المحول L2 على FPR1010، البنية، التحقق من الصحة واستكشاف الأخطاء وإصلاحها
المحتويات
المقدمة
يصف هذا وثيقة ال L2 مفتاح على FP1010 أداة. وعلى وجه التحديد، يغطي هذا الجزء بشكل رئيسي من التنفيذ نظام التشغيل الموسع Firepower/FirePOWER. في إصدار 6. 5، قام Firepower 1010 (طراز سطح المكتب) بتمكين إمكانات التحويل على محول أجهزة L2 المدمج. يساعدك ذلك على تجنب محولات الأجهزة الإضافية وخفض التكلفة.
المتطلبات الأساسية
المتطلبات
لا توجد متطلبات خاصة لهذا المستند.
المكونات المستخدمة
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
- FP1010 هو طراز مكتبي للمكاتب الصغيرة والمكاتب المنزلية (SOHO) يأتي كبديل لمنصتي ASA5505 و ASA5506-X.
- دعم البرامج لصور FTD (6.4+) المدارة بواسطة مركز إدارة FirePOWER (FMC) أو مدير أجهزة FirePOWER (FDM) أو تنسيق الدفاع عن السحابة (CDO).
- دعم البرامج لصور ASA (9.13+) المدارة بواسطة CSM أو ASDM أو CLI.
- يتم تجميع نظام التشغيل (OS) أو ASA أو FTD (يشبه FP21xx) بنظام FXOS.
- 8 منافذ بيانات بسرعة 10/100/1000 ميجابت في الثانية.
- تدعم المنافذ من الفئة E1/7 و E1/8 تقنية التزويد بالطاقة عبر شبكة إيثرنت+.
- يسمح مفتاح الأجهزة بالاتصال بمعدل الخط بين المنافذ (مثل: تغذية الكاميرا في الخادم المحلي).
إضافات Firepower 6.5
- تقديم نوع جديد من الواجهة يسمى الواجهة الظاهرية المحولة (SVI).
- الوضع المختلط: يمكن تكوين الواجهات في الوضع محول (L2) أو غير محول (L3).
- تقوم واجهات وضع L3 بإعادة توجيه جميع الحزم إلى تطبيق الأمان.
- يمكن لمنافذ وضع L2 التبديل في الجهاز إذا كان المنفذان جزءا من شبكة VLAN نفسها التي تحسن الإنتاجية وزمن الوصول. وتصل الحزم التي يلزم توجيهها أو تجزئتها إلى تطبيق الأمان (مثل كاميرا تقوم بتنزيل برنامج ثابت جديد من الإنترنت) وتخضع لفحص الأمان وفقا للتكوين.
- يمكن إقران الواجهة المادية من المستوى الثاني بواجهة SVI واحدة أو عدة واجهات.
- يمكن أن تكون واجهات وضع L2 في وضع الوصول أو خط الاتصال.
- تتيح واجهة L2 لوضع الوصول حركة المرور غير المميزة فقط.
- تتيح واجهة L2 لوضع خط الاتصال حركة المرور المميزة.
- دعم شبكة VLAN الأصلية لواجهة L2 لوضع خط الاتصال.
- تم تحسين ASA CLIs، ASDM، CSM، FDM، FMC لدعم الميزات الجديدة.
إضافات FMC
- تم تقديم وضع واجهة جديد يسمى switchport للواجهة المادية التي يتم إستخدامها لتحديد ما إذا كانت الواجهة المادية هي واجهة L3 أو L2.
- يمكن ربط الواجهة المادية L2 بواجهة واحدة أو عدة واجهات VLAN استنادا إلى وضع الوصول أو خط الاتصال.
- يدعم Firepower 1010 تكوين تقنية التزويد بالطاقة عبر شبكة إيثرنت (PoE) في آخر واجهات البيانات، أي إيثرنت 1/7 وإيثرنت 1/8.
- يعمل تغيير الواجهة بين المحولة وغير المحولة على مسح جميع التكوينات باستثناء تكوين التزويد بالطاقة عبر شبكة إيثرنت (PoE) والأجهزة.
كيف يعمل
هذه الميزة هي مجرد تحسين لدعم الواجهة الموجود على FMC (إدارة الأجهزة > صفحة الواجهة).
عرض الواجهة المادية (L2 و L3)
بنية FP1010
- 8 منافذ بيانات خارجية.
- محول داخلي واحد.
- 3 منافذ توصيل (إثنان منها معروض في الصورة)، واحد لمستوى البيانات، واحد لمستوى التحكم، واحد للتكوين.
- وحدة التحكم في شبكة LAN x550 (الواجهة بين التطبيق والوصلات).
- 4 إستقبال (RX) و 4 إرسال (TX) حلقات.
- عملية DataPath (على ASA و FTD).
- عملية الشخير (على FTD).
معالجة الحزمة
يمكن أن يؤثر عاملان رئيسيان على معالجة الحزم:
1. وضع الواجهة/المنفذ
2 - السياسة التطبيقية
يمكن للحزمة إجتياز FP1010 بثلاث طرق مختلفة:
1. تتم معالجتها فقط بواسطة المحول الداخلي
2. تتم إعادة توجيهها إلى التطبيق (ASA/FTD) ومعالجتها بواسطة عملية datapath فقط
3. تمت إعادة توجيهها إلى التطبيق (FTD) ومعالجتها بواسطة محرك البيانات والشكل
أوضاع منافذ FP1010
أمثلة واجهة المستخدم هي ل FMC، وأمثلة CLI هي ل FTD. كما أن معظم المفاهيم تنطبق بالكامل على نظام المساعدة الفنية.
شاشة FP1010 حالة 1. المنافذ الموجهة (توجيه IP)
التكوين والتشغيل
النقاط الرئيسية
- من وجهة نظر تصميم، ينتمي المنفذان إلى شبكتين فرعيتين مختلفتين من المستوى الثاني.
- عندما يتم تكوين المنافذ في الوضع الموجه، تتم معالجة الحزم بواسطة التطبيق (ASA أو FTD).
- في حالة FTD، استنادا إلى إجراء القاعدة (على سبيل المثال، السماح)، يمكن فحص الحزم حتى بواسطة محرك snort.
تكوين واجهة FTD
interface Ethernet1/3 nameif NET203 cts manual propagate sgt preserve-untag policy static sgt disabled trusted security-level 0 ip address 10.10.203.2 255.255.255.0 ! interface Ethernet1/4 nameif NET204 cts manual propagate sgt preserve-untag policy static sgt disabled trusted security-level 0 ip address 10.10.204.2 255.255.255.0
التحقق من المنفذ الموجه FP1010
من FXOS CLI، يمكنك التحقق من عدادات الواجهة المادية. يبدي هذا مثال المدخل unicast و مخرج unicast counters على ال E1/3 ميناء:
FP1010(local-mgmt)# show portmanager counters ethernet 1 3 | egrep "stats.ing_unicastframes\|stats.egr_unicastframes" stats.ing_unicastframes = 3521254 stats.egr_unicastframes = 604939
يمكن تطبيق عمليات التقاط بيانات FTD ويمكن تعقب الحزم:
FP1010# show capture capture CAP203 type raw-data trace interface NET203 [Capturing - 185654 bytes]
هذه قصاصة التقاط. كما هو متوقع، تتم إعادة توجيه الحزمة استنادا إلى بحث عن المسار:
FP1010# show capture CAP203 packet-number 21 trace 21: 06:25:23.924848 10.10.203.3 > 10.10.204.3 icmp: echo request … Phase: 3 Type: ROUTE-LOOKUP Subtype: Resolve Egress Interface Result: ALLOW Config: Additional Information: found next-hop 10.10.204.3 using egress ifc NET204
FP1010 القضية 2. وضع مجموعة الجسر (الربط)
التكوين والتشغيل
النقاط الرئيسية
- من وجهة نظر تصميم، ربطت ال 2 ميناء إلى ال نفسه L3 subnet (مماثل إلى جدار حماية شفاف)، غير أن VLAN مختلف.
- عندما شكلت الميناء في يجسر أسلوب، الربط عالجت بتطبيق (ASA أو FTD).
- في حالة FTD، استنادا إلى إجراء القاعدة (على سبيل المثال، السماح)، يمكن فحص الحزم حتى بواسطة محرك snort.
تكوين واجهة FTD
interface Ethernet1/3 bridge-group 34 nameif NET203 cts manual propagate sgt preserve-untag policy static sgt disabled trusted security-level 0 ! interface Ethernet1/4 bridge-group 34 nameif NET204 cts manual propagate sgt preserve-untag policy static sgt disabled trusted security-level 0 ! interface BVI34 nameif NET34 security-level 0 ip address 10.10.203.1 255.255.255.0
التحقق من منفذ مجموعة الجسر FP1010
يبدي هذا أمر القارن عضو من BVI 34:
FP1010# show bridge-group 34 Interfaces: Ethernet1/3 Ethernet1/4 Management System IP Address: 10.10.203.1 255.255.255.0 Management Current IP Address: 10.10.203.1 255.255.255.0 Management IPv6 Global Unicast Address(es): N/A Static mac-address entries: 0 Dynamic mac-address entries: 13
يوضح هذا الأمر جدول ذاكرة ASA/FTD DataPath Content Addressable Memory (CAM):
FP1010# show mac-address-table interface mac address type Age(min) bridge-group ------------------------------------------------------------------ NET203 0050.5685.43f1 dynamic 1 34 NET204 4c4e.35fc.fcd8 dynamic 3 34 NET203 0050.56b6.2304 dynamic 1 34 NET204 0017.dfd6.ec00 dynamic 1 34 NET203 0050.5685.4fda dynamic 1 34
يظهر snippet لتتبع الحزمة أن الربط أرسلت بناء على الغاية ماك l2 بحث:
FP1010# show cap CAP203 packet-number 1 trace 2 packets captured 1: 11:34:40.277619 10.10.203.3 > 10.10.203.4 icmp: echo request Phase: 1 Type: L2-EGRESS-IFC-LOOKUP Subtype: Destination MAC L2 Lookup Result: ALLOW Config: Additional Information: DestinationMAC lookup resulted in egress ifc NET204
في حالة FTD، يمكن أن توفر أحداث اتصال FMC أيضا معلومات حول فحص التدفق وواجهات مجموعة الجسر العابرة:
الحاوية 3 الخاصة بالمحول FP1010. Switchports (تبديل الأجهزة) في وضع الوصول
التكوين والتشغيل
النقاط الرئيسية
- تحويل الأجهزة هو ميزة FTD 6.5+ و ASA 9.13+.
- من وجهة نظر تصميم، يتم توصيل المنفذين بالشبكة الفرعية نفسها من المستوى الثالث وبنفس شبكة VLAN.
- الميناء في هذا سيناريو يعمل في منفذ أسلوب (حركة مرور untagged فقط).
- لا تحتوي منافذ جدار الحماية التي تم تكوينها في وضع SwitchPort على اسم منطقي (nameIf) تم تكوينه.
- عندما شكلت الميناء في تحويل أسلوب وينتمي إلى ال نفسه VLAN (حركة مرور intra-VLAN) الربط معالجة ب ال FP1010 داخلي مفتاح فقط.
تكوين واجهة FTD
من وجهة نظر واجهة سطر الأوامر (CLI)، يبدو التكوين مشابها جدا لمحول L2:
interface Ethernet1/3 switchport switchport access vlan 203 ! interface Ethernet1/4 switchport switchport access vlan 203
تصفية حركة مرور البيانات بين شبكات VLAN
التحدي: يتعذر على قائمة التحكم في الوصول (ACL) تصفية حركة المرور بين شبكات VLAN!
الحل: المنافذ المحمية
المبدأ بسيط جدا: منفذان تم تكوينهما على أنهما محميان لا يمكنهما التحدث إلى بعضهما البعض.
واجهة مستخدم FMC في حالة المنافذ المحمية:
تكوين واجهة FTD
تم تكوين الأمر switchport protected تحت الواجهة:
interface Ethernet1/3 switchport switchport access vlan 203 switchport protected ! interface Ethernet1/4 switchport switchport access vlan 203 switchport protected
التحقق من منفذ المحول FP1010 SwitchPort
في هذا المثال، هناك 1000 حزمة للبث الأحادي (ICMP) يتم إرسالها بحجم محدد (1100 بايت):
router# ping 10.10.203.4 re 1000 timeout 0 size 1100
للتحقق من عدادات البث الأحادي للمدخل والمخرج لواجهات النقل أستخدم هذا الأمر:
FP1010(local-mgmt)# show portmanager counters ethernet 1 3 | egrep "stats.ing_unicastframes\|stats.bytes_1024to1518_frames" stats.ing_unicastframes = 146760 stats.bytes_1024to1518_frames = 0 FP1010(local-mgmt)# show portmanager counters ethernet 1 4 | egrep "stats.egr_unicastframes\|stats.bytes_1024to1518_frames" stats.bytes_1024to1518_frames = 0 stats.egr_unicastframes = 140752 FP1010(local-mgmt)# show portmanager counters ethernet 1 3 | egrep "stats.ing_unicastframes\|stats.bytes_1024to1518_frames" stats.ing_unicastframes = 147760 <------------------ Ingress Counters got increased by 1000 stats.bytes_1024to1518_frames = 1000 <------------------ Ingress Counters got increased by 1000 FP1010(local-mgmt)# show portmanager counters ethernet 1 4 | egrep "stats.egr_unicastframes\|stats.bytes_1024to1518_frames" stats.bytes_1024to1518_frames = 0 <------------------ No egress increase stats.egr_unicastframes = 140752 <------------------ No egress increase
يبدي هذا أمر ال داخلي مفتاح VLAN وضع:
FP1010# show switch vlan VLAN Name Status Ports ---- -------------- --------- ---------------------- 1 - down 203 - up Ethernet1/3, Ethernet1/4
تكون حالة شبكة VLAN قيد التشغيل طالما يتم تخصيص منفذ واحد على الأقل لشبكة VLAN
إذا كان منفذ ما معطلا إداريا أو كان منفذ المحول المتصل معطلا/تم قطع اتصال الكبل وهذا هو المنفذ الوحيد الذي تم تعيينه لشبكة VLAN، فإن حالة شبكة VLAN تكون معطلة أيضا:
FP1010-2# show switch vlan VLAN Name Status Ports ---- -------------------------------- --------- ----------------------------- 1 - down 201 net201 down Ethernet1/1 <--- e1/1 was admin down 202 net202 down Ethernet1/2 <--- upstream switch port is admin down
يبدي هذا أمر ال حدبة طاولة من المفتاح داخلي:
FP1010-2# show switch mac-address-table Legend: Age - entry expiration time in seconds Mac Address | VLAN | Type | Age | Port ------------------------------------------------------------- 4c4e.35fc.0033 | 0203 | dynamic | 282 | Et1/3 4c4e.35fc.4444 | 0203 | dynamic | 330 | Et1/4
وقت التقادم الافتراضي لجدول CAM للمحول الداخلي هو 5 دقائق 30 ثانية.
تحتوي الشاشة طراز FP1010 على جدولي كاميرا:
- جدول حدبة المحولات الداخلية: يستخدم في حالة تحويل الأجهزة
- جدول حدبة بيانات ASA/FTD: يستخدم في حالة التوصيل
تتم معالجة كل حزمة/إطار يجتاز FP1010 بواسطة جدول CAM واحد (محول داخلي أو مخطط بيانات FTD) استنادا إلى وضع المنفذ.
تبديل الأجهزة: أمور إضافية يتعين التنبه إليها
لا تظهر سجلات بيانات ASA/FTD معلومات حول التدفقات المحولة إلى HW:
FP1010# show log FP1010#
لا يعرض جدول اتصال بيانات ASA/FTD التدفقات المحولة بواسطة HW:
FP1010# show conn
0 in use, 3 most used
Inspect Snort:
preserve-connection: 0 enabled, 0 in effect, 0 most enabled, 0 most in effect
وبالإضافة إلى ذلك، لا تظهر أحداث اتصال FMC التدفقات المحولة بواسطة HW.
FP1010 القضية 4. مبدلات (trunking)
التكوين والتشغيل
النقاط الرئيسية
- تحويل الأجهزة هو ميزة FTD 6.5+ و ASA 9.13+.
- من وجهة نظر تصميم، يتم توصيل المنفذين بالشبكة الفرعية نفسها من المستوى الثالث وبنفس شبكة VLAN.
- يقبل منفذ خط الاتصال الإطارات ذات علامات التمييز وغير المميزة (في حالة شبكة VLAN الأصلية).
- عندما شكلت الميناء في تحويل أسلوب وينتمي إلى ال نفسه VLAN (حركة مرور intra-VLAN)، الربط معالجة بالمفتاح داخلي فقط.
تكوين واجهة FTD
التشكيل مماثل إلى طبقة 2 مفتاح ميناء:
interface Ethernet1/3 switchport switchport trunk allowed vlan 203 switchport trunk native vlan 1 switchport mode trunk ! interface Ethernet1/5 switchport switchport access vlan 203
الحاوية رقم 5 ل FP1010. switchports (بين شبكات VLAN)
التكوين والتشغيل
النقاط الرئيسية
- من وجهة نظر تصميم، يتم توصيل المنفذين بشبكتي L3 فرعيتين مختلفتين وشبكتي VLAN مختلفتين.
- يمر حركة مرور بين VLANs من خلال واجهات VLAN (مماثل إلى SVIs).
- من وجهة نظر تدفق حركة المرور، تصل حركة مرور البيانات بين شبكات VLAN إلى التطبيق.
تكوين واجهة FTD
التكوين مماثل للواجهة الظاهرية للمحول (SVI):
interface Ethernet1/2 switchport switchport access vlan 203 interface Ethernet1/4 switchport switchport access vlan 204 ! interface Vlan203 nameif NET203 security-level 0 ip address 10.10.203.1 255.255.255.0 interface Vlan204 nameif NET204 security-level 0 ip address 10.10.204.1 255.255.255.0
معالجة الحزمة لحركة المرور بين شبكات VLAN
هذا تتبع لحزمة أن يجتاز خلال 2 VLANs مختلف:
FP1010# show capture CAP203 packet-number 1 trace | include Type Type: CAPTURE Type: ACCESS-LIST Type: ROUTE-LOOKUP Type: ACCESS-LIST Type: CONN-SETTINGS Type: NAT Type: IP-OPTIONS Type: INSPECT Type: INSPECT Type: CAPTURE Type: CAPTURE Type: CAPTURE Type: NAT Type: IP-OPTIONS Type: CAPTURE Type: FLOW-CREATION Type: EXTERNAL-INSPECT Type: SNORT Type: ROUTE-LOOKUP Type: ADJACENCY-LOOKUP Type: CAPTURE
المراحل الرئيسية في عملية الحزمة:
الحاوية طراز FP1010 6. عامل تصفية Inter-VLAN
التكوين والتشغيل
هناك خياران رئيسيان لتصفية حركة مرور البيانات بين شبكات VLAN:
- سياسة التحكم في الوصول
- الأمر 'no forward'
تصفية حركة مرور البيانات بين شبكات VLAN باستخدام الأمر 'no forward'
تكوين واجهة مستخدم FMC:
النقاط الرئيسية
- الإسقاط بدون إعادة توجيه أحادي الإتجاه.
- لا يمكن تطبيقه على كلا واجهات VLAN.
- يتم إجراء التحقق من عدم إعادة التوجيه قبل التحقق من قائمة التحكم في الوصول (ACL).
تكوين واجهة FTD
ال CLI تشكيل في هذه الحالة:
interface Vlan203 no forward interface Vlan204 nameif NET203 security-level 0 ip address 10.10.203.1 255.255.255.0 ! interface Vlan204 nameif NET204 security-level 0 ip address 10.10.204.1 255.255.255.0
إذا تم إسقاط الحزمة بواسطة ميزة "عدم إعادة التوجيه"، يتم إنشاء رسالة syslog الخاصة بمخطط بيانات ASA/FTD:
FP1010# show log Sep 10 2019 07:44:54: %FTD-5-509001: Connection attempt was prevented by "no forward" command: icmp src NET203:10.10.203.3 dst NET204:10.10.204.3 (type 8, code 0)
من وجهة نظر إسقاط مسار الأمان السريع (ASP)، يعتبر إسقاط قائمة التحكم في الوصول (ACL):
FP1010-2# show asp drop Frame drop: Flow is denied by configured rule (acl-drop) 1
بما أن الإسقاط أحادي الإتجاه، المضيف-A (VLAN 203) يستطيع لا يبدأ حركة مرور إلى المضيف-B (VLAN 204)، غير أن العكس مسموح:
دراسة حالة - FP1010. الربط مقابل تحويل الأجهزة + الربط
تأملوا في الطوبولوجيا التالية:
في هذه الطوبولوجيا:
- تنتمي ثلاث مضيفات نهائية إلى الشبكة الفرعية نفسها من المستوى الثالث (10.10.203.x/24).
- يعمل الموجه (10.10.203.4) ك GW في الشبكة الفرعية.
في هذا المخطط هناك خياران رئيسيان للتصميم:
- تقبيل
- تحويل الأجهزة + التوصيل
خيار التصميم 1. تقبيل
النقاط الرئيسية
النقاط الرئيسية في هذا التصميم هي:
- هناك BVI 1 الذي تم إنشاؤه باستخدام IP في نفس الشبكة الفرعية (10.10.203.x/24) كالأجهزة الأربعة المرفقة.
- تنتمي جميع المنافذ الأربعة إلى مجموعة الجسر نفسها (المجموعة 1 في هذه الحالة).
- يحتوي كل منفذ من المنافذ الأربعة على اسم تم تكوينه.
- يتم الاتصال من المضيف إلى المضيف ومن المضيف إلى GW من خلال التطبيق (على سبيل المثال، برنامج FTD).
من وجهة نظر واجهة مستخدم FMC، يكون التكوين:
تكوين واجهة FTD
التكوين في هذه الحالة هو:
interface BVI1 nameif BG1 security-level 0 ip address 10.10.203.100 255.255.255.0 interface Ethernet1/1 no switchport bridge-group 1 nameif HOST1 interface Ethernet1/2 no switchport bridge-group 1 nameif HOST2 interface Ethernet1/3 no switchport bridge-group 1 nameif HOST3 interface Ethernet1/4 no switchport bridge-group 1 nameif HOST4
تدفق حركة المرور في هذا السيناريو:
خيار التصميم 2. تحويل الأجهزة + التوصيل
النقاط الرئيسية
النقاط الرئيسية في هذا التصميم هي:
- هناك BVI 1 الذي تم إنشاؤه باستخدام IP في نفس الشبكة الفرعية (10.10.203.x/24) كالأجهزة الأربعة المرفقة.
- يتم تكوين المنافذ المرفقة بالمضيفين النهائيين في وضع SwitchPort وتنتمي إلى شبكة VLAN نفسها (203).
- شكلت الميناء يربط إلى ال GW في SwitchPort أسلوب وينتمي إلى VLAN مختلف (204).
- هناك 2 واجهات VLAN (203، 204). لا تحتوي واجهات 2 VLAN على IP مخصص وتنتمي إلى مجموعة Bridge-Group 1.
- يذهب الاتصال من المضيف إلى المضيف من خلال المحول الداخلي فقط.
- يتم الاتصال من المضيف إلى GW من خلال التطبيق (مثل FTD).
تكوين واجهة مستخدم FMC:
تكوين واجهة FTD
التكوين في هذه الحالة هو:
interface Ethernet1/1 switchport switchport access vlan 203 interface Ethernet1/2 switchport switchport access vlan 203 interface Ethernet1/4 switchport switchport access vlan 204 ! interface Vlan203 bridge-group 1 nameif NET203 interface Vlan204 bridge-group 1 nameif NET204 ! interface BVI1 nameif BG1 ip address 10.10.203.100 255.255.255.0
الاتصال من المضيف إلى المضيف مقابل الاتصال من المضيف إلى gw:
اعتبارات تصميم الطراز FP1010
التحويل والتوفر العالي (HA)
هناك مشكلتان رئيسيتان عند تكوين تحويل الأجهزة في بيئة عالية التوفر:
- إعادة توجيه الحزم من خلال الجهاز باستخدام الوحدة الاحتياطية. يمكن أن يؤدي ذلك إلى حدوث حلقات مرور.
- لا يتم مراقبة SwitchPorts بواسطة HA
متطلبات التصميم
- يجب ألا تستخدم وظائف SwitchPort ذات التوفر العالي ASA/FTD. وهذا موثق في دليل تكوين FMC:
https://www.cisco.com/c/en/us/td/docs/security/firepower/670/configuration/guide/fpmc-config-guide-v67/regular_firewall_interfaces_for_firepower_threat_defense.html#topic_kqm_dgc_b3b
التفاعل مع بروتوكول الشجرة الممتدة (STP)
لا يقوم المحول FP1010 الداخلي بتشغيل بروتوكول الشجرة المتفرعة (STP).
تأمل في هذا السيناريو:
على المحول Edge، يكون المنفذ الجذري لكل من شبكات VLAN هو G2/1:
Edge-Switch# show spanning-tree root | i 300|301 VLAN0300 33068 0017.dfd6.ec00 4 2 20 15 Gi2/1 VLAN0301 33069 0017.dfd6.ec00 4 2 20 15 Gi2/1
ربطت FP1010 إلى الحافة مفتاح وشكلت كلا ميناء في ال نفسه VLAN (تحويل الأجهزة):
المشكلة
- بسبب تسرب شبكات VLAN وحدات بيانات بروتوكول الجسر (BPDUs) العليا لشبكة VLAN رقم 301 التي تم تلقيها على G3/22
Edge-Switch# show spanning-tree root | in 300|301 VLAN0300 33068 0017.dfd6.ec00 4 2 20 15 Gi2/1 VLAN0301 33068 0017.dfd6.ec00 8 2 20 15 Gi3/22
ويتم توثيق ذلك أيضا في دليل تكوين FMC:
واجهات برمجة التطبيقات FXOS REST
واجهات برمجة التطبيقات FMC REST
هذه هي واجهات REST API (آت) لدعم هذه الميزة:
- واجهة L2 المادية [PUT/GET مدعوم]
/api/fmc_config/v1/domain/{domainUUID}/devices/devicerecords/{containerUUID}/physicalInterfaces/{objectId}
- واجهة شبكة VLAN [مادة نشر/PUT/GET/DELETE مدعومة]
/api/fmc_config/v1/domain/{domainUUID}/devices/devicerecords/{containerUUID}/vlaninterfaces/{objectId}
أستكشاف الأخطاء وإصلاحها/التشخيص
نظرة عامة على التشخيص
- يتم التقاط ملفات السجل في أستكشاف أخطاء FTD/NGIPS وإصلاحها أو في إخراج show tech. هذه هي العناصر التي تحتاج إلى البحث عن مزيد من التفاصيل في حالة أستكشاف الأخطاء وإصلاحها:
- /opt/cisco/platform/logs/portmgr.out
- /var/sysmgr/sam_logs/svc_sam_dme.log
- /var/sysmgr/sam_logs/svc_sam_portAG.log
- /var/sysmgr/sam_logs/svc_sam_appAG.log
- ASA config
- /mnt/disk0/log/asa-appagent.log
تجميع البيانات من FXOS (الجهاز) - CLI
في حالة FTD (SSH):
> connect fxos Cisco Firepower Extensible Operating System (FX-OS) Software TAC support: http://www.cisco.com/tac Copyright (c) 2009-2019, Cisco Systems, Inc. All rights reserved. ... FP1010-2# connect local-mgmt FP1010-2(local-mgmt)#
في حالة FTD (وحدة تحكم):
> connect fxos You came from FXOS Service Manager. Please enter 'exit' to go back. > exit FP1010-2# connect local-mgmt
FP1010-2(local-mgmt)#
الخلفية FP1010
تحدد سجلات المنافذ جميع وظائف المحولات والمنفذ الداخلية.
في لقطة الشاشة هذه، يتم عرض القسم "التحكم في المنفذ" في سجلات المنافذ وبالتحديد السجل الذي يملي ما إذا كان يجب تجاهل حركة المرور التي تم وضع علامة عليها والمستلمة على الواجهة (1) أو السماح بها (0). هنا ال سجل كامل قسم لواحد ميناء:
FP1010-2# connect local-mgmt FP1010-2(local-mgmt)# show portmanager switch status ... ---Port Control 2 regAddr=8 data=2E80-- Jumbo Mode = 2 Mode: 0:1522 1:2048 2:10240 802.1q mode = 3 Mode: 0:Disable 1:Fallback 2:Check 3:Secure Discard Tagged = 1 Mode: 0:Allow Tagged 1:Discard Tagged Discard Untagged = 0 Mode: 0:Allow Untagged 1:Discard Untagged ARP Mirror = 0 Mode: 1:Enable 0:Disable Egress Monitor Source = 0 Mode: 1:Enable 0:Disable Ingress Monitor Source = 0 Mode: 1:Enable 0:Disable Port default QPri = 0
في لقطة الشاشة هذه، يمكنك أن ترى مختلف قيم سجل تجاهل ذو علامات تمييز لأوضاع المنافذ المختلفة:
تجميع تقنية العرض FPRM على FP1010
لإنشاء حزمة FPRM وتحميلها إلى خادم FTP:
FP1010(local-mgmt)# show tech-support fprm detail FP1010(local-mgmt)# copy workspace:///techsupport/20190913063603_FP1010-2_FPRM.tar.gz ftp://ftp@10.229.20.96
تحتوي حزمة FPRM على ملف يسمى tech_support_brief. يحتوي الملف tech_support_brief على سلسلة من أوامر show. تتمثل إحداها في حالة محول show portManager:
تفاصيل القيود والمشاكل الشائعة والحلول البديلة
قيود تنفيذ الإصدار 6.5
- بروتوكولات التوجيه الديناميكية غير مدعومة لواجهات SVI.
- السياق المتعدد غير مدعوم على 1010.
- نطاق معرف شبكة VLAN SVI محدود إلى 1-4070.
- قناة المنفذ ل L2 غير مدعومة.
- منفذ L2 كارتباط لتجاوز الفشل غير مدعوم.
الحدود المتعلقة بميزات المحول
| الميزة |
الوصف |
حد |
| عدد واجهات VLAN |
إجمالي عدد واجهات VLAN التي يمكن إنشاؤها |
60 |
| شنطة أسلوب VLAN |
الحد الأقصى لعدد شبكات VLAN المسموح بها على منفذ ما في وضع خط الاتصال |
20 |
| شبكة VLAN الأصلية |
يترجم كل الحزم غير المميزة الوصول إلى منفذ إلى شبكة VLAN الأصلية التي تم تكوينها على المنفذ |
1 |
| الواجهات المسماة |
يتضمن جميع الواجهات المسماة (شبكة VLAN الخاصة بالواجهة، الواجهة الفرعية، قناة المنفذ، الواجهة المادية وما إلى ذلك) |
60 |
قيود أخرى
- لا يمكن للواجهات الفرعية وشبكة VLAN الخاصة بالواجهة إستخدام شبكة VLAN نفسها.
- يجب أن تنتمي جميع الواجهات التي تشارك في BVI إلى نفس فئة الواجهة.
- يمكن إنشاء BVI باستخدام مجموعة من منافذ وضع L3 وواجهات فرعية لمنفذ وضع L3.
- يمكن إنشاء BVI باستخدام مجموعة من شبكات VLAN الخاصة بالواجهة.
- لا يمكن إنشاء BVI بمزج منافذ وضع L3 وشبكات VLAN الخاصة بالواجهة.
التعليقات