【强叔侃墙 内功心法篇2】当安全策略遇上OSPF

honghao_ouyang

在安全策略初体验一篇中，强叔提到，路由协议一般是不受安全策略控制的，防火墙直接允许路由协议的报文通过。强叔还提到，这和具体产品实现有关，不同型号的产品会有差异。大家看完帖子后感觉有点语焉不详，纷纷向强叔咨询这个问题。今天，强叔就使用华为防火墙USG9000（软件版本为V300R001）来实际验证一把，看一看当安全策略遇上OSPF路由协议时，会发生什么事情。
需要说明一点，本篇验证的是防火墙本身参与到OSPF路由计算的场景，即验证防火墙接口所在安全区域与Local区域之间是否需要开启安全策略。而防火墙本身不参与OSPF路由计算，只是二层转发OSPF路由报文的场景中，如果防火墙的接口属于不同的安全区域，则需要开启安全区域之间的安全策略，允许OSPF路由报文通过。
我们使用一台USG9000防火墙和两台路由器搭建一个简单的网络环境，网络拓扑如下图所示：

                               
登录/注册后可看大图

honghao_ouyang

根据下表中的数据，在USG9000上配置接口的IP地址、将接口加入安全区域、开启OSPF功能，以及在路由器R1和R2上配置接口的IP地址、开启OSPF功能。具体配置过程在这里不再赘述。  

配置项
USG9000
R1
R2

接口
#

interface GigabitEthernet1/1/9

ip address 30.1.1.10 255.255.255.0

#
#

interface GigabitEthernet5/0/0

ip address 30.1.1.11 255.255.255.0

#

interface GigabitEthernet5/0/1

ip address 50.1.1.11 255.255.255.0

#
#

interface GigabitEthernet0/0/4

ip address 50.1.1.10 255.255.255.0

#

安全区域
#

firewall zone untrust

set priority 5

add interface GigabitEthernet1/1/9

#
-
-

OSPF
#

ospf 1

area 0.0.0.1

  network 30.1.1.0 0.0.0.255

#
#

ospf 1

area 0.0.0.1

  network 30.1.1.0 0.0.0.255

  network 50.1.1.0 0.0.0.255

#
#

ospf 1

area 0.0.0.1

  network 50.1.1.0 0.0.0.255

#



  

默认情况下，防火墙上没有开启GE1/1/9接口所在的Untrust区域和Local区域之间的安全策略，这两个区域之间不允许报文通过。我们在防火墙上使用display ospf peer命令查看OSPF的邻接关系：
  

在路由器R1上使用display ospf peer命令查看OSPF的邻接关系：
  

honghao_ouyang

在USG9000和R1上看到的OSPF邻接状态都为ExStart，我们根据下面的OSPF邻接关系建立过程示意图，发现OSPF邻接关系没建立起来，因为USG9000和R1之间没有成功交换DD（Database Description）报文。

  

此时，我们怀疑有可能是USG9000丢弃了DD报文。在USG9000上使用display firewall statistic system discarded命令查看丢包信息：

honghao_ouyang

欢迎访问华为官方网站论坛，有更多精彩等着您！

肖晓武

资料很好