routeur adjacent (R2). R2 apprend les routes des réseaux internes distants par les deux autres routeurs (R1 et R3). Configurations Ce document utilise ces configurations: Configuration avec l'ASDM Configurer l' Authentification OSPF Configuration ASA Cisco avec la CLI Configuration CLI IOS Cisco Routeur R2 Configuration CLI IOS Cisco Routeur R1 Configuration CLI IOS Cisco Routeur R3 Redistribution dans OSPF avec l'ASA Configuration avec l'ASDM L'ASDM (Adaptive Security Device Manager) est une application, basée sur un naviga- teur web, utilisée pour configurer et superviser le logiciel sur les appliances de sécu- rité. L'ASDM est chargé à partir de l'appliance de sécurité et il est ensuite utilisé pour configurer, superviser et administrer l'équipement. Vous pouvez également utiliser l'ASDM Launcher (Windows uniquement) pour lancer l'application ASDM plus rapide- ment que l'applet Java. Cette section décrit les informations dont vous avez besoin pour configurer les fonctionnalités décrites dans ce document avec l'ASDM. ccnp_cch
Exécutez ces étapes pour configurer OSPF sur l'ASA Cisco. 1 Exécutez ces étapes pour configurer OSPF sur l'ASA Cisco. 1. Loggez vous sur l'ASA Cisco avec l'ASDM. 2. Naviguez vers Configure> Device Setup> Routing> OSPF sur l'interface ASDM comme le montre la figure suivante. 3. Validez le processus de routage OSPF avec Setup puis l'onglet Process Instances comme le montre la figure suivante. Dans cet exemple, l'ID de processus OSPF est 1. ccnp_cch
4. Vous pouvez cliquer sur Advanced dans l'onglet Process Instances pour configu- rer les paramètres avancés et optionnels du processus de routage OSPF. Vous pouvez éditer des paramètres spécifiques au processus tels que les paramètres Router ID, Adjacency Changes, Administrative Route Distances, Timers et Default Information Originate. ccnp_cch
ccnp_cch Cette liste décrit chaque champ: OSPF Process - Affiche le processus OSPF que vous êtes en train de configurer. Vous ne pouvez pas changer cette valeur. Router ID - Pour utiliser un Router ID fixe, entrez un router ID sous la forme d'une Adresse IP dans le champ Router ID. Si vous ne remplissez pas cette valeur l'adres- se IP la plus élevée de l'appliance de sécurité est utilisée comme Router ID. Dans cet exemple, le Router ID est configuré de manière statique avec l'adresse IP de l'interface interne (10.1.1.1). Ignore LSA MOSPF - Cochez cette case pour supprimer l'envoi de messages de log système quand l'appliance de sécurité reçoit des paquets OSPF LSA Type 6 (MOSPF). Ce paramètre n'est pas validé par défaut. ccnp_cch
RFC 1583 Compatible - Cochez cette case pour calculer le coût des routes agrégées selon le RFC 1583. Décochez cette case pour ne pas calculer le coût des routes agrégées selon le RFC 1583. Pour minimiser les risques de boucle de routage, tous les équipements OSPF dans un domaine de routage OSPF doivent avoir la compati- bilité RFC configurée de manière identique. Ce paramètre est validé par défaut. Adjacency changes - Contient les paramètres qui définissent les changements d'ad- jacence qui entrainent l'envoi de messages de log système. - Log Adjacency changes - Cochez cette case pour que l'appliance de sécurité transmette un message de log chaque fois qu'un voisin OSPF change d'état. Ce paramètre est sélectionné par défaut. - Log Adjacency Changes Detail - Cochez cette case pour que l'appliance de sécurité envoie un message de log système chaque fois qu'un changement d'état se produit mais uniquement lorsque le voisin passe 'up" ou "down". Ce paramètre n'est pas validé par défaut. Administrative Route Distances - Contient les paramètres pour les distances admi- nistratives des routes basées sur le type de route: - Inter-Area : Fixe la distance administrative pour les routes d'une area à une autre. L'intervalle de valeurs valides est : 1 à 255. La valeur par défaut est 100. - Intra-Area : Fixe la distance administrative pour les routes dans une area. L'intervalle de valeurs valides est : 1 à 255. La valeur par défaut est 100. - External : Fixe la distance administrative pour les route des autres domaines de routage qui sont apprises au travers de la redistribution. L'intervalle de valeurs valides est : 1 à 255. La valeur par défaut est 100. Timers - Contient les paramètres utilisés pour configurer l' espacement des LSAs et les timers de calcul du SPF. - SPF Delay Time : Spécifie le temps d'attente entre le moment où OSPF reçoit un changement de topologie et le début du calcul du SPF. L'intervalle de valeurs valides est : 0 à 65535. La valeur par défaut est 5. - SPF Hold Time : Spécifie le temps d'attente entre deux calculs consécutifs du SPF. L'intervalle de valeurs valides est : 0 à 65535. La valeur par défaut est 10. - LSA Group Pacing : Spécifie l'intervalle avec lequel les LSAs sont collectées dans un groupe et rafraîchies, la checksum vérifiée ou la durée de validité vérifiée. L'intervalle de valeurs valides est : 10 à 1800. La valeur par défaut est 240. Default Information Originate - Contient les paramètres utilisés par un ASBR pour générer une route externe par défaut dans le domaine de routage OSPF. - Enable Default Information Originate : Cochez cette case pour valider la généra- tion d'une route par défaut dans le domaine de routage OSPF. ccnp_cch
- Always Advertise the default route : Cochez cette case pour toujours annoncer la route par défaut. Cette option n'est pas validée par défaut. - Metric value - Spécifie la métrique OSPF par défaut. L'intervalle de valeurs vali- des est : 0 à 16777214. La valeur par défaut est 1. - Metric Type - Spécifie le type de liaison externe associée avec la route par défaut annoncée dans le domaine de routage OSPF. Les valeurs valides sont : 1 et 2.La valeur par défaut est 2. - Route Map (Optionnel) : Nom de la route-map à appliquer. Le processus de rou- tage génère une route par défaut si la route-map est satisfaite. 5. Après avoir terminé les étapes précédentes, définissez les réseaux et les interfaces qui participent au routage OSPF avec l'onglet Area/Networks. Cliquez sur Add. ccnp_cch
ccnp_cch La boite de dialogue Add OSPF Area s'affiche. Dans cet exemple, le seul réseau ajouté est le réseau interne (10.1.1.0/24) car OSPF est validé uniquement sur l'interface interne. Note: Seules les interfaces avec une adresse IP qui est incluse dans les réseaux définis participent aux processus de routage OSPF. 6. Cliquez sur OK. Cette liste décrit chaque champ: OSPF Process - Quand vous ajoutez une nouvelle area, choisissez l'ID du proces- sus OSPF. S'il y a un seul processus OSPF validé sur l'appliance de sécurité alors ce processus est sélectionné par défaut. Quand vous éditez une area exis- tante, vous ne pouvez pas changer l'ID du processus OSPF. ccnp_cch
OSPF Process - Quand vous ajoutez une nouvelle area, choisissez l'ID du proces- sus OSPF. S'il y a un seul processus OSPF validé sur l'appliance de sécurité alors ce processus est sélectionné par défaut. Quand vous éditez une area exis- tante, vous ne pouvez pas changer l'ID du processus OSPF. Area ID - Quand vous ajoutez une nouvelle area, entrez l'area ID. Vous pouvez spécifier l'area ID avec un nombre décimal ou une adresse IP. Les valeurs déci- males valides sont: 0 à 4294967295. Vous ne pouvez pas changer l'area ID quand vous éditez une area existante. Dans cet exemple l'area ID est l'area 0. Area Type - Contient les paramètres pour le type d'area en voie de configuration. - Normal : Choisissez cette option pour area OSPF standard. Cette option est sé- lectionnée par défaut quand vous créez l'area. - Stub : Choisissez cette option pour une area Stub. Les areas Stub n'ont pas de routeurs externes ou d'autres areas derrière elles. Les areas Stub empêchent la diffusion des LSAs Externe Type 5 dans l'area. Quand vous créez une area Stub, vous pouvez décocher la case Summary pour empêcher les LSAs Type 3 et 4 d'être diffusées dans l'area. - Summary : Quand l'area en cours de définition est une area Stub, décochez cette case pour éviter la diffusion des LSA dans l'area Stub. Cette case est sé- lectionnée par défaut pour les areas Stub. - NSSA : Choisissez cette option pour que l'area soit une "Not-So-Stubby-Area". Les NSSA acceptent les LSAs de Type 7. Quand vous créez une area NSSA, vous pouvez décocher la case Summary pour éviter que les Summary LSAs soient diffusées dans l'area. De plus vous pouvez décocher la case Redistribute et valider Default Information Originate pour dévalider la redistribution de route. - Redistribute : Décochez cette case pour éviter que les routes soient importées dans l'area NSSA. Cette case est sélectionnée par défaut. - Summary : Quand l'area en cours de définition est une area NSSA, décochez cette case pour éviter que les LSAs soient transmises dans l'area Stub. Cette case est sélectionnée par défaut pour les areas NSSA. - Default Information Originate : Cochez cette case pour générer une LSA Type 7 pour la route par défaut dans une area NSSA. Cette case est dévalidée par défaut. - Metric Value : Entrez une valeur pour spécifier la valeur de la métrique OSPF pour la route par défaut. L'intervalle de valeurs valides est 0 à 16777124. La valeur par défaut est 1. - Metric Type : Choisissez une valeur pour spécifier un type de métrique pour la route par défaut. Les choix sont 1( Type 1) ou 2 (Type 2). La valeur par défaut est 2. ccnp_cch
Area Networks - Contient les paramètres qui définissent une area OSPF. - Enter IP Address and Mask : Contient les paramètres utilisés pour définir les réseaux de l'area. - IP Address : Entrez l'adresse IP du réseau ou du host à ajouter à l'area. Utilisez 0.0.0.0 avec le masque 0.0.0.0 pour créer une area contenant tous les réseaux. Vous pouvez utiliser 0.0.0.0 uniquement. - Netmask : Choisissez le masque réseau pour l'adresse IP ou le host ajouté à l'area. Si vous ajoutez un host, choisissez un masque égal à 255.255.255. 255. Dans cet exemple 10.1.1.0/24 est le réseau configuré. - Add : Ajoute le réseau défini dans la Enter IP Address and Mask de l'area. Le réseau ajouté apparaît dans la liste des réseaux de Area Networks. - Delete : Retire le réseau de la liste des réseaux de Area Networks. - Area Networks : Affiche les réseaux définis pour cette area. - IP Address : Affiche l'adresse IP du réseau. - Netmask : Affiche le masque de réseau. Authentication - Contient les paramètres pour l'authentification dans l'area OSPF. - None : Choisissez cette option pour dévalider l'authentification OSPF. C'est la valeur par défaut. - Password : Choisissez cette option pour utiliser un mot de passe texte en clair pour l'authentification dans l'area. Cette option n'est pas recommandée car la sécurité n'est pas assurée. MD5 - Choisissez cette option pour utiliser l'authentification MD5. Default Cost - Spécifie un coût par défaut pour l'area. L'intervalle de valeurs va- lides est de 0 à 65535. La valeur par défaut est 1. 7. Cliquez sur Apply. ccnp_cch
8. Optionnellement vois pouvez définir des filtres de route dans le panneau Filter Routes. Le filtrage de route fournit plus de contrôle sur les routes autorisées à être reçues ou transmises dans les mises à jour OSPF. 9. Vous pouvez optionnellement configurer la redistribution de route. L'ASA Cisco peut redistribuer les routes découvertes par RIP et EIGRP dans le processus de routage OSPF. Vous pouvez également redistribuer les routes statiques et les routes directement connectées dans le processus de routage OSPF. Définissez la redistribution de route dans le panneau Redistribution. 10. Les paquets Hello OSPF sont transmis comme des paquets multicast. Si un voisin OSPF est situé sur un réseau NBMA, vous devez définir le voisin manuellement. Quand vous définissez manuellement un voisin OSPF, les paquets Hello sont transmis en unicast. Pour définir de voisins OSPF manuellement, allez dans le panneau Static Neighbor. 11. Les routes apprises des autres protocoles peuvent être agrégées. La métrique utilisée pour annoncer l'agrégation est la plus petite métrique parmi les routes spécifiques. Les routes permettent de réduire la taille de la table de routage. L'utilisation de routes agrégées pour OSPF entraine qu'un routeur ASBR OSPF annonce une route agrégée pour toutes les routes qui sont couvertes par cette adresse. Seules les routes venant des autres protocoles qui sont redistribués dans OSPF peuvent être agrégées. 12. Dans le panneau Virtual Link, vous voulez ajouter une area à un réseau OSPF et il n'est pas possible de connecter cette area directement à l'area backbone; vous devez créer une virtual link. Une Virtual link connecte deux équipements OSPF qui ont une area commune appelée area de transit. Un de ces équipe- ments OSPF doit être connecté à l'area 0. ccnp_cch
Configuration de l' authentification OSPF L'ASA Cisco supporte l'authentification MD5 pour les mises à jour de routage du pro- tocole de routage OSPF. Le digest MD5 de chaque paquet OSPF évite l'introduction de messages non autorisés ou erronés venant de sources non approuvées. L'ajout de l'au- thentification à vos messages OSPF assure que vos routeurs et l'ASA Cisco acceptent des messages de routage d'autres équipements de routage qui sont configurés avec la même clé pré-partagée. Sans cette authentification configurée si quelqu'un introduit un autre équipement de routage avec des informations de route différentes ou contrai- res sur le réseau, les tables de routage de vos routeurs ou de l'ASA Cisco peuvent être corrompues et une attaque de type déni de service peut s'ensuivre. Quand vous ajou- tez de l'authentification à vos messages OSPF transmis entre vos équipements de routage (ASA compris) cela évite l'ajout accidentel ou volontaire d'un routeur dans votre réseau ainsi que d'autres problèmes. L'authentification de route OSPF est configurable sur la base de l'interface. Tous les voisins OSPF qui ont des interfaces configurés pour l'authentification de messages OSPF doivent être configurés avec le même mode d'authentification et les mêmes clés pour que les adjacences soient établies. Exécutez ces étapes pour valider l'authentification OSPF MD5 sur l'ASA Cisco. 1. Sur l'ASDM naviguez vers Configuration> Device Setup> OSPF> Interface et ensuite cliquez sur l'onglet Authentication. Dans ce cas OSPF est validé sur l'interface inside (interne). 2. Choisissez l'interface inside et cliquez sur Edit. 3. Sous Authentication, choisissez MD5 Authentication et ajoutez les informations pour les paramètres d'authentification. Dans ce cas la clé pré-partagée est cisco123 et le Key ID est 1. ccnp_cch
4. Cliquez sur OK et ensuite cliquez sur Apply. ccnp_cch
ccnp_cch Configuration CLI ASA Cisco ASA ciscoasa#show running−config : Saved : ASA Version 8.0(2) ! hostname ciscoasa enable password 8Ry2YjIyt7RRXU24 encrypted names !−−− Configuration interface Inside interface Ethernet0/1 nameif inside security−level 100 ip address 10.1.1.1 255.255.255.0 ospf cost 10 !−−− L'authentification OSPF est configurée sur l'interface inside ospf message−digest−key 1 md5 <removed> ospf authentication message−digest !−−− Configuration interface Outside interface Ethernet0/2 nameif outside security−level 0 ip address 192.168.1.2 255.255.255.0 !−−− Partie supprimée icmp unreachable rate−limit 1 burst−size 1 asdm image disk0:/asdm−602.bin no asdm history enable arp timeout 14400 !−−− Configuration OSPF router ospf 1 network 10.1.1.0 255.255.255.0 area 0 log−adj−changes !−−− Ceci est la configuration de la route statique par défaut !--- pour atteindre Internet route outside 0.0.0.0 0.0.0.0 192.168.1.1 1 ciscoasa# ccnp_cch
ccnp_cch Configuration CLI IOS Cisco Routeur R2 IOS Cisco Routeur R2 !−−− Interface connectée à l'ASA Cisco. !−−− Notez les paramètres d'authentification OSPF interface Ethernet0 ip address 10.1.1.2 255.255.255.0 ip ospf authentication message−digest ip ospf message−digest−key 1 md5 cisco123 !−−− Sortie supprimée !−−− Configuration OSPF router ospf 1 log−adjacency−changes network 10.1.1.0 0.0.0.255 area 0 network 172.16.1.0 0.0.0.255 area 0 network 172.16.2.0 0.0.0.255 area 0 Configuration CLI IOS Cisco Routeur R1 IOS Cisco Routeur R1 !−−− Sortie supprimée !−−− Configuration OSPF router ospf 1 log−adjacency−changes network 172.16.5.0 0.0.0.255 area 0 network 172.16.2.0 0.0.0.255 area 0 Configuration CLI IOS Cisco Routeur R3 IOS Cisco Routeur R3 !−−− Sortie supprimée !−−− Configuration OSPF router ospf 1 log−adjacency−changes network 172.16.1.0 0.0.0.255 area 0 network 172.16.10.0 0.0.0.255 area 0 ccnp_cch
Redistribue les routes RIP Redistribution dans OSPF avec l'ASA Comme cela a été mentionné plus tôt, vous pouvez redistribuer les routes venant d'un processus OSPF, d'un processus de routage RIP, de routes statiques ou directement connectées à des interfaces OSPF dans un processus de routage OSPF. Dans cet exemple, il y a redistribution de routes RIP dans OSPF avec le schéma de réseau suivant: ASBR (Autonomous System Boundary Router) 172.16.1.0/24 Area 0 Routeur avec RIP R3 .2 172.16.1.0/24 192.168.1.0/24 .1 Inside Outside .1 R2 172.16.2.0/24 ASA 172.16.5.0/24 .2 Redistribue les routes RIP dans le domaine de routage OSPF R1 Configuration ASDM 1. Choisissez Configuration> Device Setup> Routing> RIP> Setup pour valider RIP et ajouter le réseau 192.168.1.0 comme le montre l'image suivante. ccnp_cch
2. Cliquez sur Apply. 3. Choisissez Configuration> Device Setup> Routing> OSPF> Redistribution> Add pour redistribuer les routes RIP dans OSPF. 4. Cliquez sur OK et ensuite sur Apply. ccnp_cch
Configuration CLI pour la redistribution RIP dans OSPF sur l'ASA Configuration CLI équivalente Configuration CLI pour la redistribution RIP dans OSPF sur l'ASA router ospf 1 network 10.1.1.0 255.255.255.0 area 0 log−adj−changes redistribute rip subnets router rip network 192.168.1.0 ccnp_cch
Vérification ccnp_cch Vous pouvez voir la table de routage du voisin Routeur R2 après la redistribution de routes RIP dans OSPF. R2#show ip route Codes: C − connected, S − static, I − IGRP, R − RIP, M − mobile, B − BGP D − EIGRP, EX − EIGRP external, O − OSPF, IA − OSPF inter area N1 − OSPF NSSA external type 1, N2 − OSPF NSSA external type 2 E1 − OSPF external type 1, E2 − OSPF external type 2, E − EGP i − IS−IS, su − IS−IS summary, L1 − IS−IS level−1, L2 − IS−IS level−2 ia − IS−IS inter area, * − candidate default, U − per−user static route o − ODR, P − periodic downloaded static route Gateway of last resort is not set 172.16.0.0/16 is variably subnetted, 4 subnets, 2 masks O 172.16.10.1/32 [110/11] via 172.16.1.2, 01:17:29, Ethernet1 O 172.16.5.1/32 [110/65] via 172.16.2.2, 01:17:29, Serial1 C 172.16.1.0/24 is directly connected, Ethernet1 C 172.16.2.0/24 is directly connected, Serial1 10.0.0.0/24 is subnetted, 1 subnets C 10.1.1.0 is directly connected, Ethernet0 O E2 192.168.1.0/24 [110/20] via 10.1.1.1, 01:17:29, Ethernet0 !−−− Route redistribuée annoncée par l'ASA Cisco Vérification Exécutez ces étapes pour vérifier votre configuration: 1. Sur l'ASDM, naviguez vers Monitoring> Routing> OSPF Neighbors pour voir cha- cun des voisins OSPF. L'image ci-dessous montre le routeur interne (R2) comme un voisin actif. Vous pouvez également voir sur quelle interface ce voisin réside, l'ID du routeur voisin, l'état et le "dead time". ccnp_cch
2. Additionnellement vous pouvez vérifier la table de routage si vous naviguez vers Monitoring> Routing> Routes. Dans cette image, les réseaux 172.16.1.0/24, 172.16.2.0/24, 172.16.5.0/24 et 172.16.10.0/24 sont appris au travers de R2 (10.1.1.2). 3. A partir de la CLI, vous pouvez utiliser la commande show ip route pour obtenir les mêmes informations. ciscoasa#show route Codes: C − connected, S − static, I − IGRP, R − RIP, M − mobile, B − BGP D − EIGRP, EX − EIGRP external, O − OSPF, IA − OSPF inter area N1 − OSPF NSSA external type 1, N2 − OSPF NSSA external type 2 E1 − OSPF external type 1, E2 − OSPF external type 2, E − EGP i − IS−IS, L1 − IS−IS level−1, L2 − IS−IS level−2, ia − IS−IS inter area * − candidate default, U − per−user static route, o − ODR P − periodic downloaded static route Gateway of last resort is 192.168.1.1 to network 0.0.0.0 O 172.16.10.1 255.255.255.255 [110/21] via 10.1.1.2, 0:00:06, inside O 172.16.5.1 255.255.255.255 [110/75] via 10.1.1.2, 0:00:06, inside O 172.16.1.0 255.255.255.0 [110/20] via 10.1.1.2, 0:00:06, inside O 172.16.2.0 255.255.255.0 [110/74] via 10.1.1.2, 0:00:06, inside C 10.1.1.0 255.255.255.0 is directly connected, inside C 10.77.241.128 255.255.255.192 is directly connected, dmz S 10.77.0.0 255.255.0.0 [1/0] via 10.77.241.129, dmz C 192.168.1.0 255.255.255.0 is directly connected, outside S* 0.0.0.0 0.0.0.0 [1/0] via 192.168.1.1, outside ccnp_cch
Résolution de problèmes 4. Vous pouvez également utiliser la commande show ospf database pour obtenir des informations sur les réseaux appris et la topologie OSPF. ciscoasa#show ospf database OSPF Router with ID (192.168.1.2) (Process ID 1) Router Link States (Area 0) Link ID ADV Router Age Seq# Checksum 172.16.1.2 172.16.1.2 123 0x80000039 0xfd1d 2 172.16.2.1 172.16.2.1 775 0x8000003c 0x9b42 4 172.16.5.1 172.16.5.1 308 0x80000038 0xb91b 3 192.168.1.2 192.168.1.2 1038 0x80000037 0x29d7 1 Net Link States (Area 0) 10.1.1.1 192.168.1.2 1038 0x80000034 0x72ee 172.16.1.1 172.16.2.1 282 0x80000036 0x9e68 5. La commande show ospf neighbors est également très utile pour vérifier l'activité des voisins ainsi que les informations correspondantes. Cet exemple montre la même information que vous avez obtenue à l'étape 1 avec l'ASDM. ciscoasa#show ospf neighbor Neighbor ID Pri State Dead Time Address Interface 172.16.2.1 1 FULL/BDR 0:00:36 10.1.1.2 inside Résolution de problèmes Cette section inclut des informations sur les commandes debug qui peuvent être utiles pour résoudre des problèmes liés à OSPF. Commandes pour résolution de problèmes debug ospf events - Valide le debugging des évènements OSPF. ciscoasa(config)#debug ospf events OSPF events debugging is on ciscoasa(config)# int e0/1 ciscoasa(config−if)# no shutdown ciscoasa(config−if)# OSPF: Interface inside going Up OSPF: Send with youngest Key 1 OSPF: Rcv hello from 172.16.2.1 area 0 from inside 10.1.1.2 OSPF: 2 Way Communication to 172.16.2.1 on inside, state 2WAY OSPF: Backup seen Event before WAIT timer on inside ccnp_cch
ccnp_cch OSPF: Send with youngest Key 1 OSPF: Rcv hello from 172.16.2.1 area 0 from inside 10.1.1.2 OSPF: 2 Way Communication to 172.16.2.1 on inside, state 2WAY OSPF: Backup seen Event before WAIT timer on inside OSPF: DR/BDR election on inside OSPF: Elect BDR 172.16.2.1 OSPF: Elect DR 172.16.2.1 DR: 172.16.2.1 (Id) BDR: 172.16.2.1 (Id) OSPF: Send DBD to 172.16.2.1 on inside seq 0x1abd opt 0x2 flag 0x7 len 32 OSPF: End of hello processing OSPF: Rcv DBD from 172.16.2.1 on inside seq 0x12f3 opt 0x42 flag 0x7 len 32 mtu 1500 state EXSTART OSPF: First DBD and we are not SLAVE OSPF: Rcv DBD from 172.16.2.1 on inside seq 0x1abd opt 0x42 flag 0x2 len 152 mtu 1500 state EXSTART OSPF: NBR Negotiation Done. We are the MASTER OSPF: Send DBD to 172.16.2.1 on inside seq 0x1abe opt 0x2 flag 0x3 len 132 OSPF: Database request to 172.16.2.1 OSPF: sent LS REQ packet to 10.1.1.2, length 12 OSPF: Rcv DBD from 172.16.2.1 on inside seq 0x1abe opt 0x42 flag 0x0 len 32 mtu 1500 state EXCHANGE OSPF: Send DBD to 172.16.2.1 on inside seq 0x1abf opt 0x2 flag 0x1 len 32 OSPF: Rcv DBD from 172.16.2.1 on inside seq 0x1abf opt 0x42 flag 0x0 OSPF: Exchange Done with 172.16.2.1 on inside OSPF: Synchronized with 172.16.2.1 on inside, state FULL OSPF: Neighbor change Event on interface inside OSPF: Elect BDR 192.168.1.2 DR: 172.16.2.1 (Id) BDR: 192.168.1.2 (Id) ccnp_cch