S9700跟防火墙对接ospf邻居无法建立

发布时间:  2016-08-04 浏览次数:  435 下载次数:  0
问题描述

S9700跟异厂家防火墙需要通过建立ospf来学习路由,2端设备配置相关的ospf数据后发现ospf邻居无法正常建立,一直处于down的状态

S9700上的ospf配置如下:

#

interface Vlanif100

 ip address 10.200.17.34 255.255.255.252

#

ospf 1

 area 0.0.0.0

  network 10.200.17.32 0.0.0.3

查看ospf状态如下:

[S9700]display ospf peer 


OSPF Process 1 with Router ID 10.199.248.1

处理过程

1、ospf处于down的状态首先怀疑S9700跟防火墙之间链路是否正常,ip地址是否配置正确,互联地址是否能ping通?

----通过查看设备接口状态正常,在S9700上能ping通防火墙接口地址,防火墙厂家工程师反馈在防火墙上也能ping通S9700的接口地址,说明链路是正常的。

2、考虑到对端是防火墙设备,而防火墙往往存在策略,是否防火墙的安全策略导致丢弃了ospf的hello组播报文?

----防火墙厂家工程师反馈防火墙默认不会丢弃组播报文,应该不存在这方面的问题。

3、是否设备2端配置的区域类型不一致?

----通过核实设备2端都是属于area 0骨干区域,不存在区域类型不一致问题。

4、设备的router id是否冲突?

----在S9700上查看ospf的错误信息发现ospf的router id冲突报文一直在增加,应该就是router id冲突导致,跟防火墙厂家核对router id发现确实是2边的id一致。

[S9700]display ospf error 


OSPF Process 1 with Router ID 10.199.248.1

OSPF error statistics 


General packet errors:

 0     : IP: received my own packet     0     : Bad packet

 0     : Bad version                    0     : Bad checksum

 0     : Bad area id                    0     : Drop on unnumbered interface

 0     : Bad virtual link               0     : Bad authentication type

 0     : Bad authentication key         0     : Packet too small

 0     : Packet size > ip length        0     : Transmit error

 1     : Interface down                 0     : Unknown neighbor

 0     : Bad net segment                0     : Extern option mismatch

 257   : Router id confusion

5、修改其中一边的router id并重启进程后ospf邻居正常建立

[S9700]display ospf peer


OSPF Process 1 with Router ID 10.199.248.2

Neighbors 


 Area 0.0.0.0 interface 10.200.17.34(Vlanif100)'s neighbors

 Router ID: 10.199.248.1     Address: 10.200.17.33    

   State: Full  Mode:Nbr is  Slave  Priority: 1

   DR: 10.200.17.33  BDR: None   MTU: 0    

   Dead timer due in 35  sec 

   Retrans timer interval: 5 

   Neighbor is up for 00:00:01     

   Authentication Sequence: [ 0 ] 

根因

router id冲突导致ospf邻居down

解决方案

修改设备的router id,确保每台设备的router id为ospf域内全网唯一。

END