セッションが OSPF CLI 表示できない理由
33126
Created On 04/22/19 04:23 AM - Last Modified 03/26/21 17:38 PM
Question
I OSPF firewall CLI OSPF 隣接関係と隣接関係が確立され、近隣がルートを交換しているにもかかわらず、セッションが表示されないの OSPF はなぜですか?
Answer
パロアルトネットワークスファイアウォールは、マルチキャストパケットのセッションを設定しません OSPF 。 OSPF セッションは、 OSPF 許可された firewall セキュリティ規則(宛先 OSPF アドレスフィールドにユニキャストアドレスを持つパケット)が存在する場合にのみユニキャストパケット IP 用に作成 IP されます。
一般に、パケットの5つのタイプがあります OSPF
:1)Hello OSPF パケット
2) OSPF データベース記述パケット
OSPF 3)リンク状態要求パケット
4) OSPF
リンク状態更新パケット5) OSPF リンク
OSPF 状態データベース交換状態の間にリンク状態確認パケット、 OSPF パケットタイプ2「データベース記述」が使用され、これはリンク状態情報を交換するユニキャストパケットである。 OSPF リンク状態情報を交換するパケットタイプ 3「リンク状態要求」およびパケットタイプ 4「リンク状態更新」もユニキャスト パケットを使用できます。そのため、パロアルトネットワークスファイアウォール OSPF は、このようなユニキャストパケットのためのセッションを作成 OSPF します。
たとえば、 OSPF 隣接関係と隣接関係は、IP 10.20.10.11 と 10.20.10.12 を使用して 2 つのデバイス間で確立されます。
以下のパケット キャプチャ スニペットに示すように、 DB 説明、 LS 要求、 LS および更新のパケットはユニキャスト IP アドレス
A を使用 OSPF OSPF CLI します。
admin@Lab> show session all filter application ospf
--------------------------------------------------------------------------------
ID Application State Type Flag Src[Sport]/Zone/Proto (translated IP[Port])
Vsys Dst[Dport]/Zone (translated IP[Port])
--------------------------------------------------------------------------------
160069 ospf ACTIVE FLOW 10.20.10.11[20033]/L3-Lab-OSPF-Zone/89 (10.20.10.11[20033])
vsys1 10.20.10.12[20033]/L3-Lab-OSPF-Zone (10.20.10.12[20033])
admin@Lab> show session id 160069
Session 160069
c2s flow:
source: 10.20.10.11 [L3-Lab-OSPF-Zone]
dst: 10.20.10.12
proto: 89
sport: 20033 dport: 20033
state: ACTIVE type: FLOW
src user: unknown
dst user: unknown
s2c flow:
source: 10.20.10.12 [L3-Lab-OSPF-Zone]
dst: 10.20.10.11
proto: 89
sport: 20033 dport: 20033
state: ACTIVE type: FLOW
src user: unknown
dst user: unknown
start time : Tue Apr 9 15:15:40 2019
timeout : 30 sec
time to live : 22 sec
total byte count(c2s) : 386
total byte count(s2c) : 320
layer7 packet count(c2s) : 5
layer7 packet count(s2c) : 4
vsys : vsys1
application : ospf
rule : Lab-Any
service timeout override(index) : False
session to be logged at end : True
session in session ager : True
session updated by HA peer : False
layer7 processing : completed
URL filtering enabled : False
session via syn-cookies : False
session terminated on host : True
session traverses tunnel : False
captive portal session : False
ingress interface : ethernet1/7
egress interface : ethernet1/7
session QoS rule : N/A (class 4)
tracker stage l7proc : ctd app has no decoder
end-reason : unknownこの OSPF セッションは、最初のリンク状態データベースの交換状態の後に期限切れになります。
admin@Lab> show session id 160069
Session 160069
c2s flow:
source: 10.20.10.11 [L3-Lab-OSPF-Zone]
dst: 10.20.10.12
proto: 89
sport: 20033 dport: 20033
state: ACTIVE type: FLOW
src user: unknown
dst user: unknown
s2c flow:
source: 10.20.10.12 [L3-Lab-OSPF-Zone]
dst: 10.20.10.11
proto: 89
sport: 20033 dport: 20033
state: ACTIVE type: FLOW
src user: unknown
dst user: unknown
start time : Tue Apr 9 15:15:40 2019
timeout : 30 sec
time to live : 0 sec (expired) <<=====
total byte count(c2s) : 386
total byte count(s2c) : 320
layer7 packet count(c2s) : 5
layer7 packet count(s2c) : 4
vsys : vsys1
application : ospf
rule : Lab-Any
service timeout override(index) : False
session to be logged at end : True
session in session ager : True
session updated by HA peer : False
layer7 processing : completed
URL filtering enabled : False
session via syn-cookies : False
session terminated on host : True
session traverses tunnel : False
captive portal session : False
ingress interface : ethernet1/7
egress interface : ethernet1/7
session QoS rule : N/A (class 4)
tracker stage l7proc : ctd app has no decoder
end-reason : unknownOSPF LS 更新、受信確認、Hello などのそれ以降の LS パケットは、ネイバー間で引き続き交換できますが OSPF 、セッションはマルチキャスト パケットであるため、これらのパケットに対してはセットアップされません OSPF 。
OSPFを使用して近隣の状態を確認するには CLI 、次のコマンドを使用 CLI します。
admin@Lab> show routing protocol ospf neighbor
Options: 0x80:reserved, O:Opaq-LSA capability, DC:demand circuits, EA:Ext-Attr LSA capability,
N/P:NSSA option, MC:multicase, E:AS external LSA capability, T:TOS capability
==========
virtual router: default
neighbor address: 10.20.10.12
local address binding: 0.0.0.0
type: dynamic
status: full <<=====
neighbor router ID: 12.12.12.12
area id: 0.0.0.0
neighbor priority: 1
lifetime remain: 30
messages pending: 0
LSA request pending: 0
options: 0x42: O E
hello suppressed: no
restart helper status: not helping
restart helper time remaining: 0
restart helper exit reason: none