OSPF建立邻居失败

发布时间:  2014-09-20 浏览次数:  585 下载次数:  0
问题描述
针对图20-1所示的网络,在配置各NGFW后发现OSPF无法建立邻居。
图20-1 建立OSPF邻居组网图

在上述组网图中:
 NGFW_A的优先级为100,为DR。
 NGFW_C的优先级第二高,为BDR。
 NGFW_B的优先级为0。
 NGFW_D没有配置优先级,取缺省值1。
需要实现的目标是NGFW_A、NGFW_B、NGFW_C与NGFW_D之间建立了OSPF邻居。
处理过程
 原因一:各接口所在网段不一致。
1. 建立OSPF邻居时,Broadcast和NBMA接口应该在同一网段,建立邻居的链路两端可以Ping通,且接口所属区域的区域ID、区域类型(包括NSSA,Stub,Normal Area等)应保持一致。在各设备的接口视图下执行display this命令,查看接口的IP地址配置;在OSPF视图下执行display this命令,查看接口所属区域的区域ID、区域类型。
[NGFW-GigabitEthernet1/0/1] display this 
#          
interface    
ip address 192.1.1.1 255.255.255.0   
#          
return 

[NGFW-ospf-1] display this
#          
ospf 1     
area 0.0.0.0       
  network 192.1.1.0 0.0.0.255  
  stub     
area 0.0.0.1       
  network 10.1.1.0 0.0.0.255      
  nssa
#          
return
2. 如果各个设备存在不一致的情况,确定配置需求后,在接口视图下执行ip address命令可更改接口的IP地址及子网掩码;在OSPF区域视图下执行undo stub命令或undo nssa命令取消区域的特殊类型配置。
 原因二:各接口优先级均为0。
1. Broadcast和NBMA类型的网段,各接口的优先级至少有一个是非0的,以确保能够正确的选举出DR。否则各邻居只能达到2-Way的邻居状态。执行display ospf interface命令查看接口的优先级。
[NGFW] display ospf interface                                                 
                                                                                
         OSPF Process 1 with Router ID 1.1.1.1                           
                 Interfaces                                                     
                                                                                
Area: 0.0.0.0          (MPLS TE not enabled)                                   
IP Address      Type         State    Cost  Pri   DR              BDR          
192.1.1.1       Broadcast    DROther  1     0     0.0.0.0         0.0.0.0      

2. 如果各接口的优先级均为0,确定配置需求后,在优先级不需为0的接口上执行ospf dr-priority命令更改接口的优先级。
 原因三:各NGFW的Router ID存在相同的情况。
1. 同一网段上所有路由器的Router ID应该互不相同,否则会产生无法预料的路由振荡。执行display ospf brief等命令查看各设备的Router ID。
[NGFW] display ospf brief                 
                                                                                
         OSPF Process 1 with Router ID 1.1.1.1                                  
                 OSPF Protocol Information                                      
                                                                                
RouterID: 1.1.1.1          Border Router:  AREA                                
Route Tag: 0                                                                   
Multi-VPN-Instance is not enabled                                              
Applications Supported: MPLS Traffic-Engineering                               
Spf-schedule-interval: 5                                                       
Default ASE parameters: Metric: 1 Tag: 1 Type: 2                               
Route Preference: 10                                                           
ASE Route Preference: 150                                                      
SPF Computation Count: 4                                                       
RFC 1583 Compatible                                                            
Retransmission limitation is disabled                                          
Area Count: 2   Nssa Area Count: 0                                             
ExChange/Loading Neighbors: 0                                                  
                                                                                
Area: 0.0.0.0          (MPLS TE not enabled)                                   
Authtype: None   Area flag: Normal                                             
SPF scheduled Count: 3                                                         
ExChange/Loading Neighbors: 0                                                  
                                                                                
Interface: 192.1.1.1 (GigabitEthernet1/0/1)                              
Cost: 1       State: DROther    Type: Broadcast    MTU: 1500                   
Priority: 0                                                                    
Designated Router: 0.0.0.0                                                     
Backup Designated Router: 0.0.0.0                                              
Timers: Hello 10 , Dead 40 , Poll  120 , Retransmit 5 , Transmit Delay 1       
                                                                                
Area: 0.0.0.1          (MPLS TE not enabled)                                   
Authtype: None   Area flag: Normal                                             
SPF scheduled Count: 0                                                         
ExChange/Loading Neighbors: 0
2. 如果存在Router ID相同的情况,确定配置需求后,在系统视图下执行ospf process-id router-id router-id更改OSPF进程的Router ID。该命令执行后,还需要重启OSPF进程才能生效。在用户视图下执行reset ospf process命令重启OSPF进程。
[NGFW] ospf 1 router-id 2.2.2.2 
Warning: OSPF 1 The new router id will be activated only after Reset Ospf Proces
s                                                                               
[NGFW-ospf-1] quit
[NGFW] quit
<NGFW> reset ospf 1 process
 原因四:各接口的Timer等参数没有保持一致。
1. 创建邻居时,对应接口时间间隔参数必须保持一致,否则无法建立邻居。执行display ospf interface [ all | interface-type interface-number ]命令查看接口下各Timer参数的配置情况。
[NGFW] display ospf interface all
                                                                                
         OSPF Process 1 with Router ID 1.1.1.1                                  
                 Interfaces                                                     
                                                                                
Area: 0.0.0.0          (MPLS TE not enabled)                                   
                                                                                
Interface: 192.1.1.1 (GigabitEthernet1/0/3)      
Cost: 1       State: DROther    Type: Broadcast    MTU: 1500                   
Priority: 0                                                                    
Designated Router: 0.0.0.0                                                     
Backup Designated Router: 0.0.0.0                                              
Timers: Hello 10 , Dead 40 , Poll  120 , Retransmit 5 , Transmit Delay 1

2. 如果Hello参数不一致,在接口视图下执行ospf timer hello命令设置接口发送Hello报文的时间间隔。
3. 如果Dead参数不一致,在接口视图下执行ospf timer dead命令设置OSPF的邻居失效时间。
 原因五:各接口的认证信息没有保持一致。
如果在Area视图下和接口视图下分别配置了认证信息,则OSPF认证的基本原则是:
− 如果接口下配置了认证,则使用接口下的认证。如果接口下配置为Null,则该接口不进行认证。如果进行认证,认证成功即可建立邻居关系,如果不成功则不能建立邻居关系,不会再进行Area上的认证。
− 如果接口下没有配置认证(配置为Null不是没有配置认证),则采用Area下配置的认证。如果进行认证,认证成功即可建立邻居关系,如果不成功则不能建立邻居关系。如果Area也没有配置认证,则不认证。
创建邻居时,只有两端的认证配置完全一致时才能达到Full状态。
1. 在接口视图上执行display this命令查看是否有接口认证相关信息。接口认证的认证方式、认证字各设备均需保持一致。如果有不一致的设备,确定配置需求后,在不一致的设备上的接口视图下执行ospf authentication-mode命令修改认证方式和认证字。
[NGFW-GigabitEthernet1/0/1] display this
#                                                                               
interface GigabitEthernet1/0/1                                                 
ip address 192.1.1.1 255.255.255.0                                        
ospf authentication-mode simple plain 123456                                                  
ospf dr-priority 0                                                             
#                                                                               
return
2. 如果接口上没有配置认证,在OSPF视图下执行display this命令查看是否有区域认证相关信息。区域认证的认证方式、认证字各设备均需保持一致。如果有不一致的设备,确定配置需求后,在不一致的设备上的接口视图下执行ospf authentication-mode命令修改认证方式和认证字。
[NGFW-ospf-1] display this 
#                   
ospf 1 router-id 1.1.1.12                   
area 0.0.0.0                     
  authentication-mode simple plain ******
  network 192.1.1.0 0.0.0.255                
#                            
return
 原因六:OSPF报文不能正确接收。
有时OSPF的报文无法正确接收,原因有很多,先检查链路层是否可达。可以打开OSPF的Debug开关查看报文的收发情况。Debug命令有debugging ospf packet、debugging ospf event等,还可以通过display ospf error命令查看各种OSPF的错误计数。
打开IP报文的Debug信息来确认IP层是否转发成功。命令是debugging ip packet,可以增加ACL规则对Debug信息过滤。
 如果检查结束,故障仍然无法排除,请联系技术支持工程师。
根因
  •  原因一:各接口所在网段不一致。
  •  原因二:各接口优先级均为0。
  •  原因三:各NGFW的Router ID存在相同的情况。
  •  原因四:各接口的Timer等参数没有保持一致。
  •  原因五:各接口的认证信息没有保持一致。
  •  原因六:OSPF报文不能正确接收。

图20-2 OSPF无法建立邻居故障诊断流程图

 

END