Warum können OSPF Sitzungen CLI nicht gesehen werden?
33097
Created On 04/22/19 04:23 AM - Last Modified 03/26/21 17:38 PM
Question
Warum können Sitzungen nicht I OSPF firewall sehen, CLI obwohl Nachbarschaft und Nachbarschaft etabliert sind und die Nachbarn Routen OSPF OSPF austauschen?
Answer
Palo Alto Networks-Firewalls führen nicht dazu, dass eine Sitzung für OSPF Multicastpakete eingerichtet wird. OSPF Sitzungen werden nur für Unicastpakete erstellt, OSPF sofern eine zulässige Sicherheitsregel vorhanden ist firewall (d. h. Pakete mit OSPF IP Unicastadressen im IP Zieladressfeld).
Im Allgemeinen gibt es fünf Arten von OSPF Paketen:
1) OSPF Hello Packet
2) Database Description Packet OSPF
3) Link State Request Packet OSPF
4) Link State Update Packet OSPF
5) Link State Acknowledgement Packet OSPF During the initial link state database exchange
OSPF state, packet Type 2 OSPF "Database Description" wird verwendet, d. h. ein Unicastpaket zum Austausch von Verbindungsstatusinformationen. OSPF Pakettyp 3 "Link State Request" und Pakettyp 4 "Link State Update" zum Austausch von Linkstatusinformationen können auch Unicastpakete verwenden.Palo Alto Networks Firewalls erstellt also eine OSPF Sitzung für solche OSPF Unicast-Pakete.
Beispielsweise wird eine OSPF Nachbarschaft und Nachbarschaft zwischen zwei Geräten mit IPs 10.20.10.11 und 10.20.10.12 eingerichtet.
Wie im Paketerfassungsausschnitt unten gezeigt, DB LS verwenden Description-, Request- und LS Update-Pakete IP Unicast-Adressen.
A OSPF OSPF CLI
admin@Lab> show session all filter application ospf
--------------------------------------------------------------------------------
ID Application State Type Flag Src[Sport]/Zone/Proto (translated IP[Port])
Vsys Dst[Dport]/Zone (translated IP[Port])
--------------------------------------------------------------------------------
160069 ospf ACTIVE FLOW 10.20.10.11[20033]/L3-Lab-OSPF-Zone/89 (10.20.10.11[20033])
vsys1 10.20.10.12[20033]/L3-Lab-OSPF-Zone (10.20.10.12[20033])
admin@Lab> show session id 160069
Session 160069
c2s flow:
source: 10.20.10.11 [L3-Lab-OSPF-Zone]
dst: 10.20.10.12
proto: 89
sport: 20033 dport: 20033
state: ACTIVE type: FLOW
src user: unknown
dst user: unknown
s2c flow:
source: 10.20.10.12 [L3-Lab-OSPF-Zone]
dst: 10.20.10.11
proto: 89
sport: 20033 dport: 20033
state: ACTIVE type: FLOW
src user: unknown
dst user: unknown
start time : Tue Apr 9 15:15:40 2019
timeout : 30 sec
time to live : 22 sec
total byte count(c2s) : 386
total byte count(s2c) : 320
layer7 packet count(c2s) : 5
layer7 packet count(s2c) : 4
vsys : vsys1
application : ospf
rule : Lab-Any
service timeout override(index) : False
session to be logged at end : True
session in session ager : True
session updated by HA peer : False
layer7 processing : completed
URL filtering enabled : False
session via syn-cookies : False
session terminated on host : True
session traverses tunnel : False
captive portal session : False
ingress interface : ethernet1/7
egress interface : ethernet1/7
session QoS rule : N/A (class 4)
tracker stage l7proc : ctd app has no decoder
end-reason : unknownDiese OSPF Sitzung läuft nach dem exchange-Status des ursprünglichen Verbindungsstatus für die Datenbank ab.
admin@Lab> show session id 160069
Session 160069
c2s flow:
source: 10.20.10.11 [L3-Lab-OSPF-Zone]
dst: 10.20.10.12
proto: 89
sport: 20033 dport: 20033
state: ACTIVE type: FLOW
src user: unknown
dst user: unknown
s2c flow:
source: 10.20.10.12 [L3-Lab-OSPF-Zone]
dst: 10.20.10.11
proto: 89
sport: 20033 dport: 20033
state: ACTIVE type: FLOW
src user: unknown
dst user: unknown
start time : Tue Apr 9 15:15:40 2019
timeout : 30 sec
time to live : 0 sec (expired) <<=====
total byte count(c2s) : 386
total byte count(s2c) : 320
layer7 packet count(c2s) : 5
layer7 packet count(s2c) : 4
vsys : vsys1
application : ospf
rule : Lab-Any
service timeout override(index) : False
session to be logged at end : True
session in session ager : True
session updated by HA peer : False
layer7 processing : completed
URL filtering enabled : False
session via syn-cookies : False
session terminated on host : True
session traverses tunnel : False
captive portal session : False
ingress interface : ethernet1/7
egress interface : ethernet1/7
session QoS rule : N/A (class 4)
tracker stage l7proc : ctd app has no decoder
end-reason : unknownWeitere OSPF Pakete wie LS LS Update-, Bestätigungs- und Hello-Pakete können weiterhin zwischen den Nachbarn ausgetauscht OSPF werden, aber Sitzungen werden für diese Pakete nicht eingerichtet, da es sich um OSPF Multicastpakete handelt.
Um den Nachbarstatus über zu OSPF CLI überprüfen, verwenden Sie den folgenden CLI Befehl:
admin@Lab> show routing protocol ospf neighbor
Options: 0x80:reserved, O:Opaq-LSA capability, DC:demand circuits, EA:Ext-Attr LSA capability,
N/P:NSSA option, MC:multicase, E:AS external LSA capability, T:TOS capability
==========
virtual router: default
neighbor address: 10.20.10.12
local address binding: 0.0.0.0
type: dynamic
status: full <<=====
neighbor router ID: 12.12.12.12
area id: 0.0.0.0
neighbor priority: 1
lifetime remain: 30
messages pending: 0
LSA request pending: 0
options: 0x42: O E
hello suppressed: no
restart helper status: not helping
restart helper time remaining: 0
restart helper exit reason: none