تكوين دبوس الشعر باستخدام مركز إدارة FirePOWER

المقدمة

يصف هذا المستند الخطوات اللازمة لتكوين دبوس أمان على "الدفاع عن تهديد الطاقة النارية" (FTD) بنجاح باستخدام مركز إدارة FirePOWER (FMC).

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• مركز إدارة Firepower ‏(FMC)
• الدفاع ضد تهديد الحرائق (FTD)

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• Firepower Management Center Virtual 7. 2. 4.
• برنامج الدفاع ضد تهديد Firepower Virtual 7.2.4.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

التكوين

يتم إستخدام مصطلح شرطة لأن حركة المرور من العميل تجعلها إلى الموجه (أو جدار الحماية الذي ينفذ NAT) ثم يتم إرجاعها مرة أخرى كدبوس شعر إلى الشبكة الداخلية بعد الترجمة للوصول إلى عنوان IP الخاص للخادم.

هذه الوظيفة مفيدة لخدمات الشبكة مثل إستضافة الويب ضمن شبكة محلية، حيث يحتاج المستخدمون على الشبكة المحلية إلى الوصول إلى الخادم الداخلي باستخدام نفس عنوان URL أو عنوان IP الذي سيستخدمه المستخدمون الخارجيون. وهو يضمن الوصول الموحد إلى الموارد بغض النظر عما إذا كان الطلب صادرا من داخل الشبكة المحلية أو خارجها.

في هذا المثال، يجب الوصول إلى وحدة التحكم في الإدارة الأساسية (FMC) من خلال عنوان IP الخاص بالواجهة الخارجية ل FTD

الرسم التخطيطي

الخطوة 1. تكوين NAT الخارجي الداخلي

بما أن الخطوة أول، ساكن إستاتيكي nat ينبغي كنت شكلت؛ في هذا مثال، الغاية ip وغاية ترجمت ميناء يستعمل ال ip من القارن خارجي والغاية 44553.

من انتقال FMC إلى جهاز > NAT لإنشاء أو تحرير السياسة الموجودة، ثم انقر مربع إضافة قاعدة.

• قاعدة nat: قاعدة NAT اليدوية
• المصدر الأصلي: أي
• الوجهة الأصلية: IP لواجهة المصدر
• منفذ الوجهة الأصلية: 44553
• الوجهة المترجمة: 192.168.14.25
• يترجم غاية ميناء: 443

قم بتكوين النهج. انتقل إلى سياسات > التحكم في الوصول لإنشاء النهج الموجود أو تحريره، ثم انقر فوق مربع إضافة قاعدة.

المنطقة المصدر: خارج

منطقة الوجهة: الداخل

الشبكة المصدر: أي

شبكة الوجهة: 10.88.243.79

الخطوة 2. تكوين NAT الداخلي (مسمار الشعر)

بما أن الخطوة الثانية، ساكن إستاتيكي nat ينبغي كنت شكلت من الداخل إلى الداخل؛ في هذا مثال، الغاية ip وميناء ترجمت يستعمل كائن مع ال ip من القارن خارجي والوجهة ميناء 44553.

من انتقال FMC إلى جهاز > NAT لتحرير السياسة الموجودة، ثم انقر مربع إضافة قاعدة.

• قاعدة nat: قاعدة NAT اليدوية
• المصدر الأصلي: 192.168.14.0/24
• الوجهة الأصلية: العنوان 10.88.243.79
• منفذ الوجهة الأصلية: 44553
• مصدر مترجم: واجهة الوجهة IP
• الوجهة المترجمة: 192.168.14.25
• يترجم غاية ميناء: 443

قم بتكوين النهج. انتقل إلى سياسات > التحكم في الوصول لتحرير السياسة الموجودة، ثم انقر فوق مربع إضافة قاعدة.

المنطقة المصدر: أي

منطقة الوجهة: أي

الشبكة المصدر: 192.168.14.0/24

شبكة الوجهة: 10.88.243.79

التحقق من الصحة

من العميل المحلي، قم بتنفيذ telnet مع غاية ip وغاية ميناء:

في حالة انتهاء مهلة رسالة الخطأ هذه "يتعذر على برنامج Telnet الاتصال بالمضيف البعيد: انتهت مهلة الاتصال"، حدث خطأ عند نقطة ما أثناء التكوين.

ولكن إذا قال إنه متصل، فإن التكوين كان ناجحا.

استكشاف الأخطاء وإصلاحها

إذا كنت تواجه مشاكل مع ترجمة عنوان الشبكة (NAT)، فاستخدم هذا الدليل خطوة بخطوة لاستكشاف الأخطاء وإصلاحها وحل المشاكل الشائعة.

الخطوة 1: التحقق من تكوين قواعد NAT

• راجع قواعد NAT: تأكد من تكوين جميع قواعد NAT بشكل صحيح في FMC. فحصت أن المصدر والوجهة عنوان، as well as ميناء، دقيق.
• تعيين الواجهة: تأكد من تعيين كل من واجهات المصدر والوجهة بشكل صحيح في قاعدة NAT. قد يؤدي التعيين غير الصحيح إلى عدم ترجمة حركة المرور أو توجيهها بشكل صحيح.
• أولوية قاعدة NAT: تحقق من وضع قاعدة NAT في أعلى أي قاعدة أخرى يمكن أن تطابق حركة المرور نفسها. تتم معالجة القواعد في FMC بالترتيب التسلسلي، بحيث تكون للقاعدة الموضوعة أعلى أولوية.

الخطوة 2: التحقق من قواعد التحكم في الوصول (ACL)

• مراجعة قوائم التحكم في الوصول (ACL): تحقق من قوائم التحكم في الوصول للتأكد من أنها مناسبة للسماح بحركة المرور NAT. يجب تكوين قوائم التحكم في الوصول (ACL) للتعرف على عناوين IP المترجمة.
• ترتيب القواعد: تأكد من أن قائمة التحكم في الوصول بالترتيب الصحيح. مثل قواعد NAT، تتم معالجة قوائم التحكم في الوصول (ACL) من الأعلى إلى الأسفل، والقاعدة الأولى التي تطابق حركة المرور هي التي يتم تطبيقها.
• أذونات حركة المرور: تحقق من وجود قائمة تحكم وصول مناسبة للسماح بحركة المرور من الشبكة الداخلية إلى الوجهة المترجمة. إذا كانت إحدى القواعد مفقودة أو تم تكوينها بشكل غير صحيح، يمكن حظر حركة المرور المطلوبة.

الخطوة 3: التشخيصات الإضافية

• إستخدام أدوات التشخيص: أستخدم أدوات التشخيص المتوفرة في FMC لمراقبة حركة مرور البيانات التي تمر عبر الجهاز وتصحيح أخطائها. ويتضمن ذلك عرض سجلات الوقت الفعلي وأحداث الاتصال.
• إعادة تشغيل الاتصالات: في بعض الحالات، يتعذر على الاتصالات الموجودة التعرف على التغييرات التي تم إجراؤها على قواعد NAT أو قوائم التحكم في الوصول (ACL) حتى يتم إعادة تشغيلها. فكر في مسح الاتصالات الموجودة لإجبار القواعد الجديدة على تطبيقها.

من لينا:

firepower# clear xlate

• دققت ترجمة: أستخدم أوامر مثل show xlate وshow nat على سطر الأوامر إذا كنت تعمل مع أجهزة FTD للتحقق من أن ترجمات NAT يتم تنفيذها كما هو متوقع.

من لينا:

firepower# show nat

firepower# show xlate