Cisco ASA/Pix – Enrutamiento OSPF sobre VPN’s redundadas

Estos firewalls están conectados entre sí, a través de dos enlaces:
Veamos la topología ( haz click sobre la imagen para verla mayor ):

cisco asa pix - enrutamiento ospf sobre vpn's redundadas

  • Sede Central:
Línea simétrica de 100Mbps dedicada y privada con la delegación
nameif “ppal-site2site”

Conexión a Internet de 1Gbps simétrica y redundada
nameif “backup-site2site”
coste ospf 100 por interfaz de backup

En la sede Central tenemos una conexión a Internet de alta velocidad y redundada que llamaremos “backup-site2site” por el rol que tiene desde la perspectiva de la delegación.

  • Sede Delegación:
Línea principal:
Línea simétrica de 100Mbps dedicada y privada con la sede central
Todo el trafico transita por este enlace
nameif “ppal-site2site”

Conexión de backup FTTH a internet:
Fibra FTTH de 100Mbps de bajada y 10 Mbps de subida
No tiene tráfico a no ser que caiga el túnel principal.
nameif “backup-site2site”
coste ospf 100 por interfaz de backup

En la delegación hay un enlace de backup conectado directamente a Internet. Se trata de un Fiber To The Home (FTTH) o Fibra hasta el hogar de bajo coste y de caudal asimétrico ( 100 Mbps de bajada y 10 Mbps de subida ). El enlace de backup no tiene el mismo ancho de banda de subida que el enlace principal, pero por el patrón de tráfico en uso y el coste, en algunos entornos puede ser una solución económica y viable de respaldo durante el tiempo que el circuito principal esté en avería.
¿ Por qué ospf sobre túneles ipsec ?
Sobre ambos enlaces vamos a usar vpn’s ipsec extremo a extremo o “site2site” y “tunelizaremos” el tráfico entre las LAN’s de las sedes y el enrutamiento OSPF. En los enlaces de backup usaremos vpn porque además de los motivos de seguridad, las actualizaciones OSPF transitarán por internet cifradas y encapsuladas. Así pues, las actualizaciones OSPF por ambos enlaces serán topológicamente hablando “point-to-point non-broadcast”

Como el tráfico “lan to lan” en el canal principal va cifrado por motivos de seguridad, tiene sentido cifrar también el tráfico ospf “wan to wan”. Si hubiese algún problema con el túnel en el circuito principal y no cayese el circuito, usando ospf sobre ipsec saltaría la ruta de backup y seguiría todo funcionando.
Esto es, si cayera el túnel sobre el circuito principal pero éste siguiera levantado y no cifráramos ospf, seguiríamos anunciando y recibiendo las rutas apuntando a un túnel caído y tendríamos una incomunicación.

Por lo tanto, cifrar ospf en el circuito principal, nos provee una capa adicional de consistencia.
La solución no deseada es la que se cifra la comunicación “lan to lan” por el circuito principal y no se cifra el routing dinámico.

  •  Consideraciones sobre ospf en esta topología

En el lado de la delegación ambos interfaces son de 100 Mbps.
El valor por defecto del coste ospf sobre una interfaz a 100Mbps es de 10, por lo tanto tenemos igualdad de coste.
La ruta con menor coste o métrica es prioritaria.
Si el tránsito cursa por el backup debido a una caída del enlace principal y después éste se recupera, queremos garantizar que la ruta retorne al enlace principal.
Para ello, añadimos un coste ospf de 100 sobre el interfaz de backup.
Si no forzamos el coste, la ruta se mantendría por el enlace de backup.

No realizamos balanceo equal-cost multipath por limitación al usar ospf sobre interfaces diferentes.

  •  Configuración de la Sede Delegación
ASA 5505

interface Vlan200
 nameif lan-sede-delegacion
 security-level 100
 ip address 192.168.200.1 255.255.255.0 
!
interface Vlan502
 description BACKUP-FTTH-A-INTERNET
 nameif backup-site2site
 security-level 0
 ip address 10.0.2.1 255.255.255.0 
 ospf cost 100
 ospf network point-to-point non-broadcast
 ospf message-digest-key 1 md5 *****
 ospf authentication message-digest
!
interface Vlan601
 nameif ppal-site2site
 security-level 2
 ip address 172.16.0.2 255.255.255.0 
 ospf network point-to-point non-broadcast
 ospf message-digest-key 1 md5 *****
 ospf authentication message-digest
!
access-list ipsec-backup-site2site extended permit ip 192.168.200.0 255.255.255.0 192.168.100.0 255.255.255.0 
access-list ipsec-backup-site2site extended permit ip interface backup-site2site host 10.0.1.1 
!
access-list acl-lan-sede-delegacion extended permit ip any any 
!
access-list ipsec-ppal-site2site extended permit ip 192.168.200.0 255.255.255.0 192.168.100.0 255.255.255.0 
access-list ipsec-ppal-site2site extended permit ip interface ppal-site2site host 172.16.0.1 
!
access-group acl-lan-sede-delegacion in interface lan-sede-delegacion
!
router ospf 100
 network 10.0.2.0 255.255.255.0 area 0
 network 172.16.0.0 255.255.255.0 area 0
 network 192.168.200.0 255.255.255.0 area 0
 neighbor 172.16.0.1 interface ppal-site2site
 neighbor 10.0.1.1 interface backup-site2site
 log-adj-changes
!
route backup-site2site 10.0.1.0 255.255.255.0 10.0.2.2 1
!
crypto ipsec ikev1 transform-set ESP-3DES-SHA_trans esp-3des esp-sha-hmac 
crypto ipsec ikev1 transform-set ESP-3DES-SHA_trans mode transport
crypto ipsec ikev1 transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac 
crypto ipsec ikev1 transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac 
crypto ipsec ikev1 transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac 
crypto ipsec ikev1 transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac 
crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac 
crypto ipsec ikev1 transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac 
crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac 
!
crypto map backup-site2site_map 10 match address ipsec-backup-site2site
crypto map backup-site2site_map 10 set peer 10.0.1.1 
crypto map backup-site2site_map 10 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5
crypto map backup-site2site_map 10 set security-association lifetime seconds 28800
crypto map backup-site2site_map 10 set security-association lifetime kilobytes 4608000
crypto map backup-site2site_map interface backup-site2site
!
crypto map ppal-site2site_map 10 match address ipsec-ppal-site2site
crypto map ppal-site2site_map 10 set peer 172.16.0.1 
crypto map ppal-site2site_map 10 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5
crypto map ppal-site2site_map 10 set security-association lifetime seconds 28800
crypto map ppal-site2site_map 10 set security-association lifetime kilobytes 4608000
crypto map ppal-site2site_map interface ppal-site2site
!
crypto ikev1 enable backup-site2site
crypto ikev1 enable ppal-site2site
!
crypto ikev1 policy 1
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 28800
!
management-access lan-sede-delegacion
!
tunnel-group 10.0.1.1 type ipsec-l2l
tunnel-group 10.0.1.1 ipsec-attributes
 ikev1 pre-shared-key *****
!
tunnel-group 172.16.0.1 type ipsec-l2l
tunnel-group 172.16.0.1 ipsec-attributes
 ikev1 pre-shared-key *****
!

Observaciones de la configuración de la sede delegación:

En esta configuración no hay ruta por defecto, por lo que se puede deducir que no hay ruta hacia internet.
Esta configuración es únicamente para realizar la comunicación entre LAN’s usando ospf sobre ipsec.
Sin embargo, si que existe una ruta hacia el peer vpn por el enlace de backup a través de la gateway que representa el primer router a internet ( 10.0.2.2 )
Podríamos configurar un proceso de ip sla que monitorice las gateways y enrutar con pesos la default gateway según el estado del tracking.
Este proceso ip sla también nos podría hacer prescindir de ospf en esta topología, pero entonces no tendríamos enrutamiento dinámico que es más elegante y escala mucho mejor 🙂
El proceso y la explicación de ip sla lo veremos en otro post posterior.

  •  Configuración de la Sede Central
PIX Version 8.0(4) 
!

interface Ethernet1.400
 vlan 400
 nameif lan-sede-central
 security-level 100
 ip address 192.168.100.1 255.255.255.0 
!
interface Ethernet1.501
 vlan 501
 nameif backup-site2site
 security-level 0
 ip address 10.0.1.1 255.255.255.0 
 ospf cost 100
 ospf network point-to-point non-broadcast
 ospf message-digest-key 1 md5 misecretovpn
 ospf authentication message-digest
!
interface Ethernet1.601
 vlan 601
 nameif ppal-site2site
 security-level 2
 ip address 172.16.0.1 255.255.255.0 
 ospf network point-to-point non-broadcast
 ospf message-digest-key 1 md5 misecretovpn
 ospf authentication message-digest
!             

object-group network lan-sede-central
 network-object 192.168.100.0 255.255.255.0
object-group network lan-sede-delegacion
 network-object 192.168.200.0 255.255.255.0

access-list ipsec-ppal-site2site extended permit ip 192.168.100.0 255.255.255.0 192.168.200.0 255.255.255.0 
access-list ipsec-ppal-site2site extended permit ip interface ppal-site2site host 172.16.0.2 
access-list acl-lan-sede-central extended permit ip any any 
access-list acl-backup-site2site extended permit ip 192.168.100.0 255.255.255.0 192.168.200.0 255.255.255.0 
access-list acl-backup-site2site extended permit ip interface backup-site2site host 10.0.2.1 
access-list backup-site2site_access_in extended permit ip any any 

icmp permit any backup-site2site
icmp permit any ppal-site2site

nat (lan-sede-central) 0 0.0.0.0 0.0.0.0

access-group acl-lan-sede-central in interface lan-sede-central
!
router ospf 100
 network 10.0.1.0 255.255.255.0 area 0
 network 172.16.0.0 255.255.255.0 area 0
 network 192.168.100.0 255.255.255.0 area 0
 neighbor 172.16.0.2 interface ppal-site2site
 neighbor 10.0.2.1 interface backup-site2site
 log-adj-changes
!
route backup-site2site 10.0.2.1 255.255.255.255 10.0.1.2 1

sysopt connection permit-vpn
sysopt connection reclassify-vpn

crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac 
crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac 
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac 
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac 
crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac 
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac 
crypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac 
crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac 
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac 
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000

crypto map backup-site2site_map 10 match address acl-backup-site2site
crypto map backup-site2site_map 10 set peer 10.0.2.1 
crypto map backup-site2site_map 10 set transform-set ESP-3DES-SHA
crypto map backup-site2site_map 10 set security-association lifetime seconds 28800
crypto map backup-site2site_map 10 set security-association lifetime kilobytes 4608000
crypto map backup-site2site_map interface backup-site2site
crypto map ppal-site2site_map 10 match address ipsec-ppal-site2site
crypto map ppal-site2site_map 10 set peer 172.16.0.2 
crypto map ppal-site2site_map 10 set transform-set ESP-3DES-SHA
crypto map ppal-site2site_map 10 set security-association lifetime seconds 28800
crypto map ppal-site2site_map 10 set security-association lifetime kilobytes 4608000
crypto map ppal-site2site_map interface ppal-site2site
crypto isakmp identity address 

crypto isakmp enable backup-site2site
crypto isakmp enable ppal-site2site
crypto isakmp policy 5
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 28800
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400

!
management-access lan-sede-central
!

tunnel-group vpn-casa ipsec-attributes
 pre-shared-key *
tunnel-group 172.16.0.2 type ipsec-l2l
tunnel-group 172.16.0.2 ipsec-attributes
 pre-shared-key *
tunnel-group 10.0.2.1 type ipsec-l2l
tunnel-group 10.0.2.1 ipsec-attributes
 pre-shared-key *

¿ Qué sucede con las sesiones establecidas cuando cae un túnel y conmuta la ruta ospf ?

Veamos un ejemplo, imaginemos que un cliente en la LAN de la sede Delegación conecta por ssh a un servidor en la sede Central.

Desde el punto de vista desde el firewall de la delegación:

  1. El tráfico ssh del cliente en la delegación hacia el servidor de la central pasa por el túnel vpn principal
  2. El túnel vpn principal se cae.
  3. La ruta aprendida por ospf hacia la sede Central cambia por el circuito de backup.
  4. El cliente en la delegación experimenta que la conexión ssh que tenía establecida se ha caído.
  5. El cliente abre una nueva conexión ssh al servidor de la central satisfactoriamente a través del circuito de backup.
  6. Se recupera el circuito principal
  7. Se levanta la vpn por el circuito principal
  8. Se instala en la ruta aprendida por ospf hacia la sede central por el circuito principal.
  9. Al cliente en la delegación no se le corta la conexión ssh porque la sesión se mantiene en el circuito de backup que está operativo.
  10. Las nuevas conexiones hacia la central transitan por el circuito principal.

Cuando se cae un un túnel vpn con sesiones establecidas y hay enrutamiento dinámico sobre diferentes interfaces, las sesiones existentes no se reclasifican al nuevo túnel.

Esto tiene sentido porque estamos tratando con firewalls con tabla de sesiones asociadas a interfaces.
Si miramos las sesiones establecidas a través del túnel antes de la caída, observaremos que están ligadas al interfaz que tiene instalada la ruta ospf.
Al conmutar la ruta, vemos que prácticamente no se pierden pings “lan to lan” porque cada ping es una sesión, aunque más corta, ligada al interfaz.

Anexo:
Los comandos globales “sysopt connection reclassify-vpn” y “sysopt connection preserve-vpn-flowsno son de ayuda cuando las sesiones cambian de interfaz.
El comando “sysopt connection preserve-vpn-flows” mantiene las sesiones establecidas cuando un mismo túnel cae y levanta antes del timeout.
El comando “sysopt connection reclassify-vpn” permite mantener las sesiones establecidas cuando sobre un mismo interfaz, se permite tráfico sin cifrar con el túnel caído y de repente se recupera. El tráfico establecido sin cifrar se reclasifica a nivel de sesión dentro del reciente túnel levantado si la access-list de “protect” incluye origen y destino.
Si estamos enrutados por el túnel de backup y recupera el túnel principal, no se pierden las sesiones porque el tráfico establecido se mantiene sobre el backup aunque haya cambiado la tabla de rutas. El tránsito es aceptado porque el túnel se mantiene levantado.

Cisco ASA soporta ospf con balanceo de carga a 3 peers si están en el mismo interfaz. En esta topología no es posible.
Si usamos routers para terminar los túneles vpn sin firewalling o nat’s, este problema no existe porque no hay tabla de sesiones.

  • Verificación y Troubleshooting

Veamos los comandos principales y su salida para la verificación y resolución de problemas:

Verificamos fase 1 ( isakmp ) y fase 2 ( ipsec ) de las vpn

asa5505# show vpn-sessiondb l2l 

Session Type: LAN-to-LAN

Connection   : 10.0.1.1
Index        : 13                     IP Addr      : 10.0.1.1
Protocol     : IKEv1 IPsec
Encryption   : 3DES                   Hashing      : SHA1
Bytes Tx     : 731372                 Bytes Rx     : 732984
Login Time   : 20:07:20 UTC Tue Jun 25 2013
Duration     : 22h:42m:26s
Connection   : 172.16.0.1
Index        : 16                     IP Addr      : 172.16.0.1
Protocol     : IKEv1 IPsec
Encryption   : 3DES                   Hashing      : SHA1
Bytes Tx     : 2044                   Bytes Rx     : 3856
Login Time   : 18:46:41 UTC Wed Jun 26 2013
Duration     : 0h:03m:05s

tráfico ipsec wan to wan en el enlace principal
ospf cifrado:

asa5505# show crypto ipsec sa peer 172.16.0.1
peer address: 172.16.0.1
    Crypto map tag: ppal-site2site_map, seq num: 10, local addr: 172.16.0.2

      access-list ipsec-ppal-site2site extended permit ip interface ppal-site2site host 172.16.0.1 
      local ident (addr/mask/prot/port): (172.16.0.2/255.255.255.255/0/0)
      remote ident (addr/mask/prot/port): (172.16.0.1/255.255.255.255/0/0)
      current_peer: 172.16.0.1

      #pkts encaps: 29, #pkts encrypt: 29, #pkts digest: 29
      #pkts decaps: 29, #pkts decrypt: 29, #pkts verify: 29

-omitido- 
tráfico lan to lan

    Crypto map tag: ppal-site2site_map, seq num: 10, local addr: 172.16.0.2

      access-list ipsec-ppal-site2site extended permit ip 192.168.200.0 255.255.255.0 192.168.100.0 255.255.255.0 
      local ident (addr/mask/prot/port): (192.168.200.0/255.255.255.0/0/0)
      remote ident (addr/mask/prot/port): (192.168.100.0/255.255.255.0/0/0)
      current_peer: 172.16.0.1

      #pkts encaps: 41, #pkts encrypt: 41, #pkts digest: 41
      #pkts decaps: 41, #pkts decrypt: 41, #pkts verify: 41

-omitido-
tráfico ospf por interface de backup:

asa5505# show crypto ipsec sa peer 10.0.1.1               
peer address: 10.0.1.1
    Crypto map tag: backup-site2site_map, seq num: 10, local addr: 10.0.2.1

      access-list ipsec-backup-site2site extended permit ip interface backup-site2site host 10.0.1.1 
      local ident (addr/mask/prot/port): (10.0.2.1/255.255.255.255/0/0)
      remote ident (addr/mask/prot/port): (10.0.1.1/255.255.255.255/0/0)
      current_peer: 10.0.1.1

      #pkts encaps: 8469, #pkts encrypt: 8469, #pkts digest: 8469
      #pkts decaps: 8474, #pkts decrypt: 8474, #pkts verify: 8474
-omitido-

Verificamos ospf y la tabla de rutas:

Antes de establecerse la adyacencia OSPF :

asa5505# show ospf neighbor
Neighbor ID Pri State Dead Time Address Interface
N/A 0 DOWN/ - - 10.0.1.1 backup-site2site
N/A 0 DOWN/ - - 172.16.0.1 ppal-site2site

asa5505# show route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route

Gateway of last resort is not set

C 172.16.0.0 255.255.255.0 is directly connected, ppal-site2site
C 192.168.200.0 255.255.255.0 is directly connected, lan-sede-delegacion
C 192.168.5.0 255.255.255.0 is directly connected, management
C 10.0.2.0 255.255.255.0 is directly connected, backup-site2site
S 10.0.1.0 255.255.255.0 [1/0] via 10.0.2.2, backup-site2site
S 192.168.7.0 255.255.255.0 [1/0] via 192.168.5.1, management

Adyacencia OSPF establecida:

asa5505# show ospf neighbor

Neighbor ID Pri State Dead Time Address Interface
192.168.100.1 1 FULL/ - 0:00:38 10.0.1.1 backup-site2site
192.168.100.1 1 FULL/ - 0:00:38 172.16.0.1 ppal-site2site

asa5505# show route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route

Gateway of last resort is not set

C 172.16.0.0 255.255.255.0 is directly connected, ppal-site2site
C 192.168.200.0 255.255.255.0 is directly connected, lan-sede-delegacion
C 192.168.5.0 255.255.255.0 is directly connected, management
C 10.0.2.0 255.255.255.0 is directly connected, backup-site2site
S 10.0.1.0 255.255.255.0 [1/0] via 10.0.2.2, backup-site2site
S 192.168.7.0 255.255.255.0 [1/0] via 192.168.5.1, management
O 192.168.100.0 255.255.255.0
[110/20] via 172.16.0.1, 0:00:00, ppal-site2site

asa5505# show ospf interface

backup-site2site is up, line protocol is up
Internet Address 10.0.2.1 mask 255.255.255.0, Area 0
Process ID 100, Router ID 192.168.200.1, Network Type POINT_TO_POINT, Cost: 100
Transmit Delay is 1 sec, State POINT_TO_POINT,
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
Hello due in 0:00:02
Index 1/1, flood queue length 0
Next 0x00000000(0)/0x00000000(0)
Last flood scan length is 1, maximum is 2
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 1, Adjacent neighbor count is 1
Adjacent with neighbor 192.168.100.1
Suppress hello for 0 neighbor(s)
Message digest authentication enabled
Youngest key id is 1
ppal-site2site is up, line protocol is up
Internet Address 172.16.0.2 mask 255.255.255.0, Area 0
Process ID 100, Router ID 192.168.200.1, Network Type POINT_TO_POINT, Cost: 10
Transmit Delay is 1 sec, State POINT_TO_POINT,
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
Hello due in 0:00:01
Index 2/2, flood queue length 0
Next 0x00000000(0)/0x00000000(0)
Last flood scan length is 1, maximum is 2
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 1, Adjacent neighbor count is 1
Adjacent with neighbor 192.168.100.1
Suppress hello for 0 neighbor(s)
Message digest authentication enabled
Youngest key id is 1
  •  Debugs i Logs
asa5505# show debug 
debug ospf adj
debug ospf events
debug ospf packet
debug ospf tree

OSPF: Send with youngest Key 1
OSPF: Send with youngest Key 1
OSPF: rcv. v:2 t:1 l:48 rid:192.168.100.1
      aid:0.0.0.0 chk:0 aut:2 keyid:1 seq:0x4652 from backup-site2site
OSPF: Rcv hello from 192.168.100.1 area 0 from backup-site2site 10.0.1.1
OSPF: End of hello processing
OSPF: rcv. v:2 t:1 l:48 rid:192.168.100.1
      aid:0.0.0.0 chk:0 aut:2 keyid:1 seq:0x4653 from ppal-site2site
OSPF: Rcv hello from 192.168.100.1 area 0 from ppal-site2site 172.16.0.1
OSPF: End of hello processing

Caída de interfaz principal:

OSPF: Interface ppal-site2site going Down
OSPF: 192.168.200.1 address 192.168.200.1 on ppal-site2site is dead, state DOWN
OSPF: 192.168.100.1 address 192.168.100.1 on ppal-site2site is dead, state DOWN
OSPF: Added backup Network Route to 172.16.0.0
      Metric: 10, Next Hop: 172.16.0.2
Inc retrans unit nbr count index 2 (0/2) to 1/1
Set Nbr 192.168.100.1 2 first flood info from 0x00000000 (0) to 0xcad30b64 (341)
Init Nbr 192.168.100.1 2 next flood info to 0xcad30b64
OSPF: Add Type 1 LSA ID 192.168.200.1 Adv rtr 192.168.200.1 Seq 8000010b to backup-site2site 192.168.100.1 retransmission list
OSPF: Start backup-site2site 192.168.100.1 retrans timer
Set idb next flood info from 0x00000000 (0) to 0xcad30b64 (341)
OSPF: Add Type 1 LSA ID 192.168.200.1 Adv rtr 192.168.200.1 Seq 8000010b to backup-site2site flood list
OSPF: Start backup-site2site pacing timer
OSPF: Build router LSA for area 0, router ID 192.168.200.1, seq 0x8000010b
OSPF: Flooding update on backup-site2site to 0.0.0.1 Area 0
OSPF: Send Type 1, LSID 192.168.200.1, Adv rtr 192.168.200.1, age 1, seq 0x8000010b (0)
Create retrans unit 0xcad2fc30/0xcad2f0b8 2 (0/2) 1
OSPF: Set nbr 2 (0/2) retrans to 4702 count to 1
Set idb next flood info from 0xcad30b64 (341) to 0x00000000 (0)
OSPF: Remove Type 1 LSA ID 192.168.200.1 Adv rtr 192.168.200.1 Seq 8000010b from backup-site2site flood list
OSPF: Stop backup-site2site flood timer
OSPF: Send with youngest Key 1
OSPF: rcv. v:2 t:5 l:44 rid:192.168.100.1
      aid:0.0.0.0 chk:0 aut:2 keyid:1 seq:0x4661 from backup-site2site
OSPF: Received ACK from 192.168.100.1 on backup-site2site
OSPF: Rcv Ack Type 1, LSID 192.168.200.1, Adv rtr 192.168.200.1, age 1, seq 0x8000010b
Dec retrans unit nbr count index 2 (0/2) to 0/0
Free nbr retrans unit 0xcad2fc30/0xcad2f0b8 0 total 0. Also Free nbr retrans block
Set Nbr 192.168.100.1 2 first flood info from 0xcad30b64 (341) to 0x00000000 (0)
Adjust Nbr 192.168.100.1 2 next flood info to 0x00000000
OSPF: Remove Type 1 LSA ID 192.168.200.1 Adv rtr 192.168.200.1 Seq 8000010b from 192.168.100.1 retransmission list
OSPF: Stop nbr 192.168.100.1 retransmission timer
OSPF: running SPF for area 0
OSPF: Initializing to run spf
 It is a router LSA 192.168.200.1. Link Count 3
  Processing link 0, id 192.168.200.0, link data 255.255.255.0, type 3
   Add better path to LSA ID 192.168.200.255, gateway 192.168.200.0, dist 10
   Add path: next-hop 192.168.200.1, interface lan-sede-delegacion
  Processing link 1, id 192.168.100.1, link data 10.0.2.1, type 1
   Add better path to LSA ID 192.168.100.1, gateway 10.0.1.1, dist 100
   Add path: next-hop 10.0.1.1, interface backup-site2site
-omitido-
OSPF: insert route list LS ID 10.0.2.255, type 0, adv rtr 192.168.200.1
OSPF: Add Network Route to 172.16.0.0 mask 255.255.255.0. Metric: 110, Next Hop: 10.0.1.1
OSPF: insert route list LS ID 172.16.0.255, type 0, adv rtr 192.168.100.1
OSPF: Add Network Route to 192.168.100.0 mask 255.255.255.0. Metric: 110, Next Hop: 10.0.1.1
OSPF: Path left undeleted to 192.168.100.0
OSPF: delete lsa id 192.168.200.255, type 0, adv rtr 192.168.200.1 from delete list
OSPF: insert route list LS ID 192.168.200.255, type 0, adv rtr 192.168.200.1
OSPF: Entered old delete routine
OSPF: Old STUB NET route 192.168.100.0, mask 255.255.255.0, next hop 172.16.0.1 not exist
OSPF: Old STUB NET route 172.16.0.0, mask 255.255.255.0, next hop 172.16.0.2 not exist
OSPF: No ndb for STUB NET old route 10.0.1.0, mask 255.255.255.0, next hop 172.16.0.1
OSPF: delete lsa id 192.168.100.255, type 0, adv rtr 192.168.100.1 from delete list
OSPF: insert route list LS ID 192.168.100.255, type 0, adv rtr 192.168.100.1
OSPF: delete lsa id 172.16.0.255, type 0, adv rtr 192.168.200.1 from delete list
OSPF: delete lsa id 10.0.1.255, type 0, adv rtr 192.168.100.1 from delete list
OSPF: insert route list LS ID 10.0.1.255, type 0, adv rtr 192.168.100.1
OSPF: running spf for summaries area 0
OSPF: sum_delete_old_routes area 0
OSPF: Started Building Type 5 External Routes
OSPF: ex_delete_old_routes
OSPF: Started Building Type 7 External Routes
OSPF: ex_delete_old_routes

Recuperación de enlace principal:

OSPF: rcv. v:2 t:1 l:48 rid:192.168.100.1
      aid:0.0.0.0 chk:0 aut:2 keyid:1 seq:0x467d from ppal-site2site
OSPF: Rcv hello from 192.168.100.1 area 0 from ppal-site2site 172.16.0.1
OSPF: 2 Way Communication to 192.168.100.1 on ppal-site2site, state 2WAY
OSPF: Send DBD to 192.168.100.1 on ppal-site2site seq 0x13b0 opt 0x2 flag 0x7 len 32
OSPF: Send with youngest Key 1
OSPF: End of hello processing
OSPF: rcv. v:2 t:2 l:32 rid:192.168.100.1
      aid:0.0.0.0 chk:0 aut:2 keyid:1 seq:0x467e from ppal-site2site
OSPF: rcv. v:2 t:2 l:72 rid:192.168.100.1
      aid:0.0.0.0 chk:0 aut:2 keyid:1 seq:0x467f from ppal-site2site
OSPF: Rcv DBD from 192.168.100.1 on ppal-site2site seq 0x940 opt 0x2 flag 0x7 len 32  mtu 1500 state EXSTART
OSPF: First DBD and we are not SLAVE
OSPF: Rcv DBD from 192.168.100.1 on ppal-site2site seq 0x13b0 opt 0x2 flag 0x2 len 72  mtu 1500 state EXSTART
OSPF: NBR Negotiation Done. We are the MASTER
OSPF: Send DBD to 192.168.100.1 on ppal-site2site seq 0x13b1 opt 0x2 flag 0x3 len 72
OSPF: Send with youngest Key 1
OSPF: rcv. v:2 t:2 l:32 rid:192.168.100.1
      aid:0.0.0.0 chk:0 aut:2 keyid:1 seq:0x4680 from ppal-site2site
OSPF: Rcv DBD from 192.168.100.1 on ppal-site2site seq 0x13b1 opt 0x2 flag 0x0 len 32  mtu 1500 state EXCHANGE
OSPF: Send DBD to 192.168.100.1 on ppal-site2site seq 0x13b2 opt 0x2 flag 0x1 len 32
OSPF: Send with youngest Key 1
OSPF: rcv. v:2 t:2 l:32 rid:192.168.100.1
      aid:0.0.0.0 chk:0 aut:2 keyid:1 seq:0x4681 from ppal-site2site
OSPF: Rcv DBD from 192.168.100.1 on ppal-site2site seq 0x13b2 opt 0x2 flag 0x0 len 32  mtu 1500 state EXCHANGE
OSPF: Exchange Done with 192.168.100.1 on ppal-site2site
OSPF: Synchronized with 192.168.100.1 on ppal-site2site, state FULL

OSPF: Add Network Route to 192.168.100.0 mask 255.255.255.0. Metric: 20, Next Hop: 172.16.0.1

 

 

Posted on 26/06/2013 by . This entry was posted in adsl y FTTH, Cisco, enrutamiento dinámico, Firewall, Pix and tagged , , , . Bookmark the permalink.

3 Comments

  • Alejandro
    04/09/2013 - 10:58 pm | Permalink

    Hola, te quería comentar un problema que tengo con OSPF y un enlace punto a punto.

    El problema es el siguiente, entre los routers se establece el OSPF, se obtiene navegación web, telefonia, y navegar en la Lan interna, pero las transferencias de archivos (en windows, entre maquinas) se torna asimetrica 6MB/s de un punto a otro, y 150KB/s en el otro sentido.

    Curiosamente si sobre el enlace no se transporta OSPF, el enlace hace todo lo anterior y las transferencias son simétricas y llegan al tope de la capacidad del enlace 100Mbps.

    Reply
    • Xavi Céspedes
      05/09/2013 - 9:05 am | Permalink

      Hola Alejandro,

      Sin conocer la topología y con esta información, lo que sucede es que cuando tienes rutas estáticas la distancia administrativa es menor.
      Revisa las rutas aprendidas y publicadas por OSPF en tus routers, es posible que algún problema de máscara, sumarización etc haga que estés recibiendo una ruta igual por otro camino.
      ¿Has visto si pierdes paquetes?
      El protocolo CIFS usado en sistemas Windows para compartir directorios de forma remota es conocido por ser extremadamente sensible a la latencia.

      Saludos.

      Reply
  • Alejandro
    05/09/2013 - 9:25 pm | Permalink

    Xavi, a ver si te aclaro un poco el panorama:

    La topologia es la siguiente, hay dos sitios A y B, cada uno administra sus propias VLANs y tienen un Router que reune las VLANs las empaqueta sobre una boca de salida, y le publica al otro router a traves de OSPF como reasignar cada VLAN en el Otro extremo. Entre los dos Routers he puesto unos nuevos equipos NEC, que reemplazan un enlace Nokia mas antiguo.

    El punto es que con el equipo Nokia (bridge L2) nunca hubieron problemas. El motivo del cambio es un aumento de la capacidad del sistema.

    Con el nuevo equipo Nec, hace todo bien menos las transferencias de archivos entre maquinas corriendo Windows.

    Tenes idea de como deberian estar configurados los parámetros de STP (spanning tree protocol). Te parece que tuviese algo que ver.

    y el MTU de la red?

    Reply

    • Leave a Reply to Alejandro Cancel reply

    Your email address will not be published. Required fields are marked *