FTDでのOSPF設定のトラブルシューティング

はじめに

このドキュメントでは、マネージャとしてFMCを使用して、FTDデバイスのOSPF設定を確認し、トラブルシューティングする方法について説明します。

前提条件

要件

次の項目に関する知識があることが推奨されます。

• Open Shortest Path First(OSPF)の概念と機能
• Cisco Secure Firewall Management Center(FMC)
• Cisco Secure Firewall Threat Defense(FTD)

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• 仮想FTD 7.2.5
• 仮想FMC 7.2.5

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

OSPF の背景

FTDデバイスとその他のOSPF対応デバイス間でダイナミックルーティングを使用するように、OSPFをFMCで設定できます。 

FMCでは、異なるインターフェイスセットに対して2つのOSPFプロセスを同時に実行できます。

各デバイスには、OSPFプロセスのデバイス名と同様に、ルータIDがあります。これはデフォルトでは低いインターフェイスのIPに設定されますが、別のIPにカスタマイズすることもできます。 

注意すべき重要な点は、OSPFアジャセンシー関係を形成するには、これらのパラメータがネイバーで一致する必要があることです。

• 同じIPネットワークに属するインターフェイス
• サブネット マスク
• 領域
• Hello間隔とDead間隔
• MTU
• エリアタイプ（標準/NSSA/スタブ） 
• [Authentication]

基本設定

このセクションでは、ネイバーとの隣接関係の検索を開始するためにOSPFに設定する基本パラメータを示します。 

1. Devices > Device Management > Edit deviceの順に移動します

2. Routingタブをクリックします。

3. 左側のメニューバーでOSPFをクリックします。

4. Process 1を選択して、OSPF設定を有効にします。FTDは、異なるインターフェイスセット上で2つのプロセスを同時に実行できます。

エリア境界ルータ(ABR)は2つの異なるエリアの間に配置され、自律システム境界ルータ(ASBR)は他のルーティングプロトコルを使用しているデバイスの間に配置されます。 

5. OSPFロールとして、Internal、ABR、ASBR、ABRおよびASBRのいずれかを選択します。

ロールの選択

6. （オプション）自動ルータIDを変更します。これをカスタマイズするには、OSPFロールの横にあるAdvancedを選択し、IPアドレスとしてRouter IDを選択します。

ルータIDの選択

7. 「領域」>「追加」を選択します。

8. エリア情報を入力します。

• OSPFプロセス
• エリア ID
• エリアタイプ
• 使用可能なネットワーク

9. OKをクリックして設定を保存します。

領域選択

再配布 

FTDは、あるOSPFプロセスから別のOSPFプロセスにルートを再配布できます。また、RIP、BGP、EIGRP（7.2以降のバージョン）、スタティックルート、および接続されたルートからのOSPFルーティングプロセスへの再配布も可能です。

1. OSPF再配布を設定するには、Devices > Device Management > Edit deviceの順に移動します。

2. Routingをクリックします。

3. OSPFをクリックします。

4. Redistribution > Addの順に選択します。

5. 再配布フィールドを入力します。

• OSPFプロセス
• ルートタイプ（再配布元）
  • Static
  • 接続済み
  • OSPFプロセス
  • BGP
  • RIP
  • EIGRP

BGPとEIGRPの場合は、AS番号を追加します。

6. （オプション）サブネットを使用するかどうかを選択します。

7. 「メトリック・タイプ」を選択します。

• タイプ1は外部メトリックを使用し、ASBRに到達する各ホップの内部コストを追加します。 
• タイプ2は外部メトリックのみを使用します。 

8. OKをクリックして変更を保存します。

再配布の設定

フィルタリング

エリア間フィルタリングを実行して、エリア間のインバウンドまたはアウトバウンドに送信されるルートを制限できます。このアクションは、ABRでのみ実行されます。 

フィルタリングはプレフィックスリストで設定され、その後OSPF設定にリンクされます。これはオプションの機能であり、OSPFが機能するために必要なものではありません。 

1. OSPFエリア間フィルタリングを設定するために、Devices > Device Management > Edit deviceの順に移動します。

2. Routingをクリックします。

3. OSPFをクリックします。

4. 「エリア間」>「追加」を選択します。

5. フィルタリングフィールドを設定します。

• OSPFプロセス
• エリア ID
• プレフィックスリスト
• トラフィックの方向：着信または発信

エリア間フィルタリングの設定

6. プレフィックスリストが設定されている場合は、ステップ10に進みます。新しいプレフィックスを作成する必要がある場合は、プラス記号を選択するか、Objects > Object Management > Prefix Lists > IPv4 prefix list > Addから作成します。 

7. Addエントリをクリックします。

8. 次のフィールドを使用してプレフィックスリストを設定します。

• シーケンス番号 
• IP アドレス
• アクション
• 最小/最大プレフィックス長（オプション） 

プレフィックスリストオブジェクトの編集

9. OKをクリックして、プレフィックスリストを保存します。 

10. OKをクリックして、エリア間設定を保存します。

インターフェイスのパラメータ

OSPFに参加するインターフェイスごとに変更できる特定のパラメータがあります。  

1. OSPFインターフェイスパラメータを設定するために、Devices > Device Management > Edit deviceの順に移動します。

2. Routingをクリックします。

3. OSPFをクリックします。

4. 「インタフェース」>「追加」を選択します。

5. 変更するパラメータを選択します

HelloタイマーとDeadタイマー

OSPF Helloパケットは、デバイス間の隣接関係を維持するために送信されます。これらのパケットは、設定可能な間隔で送信されます。dead間隔内にネイバールータからのhelloパケットをデバイスが受信しない場合（これも設定可能）、ネイバールータはダウン状態に変わります。

デフォルトのhello間隔は10秒で、dead間隔はhello間隔の4倍の40秒です。これらの間隔は、ネイバー間で一致している必要があります。

タイマーの設定

MTU無視OSPF

MTU ignoreチェックボックスは、ネイバーインターフェイス間でのMTUの不一致が原因でOSPF隣接関係がEXSTART状態のままにならないようにするオプションです。この状態では、ネイバー間でDBDが送信され、サイズの違いによって問題が発生する可能性があるため、MTUの一致が確認されます。ただし、このオプションをオフにしておくことを推奨します。 

MTU無視チェックの設定

[Authentication]

インターフェイスOSPF認証には、3つの異なるタイプを選択できます。デフォルトでは、認証は有効になっていません。

• なし
• パスワード：クリアテキストパスワード
• MD5:MD5ハッシングを使用します

MD5はセキュリティを提供するハッシュアルゴリズムであるため、認証として使用することを推奨します。 

MD5 IDとMD5キーを設定し、OKをクリックして保存します。 

MD5キーの設定

MD5キーまたはパスワードは、認証されるネイバーのインターフェイスパラメータと一致している必要があります。 

一般的なCLIの検証  

トポロジの例

次のネットワークトポロジを例として検討します。 

ネットワークトポロジの例

次の点を考慮してください。 

• OSPFは外部FTD、内部FTD、および内部ルータで設定されます。
• 外部FTDはASBRロール、内部FTDはABR、内部ルータは内部ロールとして選択されます。 
• エリア0は外部FTDと内部FTDの間に作成され、エリア1は内部FTDと内部ルータの間に作成されます。 
• 外部FTDは、別のデバイスとのBGPネイバーシップも実行しています。 
• 自律システム(AS)312によって学習されたBGPルートはOSPFに再配布されます。
• MTUと間隔はデフォルト値で設定されます。 
• 内部FTDが、内部ルータから学習したエリア0への着信エリア間ルートをフィルタリングしている。 
• インターフェイス認証は、OSPFに参加するすべてのデバイスでMD5として設定されます。 

内部FTD 

内部FTDの設定は次のようになります。

MD5認証を使用したインターフェイス設定

interface GigabitEthernet0/0
nameif inside
security-level 0
ip address 10.6.11.1 255.255.255.0
ospf message-digest-key 1 md5 *****
ospf authentication message-digest 
!
interface GigabitEthernet0/1
nameif outside
security-level 0
ip address 10.3.11.2 255.255.255.0
ospf message-digest-key 1 md5 *****
ospf authentication message-digest 
!

OSPF設定では、ネットワーク10.3.11.0/24はエリア0にアドバタイズされ、ネットワーク10.6.11.0/24はエリア1のネイバーにアドバタイズされます。 

エリア間フィルタリングでは、エリア0に入る着信ルートにプレフィックスリストを適用しています。このプレフィックスリストでは、内部ルータからのネットワーク192.168.4.0が拒否され、その他すべてが許可されます。 

内部FTDエリアの設定

内部FTDフィルタリングの設定

内部FTDプレフィックスリスト

router ospf 1
network 10.3.11.0 255.255.255.0 area 0
network 10.6.11.0 255.255.255.0 area 1
area 0 filter-list prefix filter_192.168.4.0 in 
log-adj-changes

prefix-list filter_192.168.4.0 seq 5 deny 192.168.4.0/24
prefix-list filter_192.168.4.0 seq 10 permit 0.0.0.0/0 le 32

外部FTD 

外部FTDの設定は、CLIで次のように表示されます。

MD5認証を使用したインターフェイス設定。

interface GigabitEthernet0/0
nameif inside
security-level 0
ip address 10.3.11.1 255.255.255.0
ospf message-digest-key 1 md5 *****
ospf authentication message-digest 
!
interface GigabitEthernet0/1
nameif outside
security-level 0
ip address 172.16.11.1 255.255.255.0 
!

OSPF設定では、ルート10.3.11.0/24がエリア0の内部FTDにアドバタイズされています。

OSPFへのBGP再配布も確認できます。  

外部FTDエリアの設定

外部FTD再配布の設定

router ospf 1
network 10.3.11.0 255.255.255.0 area 0
log-adj-changes
redistribute bgp 312 subnets

トラブルシューティングのためのコマンド

OSPFが期待どおりに動作しているかどうかを判断するのに役立つコマンドがいくつかあります。 

show running-configルータ

このコマンドは、OSPFだけでなく、ダイナミックルーティングプロトコルの設定も表示します。 

CLIでOSPF関連の設定を確認するのに便利です。 

show route

show routeの出力には、現在使用可能なルートに関する重要な情報が示されます。 

• OSPFを通じて学習されたルートは、文字Oで示されます。 
• エリア間ルートは、文字O IAで示されます。
• 再配布によって別のルーティングプロトコルから学習されたルートには、選択されたメトリックタイプに応じて文字O E1またはO E2が表示されます。 

内部FTDのshow route出力は、ASBRネイバー10.3.11.1から認識されている3つの外部ルートがあることを示しています。

また、同じエリアのネイバー10.6.11.2から学習したネットワーク192.168.4.0/24も示しています。 

Internal-FTD# show route

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, + - replicated route
       SI - Static InterVRF
Gateway of last resort is not set

C        10.3.11.0 255.255.255.0 is directly connected, outside
L        10.3.11.2 255.255.255.255 is directly connected, outside
O E2     10.5.11.0 255.255.255.224 [110/1] via 10.3.11.1, 6w5d, outside
O E2     10.5.11.32 255.255.255.224 [110/1] via 10.3.11.1, 6w5d, outside
O E2     10.5.11.64 255.255.255.224 [110/1] via 10.3.11.1, 6w5d, outside
C        10.6.11.0 255.255.255.0 is directly connected, inside
L        10.6.11.1 255.255.255.255 is directly connected, inside
O        192.168.4.0 255.255.255.0 [110/20] via 10.6.11.2, 02:19:24, inside

外部FTDから、ルート10.6.11.0/24はネイバー10.3.11.2から認識されており、別のエリアに属していることがわかります。 

ルート192.168.4.0/24は内部FTDでフィルタリングされているため、この出力には表示されません。 

さらに、内部FTDで見られるように、別のデバイスから学習した3つのBGPルートが外部タイプ2ルートとしてOSPFに再配布されています。 

External-FTD# show route

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, + - replicated route
       SI - Static InterVRF, BI - BGP InterVRF
Gateway of last resort is not set

C        10.3.11.0 255.255.255.0 is directly connected, inside
L        10.3.11.1 255.255.255.255 is directly connected, inside
B        10.5.11.0 255.255.255.224 [20/0] via 172.16.11.2, 6w5d
B        10.5.11.32 255.255.255.224 [20/0] via 172.16.11.2, 6w5d
B        10.5.11.64 255.255.255.224 [20/0] via 172.16.11.2, 6w5d
O IA     10.6.11.0 255.255.255.0 [110/20] via 10.3.11.2, 02:03:27, inside
C        172.16.11.0 255.255.255.0 is directly connected, outside
L        172.16.11.1 255.255.255.255 is directly connected, outside

show ospf neighbor（隠しコマンド）

このコマンドは、OSPF隣接関係のステートを確認し、そのネイバーが代表ルータ(DR)、バックアップ代表ルータ(BDR)、またはその他(DROTHER)であるかどうかを確認するのに役立ちます。 

DRは、ネットワークに変更があるたびに、同じサブネット内の残りのデバイスを更新するデバイスです。BDRが使用できなくなった場合は、BDRがDRの役割を引き受けます。 

これは、ネイバーのルータID、およびネイバーを認識しているIPアドレスとインターフェイスを表示するため、便利です。

デッドタイムのカウントダウンも確認されます。デフォルトのタイマーが設定されている場合、新しいhelloパケットが送信されてタイマーが再起動されるまでの時間が00:40から00:30に下がっていることを確認できます。 

この時間が0になると、隣接関係は失われます。 

この例では、内部FTDの出力は、このデバイスが2つのネイバーのそれぞれに対してFULL状態のBDRであり、結果として各インターフェイスから到達可能なDRであることを示しています。ルータIDはそれぞれ10.3.11.1と192.168.4.1です。 

Internal-FTD# show ospf neighbor 

Neighbor ID     Pri   State           Dead Time   Address         Interface
10.3.11.1         1   FULL/DR         0:00:38    10.3.11.1       outside
192.168.4.1       1   FULL/DR         0:00:33    10.6.11.2       inside

show ospf interfaceコマンド

show ospf interfaceの出力は、詳細情報を示し、設定された各インターフェイスのOSPFプロセスをより広い視野で示します。 

この出力で表示されるパラメータの一部を次に示します。

• OSPFプロセスID
• ルータ ID
• メトリック（コスト）
• 状態：DR、BDR、またはDROTHER
• DRとBDRとは 
• HelloおよびDeadタイマー間隔 
• ネイバーサマリー
• 認証の詳細

内部FTDからの次の出力では、このデバイスが両方のインターフェイス上のBDRであり、ネイバーがshow ospf neighborsからの情報と一致していることが確認できます。

Internal-FTD#show ospf interface

outside is up, line protocol is up 
Internet Address 10.3.11.2 mask 255.255.255.0, Area 0 
Process ID 1, Router ID 10.6.11.1, Network Type BROADCAST, Cost: 10
Transmit Delay is 1 sec, State BDR, Priority 1
Designated Router (ID) 10.3.11.1, Interface address 10.3.11.1
Backup Designated router (ID) 10.6.11.1, Interface address 10.3.11.2
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
oob-resync timeout 40
Hello due in 0:00:04
Supports Link-local Signaling (LLS)
Cisco NSF helper support enabled
IETF NSF helper support enabled
Index 1/1, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 1, maximum is 2
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 1, Adjacent neighbor count is 1 
Adjacent with neighbor 10.3.11.1 (Designated Router)
Suppress hello for 0 neighbor(s)
Cryptographic authentication enabled
Youngest key id is 1

inside is up, line protocol is up 
Internet Address 10.6.11.1 mask 255.255.255.0, Area 1 
Process ID 1, Router ID 10.6.11.1, Network Type BROADCAST, Cost: 10
Transmit Delay is 1 sec, State BDR, Priority 1
Designated Router (ID) 192.168.4.1, Interface address 10.6.11.2
Backup Designated router (ID) 10.6.11.1, Interface address 10.6.11.1
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
oob-resync timeout 40
Hello due in 0:00:03
Supports Link-local Signaling (LLS)
Cisco NSF helper support enabled
IETF NSF helper support enabled
Index 1/2, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 1, maximum is 2
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 1, Adjacent neighbor count is 1 
Adjacent with neighbor 192.168.4.1 (Designated Router)
Suppress hello for 0 neighbor(s)
Cryptographic authentication enabled
Youngest key id is 1

show ospf database（隠しコマンド） 

このコマンドは、OSPFのリンクステートアドバタイズメント(LSA)タイプの詳細情報を提供します。出力は複雑で、より詳細なトラブルシューティングにのみ役立ちます。 

LSAは、完全なルーティングテーブルを送信する代わりに、OSPFがデバイス間で情報と更新を交換する方法です。  

最も一般的なLSAタイプは次のとおりです。

タイプ1：ルータリンクステート：アドバタイジングルータのルータID

タイプ2：ネットワークリンクの状態：代表ルータと同じリンクに接続されているインターフェイス。

タイプ3：集約ネットワークリンク状態：エリア境界ルータ(ABR)によってこのエリアに挿入されたエリア間ルート。

タイプ4：サマリーASBリンク状態：自律システム境界ルータ(ASBR)のルータID。

タイプ5:AS外部リンク状態:ASBRから学習された外部ルート。

このことを考慮すると、このコマンドの出力は内部FTDの例と解釈できます。 

• データベースはエリアごとに表示されます。
• リンクID列には、注意すべき重要な情報が含まれています。 
• 前述したように、タイプ1はエリア内の各デバイスのルータIDを示し、タイプ2は各サブネットリンクのDRを示します。この例では、エリア0に対しては10.3.11.1、エリア1に対しては10.6.11.2です。 
• タイプ3は、エリア0に対してABR 10.6.11.0が、エリア1に対してABR 10.3.11.0が各エリアに挿入したエリア間ルートを示します。 
• タイプ4は、ASBRのルータIDを示します。エリア1は、10.3.11.1デバイスがこのプロセスのASBRであることを認識しています。 
• タイプ5は、ASBRによって再配布されたルートを示します。この例では、3つの外部ルート（10.5.11.0、10.5.11.32、および10.5.11.64）があります。  

Internal-FTD# show ospf database 


            OSPF Router with ID (10.6.11.1) (Process ID 1)

                Router Link States (Area 0)

Link ID         ADV Router      Age         Seq#       Checksum Link count
10.3.11.1       10.3.11.1       234         0x8000002b 0x4c4d 1
10.6.11.1       10.6.11.1       187         0x8000002e 0x157b 1

                Net Link States (Area 0)

Link ID         ADV Router      Age         Seq#       Checksum
10.3.11.1       10.3.11.1       234         0x80000029 0x7f2b

                Summary Net Link States (Area 0)

Link ID         ADV Router      Age         Seq#       Checksum
10.6.11.0       10.6.11.1       187         0x8000002a 0x7959

                Router Link States (Area 1)

Link ID         ADV Router      Age         Seq#       Checksum Link count
10.6.11.1       10.6.11.1       187         0x8000002c 0x513b 1
192.168.4.1     192.168.4.1     1758        0x8000002a 0x70f1 2

                Net Link States (Area 1)

Link ID         ADV Router      Age         Seq#       Checksum
10.6.11.2       192.168.4.1     1759        0x80000028 0xd725

                Summary Net Link States (Area 1)

Link ID         ADV Router      Age         Seq#       Checksum
10.3.11.0       10.6.11.1       189         0x80000029 0x9f37

                Summary ASB Link States (Area 1)

Link ID         ADV Router      Age         Seq#       Checksum
10.3.11.1       10.6.11.1       189         0x80000029 0x874d

                Type-5 AS External Link States

Link ID         ADV Router      Age         Seq#       Checksum Tag
10.5.11.0       10.3.11.1       1726        0x80000028 0x152b 311
10.5.11.32      10.3.11.1       1726        0x80000028 0xd34c 311
10.5.11.64      10.3.11.1       1726        0x80000028 0x926d 311 

関連情報

• シスコのテクニカルサポートとダウンロード
• Open Shortest Path First（OSPF）について：設計ガイド