¿Por qué las OSPF sesiones no se pueden CLI ver?
33097
Created On 04/22/19 04:23 AM - Last Modified 03/26/21 17:38 PM
Question
¿Por qué no se pueden I ver sesiones aunque se establezca la OSPF firewall CLI OSPF adyacencia y la vecindad y los OSPF vecinos estén intercambiando rutas?
Answer
Los firewalls de Palo Alto Networks no hacen que una sesión se configure para OSPF los paquetes de multidifusión. OSPF las sesiones se crean solamente para OSPF los paquetes de unidifusión siempre que haya una regla de seguridad permitida firewall (es decir, OSPF los paquetes que tienen direcciones de unidifusión IP en el campo de dirección de IP destino).
En general, hay cinco tipos de OSPF paquetes:
1) OSPF Hello Packet
2) OSPF Database Description Packet
3) OSPF Link State Request Packet
4) OSPF Link State Update Packet
5) OSPF Link State Acknowledgement Packet Durante el estado inicial
de la base de datos del estado del link, se utiliza el OSPF tipo de paquete OSPF 2 "Descripción de la base de datos", que es un paquete de unidifusión para intercambiar la información del estado del link. OSPF El tipo de paquete 3 "Solicitud de estado de link" y el tipo de paquete 4 "Actualización del estado del link" para intercambiar la información del estado del link también pueden utilizar los paquetes de unidifusión.Así que los firewalls de Palo Alto Networks crean una OSPF sesión para tales paquetes de OSPF unidifusión.
Por ejemplo, OSPF se establece una adyacencia y una vecindad entre dos dispositivos que utilizan los IP 10.20.10.11 y 10.20.10.12.
Tal y como se muestra en del fragmento de código de captura de paquetes abajo, DB LS descripción, solicitud, y LS los paquetes de actualización utilizan los IP direcciones del unicast.
A sesión correspondiente OSPF (creada para los paquetes de OSPF unidifusión) se considera en CLI tal y como se muestra a continuación:
admin@Lab> show session all filter application ospf
--------------------------------------------------------------------------------
ID Application State Type Flag Src[Sport]/Zone/Proto (translated IP[Port])
Vsys Dst[Dport]/Zone (translated IP[Port])
--------------------------------------------------------------------------------
160069 ospf ACTIVE FLOW 10.20.10.11[20033]/L3-Lab-OSPF-Zone/89 (10.20.10.11[20033])
vsys1 10.20.10.12[20033]/L3-Lab-OSPF-Zone (10.20.10.12[20033])
admin@Lab> show session id 160069
Session 160069
c2s flow:
source: 10.20.10.11 [L3-Lab-OSPF-Zone]
dst: 10.20.10.12
proto: 89
sport: 20033 dport: 20033
state: ACTIVE type: FLOW
src user: unknown
dst user: unknown
s2c flow:
source: 10.20.10.12 [L3-Lab-OSPF-Zone]
dst: 10.20.10.11
proto: 89
sport: 20033 dport: 20033
state: ACTIVE type: FLOW
src user: unknown
dst user: unknown
start time : Tue Apr 9 15:15:40 2019
timeout : 30 sec
time to live : 22 sec
total byte count(c2s) : 386
total byte count(s2c) : 320
layer7 packet count(c2s) : 5
layer7 packet count(s2c) : 4
vsys : vsys1
application : ospf
rule : Lab-Any
service timeout override(index) : False
session to be logged at end : True
session in session ager : True
session updated by HA peer : False
layer7 processing : completed
URL filtering enabled : False
session via syn-cookies : False
session terminated on host : True
session traverses tunnel : False
captive portal session : False
ingress interface : ethernet1/7
egress interface : ethernet1/7
session QoS rule : N/A (class 4)
tracker stage l7proc : ctd app has no decoder
end-reason : unknownEsta OSPF sesión expira después del estado inicial del intercambio de la base de datos de estado del vínculo.
admin@Lab> show session id 160069
Session 160069
c2s flow:
source: 10.20.10.11 [L3-Lab-OSPF-Zone]
dst: 10.20.10.12
proto: 89
sport: 20033 dport: 20033
state: ACTIVE type: FLOW
src user: unknown
dst user: unknown
s2c flow:
source: 10.20.10.12 [L3-Lab-OSPF-Zone]
dst: 10.20.10.11
proto: 89
sport: 20033 dport: 20033
state: ACTIVE type: FLOW
src user: unknown
dst user: unknown
start time : Tue Apr 9 15:15:40 2019
timeout : 30 sec
time to live : 0 sec (expired) <<=====
total byte count(c2s) : 386
total byte count(s2c) : 320
layer7 packet count(c2s) : 5
layer7 packet count(s2c) : 4
vsys : vsys1
application : ospf
rule : Lab-Any
service timeout override(index) : False
session to be logged at end : True
session in session ager : True
session updated by HA peer : False
layer7 processing : completed
URL filtering enabled : False
session via syn-cookies : False
session terminated on host : True
session traverses tunnel : False
captive portal session : False
ingress interface : ethernet1/7
egress interface : ethernet1/7
session QoS rule : N/A (class 4)
tracker stage l7proc : ctd app has no decoder
end-reason : unknownOtros OSPF paquetes tales como LS actualización, LS confirmación, y hello paquetes pueden seguir siendo intercambiados entre los OSPF vecinos, pero las sesiones no serán configuradas para estos paquetes puesto que son OSPF paquetes de multidifusión.
Para comprobar el OSPF estado vecino a través de , utilice el siguiente CLI CLI comando:
admin@Lab> show routing protocol ospf neighbor
Options: 0x80:reserved, O:Opaq-LSA capability, DC:demand circuits, EA:Ext-Attr LSA capability,
N/P:NSSA option, MC:multicase, E:AS external LSA capability, T:TOS capability
==========
virtual router: default
neighbor address: 10.20.10.12
local address binding: 0.0.0.0
type: dynamic
status: full <<=====
neighbor router ID: 12.12.12.12
area id: 0.0.0.0
neighbor priority: 1
lifetime remain: 30
messages pending: 0
LSA request pending: 0
options: 0x42: O E
hello suppressed: no
restart helper status: not helping
restart helper time remaining: 0
restart helper exit reason: none