تم حظر حركة مرور Xbox Live Multi-Player (Teredo Tunnel UDP 3544) بواسطة FTD

المقدمة

يصف هذا المستند مشكلة تمت رؤيتها للسماح للمستخدمين بالوصول إلى ميزة Xbox Live Online متعددة اللاعبين من Xbox عند إتصالها خلف مستشعر FTD (FirePower Threat Defense). في كل مرة تحاول فيها إنشاء اتصال متعدد اللاعبين عبر الإنترنت من خلال Xbox، فإنها لا تعمل من خلال مستشعر FTD.

تظهر هذه المشكلة بعد ترحيل خدمات جدار الحماية من جهاز Cisco ASA (جهاز الأمان القابل للتكيف) إلى FirePOWER باستخدام FTD.

الغرض الرئيسي من هذا المستند هو شرح كيفية السماح لحركة مرور Xbox Live عبر الإنترنت متعددة اللاعبين (Teredo Tunnel UDP 3544) بالعمل من خلال FTD.

ساهم فيها كريستيان جي. هيرنانديز آر.، مهندس مركز المساعدة الفنية من Cisco.

المتطلبات الأساسية

المتطلبات

cisco يوصي أن يتلقى أنت معرفة من ال cisco FirePOWER pre-filter قاعدة تشكيل.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• Cisco FMC (مركز إدارة FirePOWER) v6.2.3.1
• Cisco FTD الإصدار 6.2.3.1

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

تحدد ميزة Xbox Live Online Multi-player ل Xbox نفق Teredo يستخدم منفذ UDP 3544، تماما كما هو مؤكد في مستند Microsoft Xbox التالي:

منافذ الشبكة المستخدمة من قبل Xbox Live على Xbox One

المشكلة: حظر FTD حركة مرور Xbox Live Online متعددة اللاعبين (Teredo Tunnel UDP 3544)

يتم التأكد من أن أجهزة إستشعار FTD تمنع حركة مرور Xbox Live عبر الإنترنت متعددة اللاعبين (Teredo Tunnel UDP 3544) إذا لم تستخدم قواعد التصفية المسبقة الافتراضية الخاصة بالمصنع من FMC:

سياسة التصفية المسبقة الافتراضية التي يتم رؤيتها من واجهة المستخدم الرسومية (GUI) ل FMC:

سياسة التصفية المسبقة الافتراضية التي يتم رؤيتها من واجهة سطر الأوامر (CLI) لمستشعر FTD (واجهة سطر الأوامر):

> show access-list 
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)
            alert-interval 300
access-list CSM_FW_ACL_; 8 elements; name hash: 0x4a69e3f3
access-list CSM_FW_ACL_ line 1 remark rule-id 9998: PREFILTER POLICY: Default Tunnel and Priority Policy
access-list CSM_FW_ACL_ line 2 remark rule-id 9998: RULE: DEFAULT TUNNEL ACTION RULE
access-list CSM_FW_ACL_ line 3 advanced permit ipinip any any rule-id 9998 (hitcnt=0) 0xf5b597d6 
access-list CSM_FW_ACL_ line 4 advanced permit 41 any any rule-id 9998 (hitcnt=0) 0x06095aba 
access-list CSM_FW_ACL_ line 5 advanced permit gre any any rule-id 9998 (hitcnt=0) 0x52c7a066 
access-list CSM_FW_ACL_ line 6 advanced permit udp any eq 3544 any range 1025 65535 rule-id 9998 (hitcnt=0) 0x46d7839e access-list CSM_FW_ACL_ line 7 advanced permit udp any range 1025 65535 any eq 3544 rule-id 9998 (hitcnt=0) 0xaf1d5aa5 

ملاحظة: تعد قواعد التصفية المسبقة الواردة أعلاه من الأسطر 6 و 7، هي قواعد التصفية المسبقة الافتراضية التي تهدف إلى السماح لحركة مرور Teredo Tunnel UDP 3544 من خلال FTD.

ولكن، المشكلة هي أن FTD الذي لا يستخدم قاعدة التصفية المسبقة لإعدادات المصنع الافتراضية، أو كتل أو قوائم سوداء حركة مرور UDP 3544 ل Xbox Live عبر الإنترنت متعددة اللاعبين التي تأتي من Xbox، يتم تأكيد ذلك بمساعدة التقاط حزمة ASP (مسار الأمان السريع) المطبقة في FTD، كما يلي:

firepower# capture asp type asp-drop all
firepower# show cap asp | i x.x.x.x
50243: 16:23:03.023054 x.x.x.x.3074 > y.y.y.y.3544: udp 61 Drop-reason: (session) Blocked or blacklisted by the session preprocessor
51622: 16:23:04.023253 x.x.x.x.3074 > y.y.y.y.3544: udp 61 Drop-reason: (session) Blocked or blacklisted by the session preprocessor
53990: 16:23:06.023588 x.x.x.x.3074 > y.y.y.y.3544: udp 61 Drop-reason: (session) Blocked or blacklisted by the session preprocessor
58785: 16:23:10.024367 x.x.x.x.3074 > y.y.y.y.3544: udp 61 Drop-reason: (session) Blocked or blacklisted by the session preprocessor
69006: 16:23:18.025145 x.x.x.x.3074 > y.y.y.y.3544: udp 61
89783: 16:23:34.026716 x.x.x.x.3074 > y.y.y.y.3544: udp 61

ملاحظة: يمكنك محاولة السماح بحركة المرور هذه من خلال FTD باستخدام سياسة التحكم في الوصول (ACP) التي تم تكوينها للسماح بحركة مرور UDP 3544، بعد ذلك، سوف تؤكد أنه سيتم عرض عمليات إسقاط ASP نفسها على واجهة سطر الأوامر (CLI) في FTD.

الحل

للسماح بحركة مرور متعددة اللاعبين عبر الإنترنت الخاصة ب Xbox Live (Teredo Tunnel UDP 3544) من خلال FTD، تحتاج إلى تكوين قاعدة ما قبل التصفية، لذلك، لديك 4 خيارات لتكوين قاعدة التصفية المسبقة المطلوبة:

تكوين قاعدة تصفية مسبقة عادية

مثال 1 

شكلت عادي preFilter قاعدة مع تحليل إجراء أن يسمح الحركة مرور معد ل إلى UDP 3544 مع Any كغاية:

مثال 2

شكلت عادي pre-filter قاعدة مع FastPath إجراء أن يسمح الحركة مرور معد ل إلى UDP 3544 مع Any كغاية:

تكوين قاعدة التصفية المسبقة للنفق

مثال 1 

شكلت نفق pre-filter قاعدة مع تحليل إجراء أن يسمح الحركة مرور معد ل إلى UDP 3544 مع Any كغاية:

مثال 2

قم بتكوين قاعدة التصفية المسبقة للنفق باستخدام إجراء FastPath للسماح بحركة المرور الموجهة إلى UDP 3544 مع Any كوجهة:

ملاحظة: تم تأكيد الخيارات الأربعة المذكورة أعلاه على أنها ملائمة للعمل في مختبر TAC للسماح بإنشاء نفق Teredo (UDP 3544) من خلال FTD. ترجع النية الرئيسية لاستخدام Any كعنوان IP وجهة لتكوين قاعدة التصفية المسبقة إلى عناوين IP المختلفة التي يمكن ل Xbox إستخدامها للاتصال بخوادم Microsoft متعددة اللاعبين عبر الإنترنت.

معلومات ذات صلة

• تكوين نهج عامل التصفية المسبق ل FTD وتشغيلها

• نهج التصفية المسبقة والتصفية الأولية

• منافذ الشبكة المستخدمة من قبل Xbox Live على Xbox One