ASA/PIX with OSPF 컨피그레이션 예

소개

이 문서에서는 OSPF(Open Shortest Path First)를 통해 경로를 학습하고, 인증을 수행하고, 재배포를 수행하도록 Cisco ASA를 구성하는 방법에 대해 설명합니다.

PIX/ASA 8.X 참조:EIGRP 컨피그레이션에 대한 자세한 내용을 보려면 Cisco ASA(Adaptive Security Appliance)에서 EIGRP를 구성합니다.

참고: 비대칭 라우팅은 ASA/PIX에서 지원되지 않습니다.

사전 요구 사항

요구 사항

이 구성을 시도하기 전에 다음 요구 사항을 충족해야 합니다.

• Cisco ASA/PIX는 버전 7.x 이상을 실행해야 합니다.

• OSPF는 다중 컨텍스트 모드에서 지원되지 않습니다.단일 모드에서만 지원됩니다.

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• 소프트웨어 버전 8.0 이상을 실행하는 Cisco 5500 Series ASA(Adaptive Security Appliance)

• Cisco ASDM(Adaptive Security Device Manager) 소프트웨어 버전 6.0 이상

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

관련 제품

이 문서의 정보는 소프트웨어 버전 8.0 이상을 실행하는 Cisco 500 Series PIX 방화벽에도 적용됩니다.

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 규칙을 참조하십시오.

배경 정보

OSPF는 링크 상태 알고리즘을 사용하여 알려진 모든 대상에 대한 최단 경로를 구축하고 계산합니다.OSPF 영역의 각 라우터에는 동일한 링크 상태 데이터베이스가 포함되어 있습니다. 이 데이터베이스는 각 라우터의 사용 가능한 인터페이스 및 연결 가능한 인접 디바이스의 목록입니다.

RIP에 대한 OSPF의 장점은 다음과 같습니다.

• OSPF 링크 상태 데이터베이스 업데이트는 RIP 업데이트보다 덜 자주 전송되며, 링크 상태 데이터베이스는 시간이 초과되면 점진적으로 업데이트되지 않고 즉시 업데이트됩니다.

• 라우팅 결정은 비용을 기반으로 하며, 이는 특정 인터페이스를 통해 패킷을 전송하는 데 필요한 오버헤드를 나타냅니다.보안 어플라이언스는 대상에 대한 홉의 수가 아니라 링크 대역폭을 기반으로 인터페이스의 비용을 계산합니다.기본 경로를 지정하도록 비용을 구성할 수 있습니다.

최단 경로 우선 알고리즘의 단점은 CPU 사이클과 메모리가 많이 필요하다는 것입니다.

보안 어플라이언스는 서로 다른 인터페이스 세트에서 OSPF 프로토콜의 두 프로세스를 동시에 실행할 수 있습니다.동일한 IP 주소를 사용하는 인터페이스가 있는 경우 두 개의 프로세스를 실행할 수 있습니다(NAT는 이러한 인터페이스가 공존할 수 있지만 OSPF는 중복 주소를 허용하지 않음). 또는 내부 및 외부에서 한 프로세스를 실행하고 두 프로세스 간의 경로 하위 집합을 재배포해야 할 수도 있습니다.마찬가지로, 개인 주소를 공용 주소와 분리해야 할 수도 있습니다.

다른 OSPF 라우팅 프로세스, RIP 라우팅 프로세스 또는 OSPF 지원 인터페이스에 구성된 고정 경로 및 연결된 경로에서 경로를 OSPF 라우팅 프로세스로 재배포할 수 있습니다.

보안 어플라이언스는 다음과 같은 OSPF 기능을 지원합니다.

• 영역 내, 영역 내 및 외부(유형 I 및 유형 II) 경로 지원

• 가상 링크 지원

• OSPF LSA 플러딩.

• OSPF 패킷에 대한 인증(비밀번호 및 MD5 인증 모두)

• 보안 어플라이언스를 전용 라우터 또는 지정된 백업 라우터로 구성하는 지원보안 어플라이언스를 ABR로 설정할 수도 있습니다.그러나 보안 어플라이언스를 ASBR로 구성하는 기능은 기본 정보(예: 기본 경로 삽입)로만 제한됩니다.

• stub 영역 및 not-so-stubby-area 지원

• 영역 경계 라우터 유형-3 LSA 필터링.

구성

이 섹션에는 이 문서에서 설명하는 기능을 구성하기 위한 정보가 표시됩니다.

참고: 이 섹션에 사용된 명령에 대한 자세한 내용을 보려면 명령 조회 도구(등록된 고객만 해당)를 사용하십시오.

네트워크 다이어그램

이 문서에서는 다음 네트워크 설정을 사용합니다.

이 네트워크 토폴로지에서 Cisco ASA 내부 인터페이스 IP 주소는 10.1.1.1/24입니다. 목표는 인접 라우터(R2)를 통해 동적으로 내부 네트워크 경로(172.16.1.0/24, 172.16.2.0/24, 172.16.5.0/24 및 172.16.10.0/24)을 학습하기 위해 Cisco ASA에서 OSPF를 구성하는 것입니다.R2는 다른 두 라우터(R1 및 R3)를 통해 원격 내부 네트워크에 대한 경로를 학습합니다.

구성

이 문서에서는 다음 구성을 사용합니다.

• ASDM 컨피그레이션

• OSPF 인증 구성

• Cisco ASA CLI 컨피그레이션

• Cisco IOS 라우터(R2) CLI 컨피그레이션

• Cisco IOS 라우터(R1) CLI 컨피그레이션

• Cisco IOS 라우터(R3) CLI 컨피그레이션

• ASA를 사용하여 OSPF로 재배포

ASDM 컨피그레이션

ASDM(Adaptive Security Device Manager)은 보안 어플라이언스에서 소프트웨어를 구성하고 모니터링하는 데 사용되는 브라우저 기반 애플리케이션입니다.ASDM은 보안 어플라이언스에서 로드된 다음 디바이스를 구성, 모니터링 및 관리하는 데 사용됩니다.또한 ASDM Launcher(Windows에만 해당)를 사용하여 Java 애플릿보다 빠르게 ASDM 애플리케이션을 시작할 수 있습니다.이 섹션에서는 ASDM을 사용하여 이 문서에 설명된 기능을 구성하는 데 필요한 정보에 대해 설명합니다.

Cisco ASA에서 OSPF를 구성하려면 다음 단계를 완료합니다.

1. Cisco ASA with ASDM에 로그인합니다.

2. 이 이미지에 표시된 대로 ASDM 인터페이스의 Configuration > Device Setup > Routing > OSPF 영역으로 이동합니다.

   

3. 이 이미지에 표시된 대로 Setup(설정) > Process Instances(프로세스 인스턴스) 탭에서 OSPF 라우팅 프로세스를 활성화합니다.이 예에서는 OSPF ID 프로세스가 1입니다.

   

4. 선택적 고급 OSPF 라우팅 프로세스 매개변수를 구성하려면 Setup(설정) > Process Instances(프로세스 인스턴스) 탭에서 Advanced(고급)를 클릭할 수 있습니다.라우터 ID, 인접성 변경, 관리 경로 거리, 타이머 및 기본 정보 시작 설정과 같은 프로세스별 설정을 편집할 수 있습니다.

   

   이 목록에서는 각 필드에 대해 설명합니다.

   • OSPF Process - 구성 중인 OSPF 프로세스를 표시합니다.이 값은 변경할 수 없습니다.

   • Router ID(라우터 ID) - 고정 라우터 ID를 사용하려면 Router ID 필드에 IP 주소 형식으로 라우터 ID를 입력합니다.이 값을 비워 두면 보안 어플라이언스의 최상위 IP 주소가 라우터 ID로 사용됩니다.

     이 예에서 라우터 ID는 내부 인터페이스의 IP 주소(10.1.1.1)으로 정적으로 구성됩니다.

   • Ignore LSA MOSPF(LSA MOSPF 무시) - 보안 어플라이언스가 유형 6(MOSPF) LSA 패킷을 수신할 때 시스템 로그 메시지 전송을 억제하려면 이 확인란을 선택합니다.이 설정은 기본적으로 선택되지 않습니다.

   • RFC 1583 호환 - RFC 1583당 요약 경로 비용을 계산하려면 이 확인란을 선택합니다.RFC 2328당 요약 경로 비용을 계산하려면 이 확인란의 선택을 취소합니다.라우팅 루프의 가능성을 최소화하려면 OSPF 라우팅 도메인의 모든 OSPF 디바이스에 RFC 호환성 설정이 동일해야 합니다.이 설정은 기본적으로 선택되어 있습니다.

   • Adjacency Changes(인접성 변경) - 시스템 로그 메시지를 보내는 데 영향을 주는 인접성 변경 사항을 정의하는 설정을 포함합니다.

     • Log Adjacency Changes(인접성 변경 로그) - OSPF 인접 디바이스가 작동 또는 중단될 때마다 보안 어플라이언스가 시스템 로그 메시지를 전송하도록 하려면 이 확인란을 선택합니다.이 설정은 기본적으로 선택되어 있습니다.

     • Log Adjacency Changes Detail(인접성 변경 세부사항 로그) - 인접 디바이스가 작동 또는 중단될 뿐만 아니라 상태가 변경될 때마다 보안 어플라이언스가 시스템 로그 메시지를 전송하도록 하려면 이 확인란을 선택합니다.이 설정은 기본적으로 선택되지 않습니다.

   • Administrative Route Distances(관리 경로 거리) - 경로 유형을 기준으로 경로의 관리 거리에 대한 설정을 포함합니다.

     • Inter Area(영역 간) - 한 영역에서 다른 영역으로 가는 모든 경로의 관리 거리를 설정합니다.유효한 값의 범위는 1~255입니다. 기본값은 100입니다.

     • Intra Area(영역 내) - 영역 내의 모든 경로에 대한 관리 거리를 설정합니다.유효한 값의 범위는 1~255입니다. 기본값은 100입니다.

     • External(외부) - 재배포를 통해 학습된 다른 라우팅 도메인의 모든 경로에 대한 관리 거리를 설정합니다.유효한 값의 범위는 1~255입니다. 기본값은 100입니다.

   • Timers(타이머) - LSA 속도 및 SPF 계산 타이머를 구성하는 데 사용되는 설정을 포함합니다.

     • SPF Delay Time - OSPF가 토폴로지 변경을 수신하는 시간과 SPF 계산이 시작되는 시간 사이의 시간을 지정합니다.유효한 값의 범위는 0~65535입니다. 기본값은 5입니다.

     • SPF Hold Time - 연속 SPF 계산 사이의 보류 시간을 지정합니다. 유효한 값의 범위는 1~65534입니다. 기본값은 10입니다.

     • LSA Group Pacing(LSA 그룹 속도 조절) - LSA를 그룹으로 수집하고 새로 고치거나, 체크섬하거나, 기간 경과로 설정할 간격을 지정합니다.유효한 값의 범위는 10~1800입니다.기본값은 240입니다.

   • Default Information Originate(기본 정보 시작) - ASBR에서 OSPF 라우팅 도메인으로 기본 외부 경로를 생성하는 데 사용하는 설정을 포함합니다.

     • Enable Default Information Originate(기본 정보 시작 활성화) - OSPF 라우팅 도메인에 기본 경로를 생성할 수 있도록 하려면 이 확인란을 선택합니다.

     • Always advertise the default route(기본 경로 항상 알림) - 기본 경로를 항상 광고하려면 이 확인란을 선택합니다.이 옵션은 기본적으로 선택되지 않습니다.

     • Metric Value(메트릭 값) - OSPF 기본 메트릭을 지정합니다.유효한 값의 범위는 0~16777214입니다. 기본값은 1입니다.

     • Metric Type(메트릭 유형) - OSPF 라우팅 도메인으로 광고되는 기본 경로와 연결된 외부 링크 유형을 지정합니다.유효한 값은 1 또는 2이며, Type 1 또는 Type 2 외부 경로를 나타냅니다.기본값은 2입니다.

     • Route Map(경로 맵) - (선택 사항) 적용할 경로 맵의 이름입니다.경로 맵이 충족되면 라우팅 프로세스에서 기본 경로를 생성합니다.

5. 이전 단계를 완료한 후 Setup(설정) > Area/Networks(영역/네트워크) 탭에서 OSPF 라우팅에 참여하는 네트워크 및 인터페이스를 정의한 다음 이 이미지에 표시된 대로 Add(추가)를 클릭합니다.

   

   Add OSPF Area 대화 상자가 나타납니다.

   

   이 예에서는 OSPF가 내부 인터페이스에서만 활성화되기 때문에 내부 네트워크(10.1.1.0/24)만 추가된 유일한 네트워크입니다.

   참고: 정의된 네트워크에 속하는 IP 주소를 가진 인터페이스만 OSPF 라우팅 프로세스에 참여합니다.

6. 확인을 클릭합니다.

   이 목록에서는 각 필드에 대해 설명합니다.

   • OSPF Process - 새 영역을 추가할 때 OSPF 프로세스의 ID를 선택합니다.보안 어플라이언스에서 활성화된 OSPF 프로세스가 하나만 있는 경우 기본적으로 해당 프로세스가 선택됩니다.기존 영역을 편집할 때 OSPF 프로세스 ID를 변경할 수 없습니다.

   • Area ID(영역 ID) - 새 영역을 추가할 때 영역 ID를 입력합니다.영역 ID를 십진수 또는 IP 주소로 지정할 수 있습니다.유효한 십진수 값의 범위는 0~4294967295입니다. 기존 영역을 편집할 때는 영역 ID를 변경할 수 없습니다.

     이 예에서 Area ID는 0입니다.

   • Area Type(영역 유형) - 구성할 영역 유형에 대한 설정이 포함됩니다.

     • Normal(일반) - 영역을 표준 OSPF 영역으로 만들려면 이 옵션을 선택합니다.이 옵션은 영역을 처음 생성할 때 기본적으로 선택됩니다.

     • Stub(stub) - 영역을 stub 영역으로 만들려면 이 옵션을 선택합니다.Stub 영역에는 라우터 또는 그 밖의 영역이 없습니다.Stub 영역은 AS 외부 LSA(유형 5 LSA)가 stub 영역으로 플러딩되는 것을 방지합니다.stub 영역을 생성할 때 요약 LSA(유형 3 및 4)가 영역으로 플러딩되지 않도록 Summary(요약) 확인란의 선택을 취소할 수 있습니다.

     • Summary(요약) - 정의되는 영역이 stub 영역인 경우 LSA가 stub 영역으로 전송되지 않도록 하려면 이 확인란의 선택을 취소합니다.이 확인란은 stub 영역에 대해 기본적으로 선택되어 있습니다.

     • NSSA - 영역을 not-so-stubby 영역으로 만들려면 이 옵션을 선택합니다.NSSA는 유형 7 LSA를 허용합니다.NSSA를 생성할 때 요약 LSA가 영역으로 플러딩되지 않도록 Summary(요약) 확인란의 선택을 취소할 수 있습니다.또한 경로 재배포를 비활성화하려면 Redistribute(재배포) 확인란의 선택을 취소하고 Default Information Originate(기본 정보 시작)를 활성화할 수 있습니다.

     • Redistribute(재배포) - 경로를 NSSA로 가져올 수 없도록 하려면 이 확인란의 선택을 취소합니다.이 확인란은 기본적으로 선택되어 있습니다.

     • Summary(요약) - 정의 중인 영역이 NSSA인 경우 LSA가 stub 영역으로 전송되지 않도록 하려면 이 확인란의 선택을 취소합니다.이 확인란은 NSSA에 대해 기본적으로 선택되어 있습니다.

     • Default Information Originate(기본 정보 시작) - NSSA에 유형 7 기본값을 생성하려면 이 확인란을 선택합니다.이 확인란은 기본적으로 선택되지 않습니다.

     • Metric Value(메트릭 값) - 기본 경로에 대한 OSPF 메트릭 값을 지정하려면 값을 입력합니다.유효한 값의 범위는 0~16777214입니다. 기본값은 1입니다.

     • Metric Type(메트릭 유형) - 기본 경로에 대한 OSPF 메트릭 유형을 지정하려면 값을 선택합니다.선택 사항은 1(유형 1) 또는 2(유형 2)입니다. 기본값은 2입니다.

   • Area Networks(영역 네트워크) - OSPF 영역을 정의하는 설정을 포함합니다.

     • Enter IP Address and Mask(IP 주소 및 마스크 입력) - 영역에서 네트워크를 정의하는 데 사용되는 설정을 포함합니다.

       • IP Address(IP 주소) - 영역에 추가할 네트워크 또는 호스트의 IP 주소를 입력합니다.기본 영역을 생성하려면 0.0.0.0을 0.0.0.0 넷마스크와 함께 사용합니다.한 영역에서만 0.0.0.0을 사용할 수 있습니다.

       • Netmask(넷마스크) - 영역에 추가할 IP 주소 또는 호스트의 네트워크 마스크를 선택합니다.호스트를 추가하는 경우 255.255.255.255 마스크를 선택합니다.

         이 예에서 10.1.1.0/24는 구성할 네트워크입니다.

     • Add(추가) - Enter IP Address and Mask(IP 주소 및 마스크 입력) 영역에 정의된 네트워크를 영역에 추가합니다.추가된 네트워크가 Area Networks 테이블에 나타납니다.

     • Delete(삭제) - Area Networks 테이블에서 선택한 네트워크를 삭제합니다.

     • 영역 네트워크 - 영역에 대해 정의된 네트워크를 표시합니다.

     • IP Address(IP 주소) - 네트워크의 IP 주소를 표시합니다.

     • Netmask(넷마스크) - 네트워크에 대한 네트워크 마스크를 표시합니다.

   • Authentication(인증) - OSPF 영역 인증에 대한 설정을 포함합니다.

     • None(없음) - OSPF 영역 인증을 비활성화하려면 이 옵션을 선택합니다.이것이 기본 설정입니다.

     • Password(비밀번호) - 영역 인증에 일반 텍스트 비밀번호를 사용하려면 이 옵션을 선택합니다.보안이 중요한 경우에는 이 옵션을 사용하지 않는 것이 좋습니다.

     • MD5 - MD5 인증을 사용하려면 이 옵션을 선택합니다.

   • Default Cost(기본 비용) - 영역의 기본 비용을 지정합니다.유효한 값의 범위는 0~65535입니다. 기본값은 1입니다.

7. Apply를 클릭합니다.

   

8. 선택적으로, Filter Rules 창에서 경로 필터를 정의할 수 있습니다.경로 필터링은 OSPF 업데이트에서 보내거나 받을 수 있는 경로에 대한 더 많은 제어 기능을 제공합니다.

9. 선택적으로 경로 재배포를 구성할 수 있습니다.Cisco ASA는 RIP 및 EIGRP에서 검색된 경로를 OSPF 라우팅 프로세스로 재배포할 수 있습니다.고정 경로 및 연결된 경로를 OSPF 라우팅 프로세스로 재배포할 수도 있습니다.Redistribution(재배포) 창에서 경로 재배포를 정의합니다.

10. OSPF hello 패킷은 멀티캐스트 패킷으로 전송됩니다.OSPF 인접 디바이스가 비브로드캐스트 네트워크 전체에 있는 경우 해당 인접 디바이스를 수동으로 정의해야 합니다.OSPF 인접 디바이스를 수동으로 정의하면 hello 패킷이 유니캐스트 메시지로 해당 인접 디바이스로 전송됩니다.고정 OSPF 인접 디바이스를 정의하려면 Static Neighbor 창으로 이동합니다.

11. 다른 라우팅 프로토콜에서 학습한 경로를 요약할 수 있습니다.요약을 광고하는 데 사용되는 메트릭은 더 구체적인 모든 경로 중 가장 작은 메트릭입니다.요약 경로는 라우팅 테이블의 크기를 줄이는 데 도움이 됩니다.

    OSPF에 대한 요약 경로를 사용하면 OSPF ASBR에서 하나의 외부 경로를 해당 주소에서 다루는 모든 재배포된 경로의 집계로 광고하게 됩니다.OSPF로 재배포되는 다른 라우팅 프로토콜의 경로만 요약할 수 있습니다.

12. Virtual(가상) 링크 창에서 OSPF 네트워크에 영역을 추가할 수 있으며 백본 영역에 영역을 직접 연결할 수는 없습니다.가상 링크를 생성해야 합니다.가상 링크는 트랜짓 영역이라고 하는 공통 영역이 있는 두 OSPF 디바이스를 연결합니다.OSPF 디바이스 중 하나가 백본 영역에 연결되어야 합니다.

OSPF 인증 구성

Cisco ASA는 OSPF 라우팅 프로토콜에서 라우팅 업데이트의 MD5 인증을 지원합니다.각 OSPF 패킷의 MD5 키 다이제스트는 승인되지 않은 소스에서 승인되지 않은 또는 잘못된 라우팅 메시지를 유입하는 것을 방지합니다.OSPF 메시지에 인증을 추가하면 라우터와 Cisco ASA가 동일한 사전 공유 키로 구성된 다른 라우팅 디바이스의 라우팅 메시지만 수락할 수 있습니다.이 인증을 구성하지 않으면 다른 라우팅 디바이스(다른 경로 정보 또는 반대 경로 정보)가 네트워크에 도입되면 라우터 또는 Cisco ASA의 라우팅 테이블이 손상될 수 있으며 서비스 거부 공격이 발생할 수 있습니다.라우팅 디바이스(ASA 포함) 간에 전송되는 EIGRP 메시지에 인증을 추가하면 네트워크에 다른 라우터를 의도하거나 실수로 추가하는 것과 문제가 발생하지 않습니다.

OSPF 경로 인증은 인터페이스별로 구성됩니다.OSPF 메시지 인증을 위해 구성된 인터페이스의 모든 OSPF 네이버는 인접성을 위해 동일한 인증 모드 및 키로 구성해야 합니다.

Cisco ASA에서 OSPF MD5 인증을 활성화하려면 다음 단계를 완료하십시오.

1. ASDM에서 Configuration(구성) > Device Setup(디바이스 설정) > Routing(라우팅) > OSPF > Interface(인터페이스)로 이동한 다음 이 이미지에 표시된 대로 Authentication(인증) 탭을 클릭합니다.

   

   이 경우 내부 인터페이스에서 OSPF가 활성화됩니다.

2. 내부 인터페이스를 선택하고 Edit를 클릭합니다.

3. Authentication(인증)에서 MD5 인증을 선택하고 여기에서 인증 매개변수에 대한 추가 정보를 추가합니다.

   이 경우 사전 공유 키는 cisco123이고 키 ID는 1입니다.

   

4. OK(확인)를 클릭한 다음 Apply(적용)를 클릭합니다.

   

Cisco ASA CLI 컨피그레이션

ciscoasa#show running-config
: Saved
:
ASA Version 8.0(2)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names


!--- Inside interface configuration


interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
 ospf cost 10
 

!--- OSPF authentication is configured on the inside interface 


 ospf message-digest-key 1 md5 <removed>
 ospf authentication message-digest
!


!--- Outside interface configuration


interface Ethernet0/2
 nameif outside
 security-level 0
 ip address 192.168.1.2 255.255.255.0
 ospf cost 10
!

!--- Output Suppressed


icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
!


!--- OSPF Configuration


router ospf 1
 network 10.1.1.0 255.255.255.0 area 0
 log-adj-changes
!


!--- This is the static default gateway configuration in order to reach Internet


route outside 0.0.0.0 0.0.0.0 192.168.1.1 1

ciscoasa#

Cisco IOS 라우터(R2) CLI 컨피그레이션

!--- Interface that connects to the Cisco ASA. !--- Notice the OSPF authentication parameters


interface Ethernet0
 ip address 10.1.1.2 255.255.255.0
 ip ospf authentication message-digest
 ip ospf message-digest-key 1 md5 cisco123


!--- Output Suppressed



!--- OSPF Configuration


router ospf 1
 log-adjacency-changes
 network 10.1.1.0 0.0.0.255 area 0
 network 172.16.1.0 0.0.0.255 area 0
 network 172.16.2.0 0.0.0.255 area 0

Cisco IOS 라우터(R1) CLI 컨피그레이션

!--- Output Suppressed



!--- OSPF Configuration


router ospf 1
 log-adjacency-changes
 network 172.16.5.0 0.0.0.255 area 0
 network 172.16.2.0 0.0.0.255 area 0

Cisco IOS 라우터(R3) CLI 컨피그레이션

!--- Output Suppressed



!--- OSPF Configuration


router ospf 1
 log-adjacency-changes
 network 172.16.1.0 0.0.0.255 area 0
 network 172.16.10.0 0.0.0.255 area 0

ASA를 사용하여 OSPF로 재배포

앞에서 언급한 대로, 다른 OSPF 라우팅 프로세스, RIP 라우팅 프로세스 또는 OSPF 지원 인터페이스에 구성된 고정 경로 및 연결된 경로에서 OSPF 라우팅 프로세스로 경로를 재배포할 수 있습니다.

이 예에서는 다음과 같이 네트워크 다이어그램을 사용하여 RIP 경로를 OSPF로 재배포합니다.

ASDM 컨피그레이션

1. RIP를 활성화하고 이 이미지에 표시된 대로 네트워크 192.168.1.0을 추가하려면 Configuration > Device Setup > Routing > RIP > Setup을 선택합니다.

   

2. Apply를 클릭합니다.

3. RIP 경로를 OSPF로 재배포하려면 Configuration > Device Setup > Routing > OSPF > Redistribution > Add를 선택합니다.

   

4. OK(확인)를 클릭한 다음 Apply(적용)를 클릭합니다.

   

동등한 CLI 컨피그레이션

router ospf 1
 network 10.1.1.0 255.255.255.0 area 0
 log-adj-changes
 redistribute rip subnets

router rip
 network 192.168.1.0

RIP 경로를 OSPF AS로 재배포한 후 네이버 IOS 라우터(R2)의 라우팅 테이블을 볼 수 있습니다.

R2#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

     172.16.0.0/16 is variably subnetted, 4 subnets, 2 masks
O       172.16.10.1/32 [110/11] via 172.16.1.2, 01:17:29, Ethernet1
O       172.16.5.1/32 [110/65] via 172.16.2.2, 01:17:29, Serial1
C       172.16.1.0/24 is directly connected, Ethernet1
C       172.16.2.0/24 is directly connected, Serial1
     10.0.0.0/24 is subnetted, 1 subnets
C       10.1.1.0 is directly connected, Ethernet0
O E2 192.168.1.0/24 [110/20] via 10.1.1.1, 01:17:29, Ethernet0

!--- Redistributed route adverstied by Cisco ASA

다음을 확인합니다.

구성을 확인하려면 다음 단계를 완료하십시오.

1. ASDM에서 Monitoring(모니터링) > Routing(라우팅) > OSPF Neighbors(OSPF 인접 디바이스)로 이동하여 각 OSPF 인접 디바이스를 볼 수 있습니다.이 그림에서는 내부 라우터(R2)를 활성 인접 디바이스로 보여 줍니다.또한 이 네이버가 상주하는 인터페이스, 네이버 라우터 ID, 상태 및 데드 시간도 볼 수 있습니다.

   

2. 또한 Monitoring(모니터링) > Routing(라우팅) > Routes(경로)로 이동하면 라우팅 테이블을 확인할 수 있습니다.이 그림에서는 R2(10.1.1.2)을 통해 172.16.1.0/24, 172.16.2.0/24, 172.16.5.0/24 및 172.16.10.0/24 네트워크를 학습합니다.

   

3. CLI에서 동일한 출력을 가져오기 위해 show route 명령을 사용할 수 있습니다.

   ciscoasa#show route
   
   Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
          D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
          N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
          E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
          i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
          * - candidate default, U - per-user static route, o - ODR
          P - periodic downloaded static route
   
   Gateway of last resort is 192.168.1.1 to network 0.0.0.0
   
   O    172.16.10.1 255.255.255.255 [110/21] via 10.1.1.2, 0:00:06, inside
   O    172.16.5.1 255.255.255.255 [110/75] via 10.1.1.2, 0:00:06, inside
   O    172.16.1.0 255.255.255.0 [110/20] via 10.1.1.2, 0:00:06, inside
   O    172.16.2.0 255.255.255.0 [110/74] via 10.1.1.2, 0:00:06, inside
   C    10.1.1.0 255.255.255.0 is directly connected, inside
   C    10.77.241.128 255.255.255.192 is directly connected, dmz
   S    10.77.0.0 255.255.0.0 [1/0] via 10.77.241.129, dmz
   C    192.168.1.0 255.255.255.0 is directly connected, outside
   S*   0.0.0.0 0.0.0.0 [1/0] via 192.168.1.1, outside

4. 또한 show ospf database 명령을 사용하여 학습된 네트워크 및 ospf 토폴로지에 대한 정보를 얻을 수 있습니다.

   ciscoasa#show ospf database
   
   
          OSPF Router with ID (192.168.1.2) (Process ID 1)
   
   
                   Router Link States (Area 0)
   
   Link ID         ADV Router      Age         Seq#       Checksum Link count
   172.16.1.2      172.16.1.2      123         0x80000039 0xfd1d 2
   172.16.2.1      172.16.2.1      775         0x8000003c 0x9b42 4
   172.16.5.1      172.16.5.1      308         0x80000038 0xb91b 3
   192.168.1.2     192.168.1.2     1038        0x80000037 0x29d7 1
   
                   Net Link States (Area 0)
   
   Link ID         ADV Router      Age         Seq#       Checksum
   10.1.1.1        192.168.1.2     1038        0x80000034 0x72ee
   172.16.1.1      172.16.2.1      282         0x80000036 0x9e68

5. show ospf neighbors 명령은 활성 인접 디바이스 및 연락처 정보를 확인하는 데에도 유용합니다.이 예에서는 1단계에서 ASDM에서 얻은 것과 동일한 정보를 보여 줍니다.

   ciscoasa#show ospf neighbor
   
   
   Neighbor ID     Pri   State           Dead Time   Address         Interface
   172.16.2.1        1   FULL/BDR        0:00:36     10.1.1.2        inside

문제 해결

이 섹션에서는 OSPF 문제 해결을 지원하는 정보를 제공합니다.

Point-to-Point 네트워크에 대한 고정 인접 디바이스 컨피그레이션

ASA에서 OSPF 네트워크 point-to-point non-broadcast를 구성한 경우, 고정 OSPF 인접 디바이스를 정의하여 포인트-투-포인트 비 브로드캐스트 네트워크를 통해 OSPF 경로를 광고해야 합니다.자세한 내용은 고정 OSPF 인접 디바이스 정의를 참조하십시오.

문제 해결 명령

Output Interpreter 도구(등록된 고객만 해당)(OIT)는 특정 show 명령을 지원합니다.OIT를 사용하여 show 명령 출력의 분석을 봅니다.

참고: debug 명령을 사용하기 전에 디버그 명령에 대한 중요 정보를 참조하십시오.

• debug ospf events — OSPF 이벤트의 디버깅을 활성화합니다.

  ciscoasa(config)#debug ospf events
  OSPF events debugging is on
  ciscoasa(config)# int e0/1
  ciscoasa(config-if)# no shu
  ciscoasa(config-if)#
  OSPF: Interface inside going Up
  OSPF: Send with youngest Key 1
  OSPF: Rcv hello from 172.16.2.1 area 0 from inside 10.1.1.2
  OSPF: 2 Way Communication to 172.16.2.1 on inside, state 2WAY
  OSPF: Backup seen Event before WAIT timer on inside
  OSPF: DR/BDR election on inside
  OSPF: Elect BDR 172.16.2.1
  OSPF: Elect DR 172.16.2.1
         DR: 172.16.2.1 (Id)   BDR: 172.16.2.1 (Id)
  OSPF: Send DBD to 172.16.2.1 on inside seq 0x1abd opt 0x2 flag 0x7 len 32
  OSPF: Send with youngest Key 1
  OSPF: End of hello processing
  OSPF: Rcv hello from 172.16.2.1 area 0 from inside 10.1.1.2
  OSPF: End of hello processing
  OSPF: Rcv DBD from 172.16.2.1 on inside seq 0x12f3 opt 0x42 flag 0x7 len 32  mtu
   1500 state EXSTART
  OSPF: First DBD and we are not SLAVE
  OSPF: Rcv DBD from 172.16.2.1 on inside seq 0x1abd opt 0x42 flag 0x2 len 152  mt
  u 1500 state EXSTART
  OSPF: NBR Negotiation Done. We are the MASTER
  OSPF: Send DBD to 172.16.2.1 on inside seq 0x1abe opt 0x2 flag 0x3 len 132
  OSPF: Send with youngest Key 1
  OSPF: Send with youngest Key 1
  OSPF: Database request to 172.16.2.1
  OSPF: sent LS REQ packet to 10.1.1.2, length 12
  OSPF: Rcv DBD from 172.16.2.1 on inside seq 0x1abe opt 0x42 flag 0x0 len 32  mtu
   1500 state EXCHANGE
  OSPF: Send DBD to 172.16.2.1 on inside seq 0x1abf opt 0x2 flag 0x1 len 32
  OSPF: Send with youngest Key 1
  OSPF: Send with youngest Key 1
  OSPF: Rcv DBD from 172.16.2.1 on inside seq 0x1abf opt 0x42 flag 0x0 len 32  mtu
   1500 state EXCHANGE
  OSPF: Exchange Done with 172.16.2.1 on inside
  OSPF: Synchronized with 172.16.2.1 on inside, state FULL
  OSPF: Send with youngest Key 1
  OSPF: Send with youngest Key 1
  OSPF: Rcv hello from 172.16.2.1 area 0 from inside 10.1.1.2
  OSPF: Neighbor change Event on interface inside
  OSPF: DR/BDR election on inside
  OSPF: Elect BDR 192.168.1.2
  OSPF: Elect DR 172.16.2.1
  OSPF: Elect BDR 192.168.1.2
  OSPF: Elect DR 172.16.2.1
         DR: 172.16.2.1 (Id)   BDR: 192.168.1.2 (Id)
  OSPF: End of hello processing
  OSPF: Send with youngest Key 1
  OSPF: Send with youngest Key 1
  OSPF: Send with youngest Key 1
  OSPF: Send with youngest Key 1
  OSPF: Rcv hello from 172.16.2.1 area 0 from inside 10.1.1.2
  OSPF: End of hello processing
  OSPF: Send with youngest Key 1
  OSPF: Rcv hello from 172.16.2.1 area 0 from inside 10.1.1.2
  OSPF: End of hello processing
  OSPF: Send with youngest Key 1
  OSPF: Rcv hello from 172.16.2.1 area 0 from inside 10.1.1.2
  OSPF: End of hello processing
  OSPF: Send with youngest Key 1
  OSPF: Rcv hello from 172.16.2.1 area 0 from inside 10.1.1.2
  OSPF: End of hello processing

  참고: 문제 해결에 유용한 다양한 명령에 대한 자세한 내용은 Cisco Security Appliance 명령 참조 버전 8.0의 debug ospf 섹션을 참조하십시오.

관련 정보

• Cisco 5500 Series Adaptive Security Appliance 지원 페이지
• Cisco 500 Series PIX 지원 페이지
• PIX/ASA 8.X:Cisco ASA(Adaptive Security Appliance)에서 EIGRP 구성
• 기술 지원 및 문서 − Cisco Systems