このコーナーも3回目になりましたね。
仮に1回目と2回目が全然分からなかった場合は、絶対にINEのATCやOfficial Guide vol1等でコンセプトから勉強してください。
このコーナーはあくまでも既にコンセプトをマスター人用のラボ対策Tipなので、これだけを勉強しても間違いなくラボにはFailします。
もちろん、実務でも役立つはずですよ!
では、いってみよう。
7. OSPF関係のパケットがインターフェースでACLフィルタリングされている
「OSPF通信が何かおかしい!」って場合に真っ先に思いつくのはこれではないでしょうか?
もちろん可能性としてはあるのですが、この可能性だけにとらわれてはいけません。今まで紹介した問題も同じくらい考えられるので、先入観は持たないでくださいね。相手はCCIEラボですから。
OSPFのパケットはTCPではない独自のタイプですから、ACLでフィルタされていたらこんな感じでしょう。
R10#sh access-lists
Extended IP access list 100
10 deny ospf any any (2 matches)
20 permit ip any any
R10#sh run int g1/0.108
Building configuration...
Current configuration : 221 bytes
!
interface GigabitEthernet1/0.108
encapsulation dot1Q 108
ip address 155.1.108.10 255.255.255.0
ip access-group 100 in
ip access-group 100 out
end
R10#
%OSPF-5-ADJCHG: Process 1, Nbr 150.1.8.8 on GigabitEthernet1/0.108 from FULL to DOWN, Neighbor Down: Dead timer expiredこれは「sh access-lists」を見れば一発です。サクッと切り分けましょう。
8. QOSのMQCでOSPFパケットがドロップされてる
これがすらすらと分かれば、かなりいい感じです。
例えば、こんな問題が出るかもしれませんよ。
R1#sh access-l
Extended IP access list NO_OSPF
10 permit ospf any anyOSPFパケットだけが許可されるACLがあります。
R1#sh run | s class- class-map match-all NO_OSPF_CLASS match access-group name NO_OSPF
そのACLにマッチするclass-mapが設定されています。
R1#sh run | s policy- policy-map NO_OSPF_POLICY class NO_OSPF_CLASS drop
ここが肝です。上記のclass-mapをpolicy-mapに設定されており、そのactionがdropになっています。
R1#sh run int e0/1 Building configuration... Current configuration : 105 bytes ! interface Ethernet0/1 ip address 192.168.12.1 255.255.255.0 service-policy input NO_OSPF_POLICY end
そして、そのpolicy-mapがインターフェースに設定されています。
R1# *Jul 19 21:12:19.775: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.12.2 on Ethernet0/1 from FULL to DOWN, Neighbor Down: Dead timer expired R1#
これで、ネイバーがダウンします。e0/1のpolicy状態を見てみましょうか。
R1#sh policy-map int e0/1
Ethernet0/1
Service-policy input: NO_OSPF_POLICY
Class-map: NO_OSPF_CLASS (match-all)
13 packets, 1222 bytes
5 minute offered rate 0000 bps, drop rate 0000 bps
Match: access-group name NO_OSPF
drop
Class-map: class-default (match-any)
23 packets, 1702 bytes
5 minute offered rate 0000 bps, drop rate 0000 bps
Match: any
R1#どうでしょうか。NO_OSPF_CLASSがパケットをドロップしているのがわかりますね。
多分、今まで私が紹介してきたケースの中で一番難しかったのでは?
でも、これも、こういうケースがあると知っていたら簡単です。初めに「sh policy-map」とかやって炙り出せばいいのです。
9. PBRでドロップされている
例えば、OSPF helloのマルチキャストアドレスがPBRでドロップ、若しくはnext hopがおかしくなっている等です。
これも「sh route-map」とかで簡単に見つけれますよね。
ここまでで、3回目も終了です
今回は、フィルタリングされていてネイバーを張る為のパケットが到達しないケースを中心に取り上げてみました。今後EIGRPやマルチキャストのTshoot対策も予定していますが、基本同じ考えが適用されます。
- ACLがインターフェースに適用されている
- MQCが(以下同文)
- PBRが(以下同文)
このパターンは真っ先に疑いましょう!
このコーナーはもう少し続きます。でも、最近仕事がかなり忙しくなってきたので、このペースでの記事更新は厳しくなってきました。
この記事の内容がすんなり理解出来なかった方は、INEのWorkbookをマスター出来ていない可能性が高いです。
INEのOSPFセクションを何度も繰り返してください。私はINEのOSPFセクションを全て1時間程度で終わらせれます。
また、以下のOfficial Guide Vol1のOSPFセクションを読み直してください。まだ購入していない方、小手先の勉強でCCIE合格は無理です。必要な書籍は購入して、しっかり体系だった勉強をしましょう。勉強に重要な書籍をケチって回り道をしても、ラボ試験にFailしたら結局時間と費用を無駄にします。
必要な書籍は、買いましょう。
コメント