Tweet
OSPF Troubleshooting: Hai lỗi liên quan đến Different Subnets và Passive Interface
Khi OSPF không hình thành quan hệ láng giềng Neighbor Adjacency, ngoài các nguyên nhân như Area ID, Timer hay Authentication, còn có hai lỗi rất phổ biến nhưng thường bị bỏ sót:
1. Different Subnets
OSPF yêu cầu các Neighbor phải nằm cùng subnet
Để hai router trở thành OSPF Neighbor, trước tiên chúng phải có khả năng giao tiếp trực tiếp ở Layer 3. Điều này có nghĩa là các interface kết nối với nhau phải thuộc cùng mạng IP.
Ví dụ:
Router R1
interface GigabitEthernet1/0
ip address 10.1.12.1 255.255.255.0
ip ospf 1 area 1
Router R2
interface GigabitEthernet0/0
ip address 10.1.12.2 255.255.255.0
Dễ dàng nhận thấy:
10.1.12.1/24
10.1.12.2/24
Cả hai đều thuộc:
10.1.12.0/24
Do đó điều kiện về subnet đã được đáp ứng.
Các lỗi cấu hình thường gặp
Ví dụ: Router R1
ip address 10.1.12.1 255.255.255.0
Router R2
ip address 10.1.13.2 255.255.255.0
Khi đó:
10.1.12.0/24
10.1.13.0/24
Là hai subnet khác nhau.
Kết quả:
Không nhận được Hello Packet
Không hình thành Neighbor
Cách kiểm tra nhanh
Lệnh đơn giản nhất:
show run interface gigabitEthernet 1/0
hoặc:
show ip interface brief
Trong môi trường thực tế, nhiều kỹ sư thường mất thời gian kiểm tra OSPF trong khi nguyên nhân chỉ đơn giản là cấu hình sai subnet mask.
Ví dụ:
10.1.12.1/24
10.1.12.2/25
Thoạt nhìn địa chỉ có vẻ đúng nhưng subnet thực tế lại khác nhau. Đây là lỗi khá phổ biến khi triển khai mạng diện rộng hoặc Data Center với nhiều kỹ sư cùng tham gia cấu hình.
2. Passive Interface
Passive Interface là gì?
Passive Interface là một trong những tính năng bảo mật quan trọng nhất của OSPF. Khi một interface được cấu hình Passive:
Advertise Route = Có
Form Neighbor = Không Tại sao nên sử dụng Passive Interface?
Passive Interface mang lại hai lợi ích lớn: Giảm lưu lượng do OSPF tạo ra
Không cần gửi Hello Packet liên tục trên các mạng không có router OSPF.
Ví dụ:
Nếu một router lạ được cắm vào mạng:
User VLAN
thì router đó sẽ không thể hình thành OSPF Adjacency.
Điều này giúp ngăn chặn:
Sử dụng:
show ip protocols
Ví dụ:
Passive Interface(s):
GigabitEthernet0/0
Điều này cho thấy:
Gi0/0 đang ở trạng thái Passive
Router sẽ không gửi hoặc nhận OSPF Hello trên interface này. Sai lầm phổ biến
Một kỹ sư triển khai OSPF với mô hình:
R1 -------- R2
Sau đó áp dụng best practice:
passive-interface default
Nhưng quên bật lại interface kết nối Neighbor:
router ospf 1
passive-interface default
Lúc này:
OSPF Process = Running
Network Statement = Đúng
Area = Đúng
Timer = Đúng
Nhưng Neighbor vẫn không xuất hiện.
Nguyên nhân:
Interface đang Passive Cách khắc phục
Nếu interface cần hình thành Neighbor:
router ospf 1
no passive-interface GigabitEthernet1/0
Mô hình cấu hình phổ biến trong Enterprise:
router ospf 1
passive-interface default
no passive-interface GigabitEthernet1/0
no passive-interface GigabitEthernet2/0
no passive-interface GigabitEthernet3/0
Đây là phương pháp được khuyến nghị trong các hệ thống lớn vì tránh việc vô tình hình thành OSPF với các thiết bị không mong muốn.
Góc nhìn thực chiến CCNP/CCIE
Khi OSPF không hình thành Neighbor, thứ tự kiểm tra nhanh thường là:
Nếu bạn thấy OSPF hoàn toàn "im lặng", không có Hello Packet và không có log báo lỗi nào, bạn hãy kiểm tra Passive Interface trước khi đi sâu vào các nguyên nhân phức tạp hơn. Đây là một trong những lỗi có thể khiến giới kỹ sư chúng ta mất hàng giờ troubleshooting chỉ vì một dòng cấu hình bị bỏ quên. Cám ơn các bạn đã đọc.
Khi OSPF không hình thành quan hệ láng giềng Neighbor Adjacency, ngoài các nguyên nhân như Area ID, Timer hay Authentication, còn có hai lỗi rất phổ biến nhưng thường bị bỏ sót:
- Hai interface không nằm cùng IP subnet.
- Interface bị cấu hình Passive Interface.
1. Different Subnets
OSPF yêu cầu các Neighbor phải nằm cùng subnet
Để hai router trở thành OSPF Neighbor, trước tiên chúng phải có khả năng giao tiếp trực tiếp ở Layer 3. Điều này có nghĩa là các interface kết nối với nhau phải thuộc cùng mạng IP.
Ví dụ:
Router R1
interface GigabitEthernet1/0
ip address 10.1.12.1 255.255.255.0
ip ospf 1 area 1
Router R2
interface GigabitEthernet0/0
ip address 10.1.12.2 255.255.255.0
Dễ dàng nhận thấy:
10.1.12.1/24
10.1.12.2/24
Cả hai đều thuộc:
10.1.12.0/24
Do đó điều kiện về subnet đã được đáp ứng.
Các lỗi cấu hình thường gặp
Ví dụ: Router R1
ip address 10.1.12.1 255.255.255.0
Router R2
ip address 10.1.13.2 255.255.255.0
Khi đó:
10.1.12.0/24
10.1.13.0/24
Là hai subnet khác nhau.
Kết quả:
Không nhận được Hello Packet
Không hình thành Neighbor
Cách kiểm tra nhanh
Lệnh đơn giản nhất:
show run interface gigabitEthernet 1/0
hoặc:
show ip interface brief
Trong môi trường thực tế, nhiều kỹ sư thường mất thời gian kiểm tra OSPF trong khi nguyên nhân chỉ đơn giản là cấu hình sai subnet mask.
Ví dụ:
10.1.12.1/24
10.1.12.2/25
Thoạt nhìn địa chỉ có vẻ đúng nhưng subnet thực tế lại khác nhau. Đây là lỗi khá phổ biến khi triển khai mạng diện rộng hoặc Data Center với nhiều kỹ sư cùng tham gia cấu hình.
2. Passive Interface
Passive Interface là gì?
Passive Interface là một trong những tính năng bảo mật quan trọng nhất của OSPF. Khi một interface được cấu hình Passive:
- Không gửi OSPF Hello
- Không nhận OSPF Hello
- Không hình thành Neighbor
- Mạng kết nối vào interface đó vẫn được quảng bá vào OSPF
Advertise Route = Có
Form Neighbor = Không Tại sao nên sử dụng Passive Interface?
Passive Interface mang lại hai lợi ích lớn: Giảm lưu lượng do OSPF tạo ra
Không cần gửi Hello Packet liên tục trên các mạng không có router OSPF.
Ví dụ:
- VLAN User
- VLAN Server
- VLAN Camera
- VLAN Printer
Nếu một router lạ được cắm vào mạng:
User VLAN
thì router đó sẽ không thể hình thành OSPF Adjacency.
Điều này giúp ngăn chặn:
- Rogue Router
- Route Injection
- OSPF Attack
Sử dụng:
show ip protocols
Ví dụ:
Passive Interface(s):
GigabitEthernet0/0
Điều này cho thấy:
Gi0/0 đang ở trạng thái Passive
Router sẽ không gửi hoặc nhận OSPF Hello trên interface này. Sai lầm phổ biến
Một kỹ sư triển khai OSPF với mô hình:
R1 -------- R2
Sau đó áp dụng best practice:
passive-interface default
Nhưng quên bật lại interface kết nối Neighbor:
router ospf 1
passive-interface default
Lúc này:
OSPF Process = Running
Network Statement = Đúng
Area = Đúng
Timer = Đúng
Nhưng Neighbor vẫn không xuất hiện.
Nguyên nhân:
Interface đang Passive Cách khắc phục
Nếu interface cần hình thành Neighbor:
router ospf 1
no passive-interface GigabitEthernet1/0
Mô hình cấu hình phổ biến trong Enterprise:
router ospf 1
passive-interface default
no passive-interface GigabitEthernet1/0
no passive-interface GigabitEthernet2/0
no passive-interface GigabitEthernet3/0
Đây là phương pháp được khuyến nghị trong các hệ thống lớn vì tránh việc vô tình hình thành OSPF với các thiết bị không mong muốn.
Góc nhìn thực chiến CCNP/CCIE
Khi OSPF không hình thành Neighbor, thứ tự kiểm tra nhanh thường là:
- Interface Up/Up chưa?
- Hai IP có cùng subnet không?
- Ping trực tiếp được không?
- Area ID có giống nhau không?
- Timer có khớp không?
- Authentication có khớp không?
- Interface có đang Passive không?
Nếu bạn thấy OSPF hoàn toàn "im lặng", không có Hello Packet và không có log báo lỗi nào, bạn hãy kiểm tra Passive Interface trước khi đi sâu vào các nguyên nhân phức tạp hơn. Đây là một trong những lỗi có thể khiến giới kỹ sư chúng ta mất hàng giờ troubleshooting chỉ vì một dòng cấu hình bị bỏ quên. Cám ơn các bạn đã đọc.