已解决: asa5515 ospf 不宣告 VPN网段

xingguang-liu · ‎09-05-2024

求助大神

问题描述为，ASA配置OSPF后不能宣告VPN网段。

如果配置EIGRP，则其他设备可以学习到VPN网段。

Cisco Adaptive Security Appliance Software Version 9.12(4)67
SSP Operating System Version 2.6(1.272)
Device Manager Version 7.20(2)

在ASA上配置了 OSPF 进程100

宣告了

router ospf 100
router-id 172.16.254.254
network 172.16.170.0 255.255.255.0 area 0
network 172.16.180.0 255.255.255.0 area 0
network 172.16.190.0 255.255.255.0 area 0
network 172.16.200.0 255.255.255.0 area 0
network 172.16.254.0 255.255.255.0 area 0
area 0
log-adj-changes

其中 172.16.170.0,180.0,190,0,200.0 4个网段为VPN pool

配置后在本机能学习到其他OSPF的网段，但是其他设备上学习不到上述4个VPN网段。。

asa5515# show route

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
Gateway of last resort is 10.20.253.254 to network 0.0.0.0

S* 0.0.0.0 0.0.0.0 [1/0] via 10.20.253.254, outside
C 10.20.253.0 255.255.255.0 is directly connected, outside
L 10.20.253.253 255.255.255.255 is directly connected, outside
O 172.16.0.0 255.255.255.0 [110/11] via 172.16.254.1, 00:41:47, inside
V 172.16.170.1 255.255.255.255 connected by VPN (advertised), outside
V 172.16.200.1 255.255.255.255 connected by VPN (advertised), outside
O 172.16.250.0 255.255.255.0
[110/11] via 172.16.254.1, 00:41:47, inside
O 172.16.253.0 255.255.255.0
[110/11] via 172.16.254.1, 00:41:47, inside
C 172.16.254.0 255.255.255.0 is directly connected, inside
L 172.16.254.254 255.255.255.255 is directly connected, inside
O 172.16.255.0 255.255.255.0
[110/11] via 172.16.254.1, 00:41:47, inside

asa5515#

Cisco2911-V-Sec#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
a - application route
+ - replicated route, % - next hop override, p - overrides from PfR

Gateway of last resort is 172.16.254.254 to network 0.0.0.0

S* 0.0.0.0/0 [1/0] via 172.16.254.254
172.16.0.0/16 is variably subnetted, 6 subnets, 2 masks
O 172.16.0.0/24 [110/2] via 172.16.255.1, 00:42:34, GigabitEthernet0/1
O 172.16.250.0/24
[110/2] via 172.16.255.1, 00:42:34, GigabitEthernet0/1
O 172.16.253.0/24
[110/2] via 172.16.255.1, 00:42:34, GigabitEthernet0/1
O 172.16.254.0/24
[110/2] via 172.16.255.1, 00:42:34, GigabitEthernet0/1
C 172.16.255.0/24 is directly connected, GigabitEthernet0/1
L 172.16.255.254/32 is directly connected, GigabitEthernet0/1
Cisco2911-V-Sec#

请问是OSPF配置中缺少什么配置吗？导致无法宣告VPN网段。

求助。谢谢

Rps-Cheers · ‎09-05-2024

这些网段真实存在吗？如果不存在，可以配置静态路由，重发布到ospf中

例如：

route inside 192.168.10.0 255.255.255.0 <下一跳>
route inside 192.168.20.0 255.255.255.0 <下一跳>

ospf中重发布：

redistribute static subnets

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rps-Cheers | If it solves your problem, please mark as answer. Thanks !

在原帖中查看解决方案

xingguang-liu · ‎09-05-2024

您好大师

感谢回复

网段在VPN拨通的时候存在，没有建立VPN的时候网段不存在。

那么之前选择用EIGRP的时候，当VPN拨通后，其他路由器自动学习到例如 172.16.170.0/24这个网段。

但是我用了OSPF后，当VPN播通后，其他路由器的路由表里没有 172.16.170.0/24这个网段。

这就是问题

因为这几个网段是在这台ASA防火墙上，所以没办法再本机再指静态路由了。（我理解是这样）

在原帖中查看解决方案

ilay · ‎09-05-2024

从根源上讲，OSPF是一个链路状态路由协议，vpn的4个pool地址并没有实际的接口存活在asa上面，故而虽然宣告了该网段，但由于没有实际存活的接口，导致没有相关的LSA消息，ospf也就无法学习并形成LSDB，LSDB中没有这些信息也就不可能会有路由。

你的需求本质上是让vpn的地址可以正常访问到内部，这样可以吧这个需求拆分一下

1.asa如何到内网

- 如果你的内部地址分配比较杂乱，且并没有什么规律或者汇总起来比较麻烦，可以保留ospf，这样asa可以获悉内网的所有明细路由，

- 如果内部地址可以汇总，比如都使用172.16.x.x ，或者10.x.x.x的地址，那么可以直接在asa上写几条汇总过之后的静态路由，那么同样可以实现asa到内部网络的需求

2.内部地址如何有到vpn pool的路由

这个可以直接在与asa互联的内部路由器或者交换机上添加4条静态路由，下一跳指向asa的接口地址，然后同时在该设备上讲4条静态路通过重分发的方式注入到ospf中，这样ospf域内也就可以正常获得vpn的路由，从而解决内网地址到vpn pool的问题。

此外你或许可能会有疑问，在路由器/交换机上重分发路由，asa上会不会受影响。首先，asa是肯定会从ospf中拿到4个pool的汇总路由的，但实际vpn自动生成的/32的主机路由metric更低，所以实际使用过程中并不会有什么影响，当然如果你内部地址够汇总的话，完全可以砍掉asa的ospf

在原帖中查看解决方案

Rps-Cheers · ‎09-05-2024

这些网段真实存在吗？如果不存在，可以配置静态路由，重发布到ospf中

例如：

route inside 192.168.10.0 255.255.255.0 <下一跳>
route inside 192.168.20.0 255.255.255.0 <下一跳>

ospf中重发布：

redistribute static subnets

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rps-Cheers | If it solves your problem, please mark as answer. Thanks !

xingguang-liu · ‎09-05-2024

您好大师

感谢回复

网段在VPN拨通的时候存在，没有建立VPN的时候网段不存在。

那么之前选择用EIGRP的时候，当VPN拨通后，其他路由器自动学习到例如 172.16.170.0/24这个网段。

但是我用了OSPF后，当VPN播通后，其他路由器的路由表里没有 172.16.170.0/24这个网段。

这就是问题

因为这几个网段是在这台ASA防火墙上，所以没办法再本机再指静态路由了。（我理解是这样）

ilay · ‎09-05-2024

从根源上讲，OSPF是一个链路状态路由协议，vpn的4个pool地址并没有实际的接口存活在asa上面，故而虽然宣告了该网段，但由于没有实际存活的接口，导致没有相关的LSA消息，ospf也就无法学习并形成LSDB，LSDB中没有这些信息也就不可能会有路由。

你的需求本质上是让vpn的地址可以正常访问到内部，这样可以吧这个需求拆分一下

1.asa如何到内网

- 如果你的内部地址分配比较杂乱，且并没有什么规律或者汇总起来比较麻烦，可以保留ospf，这样asa可以获悉内网的所有明细路由，

- 如果内部地址可以汇总，比如都使用172.16.x.x ，或者10.x.x.x的地址，那么可以直接在asa上写几条汇总过之后的静态路由，那么同样可以实现asa到内部网络的需求

2.内部地址如何有到vpn pool的路由

这个可以直接在与asa互联的内部路由器或者交换机上添加4条静态路由，下一跳指向asa的接口地址，然后同时在该设备上讲4条静态路通过重分发的方式注入到ospf中，这样ospf域内也就可以正常获得vpn的路由，从而解决内网地址到vpn pool的问题。

此外你或许可能会有疑问，在路由器/交换机上重分发路由，asa上会不会受影响。首先，asa是肯定会从ospf中拿到4个pool的汇总路由的，但实际vpn自动生成的/32的主机路由metric更低，所以实际使用过程中并不会有什么影响，当然如果你内部地址够汇总的话，完全可以砍掉asa的ospf

xingguang-liu · ‎09-05-2024

按照上述两位大佬的指引，已经搞定了。

谢谢两位大佬指点