Können virtuelle Router der nächsten Generation Firewall mit einer externen LSAZusammenfassung (Typ-5) konfiguriert OSPF AS-werden?
3833
Created On 10/21/22 09:03 AM - Last Modified 05/09/23 05:41 AM
Question
ASBRs können ihre eigenen externen Routen als zusammengefasste externe Route in das OSPF Gebiet umverteilen.
Ohne diese Zusammenfassung werden alle externen Routen als einzelne AS-externe LSARouten (Typ-5) auf das OSPF Gebiet umverteilt.
Können virtuelle Router der nächsten Generation Firewall mit einer externen LSAZusammenfassung (Typ-5) konfiguriert OSPF AS-werden?
Present Condition
OSPF ASBR verteilt externe Routen neu.
Bitten
Die zusammengefasste Route der externen Routen muss neu verteilt werden.
Testumfeld
OSPF AS- Extern LSA(Typ-5) ist wie folgt konfiguriert.
1. Konfiguration
der verbundenen Schnittstellen 2. Konfiguration
virtueller Router 3. OSPF-Router2(VR id 2) OSPF Bereichskonfiguration
4. Neuverteilungsprofil der Konfiguration
Router2OSPF-(VR id 2) 5. Exportregel der Konfiguration Router2OSPF-(VR id 2)
6. Angekündigte Typ-5-LSAs im Befehl
"show routing protocol ospf lsdb"CLI<OSPF LSDB>
admin@Lab98-13-PA-820> show routing protocol ospf lsdb VIRTUAL ROUTER: OSPF-Router1 (id 1) ========== VR Area ID Orig RTR ID LS ID LSA Type Seq Number CheckSum Age Size 1 0.0.0.0 100.0.0.1 100.0.0.1 type-1 (Router) 0x80000035 0x00008EEE 1671 36 1 0.0.0.0 100.0.0.2 100.0.0.2 type-1 (Router) 0x80000035 0x00008CED 1672 36 1 0.0.0.0 100.0.0.2 100.0.0.2/24 type-2 (Network) 0x80000034 0x00008FFE 1677 32 1 100.0.0.2 192.168.0.0/24 type-5 (External) 0x80000001 0x0000245E 60 1 100.0.0.2 192.168.1.0/24 type-5 (External) 0x80000001 0x00001968 60 1 100.0.0.2 192.168.2.0/24 type-5 (External) 0x80000001 0x00000E72 60 1 100.0.0.2 192.168.3.0/24 type-5 (External) 0x80000001 0x0000037C 60 VIRTUAL ROUTER: OSPF-Router2 (id 2) ========== VR Area ID Orig RTR ID LS ID LSA Type Seq Number CheckSum Age Size 2 0.0.0.0 100.0.0.1 100.0.0.1 type-1 (Router) 0x80000035 0x00008EEE 1672 36 2 0.0.0.0 100.0.0.2 100.0.0.2 type-1 (Router) 0x80000035 0x00008CED 1671 36 2 0.0.0.0 100.0.0.2 100.0.0.2/24 type-2 (Network) 0x80000034 0x00008FFE 1676 32 2 100.0.0.2 192.168.0.0/24 type-5 (External) 0x80000001 0x0000245E 59 2 100.0.0.2 192.168.1.0/24 type-5 (External) 0x80000001 0x00001968 59 2 100.0.0.2 192.168.2.0/24 type-5 (External) 0x80000001 0x00000E72 59 2 100.0.0.2 192.168.3.0/24 type-5 (External) 0x80000001 0x0000037C 59
7. Routing-Tabelle im Befehl
"Routing-Route anzeigen"<Routing-TabelleCLI>
admin@Lab98-13-PA-820> show routing route
flags: A:active, ?:loose, C:connect, H:host, S:static, ~:internal, R:rip, O:ospf, B:bgp,
Oi:ospf intra-area, Oo:ospf inter-area, O1:ospf ext-type-1, O2:ospf ext-type-2, E:ecmp, M:multicast
VIRTUAL ROUTER: OSPF-Router1 (id 1)
==========
destination nexthop metric flags age interface next-AS
100.0.0.0/24 0.0.0.0 10 Oi 93545 ethernet1/5
100.0.0.0/24 100.0.0.1 0 A C ethernet1/5
100.0.0.1/32 0.0.0.0 0 A H
192.168.0.0/24 100.0.0.2 11 A O1 107 ethernet1/5
192.168.1.0/24 100.0.0.2 11 A O1 107 ethernet1/5
192.168.2.0/24 100.0.0.2 11 A O1 107 ethernet1/5
192.168.3.0/24 100.0.0.2 11 A O1 107 ethernet1/5
total routes shown: 7
VIRTUAL ROUTER: OSPF-Router2 (id 2)
==========
destination nexthop metric flags age interface next-AS
100.0.0.0/24 0.0.0.0 10 Oi 93545 ethernet1/6
100.0.0.0/24 100.0.0.2 0 A C ethernet1/6
100.0.0.2/32 0.0.0.0 0 A H
192.168.0.0/24 192.168.0.100 0 A C ethernet1/1.1
192.168.0.100/32 0.0.0.0 0 A H
192.168.1.0/24 192.168.1.100 0 A C ethernet1/1.2
192.168.1.100/32 0.0.0.0 0 A H
192.168.2.0/24 192.168.2.100 0 A C ethernet1/1.3
192.168.2.100/32 0.0.0.0 0 A H
192.168.3.0/24 192.168.3.100 0 A C ethernet1/1.4
192.168.3.100/32 0.0.0.0 0 A H
total routes shown:
Die zusammengefasste Route 192.168.0.0/22 muss von OSPF-Router2(id2) neu verteilt werden.Environment
- Konfiguration virtueller Router der nächsten Generation Firewall
- PAN-OS Version 9.1, 10.0, 10.1, 10.2
- OSPF Umverteilung
Answer
Virtuelle Router der nächsten Generation Firewall verfügen nicht über OSPF AS-eine externe LSAZusammenfassungsfunktion
(Typ 5). Im Folgenden finden Sie eine Problemumgehung für die Konfiguration des zusammengefassten AS-Externen ( LSATyp5) für die Testumgebung.
Schritt 1. Erstellen Sie einen Lookback-Port als Dummy.
Schritt 2.Fügen Sie loopback.1 zur OSPF-Router2-Schnittstelle hinzu.
Schritt 3.Erstellen Sie eine zusammengefasste statische Route von 192.168.0.0/22 mit einem hohen Metrikwert (Metrik=100).
Schritt 4.Entfernen Sie die verbundenen Schnittstellen, und fügen Sie dann die erstellte statische Route ohne nächsten Hop im Neuverteilungsprofil hinzu.
Schritt 5.Entfernen Sie die verbundenen Schnittstellen und fügen Sie die erstellte statische Route in den OSPF Exportregeln hinzu.
Schritt 6. Führen Sie Commit aus. Dann wird nur noch die statische Routebeworben. Überprüfen Sie die Routing-Tabelle und die OSPF LSDB Routing-Tabelle.
<OSPF LSDB>
admin@Lab98-13-PA-820> show routing protocol ospf lsdb VIRTUAL ROUTER: OSPF-Router1 (id 1) ========== VR Area ID Orig RTR ID LS ID LSA Type Seq Number CheckSum Age Size 1 0.0.0.0 100.0.0.1 100.0.0.1 type-1 (Router) 0x80000036 0x00008CEF 1218 36 1 0.0.0.0 100.0.0.2 100.0.0.2 type-1 (Router) 0x80000036 0x00008AEE 1219 36 1 0.0.0.0 100.0.0.2 100.0.0.2/24 type-2 (Network) 0x80000035 0x00008DFF 1224 32 1 100.0.0.2 192.168.0.0/22 type-5 (External) 0x80000002 0x00001371 447 VIRTUAL ROUTER: OSPF-Router2 (id 2) ========== VR Area ID Orig RTR ID LS ID LSA Type Seq Number CheckSum Age Size 2 0.0.0.0 100.0.0.1 100.0.0.1 type-1 (Router) 0x80000036 0x00008CEF 1219 36 2 0.0.0.0 100.0.0.2 100.0.0.2 type-1 (Router) 0x80000036 0x00008AEE 1218 36 2 0.0.0.0 100.0.0.2 100.0.0.2/24 type-2 (Network) 0x80000035 0x00008DFF 1223 32 2 100.0.0.2 192.168.0.0/22 type-5 (External) 0x80000002 0x00001371 446<Routing-Tabelle>
admin@Lab98-13-PA-820> show routing route
flags: A:active, ?:loose, C:connect, H:host, S:static, ~:internal, R:rip, O:ospf, B:bgp,
Oi:ospf intra-area, Oo:ospf inter-area, O1:ospf ext-type-1, O2:ospf ext-type-2, E:ecmp, M:multicast
VIRTUAL ROUTER: OSPF-Router1 (id 1)
==========
destination nexthop metric flags age interface next-AS
100.0.0.0/24 0.0.0.0 10 Oi 94917 ethernet1/5
100.0.0.0/24 100.0.0.1 0 A C ethernet1/5
100.0.0.1/32 0.0.0.0 0 A H
192.168.0.0/22 100.0.0.2 11 A O1 519 ethernet1/5
total routes shown: 4
VIRTUAL ROUTER: OSPF-Router2 (id 2)
==========
destination nexthop metric flags age interface next-AS
1.1.1.1/32 0.0.0.0 0 A H
100.0.0.0/24 0.0.0.0 10 Oi 94917 ethernet1/6
100.0.0.0/24 100.0.0.2 0 A C ethernet1/6
100.0.0.2/32 0.0.0.0 0 A H
192.168.0.0/22 1.1.1.1 100 A S loopback.1
192.168.0.0/24 192.168.0.100 0 A C ethernet1/1.1
192.168.0.100/32 0.0.0.0 0 A H
192.168.1.0/24 192.168.1.100 0 A C ethernet1/1.2
192.168.1.100/32 0.0.0.0 0 A H
192.168.2.0/24 192.168.2.100 0 A C ethernet1/1.3
192.168.2.100/32 0.0.0.0 0 A H
192.168.3.0/24 192.168.3.100 0 A C ethernet1/1.4
192.168.3.100/32 0.0.0.0 0 A H
total routes shown: 13Bei dieser Problemumgehung ist es nicht möglich, externe Routen, die automatisch zusammengefasst werden, neu zu verteilen.