المرحلة 1 من أستكشاف أخطاء مسار بيانات Firepower وإصلاحها: مدخل الحزمة

المقدمة

هذه المقالة هي جزء من سلسلة مقالات توضح كيفية أستكشاف مسار البيانات في أنظمة FirePOWER وإصلاحها بشكل منهجي لتحديد ما إذا كانت مكونات FirePOWER قد تؤثر على حركة المرور. يرجى الرجوع إلى مقالة "نظرة عامة" للحصول على معلومات حول بنية الأنظمة الأساسية FirePOWER وارتباطاتها بمقالات "أستكشاف أخطاء مسارات البيانات وإصلاحها" الأخرى.

في هذا المقال، سنلقي نظرة على المرحلة الأولى من أستكشاف أخطاء مسار بيانات FirePOWER وإصلاحها، وهي مرحلة دخول الحزمة.

دليل المنصات

يصف الجدول التالي المنصات التي تغطيها هذه المقالة.

اسم رمز النظام الأساسي	الوصف	قابل للتطبيق الأجهزة الأنظمة الأساسية	ملاحظات
SFR	ASA مع تثبيت وحدة FirePOWER Services (SFR) النمطية.	سلسلة ASA-5500-X	غير متوفر
FTD (بخلاف SSP و FPR-2100)	صورة Firepower Threat Defense (FTD) المثبتة على جهاز أمان قابل للتكيف (ASA) أو نظام أساسي افتراضي	سلسلة ASA-5500-X، أنظمة NGFW الظاهرية	غير متوفر
FTD (SSP)	تم تثبيت برنامج الإرسال فائق السرعة (FTD) كجهاز منطقي على هيكل قائم على نظام التشغيل القابل للتشغيل (FXOS) Firepower	FPR-9300 و FPR-4100 و FPR-2100	لا تستخدم السلسلة 2100 برنامج FXOS Chassis Manager

أستكشاف أخطاء مرحلة الدخول إلى الحزمة وإصلاحها

أولى خطوات أستكشاف أخطاء مسار البيانات وإصلاحها هي التأكد من عدم حدوث أي عمليات إسقاط في مرحلة الدخول أو الخروج لمعالجة الحزمة. إذا كانت الحزمة تدخل ولكنها لا تدخل، بعد ذلك يمكنك أن تكون متأكدا من أن الحزمة يتم إسقاطها من الجهاز في مكان ما داخل مسار البيانات أو أن الجهاز غير قادر على إنشاء حزمة الخروج (على سبيل المثال، مدخل ARP مفقود).

تحديد حركة المرور المعنية

الخطوة الأولى في يتحرى الربط مدخل مرحلة أن يعزل التدفق والواجهات يتضمن في المشكلة حركة مرور. ويشمل ذلك ما يلي:

معلومات التدفق	معلومات الواجهة
البروتوكول عنوان IP المصدر منفذ المصدر IP الوجهة غاية ميناء	واجهة الدخول واجهة الخروج

على سبيل المثال:

TCP inside 172.16.100.101:38974 outside 192.168.1.10:80

تلميح: قد لا تتمكن من تحديد منفذ المصدر بدقة لأنه غالبا ما يكون مختلفا في كل تدفق، ولكن يجب أن يكون منفذ الوجهة (الخادم) كافيا.

التحقق من أحداث الاتصال

بعد الحصول على فكرة عن واجهة الدخول والخروج يجب أن تكون حركة المرور مطابقة وكذلك معلومات التدفق، والخطوة الأولى لتحديد ما إذا كان FirePOWER يمنع التدفق هي التحقق من أحداث الاتصال لحركة المرور المعنية. ويمكن عرض هذه العناصر في مركز إدارة FirePOWER التابع لتحليل > إتصالات > أحداث

ملاحظة: قبل التحقق من أحداث الاتصال، تأكد من تمكين التسجيل في قواعد نهج التحكم في الوصول. يتم تكوين التسجيل في علامة التبويب "التسجيل" داخل كل قاعدة من قواعد سياسة التحكم في الوصول بالإضافة إلى علامة التبويب "معلومات الأمان". تأكد من تكوين قواعد المشتبه بهم لإرسال السجلات إلى "عارض الأحداث".

في المثال أعلاه، يتم النقر فوق "تحرير البحث" ويتم إضافة IP لمصدر فريد (البادئ) كعامل تصفية لمشاهدة التدفقات التي تم اكتشافها بواسطة FirePOWER. يظهر عمود الإجراء "السماح" لحركة مرور المضيف هذه.

إذا كانت FirePOWER تمنع حركة المرور عن قصد، يحتوي الإجراء على كلمة "منع". يؤدي النقر فوق "عرض جدول أحداث الاتصال" إلى توفير مزيد من البيانات. يمكن ملاحظة الحقول التالية في "أحداث الاتصال" إذا كان الإجراء هو "حظر":

- السبب

- قاعدة التحكم بالوصول

يمكن أن يساعد ذلك، مقترنا بالحقول الأخرى في الحدث المعني، في تضييق المكون الذي يعيق حركة المرور.

للحصول على مزيد من المعلومات حول أستكشاف أخطاء قواعد التحكم في الوصول وإصلاحها، يمكنك النقر هنا.

التقاط الحزم على واجهات الدخول والخروج

في حالة عدم وجود أحداث أو إستمرار الاشتباه في منع FirePOWER على الرغم من أن أحداث الاتصال تعرض إجراء قاعدة "السماح" أو "الثقة"، يستمر أستكشاف أخطاء مسار البيانات وإصلاحها.

هنا تعليمات حول كيفية تشغيل التقاط حزمة مدخل ومخرج على مختلف الأنظمة الأساسية المذكورة أعلاه:

SFR - التقاط على واجهات ASA

بما أن وحدة SFR نمطية مجرد وحدة نمطية تعمل على جدار حماية ASA، فمن الأفضل أن يتم الالتقاط أولا على واجهات الدخول والخروج من ال ASA للتأكد من أن الحزم نفسها التي تدخل أيضا تدخل.

تحتوي هذه المقالة على تعليمات حول كيفية تنفيذ عمليات الالتقاط على ASA.

إذا تم تحديد أن الحزم التي تحتوي على ASA غير مدرجة، استمر في المرحلة التالية في أستكشاف الأخطاء وإصلاحها (مرحلة DAQ).

ملاحظة: إذا تم رؤية الحزم على واجهة مدخل ASA، فقد يكون من المفيد التحقق من الأجهزة المتصلة.

FTD (غير SSP و FPR-2100) - التقاط على واجهات الدخول والخروج

يماثل الالتقاط على جهاز FTD غير SSP الالتقاط على ASA. ومع ذلك، يمكنك تشغيل أوامر الالتقاط مباشرة من نافذة مطالبة CLI الأولية. عند أستكشاف أخطاء الحزم المسقطة وإصلاحها، يوصى بإضافة خيار "التتبع" إلى الالتقاط.

هنا مثال من يشكل مدخل التقاط ل TCP حركة مرور على ميناء 22:

إذا قمت بإضافة خيار "التتبع"، فيمكنك عندئذ تحديد حزمة فردية للتعقب خلال النظام لمعرفة كيفية الوصول إلى الحكم النهائي. وهو يساعد أيضا أن يضمن أن يتم التعديلات المناسبة إلى الربط مثل شبكة عنوان ترجمة (NAT) ip تعديل وأن المخرج مناسب أخترت قارن.

في المثال اعلاه نشاهد ان المرور بيوصل إلى فحص الشخر و انه بلغ أخيرا حكم سماح وتم تمرير الاجمالي عبر الجهاز. بما أن حركة المرور يمكن رؤيتها في كلا الاتجاهين، فتأكد من أن حركة المرور تتدفق من خلال الجهاز لهذه الجلسة، لذلك قد لا يكون هناك حاجة إلى التقاط مخرج، لكن يمكنك أخذ واحد هناك أيضا للتأكد من أن حركة المرور تسوء بشكل صحيح كما هو موضح في إخراج التتبع. 

ملاحظة: إذا كان الجهاز غير قادر على إنشاء حزمة الخروج، يظل إجراء التتبع "يسمح" لكن لم يتم إنشاء الحزمة أو رؤيتها على التقاط واجهة المخرج. هذا سيناريو شائع للغاية حيث لا يحتوي FTD على إدخال ARP للخطوة التالية أو عنوان IP للوجهة (إذا كان هذا الأخير متصل مباشرة). 

FTD (SSP) - التقاط على واجهات FTD المنطقية

يمكن اتباع الخطوات نفسها لإنشاء التقاط حزمة على FTD كما هو مذكور أعلاه على نظام SSP الأساسي. يمكنك الاتصال باستخدام SSH في عنوان IP الخاص بواجهة FTD المنطقية وإدخال الأمر التالي:

Firepower-module1> connect ftd
>

يمكنك أيضا الانتقال إلى طبقة الجهاز المنطقي في FTD من موجه أوامر FXOS باستخدام الأوامر التالية:

# connect module 1 console
Firepower-module1> connect ftd
>

في حالة إستخدام FirePOWER 9300، يمكن أن يختلف رقم الوحدة النمطية حسب وحدة الأمان التي يتم إستخدامها. يمكن أن تدعم هذه الوحدات ما يصل إلى 3 أجهزة منطقية.

إذا كانت هناك مثيلات متعددة قيد الاستخدام، فيجب تضمين معرف المثيل في الأمر "connect". يمكن إستخدام أمر برنامج Telnet للاتصال بالمثيلات المختلفة في نفس الوقت.

# connect module 1 telnet
Firepower-module1>connect ftd ftd1 
Connecting to container ftd(ftd1) console... enter "exit" to return to Boot CLI
>

التحقق من أخطاء الواجهة

يمكن أيضا التحقق من مشاكل مستوى الواجهة أثناء هذه المرحلة. يفيد هذا خاصة إن يكون ربط مفقود في المدخل قارن التقاط. إذا ظهرت أخطاء في الواجهة، فقد يكون من المفيد التحقق من الأجهزة المتصلة.

SFR - التحقق من واجهات ASA

بما أن وحدة FirePOWER (SFR) هي أساسا جهاز ظاهري يعمل على ASA، فإنه يتم التحقق من واجهات ASA الفعلية بحثا عن أخطاء. للحصول على معلومات تفصيلية حول التحقق من إحصائيات الواجهة على ASA، راجع قسم دليل مرجع الأوامر لسلسلة ASA هذه.

FTD (بخلاف SSP و FPR-2100) - التحقق من أخطاء الواجهة

على أجهزة FTD غير SSP، يمكن تشغيل الأمر > show interface من موجه الأمر الأولي. يتم إبراز المخرجات المثيرة للاهتمام باللون الأحمر.

FTD (SSP) - التنقل في مسار البيانات للبحث عن أخطاء الواجهة

تتضمن أنظمة SSP الأساسية 9300 و 4100 اتصال بيني بيني داخلي يعالج الحزم أولا. 

يستحق أن يتحقق إن هناك أي قارن إصدار في الربط أولي مدخل. هذه هي الأوامر التي يتم تشغيلها على واجهة سطر الأوامر (CLI) لنظام FXOS للحصول على هذه المعلومات.

ssp# scope eth-uplink
ssp /et-uplink # show stats

هذا نموذج للمخرجات.

بعد أن يقوم اتصال البنية البيني بمعالجة الحزمة عند الدخول، يتم إرسالها بعد ذلك إلى الواجهات التي يتم تعيينها للجهاز المنطقي الذي يستضيف جهاز FTD.

هنا رسم بياني للمرجع:

للتحقق من وجود أي مشاكل على مستوى الواجهة، أدخل الأوامر التالية:

ssp# connect fxos
ssp(fxos)# show interface Ethernet 1/7

هذا مثال على المخرجات (مشاكل محتملة مبرزة بالأحمر):

إذا ظهرت أي أخطاء، يمكن التحقق من برنامج FTD الفعلي بحثا عن أخطاء واجهة أيضا. 

للوصول إلى موجه أوامر FTD، من الضروري أولا الانتقال إلى موجه أوامر واجهة سطر الأوامر (CLI) الخاصة ب FTD.

# connect module 1 console
Firepower-module1> connect ftd
> show interface

بالنسبة للمثيلات المتعددة:

# connect module 1 telnet
Firepower-module1>connect ftd ftd1  
Connecting to container ftd(ftd1) console... enter "exit" to return to Boot CLI 
>

هذا مثال على المخرجات.

البيانات التي سيتم تقديمها إلى مركز المساعدة التقنية (TAC) من Cisco

البيانات	تعليمات
لقطات شاشة حدث الاتصال	طالع هذه المقالة للحصول على تعليمات
إخراج 'show interface'	طالع هذه المقالة للحصول على تعليمات
التقاط الحزم	بالنسبة إلى ASA/LINA: https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/1180... بالنسبة إلى Firepower: http://www.cisco.com/c/en/us/support/docs/security/sourcefire-firepower-8000-series-appliances/11777...
خرج ASA "show tech"	قم بتسجيل الدخول إلى ASA CLI وتمتع بحفظ جلسة عمل المحطة الطرفية في سجل. أدخل الأمر show tech ثم قم بتوفير ملف إخراج جلسة العمل الطرفية إلى TAC. يمكن حفظ هذا الملف على القرص أو نظام تخزين خارجي باستخدام هذا الأمر. show tech | إعادة توجيه القرص0:/show_tech.log
أستكشاف أخطاء الملف وإصلاحها من جهاز FirePOWER الذي يقوم بفحص حركة المرور	http://www.cisco.com/c/en/us/support/docs/security/sourcefire-defense-center/117663-technote-SourceFire-00.html

الخطوة التالية: أستكشاف أخطاء طبقة DAQ الخاصة ب FirePOWER وإصلاحها

إذا لم يكن واضحا ما إذا كان جهاز FirePOWER يقوم بإسقاط الحزم أم لا، فيمكن تجاوز جهاز FirePOWER نفسه لاستبعاد جميع مكونات FirePOWER في نفس الوقت. ويكون ذلك مفيدا بشكل خاص في التخفيف من مشكلة ما إذا كانت حركة المرور المعنية تقوم بتركيب جهاز الطاقة النارية ولكنها لا تقوم بذلك.

للمتابعة، الرجاء مراجعة المرحلة التالية من أستكشاف أخطاء مسار بيانات FirePOWER وإصلاحها، بالإضافة إلى DAQ الخاص ب FirePOWER. انقر هنا للمتابعة.