Ejemplo de Configuración de ASA/PIX con OSPF

Opciones de descarga

PDF (576.2 KB)
Visualice con Adobe Reader en una variedad de dispositivos
ePub (619.7 KB)
Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
Mobi (Kindle) (820.9 KB)
Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos

Actualizado:29 de mayo de 2008

ID del documento:107196

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Contenido

Introducción

Prerequisites

Requirements

Componentes Utilizados

Productos Relacionados

Convenciones

Antecedentes

Configurar

Diagrama de la red

Configuraciones

Configuración de ASDM

Configuración de la Autenticación OSPF

Configuración de Cisco ASA CLI

Configuración CLI del router Cisco IOS (R2)

Configuración CLI del router Cisco IOS (R1)

Configuración CLI del router Cisco IOS (R3)

Redistribución en OSPF con ASA

Verificación

Troubleshoot

Configuración de Vecino Estático para la Red Punto a Punto

Comandos para resolución de problemas

Información Relacionada

Introducción

Este documento describe cómo configurar Cisco ASA para aprender las rutas a través de OSPF (Open Shortest Path First), realizar la autenticación y la redistribución.

Consulte PIX/ASA 8.X: Configuración de EIGRP en Cisco Adaptive Security Appliance (ASA) para obtener más información sobre la configuración de EIGRP.

Nota: El ruteo asimétrico no se soporta en ASA/PIX.

Prerequisites

Requirements

Asegúrese de cumplir estos requisitos antes de intentar esta configuración:

Cisco ASA/PIX debe ejecutar la versión 7.x o posterior.
OSPF no se soporta en el modo multicontexto; solo se admite en modo único.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

Cisco 5500 Series Adaptive Security Appliance (ASA) que ejecuta la versión de software 8.0 y posteriores
Software Cisco Adaptive Security Device Manager (ASDM) versión 6.0 y posterior

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Productos Relacionados

La información en este documento también es aplicable al Cisco 500 Series PIX firewall que ejecuta la versión de software 8.0 y posterior.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Antecedentes

OSPF usa un algoritmo de estado de link para construir y calcular la ruta más corta a todos los destinos conocidos. Cada router en un área OSPF contiene una base de datos de estado de link idéntica, que es una lista de cada una de las interfaces utilizables del router y de los vecinos alcanzables.

Las ventajas de OSPF sobre RIP incluyen:

Las actualizaciones de la base de datos de estado de link OSPF se envían con menos frecuencia que las actualizaciones RIP, y la base de datos de estado de link se actualiza instantáneamente en lugar de gradualmente a medida que se agota el tiempo de espera de la información obsoleta.
Las decisiones de ruteo se basan en el costo, lo que indica la sobrecarga necesaria para enviar paquetes a través de una interfaz determinada. El dispositivo de seguridad calcula el costo de una interfaz en función del ancho de banda del link en lugar del número de saltos al destino. El costo se puede configurar para especificar las rutas preferidas.

La desventaja de los algoritmos de ruta más corta primero es que requieren muchos ciclos de CPU y memoria.

El dispositivo de seguridad puede ejecutar dos procesos de protocolo OSPF simultáneamente, en diferentes conjuntos de interfaces. Puede que desee ejecutar dos procesos si tiene interfaces que utilizan las mismas direcciones IP (NAT permite que estas interfaces coexistan, pero OSPF no permite direcciones superpuestas). O puede que desee ejecutar un proceso en el interior y otro en el exterior, y redistribuir un subconjunto de rutas entre los dos procesos. Del mismo modo, es posible que deba separar las direcciones privadas de las públicas.

Puede redistribuir las rutas en un proceso de ruteo OSPF desde otro proceso de ruteo OSPF, un proceso de ruteo RIP o desde rutas estáticas y conectadas configuradas en interfaces habilitadas para OSPF.

El dispositivo de seguridad soporta estas funciones OSPF:

Compatibilidad con rutas internas, interzonales y externas (tipo I y tipo II).
Compatibilidad con un link virtual.
Inundación OSPF LSA.
Autenticación a paquetes OSPF (tanto contraseña como autenticación MD5).
Soporte para configurar el dispositivo de seguridad como un router designado o un router de respaldo designado. El dispositivo de seguridad también se puede configurar como ABR. Sin embargo, la capacidad de configurar el dispositivo de seguridad como ASBR se limita a la información predeterminada solamente (por ejemplo, inyectando una ruta predeterminada).
Soporte para áreas stub y áreas no tan stubby.
Filtrado LSA tipo 3 del router de límite de área.

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Use el Command Lookup Tool (únicamente clientes registrados) para obtener más información sobre los comandos que se utilizan en esta sección.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

En esta topología de red, la dirección IP de la interfaz interna de Cisco ASA es 10.1.1.1/24. El objetivo es configurar OSPF en Cisco ASA para aprender las rutas a las redes internas (172.16.1.0/24, 172.16.2.0/24, 172.16.5.0/24 y 172.16.10.0/24) dinámicamente a través del router adyacente (R2). R2 aprende las rutas a redes internas remotas a través de los otros dos routers (R1 y R3).

Configuraciones

En este documento, se utilizan estas configuraciones:

Configuración de ASDM
Configuración de la Autenticación OSPF
Configuración de Cisco ASA CLI
Configuración CLI del router Cisco IOS (R2)
Configuración CLI del router Cisco IOS (R1)
Configuración CLI del router Cisco IOS (R3)
Redistribución en OSPF con ASA

Configuración de ASDM

Adaptive Security Device Manager (ASDM) es una aplicación basada en navegador que se utiliza para configurar y supervisar el software en dispositivos de seguridad. El ASDM se carga desde el dispositivo de seguridad y luego se utiliza para configurar, supervisar y administrar el dispositivo. También puede utilizar el iniciador ASDM (sólo Windows) para iniciar la aplicación ASDM más rápido que el applet Java. Esta sección describe la información que necesita para configurar las funciones descritas en este documento con ASDM.

Complete estos pasos para configurar OSPF en el Cisco ASA:

Inicie sesión en Cisco ASA con ASDM.
Vaya al área Configuration > Device Setup > Routing > OSPF de la interfaz ASDM, como se muestra en esta imagen.
Habilite el proceso de ruteo OSPF en la pestaña Setup > Process Instancias, como se muestra en esta imagen. En este ejemplo, el proceso OSPF ID es 1.
Puede hacer clic en Avanzadas en la pestaña Setup > Process Instancias para configurar los parámetros opcionales del proceso de ruteo OSPF avanzado. Puede editar la configuración específica del proceso, como la ID del router, los cambios de adyacencia, las distancias de ruta administrativas, los temporizadores y la configuración de origen de la información predeterminada.

Esta lista describe cada campo:
- Proceso OSPF: muestra el proceso OSPF que está configurando. No puede cambiar este valor.
- ID del router: para utilizar una ID de router fija, introduzca una ID de router en formato de dirección IP en el campo ID del router. Si deja este valor en blanco, la dirección IP de nivel más alto del dispositivo de seguridad se utiliza como ID de router.
  
  En este ejemplo, el ID de router se configura estáticamente con la dirección IP de la interfaz interna (10.1.1.1).
- Ignorar LSA MOSPF: active esta casilla de verificación para suprimir el envío de mensajes de registro del sistema cuando el dispositivo de seguridad recibe paquetes LSA de tipo 6 (MOSPF). Esta configuración está desactivada de forma predeterminada.
- Compatible con RFC 1583: active esta casilla de verificación para calcular los costes de ruta de resumen según RFC 1583. Desmarque esta casilla de verificación para calcular los costos de ruta de resumen según RFC 2328. Para minimizar la posibilidad de bucles de ruteo, todos los dispositivos OSPF en un dominio de ruteo OSPF deben tener la compatibilidad RFC configurada de manera idéntica. Esta configuración está seleccionada de forma predeterminada.
- Cambios de adyacencia: contiene la configuración que define los cambios de adyacencia que hacen que se envíen los mensajes del registro del sistema.
  - Cambios de adyacencia de registro: active esta casilla de verificación para que el dispositivo de seguridad envíe un mensaje de registro del sistema cada vez que un vecino OSPF se activa o desactiva. Esta configuración está seleccionada de forma predeterminada.
  - Detalles de cambios de adyacencia de registro: active esta casilla de verificación para que el dispositivo de seguridad envíe un mensaje de registro del sistema cada vez que se produzca algún cambio de estado, no sólo cuando un vecino se active o desactive. Esta configuración está desactivada de forma predeterminada.
- Distancias de ruta administrativas: contiene la configuración para las distancias administrativas de las rutas basadas en el tipo de ruta.
  - Inter Area: establece la distancia administrativa para todas las rutas de un área a otro. Los valores válidos varían de 1 a 255. El valor predeterminado es 100.
  - Intra Area (Intra Area): establece la distancia administrativa para todas las rutas dentro de un área. Los valores válidos varían de 1 a 255. El valor predeterminado es 100.
  - Externa: establece la distancia administrativa para todas las rutas de otros dominios de ruteo aprendidos a través de la redistribución. Los valores válidos varían de 1 a 255. El valor predeterminado es 100.
- Timers (Temporizadores): contiene la configuración utilizada para configurar el ritmo de LSA y los temporizadores de cálculo SPF.
  - Tiempo de Retraso SPF: especifica el tiempo entre que OSPF recibe un cambio de topología y cuando se inicia el cálculo SPF. Los valores válidos varían de 0 a 65535. El valor predeterminado es 5.
  - Tiempo en espera de SPF: especifica el tiempo en espera entre los cálculos consecutivos de SPF.Los valores válidos van de 1 a 65534. El valor predeterminado es 10.
  - Rastreo de grupo LSA: especifica el intervalo en el que se recopilan los LSA en un grupo y se actualizan, se suman o envejecen. Los valores válidos varían de 10 a 1800. El valor predeterminado es 240.
- Default Information Originate (Origen de la información predeterminada): contiene la configuración utilizada por un ASBR para generar una ruta externa predeterminada en un dominio de ruteo OSPF.
  - Enable Default Information Originate (Activar origen de información predeterminada): active esta casilla de verificación para habilitar la generación de la ruta predeterminada en el dominio de ruteo OSPF.
  - Anunciar siempre la ruta predeterminada: active esta casilla de verificación para anunciar siempre la ruta predeterminada. Esta opción está desactivada de forma predeterminada.
  - Valor de métrica: especifica la métrica predeterminada de OSPF. Los valores válidos varían de 0 a 16777214. El valor predeterminado es 1.
  - Tipo de métrica: especifica el tipo de link externo asociado con la ruta predeterminada anunciada en el dominio de ruteo OSPF. Los valores válidos son 1 o 2, lo que indica una ruta externa Tipo 1 o Tipo 2. El valor predeterminado es 2.
  - Route Map: (Opcional) Nombre del route map que se aplicará. El proceso de ruteo genera la ruta predeterminada si se satisface el route map.
Después de completar los pasos anteriores, defina las redes e interfaces que participan en el ruteo OSPF en la ficha Setup > Area/Networks, y luego haga clic en Add como se muestra en esta imagen:

Aparece el cuadro de diálogo Agregar área OSPF.

En este ejemplo, la única red que se agrega es la red interna (10.1.1.0/24), ya que OSPF sólo se habilita en la interfaz interna.

Nota: Sólo las interfaces con una dirección IP que se encuentren dentro de las redes definidas participan en el proceso de ruteo OSPF.
Click OK.

Esta lista describe cada campo:
- Proceso OSPF: cuando agrega un área nueva, elija el ID para el proceso OSPF . Si sólo hay un proceso OSPF habilitado en el dispositivo de seguridad, ese proceso se selecciona de forma predeterminada. Cuando edita un área existente, no puede cambiar el ID de proceso OSPF.
- ID de área: al agregar un área nueva, introduzca la ID de área. Puede especificar el ID de área como un número decimal o una dirección IP. Los valores decimales válidos van de 0 a 4294967295. No puede cambiar el ID de área cuando edita un área existente.
  
  En este ejemplo, el ID de área es 0.
- Tipo de área: contiene la configuración del tipo de área que se está configurando.
  - Normal: elija esta opción para convertir el área en un área OSPF estándar. Esta opción se selecciona de forma predeterminada cuando se crea un área por primera vez.
  - Stub: elija esta opción para convertir el área en un área stub. Las áreas stub no tienen routers ni áreas más allá. Las áreas stub impiden que los LSA externos de AS (LSA de tipo 5) se inunden en el área stub. Al crear un área stub, puede desmarcar la casilla de verificación Summary para evitar que los LSA de resumen (tipo 3 y 4) se inunden en el área.
  - Resumen: cuando el área que se define es un área stub, desmarque esta casilla de verificación para evitar que los LSA se envíen al área stub. Esta casilla de verificación está activada de forma predeterminada para las áreas stub.
  - NSSA: elija esta opción para convertir el área en un área no tan fragmentada. Los NSSA aceptan LSA de tipo 7. Cuando crea una NSSA, puede desmarcar la casilla de verificación Resumen para evitar que los LSA de resumen se inunden en el área. Además, puede desmarcar la casilla de verificación Redistribute y habilitar Default Information Originate para inhabilitar la redistribución de rutas.
  - Redistribute (Redistribuir): desactive esta casilla de verificación para evitar que las rutas se importen a NSSA. Esta casilla de verificación está activada de forma predeterminada.
  - Resumen: cuando el área que se define es una NSSA, desmarque esta casilla de verificación para evitar que los LSA se envíen al área stub. Esta casilla de verificación está activada de forma predeterminada para NSSA.
  - Default Information Originate (Origen de la información predeterminada): active esta casilla de verificación para generar un valor predeterminado de tipo 7 en NSSA. Esta casilla de verificación está desactivada de forma predeterminada.
  - Valor de métrica: introduzca un valor para especificar el valor de métrica OSPF para la ruta predeterminada. Los valores válidos varían de 0 a 16777214. El valor predeterminado es 1.
  - Tipo de métrica: elija un valor para especificar el tipo de métrica OSPF para la ruta predeterminada. Las opciones son 1 (tipo 1) o 2 (tipo 2). El valor predeterminado es 2.
- Redes de área: contiene la configuración que define un área OSPF.
  - Introducir dirección IP y máscara: contiene la configuración utilizada para definir las redes del área.
    - IP Address (Dirección IP): introduzca la dirección IP de la red o el host que desea agregar al área. Utilice 0.0.0.0 con una máscara de red de 0.0.0.0 para crear el área predeterminada. Sólo puede utilizar 0.0.0.0 en un área.
    - Máscara de red: elija la máscara de red para la dirección IP o el host que desea agregar al área. Si agrega un host, elija la máscara 255.255.255.255.
      
      En este ejemplo, 10.1.1.0/24 es la red que se va a configurar.
  - Agregar: agrega la red definida en el área Introducir dirección IP y máscara al área. La red agregada aparece en la tabla Redes de área.
  - Eliminar: elimina la red seleccionada de la tabla Redes de área.
  - Redes de área: muestra las redes definidas para el área.
  - Dirección IP: muestra la dirección IP de la red.
  - Máscara de red: muestra la máscara de red para la red.
- Autenticación: contiene la configuración para la autenticación de área OSPF.
  - Ninguno: elija esta opción para inhabilitar la autenticación de área OSPF. Esta es la configuración predeterminada.
  - Contraseña: elija esta opción para utilizar una contraseña de texto sin cifrar para la autenticación de área. Esta opción no se recomienda cuando la seguridad es un problema.
  - MD5: elija esta opción para utilizar la autenticación MD5.
- Costo predeterminado: especifique un costo predeterminado para el área. Los valores válidos varían de 0 a 65535. El valor predeterminado es 1.
Haga clic en Apply (Aplicar).
Opcionalmente, puede definir filtros de ruta en el panel Reglas de filtrado. El filtrado de rutas proporciona más control sobre las rutas que se permiten enviar o recibir en las actualizaciones OSPF.
Opcionalmente, puede configurar la redistribución de rutas. Cisco ASA puede redistribuir las rutas detectadas por RIP y EIGRP en el proceso de ruteo OSPF. También puede redistribuir las rutas estáticas y conectadas en el proceso de ruteo OSPF. Defina la redistribución de rutas en el panel de redistribución.
Los paquetes hello OSPF se envían como paquetes multicast. Si un vecino OSPF se encuentra a través de una red no broadcast, debe definir manualmente ese vecino. Cuando define manualmente un vecino OSPF, los paquetes hello se envían a ese vecino como mensajes unicast. Para definir vecinos OSPF estáticos, vaya al panel Vecino estático.
Las rutas aprendidas de otros protocolos de ruteo se pueden resumir. La métrica utilizada para anunciar el resumen es la métrica más pequeña de todas las rutas más específicas. Las rutas de resumen ayudan a reducir el tamaño de la tabla de ruteo.

El uso de rutas de resumen para OSPF hace que un OSPF ASBR anuncie una ruta externa como un agregado para todas las rutas redistribuidas que están cubiertas por la dirección. Sólo se pueden resumir las rutas de otros protocolos de ruteo que se redistribuyen en OSPF.
En el panel de link virtual, puede agregar un área a una red OSPF y no es posible conectar el área directamente al área de estructura básica; debe crear un link virtual. Un link virtual conecta dos dispositivos OSPF que tienen un área común, llamada área de tránsito. Uno de los dispositivos OSPF debe estar conectado al área de estructura básica.

Configuración de la Autenticación OSPF

Cisco ASA admite la autenticación MD5 de las actualizaciones de ruteo desde el protocolo de ruteo OSPF. El resumen con llave MD5 en cada paquete OSPF evita la introducción de mensajes de ruteo no autorizados o falsos de fuentes no aprobadas. La adición de la autenticación a sus mensajes OSPF garantiza que sus routers y Cisco ASA sólo acepten mensajes de ruteo de otros dispositivos de ruteo configurados con la misma clave previamente compartida. Sin esta autenticación configurada, si alguien introduce otro dispositivo de ruteo con información de ruta diferente o contraria en la red, las tablas de ruteo de sus routers o Cisco ASA pueden dañarse y puede producirse un ataque de denegación de servicio. Cuando agrega autenticación a los mensajes EIGRP enviados entre sus dispositivos de ruteo (que incluye el ASA), evita la adición deliberada o accidental de otro router a la red y cualquier problema.

La autenticación de ruta OSPF se configura por interfaz. Todos los vecinos OSPF en las interfaces configuradas para la autenticación de mensajes OSPF deben configurarse con el mismo modo de autenticación y clave para que se establezcan adyacencias.

Complete estos pasos para habilitar la autenticación OSPF MD5 en Cisco ASA:

En ASDM, navegue hasta Configuration > Device Setup > Routing > OSPF > Interface y luego haga clic en la pestaña Authentication, como se muestra en esta imagen.

En este caso, OSPF se habilita en la interfaz interna.
Elija la interfaz interior y haga clic en Editar.
En Authentication, elija MD5 authentication y agregue más información sobre los parámetros de autenticación aquí.

En este caso, la clave previamente compartida es cisco123, y el ID de clave es 1.
Haga clic en Aceptar y luego en Aplicar.

Configuración de Cisco ASA CLI

Cisco ASA
ciscoasa#show running-config : Saved : ASA Version 8.0(2) ! hostname ciscoasa enable password 8Ry2YjIyt7RRXU24 encrypted names !--- Inside interface configuration interface Ethernet0/1 nameif inside security-level 100 ip address 10.1.1.1 255.255.255.0 ospf cost 10 !--- OSPF authentication is configured on the inside interface ospf message-digest-key 1 md5 <removed> ospf authentication message-digest ! !--- Outside interface configuration interface Ethernet0/2 nameif outside security-level 0 ip address 192.168.1.2 255.255.255.0 ospf cost 10 ! !--- Output Suppressed icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-602.bin no asdm history enable arp timeout 14400 ! !--- OSPF Configuration router ospf 1 network 10.1.1.0 255.255.255.0 area 0 log-adj-changes ! !--- This is the static default gateway configuration in order to reach Internet route outside 0.0.0.0 0.0.0.0 192.168.1.1 1 ciscoasa#

Cisco ASA

ciscoasa#show running-config
: Saved
:
ASA Version 8.0(2)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names


!--- Inside interface configuration


interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
 ospf cost 10
 

!--- OSPF authentication is configured on the inside interface 


 ospf message-digest-key 1 md5 <removed>
 ospf authentication message-digest
!


!--- Outside interface configuration


interface Ethernet0/2
 nameif outside
 security-level 0
 ip address 192.168.1.2 255.255.255.0
 ospf cost 10
!

!--- Output Suppressed


icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
!


!--- OSPF Configuration


router ospf 1
 network 10.1.1.0 255.255.255.0 area 0
 log-adj-changes
!


!--- This is the static default gateway configuration in order to reach Internet


route outside 0.0.0.0 0.0.0.0 192.168.1.1 1

ciscoasa#

Configuración CLI del router Cisco IOS (R2)

Router Cisco IOS (R2)
!--- Interface that connects to the Cisco ASA. !--- Notice the OSPF authentication parameters interface Ethernet0 ip address 10.1.1.2 255.255.255.0 ip ospf authentication message-digest ip ospf message-digest-key 1 md5 cisco123 !--- Output Suppressed !--- OSPF Configuration router ospf 1 log-adjacency-changes network 10.1.1.0 0.0.0.255 area 0 network 172.16.1.0 0.0.0.255 area 0 network 172.16.2.0 0.0.0.255 area 0

Router Cisco IOS (R2)



!--- Interface that connects to the Cisco ASA. !--- Notice the OSPF authentication parameters


interface Ethernet0
 ip address 10.1.1.2 255.255.255.0
 ip ospf authentication message-digest
 ip ospf message-digest-key 1 md5 cisco123


!--- Output Suppressed



!--- OSPF Configuration


router ospf 1
 log-adjacency-changes
 network 10.1.1.0 0.0.0.255 area 0
 network 172.16.1.0 0.0.0.255 area 0
 network 172.16.2.0 0.0.0.255 area 0

Configuración CLI del router Cisco IOS (R1)

Router Cisco IOS (R1)
!--- Output Suppressed !--- OSPF Configuration router ospf 1 log-adjacency-changes network 172.16.5.0 0.0.0.255 area 0 network 172.16.2.0 0.0.0.255 area 0

Configuración CLI del router Cisco IOS (R3)

Router Cisco IOS (R3)
!--- Output Suppressed !--- OSPF Configuration router ospf 1 log-adjacency-changes network 172.16.1.0 0.0.0.255 area 0 network 172.16.10.0 0.0.0.255 area 0

Redistribución en OSPF con ASA

Como se mencionó anteriormente, puede redistribuir las rutas en un proceso de ruteo OSPF desde otro proceso de ruteo OSPF, un proceso de ruteo RIP o desde rutas estáticas y conectadas configuradas en interfaces habilitadas para OSPF.

En este ejemplo, redistribución de las rutas RIP en OSPF con el diagrama de red como se muestra:

Configuración de ASDM

Elija Configuration > Device Setup > Routing > RIP > Setup para habilitar RIP y agregue la red 192.168.1.0 como se muestra en esta imagen.
Haga clic en Apply (Aplicar).
Elija Configuration > Device Setup > Routing > OSPF > Redistribution > Add para redistribuir las rutas RIP en OSPF.
Haga clic en Aceptar y luego en Aplicar.

Configuración CLI equivalente

Configuración CLI de ASA para la Redistribución de RIP en OSPF AS
router ospf 1 network 10.1.1.0 255.255.255.0 area 0 log-adj-changes redistribute rip subnets router rip network 192.168.1.0

Puede ver la tabla de ruteo del router IOS vecino(R2) después de redistribuir las rutas RIP en OSPF AS.

R2#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

     172.16.0.0/16 is variably subnetted, 4 subnets, 2 masks
O       172.16.10.1/32 [110/11] via 172.16.1.2, 01:17:29, Ethernet1
O       172.16.5.1/32 [110/65] via 172.16.2.2, 01:17:29, Serial1
C       172.16.1.0/24 is directly connected, Ethernet1
C       172.16.2.0/24 is directly connected, Serial1
     10.0.0.0/24 is subnetted, 1 subnets
C       10.1.1.0 is directly connected, Ethernet0
O E2 192.168.1.0/24 [110/20] via 10.1.1.1, 01:17:29, Ethernet0

!--- Redistributed route adverstied by Cisco ASA

Verificación

Complete estos pasos para verificar su configuración:

En ASDM, puede navegar hasta Monitoring > Routing > OSPF Neighbors para ver cada uno de los vecinos OSPF. Esta imagen muestra el router interno (R2) como vecino activo. También puede ver la interfaz donde reside este vecino, ID del router vecino, estado y tiempo muerto.
Además, puede verificar la tabla de ruteo si navega a Monitoring > Routing > Routes. En esta imagen, las redes 172.16.1.0/24, 172.16.2.0/24, 172.16.5.0/24 y 172.16.10.0/24 se aprenden a través de R2 (10.1.1.2).

Desde la CLI, puede utilizar el comando show route para obtener el mismo resultado.

ciscoasa#show route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route

Gateway of last resort is 192.168.1.1 to network 0.0.0.0

O    172.16.10.1 255.255.255.255 [110/21] via 10.1.1.2, 0:00:06, inside
O    172.16.5.1 255.255.255.255 [110/75] via 10.1.1.2, 0:00:06, inside
O    172.16.1.0 255.255.255.0 [110/20] via 10.1.1.2, 0:00:06, inside
O    172.16.2.0 255.255.255.0 [110/74] via 10.1.1.2, 0:00:06, inside
C    10.1.1.0 255.255.255.0 is directly connected, inside
C    10.77.241.128 255.255.255.192 is directly connected, dmz
S    10.77.0.0 255.255.0.0 [1/0] via 10.77.241.129, dmz
C    192.168.1.0 255.255.255.0 is directly connected, outside
S*   0.0.0.0 0.0.0.0 [1/0] via 192.168.1.1, outside

También puede utilizar el comando show ospf database para obtener información sobre las redes aprendidas y la topología ospf.

ciscoasa#show ospf database


       OSPF Router with ID (192.168.1.2) (Process ID 1)


                Router Link States (Area 0)

Link ID         ADV Router      Age         Seq#       Checksum Link count
172.16.1.2      172.16.1.2      123         0x80000039 0xfd1d 2
172.16.2.1      172.16.2.1      775         0x8000003c 0x9b42 4
172.16.5.1      172.16.5.1      308         0x80000038 0xb91b 3
192.168.1.2     192.168.1.2     1038        0x80000037 0x29d7 1

                Net Link States (Area 0)

Link ID         ADV Router      Age         Seq#       Checksum
10.1.1.1        192.168.1.2     1038        0x80000034 0x72ee
172.16.1.1      172.16.2.1      282         0x80000036 0x9e68

El comando show ospf neighbors también es útil para verificar los vecinos activos y la información del corresponsal. Este ejemplo muestra la misma información que obtuvo de ASDM en el paso 1.
```
ciscoasa#show ospf neighbor


Neighbor ID     Pri   State           Dead Time   Address         Interface
172.16.2.1        1   FULL/BDR        0:00:36     10.1.1.2        inside
```

Troubleshoot

Esta sección proporciona información que podría facilitar la resolución de problemas de OSPF.

Configuración de Vecino Estático para la Red Punto a Punto

Si ha configurado red OSPF punto a punto sin broadcast en el ASA, debe definir vecinos OSPF estáticos para anunciar rutas OSPF en una red punto a punto sin broadcast. Consulte Definición de Vecinos OSPF Estáticos para obtener más información.

Comandos para resolución de problemas

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

Nota: Consulte Información Importante sobre Comandos Debug antes de utilizar los comandos debug.

debug ospf events: habilita la depuración de eventos OSPF.

ciscoasa(config)#debug ospf events
OSPF events debugging is on
ciscoasa(config)# int e0/1
ciscoasa(config-if)# no shu
ciscoasa(config-if)#
OSPF: Interface inside going Up
OSPF: Send with youngest Key 1
OSPF: Rcv hello from 172.16.2.1 area 0 from inside 10.1.1.2
OSPF: 2 Way Communication to 172.16.2.1 on inside, state 2WAY
OSPF: Backup seen Event before WAIT timer on inside
OSPF: DR/BDR election on inside
OSPF: Elect BDR 172.16.2.1
OSPF: Elect DR 172.16.2.1
       DR: 172.16.2.1 (Id)   BDR: 172.16.2.1 (Id)
OSPF: Send DBD to 172.16.2.1 on inside seq 0x1abd opt 0x2 flag 0x7 len 32
OSPF: Send with youngest Key 1
OSPF: End of hello processing
OSPF: Rcv hello from 172.16.2.1 area 0 from inside 10.1.1.2
OSPF: End of hello processing
OSPF: Rcv DBD from 172.16.2.1 on inside seq 0x12f3 opt 0x42 flag 0x7 len 32  mtu
 1500 state EXSTART
OSPF: First DBD and we are not SLAVE
OSPF: Rcv DBD from 172.16.2.1 on inside seq 0x1abd opt 0x42 flag 0x2 len 152  mt
u 1500 state EXSTART
OSPF: NBR Negotiation Done. We are the MASTER
OSPF: Send DBD to 172.16.2.1 on inside seq 0x1abe opt 0x2 flag 0x3 len 132
OSPF: Send with youngest Key 1
OSPF: Send with youngest Key 1
OSPF: Database request to 172.16.2.1
OSPF: sent LS REQ packet to 10.1.1.2, length 12
OSPF: Rcv DBD from 172.16.2.1 on inside seq 0x1abe opt 0x42 flag 0x0 len 32  mtu
 1500 state EXCHANGE
OSPF: Send DBD to 172.16.2.1 on inside seq 0x1abf opt 0x2 flag 0x1 len 32
OSPF: Send with youngest Key 1
OSPF: Send with youngest Key 1
OSPF: Rcv DBD from 172.16.2.1 on inside seq 0x1abf opt 0x42 flag 0x0 len 32  mtu
 1500 state EXCHANGE
OSPF: Exchange Done with 172.16.2.1 on inside
OSPF: Synchronized with 172.16.2.1 on inside, state FULL
OSPF: Send with youngest Key 1
OSPF: Send with youngest Key 1
OSPF: Rcv hello from 172.16.2.1 area 0 from inside 10.1.1.2
OSPF: Neighbor change Event on interface inside
OSPF: DR/BDR election on inside
OSPF: Elect BDR 192.168.1.2
OSPF: Elect DR 172.16.2.1
OSPF: Elect BDR 192.168.1.2
OSPF: Elect DR 172.16.2.1
       DR: 172.16.2.1 (Id)   BDR: 192.168.1.2 (Id)
OSPF: End of hello processing
OSPF: Send with youngest Key 1
OSPF: Send with youngest Key 1
OSPF: Send with youngest Key 1
OSPF: Send with youngest Key 1
OSPF: Rcv hello from 172.16.2.1 area 0 from inside 10.1.1.2
OSPF: End of hello processing
OSPF: Send with youngest Key 1
OSPF: Rcv hello from 172.16.2.1 area 0 from inside 10.1.1.2
OSPF: End of hello processing
OSPF: Send with youngest Key 1
OSPF: Rcv hello from 172.16.2.1 area 0 from inside 10.1.1.2
OSPF: End of hello processing
OSPF: Send with youngest Key 1
OSPF: Rcv hello from 172.16.2.1 area 0 from inside 10.1.1.2
OSPF: End of hello processing

Nota: Refiérase a la sección debug ospf de la Referencia de Comandos de Dispositivos de Seguridad de Cisco, Versión 8.0 para obtener más información sobre varios comandos que son útiles para resolver el problema.