Pourquoi les sessions OSPF sont-elles CLI incapables d’être vues ?
33134
Created On 04/22/19 04:23 AM - Last Modified 03/26/21 17:38 PM
Question
Pourquoi ne peut pas I voir des sessions en même si OSPF firewall CLI OSPF l’adjacency et le voisinage est établi et les OSPF voisins échangent des itinéraires ?
Answer
Les pare-feux Palo Alto Networks ne provoquent pas la configuration d’une session pour OSPF les paquets multicasts. OSPF les sessions sont créées uniquement pour les OSPF paquets unicast s’il existe une règle firewall de sécurité autorisée (c.-à-d. OSPF les paquets qui ont des adresses unicast IP dans le champ IP d’adresse de destination).
En général, il existe cinq types de OSPF paquets:
1) OSPF Bonjour Paquet
2) Base de données Description Paquet OSPF
3) OSPF Link State Request Packet
4) OSPF Link State Update Packet
5) OSPF Link State Acknowledgement Packet Au cours de
l’état initial de base de données de l’état de lien état de OSPF l’état, OSPF paquet type 2 « Description de base de données » est utilisé, qui est un paquet unicast pour échanger des informations d’état de lien. OSPF paquet type 3 « Demande d’état de lien » et paquet type 4 « Link State Update » pour échanger des informations d’état de lien peuvent également utiliser des paquets unicast.Ainsi Palo Alto Networks pare-feu crée une OSPF session pour ces OSPF paquets unicast.
Par exemple, un OSPF adjacency et un voisinage sont établis entre deux dispositifs utilisant des ADRESSES 10.20.10.11 et 10.20.10.12.
Comme le montre l’extrait de capture de paquets ci-dessous, les paquets Description, Demande et Mise à jour DB LS utilisent des LS adresses unicast. session correspondante IP
A OSPF (créée pour les OSPF paquets unicast) est vu CLI ci-dessous:
admin@Lab> show session all filter application ospf
--------------------------------------------------------------------------------
ID Application State Type Flag Src[Sport]/Zone/Proto (translated IP[Port])
Vsys Dst[Dport]/Zone (translated IP[Port])
--------------------------------------------------------------------------------
160069 ospf ACTIVE FLOW 10.20.10.11[20033]/L3-Lab-OSPF-Zone/89 (10.20.10.11[20033])
vsys1 10.20.10.12[20033]/L3-Lab-OSPF-Zone (10.20.10.12[20033])
admin@Lab> show session id 160069
Session 160069
c2s flow:
source: 10.20.10.11 [L3-Lab-OSPF-Zone]
dst: 10.20.10.12
proto: 89
sport: 20033 dport: 20033
state: ACTIVE type: FLOW
src user: unknown
dst user: unknown
s2c flow:
source: 10.20.10.12 [L3-Lab-OSPF-Zone]
dst: 10.20.10.11
proto: 89
sport: 20033 dport: 20033
state: ACTIVE type: FLOW
src user: unknown
dst user: unknown
start time : Tue Apr 9 15:15:40 2019
timeout : 30 sec
time to live : 22 sec
total byte count(c2s) : 386
total byte count(s2c) : 320
layer7 packet count(c2s) : 5
layer7 packet count(s2c) : 4
vsys : vsys1
application : ospf
rule : Lab-Any
service timeout override(index) : False
session to be logged at end : True
session in session ager : True
session updated by HA peer : False
layer7 processing : completed
URL filtering enabled : False
session via syn-cookies : False
session terminated on host : True
session traverses tunnel : False
captive portal session : False
ingress interface : ethernet1/7
egress interface : ethernet1/7
session QoS rule : N/A (class 4)
tracker stage l7proc : ctd app has no decoder
end-reason : unknownCette OSPF session expire après l’état d’échange initial de base de données d’état de lien.
admin@Lab> show session id 160069
Session 160069
c2s flow:
source: 10.20.10.11 [L3-Lab-OSPF-Zone]
dst: 10.20.10.12
proto: 89
sport: 20033 dport: 20033
state: ACTIVE type: FLOW
src user: unknown
dst user: unknown
s2c flow:
source: 10.20.10.12 [L3-Lab-OSPF-Zone]
dst: 10.20.10.11
proto: 89
sport: 20033 dport: 20033
state: ACTIVE type: FLOW
src user: unknown
dst user: unknown
start time : Tue Apr 9 15:15:40 2019
timeout : 30 sec
time to live : 0 sec (expired) <<=====
total byte count(c2s) : 386
total byte count(s2c) : 320
layer7 packet count(c2s) : 5
layer7 packet count(s2c) : 4
vsys : vsys1
application : ospf
rule : Lab-Any
service timeout override(index) : False
session to be logged at end : True
session in session ager : True
session updated by HA peer : False
layer7 processing : completed
URL filtering enabled : False
session via syn-cookies : False
session terminated on host : True
session traverses tunnel : False
captive portal session : False
ingress interface : ethernet1/7
egress interface : ethernet1/7
session QoS rule : N/A (class 4)
tracker stage l7proc : ctd app has no decoder
end-reason : unknownOSPFD’autres paquets tels LS que mise à LS jour, reconnaissance et paquets Hello peuvent continuer à être échangés entre OSPF les voisins, mais les sessions ne seront pas configurées pour ces paquets puisqu’il s’agit OSPF de paquets multidiffusions.
Pour vérifier OSPF l’état voisin via CLI , utilisez la commande CLI suivante:
admin@Lab> show routing protocol ospf neighbor
Options: 0x80:reserved, O:Opaq-LSA capability, DC:demand circuits, EA:Ext-Attr LSA capability,
N/P:NSSA option, MC:multicase, E:AS external LSA capability, T:TOS capability
==========
virtual router: default
neighbor address: 10.20.10.12
local address binding: 0.0.0.0
type: dynamic
status: full <<=====
neighbor router ID: 12.12.12.12
area id: 0.0.0.0
neighbor priority: 1
lifetime remain: 30
messages pending: 0
LSA request pending: 0
options: 0x42: O E
hello suppressed: no
restart helper status: not helping
restart helper time remaining: 0
restart helper exit reason: none