توضيح الغرض من عنوان IP 203.0.113.x لواجهة إدارة FTD
المقدمة
يصف هذا المستند عنوان IP 203.0.113.x الموضح في إخراج بعض الأوامر في "الدفاع ضد تهديد جدار الحماية الآمن (FTD)".
المتطلبات الأساسية
المتطلبات
المعرفة الأساسية بالمنتج.
المكونات المستخدمة
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- الدفاع الآمن عن مؤشر ترابط جدار الحماية (FTD) 7.4.x، 7.6.x. تتم إدارتها بواسطة مدير أجهزة جدار الحماية الآمن (FDM) أو مركز إدارة جدار الحماية الآمن (FMC).
معلومات أساسية
بعد ترقية البرنامج إلى الإصدار 7.4.x أو 7.6.x يمكنك ملاحظة التغييرات المتعلقة بعنوان IP لواجهة الإدارة:
ملاحظة: تكون المخرجات في هذه المقالة ذات صلة ب FTDs التي تتم إدارتها من قبل FMC عندما لا تكون واجهة الوصول للمدير واجهة بيانات و FTDs التي تتم إدارتها من قبل FDM عندما لا يتم تكوين الخيار "إستخدام عبارات فريدة لواجهة الإدارة".
في الحالات التي يتم فيها إستخدام واجهة بيانات للوصول إلى المدير، تختلف بعض التفاصيل مثل مسار حركة مرور الإدارة أو إخراج الأمر show network.
ارجع إلى القسم "تغيير واجهة الوصول إلى الإدارة إلى البيانات" في الفصل: إعدادات الجهاز في دليل تكوين جهاز مركز إدارة جدار الحماية الآمن من Cisco، الإصدار 7.6 والقسم "تكوين واجهة الإدارة" في الفصل: الواجهات في دليل تكوين مدير جهاز جدار الحماية الآمن من Cisco، الإصدار 7.6.
- عنوان IP هو 203.0.113.x، رغم أنه لم يتم تكوينه يدويا. هذا مثال لمخرجات FTD التي تعمل على جميع الأنظمة الأساسية باستثناء Firepower 4100/9300:
> show nameif
Interface Name Security
Management1/1 management 0
> show interface ip brief
Interface IP-Address OK? Method Status Protocol
…
Management1/1 203.0.113.130 YES unset up up
> show interface Management
Interface Management1/1 "management", is up, line protocol is up
Hardware is en_vtun rev00, DLY 1000 usec
Input flow control is unsupported, output flow control is unsupported
MAC address 0053.500.2222, MTU 1500
IP address 203.0.113.130, subnet mask 255.255.255.248
…
> show running-config interface Management 1/1
!
interface Management1/1
management-only
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
security-level 0
واجهة إدارة FTD التي تعمل على Firepower 4100/9300:
> show nameif
Interface Name Security
…
Ethernet1/1 management 0
> show interface ip brief
Interface IP-Address OK? Method Status Protocol
…
Ethernet1/1 203.0.113.130 YES unset up up
> show interface management
Interface Ethernet1/1 "management", is up, line protocol is up
Hardware is EtherSVI, BW 1000 Mbps, DLY 10 usec
MAC address 0053.500.1111, MTU 1500
IP address 203.0.113.130, subnet mask 255.255.255.248
…
> show running-config interface Ethernet 1/1
interface Ethernet1/1
management-only
nameif management
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
security-level 0
ملاحظة: في Firepower 4100/9300، يمكنك إنشاء EtherNetX/y مخصص كواجهة إدارة مخصصة للتطبيقات، وبالتالي فإن اسم الواجهة المادية هو EtherNetX/y، وليس ManagementNetX/y.
- يختلف عنوان IP هذا عن عنوان IP المبين في إخراج الأمر show network:
> show network
===============[ System Information ]===============
Hostname : firewall
Domains : www.example.org
DNS Servers : 198.51.100.100
DNS from router : enabled
Management port : 8305
IPv4 Default route
Gateway : 192.0.2.1
==================[ management0 ]===================
Admin State : enabled
Admin Speed : sfpDetect
Operation Speed : 1gbps
Link : up
Channels : Management & Events
Mode : Non-Autonegotiation
MDI/MDIX : Auto/MDIX
MTU : 1500
MAC Address : 00:53:00:00:00:01
---------------------[ IPv4 ]----------------------
Configuration : Manual
Address : 192.0.2.100
Netmask : 255.255.255.0
Gateway : 192.0.2.1
----------------------[ IPv6 ]----------------------
Configuration : Disabled
يتم تعيين عنوان IP 203.0.113.x إلى واجهة الإدارة كجزء من ميزة واجهة الإدارة المجمعة (CMI) التي تم إدخالها في الإصدار 7.4.0. وبشكل خاص، بعد ترقية البرنامج إلى الإصدار 7.4.x أو إصدار أحدث، يقترح البرنامج دمج واجهات الإدارة والتشخيص كما هو موضح في قسم دمج واجهات الإدارة والتشخيص. إذا نجح الدمج، يصبح اسم واجهة الإدارة هو الإدارة ويتم تعيينه تلقائيا لعنوان IP الداخلي 203.0.113.x.
مسار حركة مرور البيانات الإدارية في عمليات نشر واجهة الإدارة المجمعة
يتم إستخدام عنوان IP 203.0.113.x لتوفير اتصال الإدارة من محرك Lina وإلى شبكات الإدارة الخارجية عبر واجهة إدارة الهيكل0 كما يلي. هذا الاتصال ضروري في الحالات التي تقوم فيها بتكوين خدمات Lina مثل syslog، وحل اسم المجال (DNS)، والوصول إلى خوادم المصادقة والتخويل والمحاسبة (AAA) وما إلى ذلك.
يوضح هذا المخطط نظرة عامة عالية المستوى على مسار حركة مرور الإدارة من محرك Lina إلى شبكة الإدارة الخارجية:
النقاط الرئيسية:
- يتم تكوين عنوان IP 203.0.113.x مع قناع الشبكة /29 أسفل الواجهة باستخدام اسم إدارة IF. ولكن هذا التكوين غير مرئي في إخراج الأمر show run interface:
> show interface Management
Interface Management1/1 "management", is up, line protocol is up
Hardware is en_vtun rev00, DLY 1000 usec
Input flow control is unsupported, output flow control is unsupported
MAC address bce7.1234.ab82, MTU 1500
IP address 203.0.113.130, subnet mask 255.255.255.248
…
> show running-config interface Management 1/1
!
interface Management1/1
management-only
nameif management
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
security-level 0
يتم تكوين شبكة البوابة الافتراضية 203.0.113.129 ضمن جدول توجيه الإدارة. هذا المسار الافتراضي غير مرئي في إخراج الأمر show route management-only بدون وسيطات. يمكنك التحقق من المسار من خلال تحديد العنوان 0.0.0.0:
> show route management-only
Routing Table: mgmt-only
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF, BI - BGP InterVRF
Gateway of last resort is not set
> show route management-only 0.0.0.0
Routing Table: mgmt-only
Routing entry for 0.0.0.0 0.0.0.0, supernet
Known via "static", distance 128, metric 0, candidate default path
Routing Descriptor Blocks:
* 203.0.113.129, via management
Route metric is 0, traffic share count is 1
> show asp table routing management-only
route table timestamp: 51
in 203.0.113.128 255.255.255.248 management
in 0.0.0.0 0.0.0.0 via 203.0.113.129, management
out 255.255.255.255 255.255.255.255 management
out 203.0.113.130 255.255.255.255 management
out 203.0.113.128 255.255.255.248 management
out 224.0.0.0 240.0.0.0 management
out 0.0.0.0 0.0.0.0 via 203.0.113.129, management
out 0.0.0.0 0.0.0.0 via 0.0.0.0, identity
2. يتم تكوين عنوان IP 203.0.113.129 على جانب Linux ويمكن رؤيته في وضع الخبراء ويتم تعيينه على واجهة داخلية، على سبيل المثال، TAP_M0:
admin@KSEC-FPR3100-2:~$ ip route show 203.0.113.129/29
203.0.113.128/29 dev tap_M0 proto kernel scope link src 203.0.113.129
3. في نظام التشغيل Linux، يتم تخصيص عنوان IP الخاص بإدارة الهيكل لواجهة الإدارة0. هذا هو عنوان IP المرئي في مخرجات الأمر show network:
> show network
===============[ System Information ]===============
Hostname : firewall
Domains : www.example.org
DNS Servers : 198.51.100.100
DNS from router : enabled
Management port : 8305
IPv4 Default route
Gateway : 192.0.2.1
==================[ management0 ]===================
Admin State : enabled
Admin Speed : sfpDetect
Operation Speed : 1gbps
Link : up
Channels : Management & Events
Mode : Non-Autonegotiation
MDI/MDIX : Auto/MDIX
MTU : 1500
MAC Address : 00:53:00:00:00:01
---------------------[ IPv4 ]----------------------
Configuration : Manual
Address : 192.0.2.100
Netmask : 255.255.255.0
Gateway : 192.0.2.1
----------------------[ IPv6 ]----------------------
Configuration : Disabled
> expert
admin@KSEC-FPR3100-2:~$ ip addr show management0
15: management0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether 00:53:00:00:00:01 brd ff:ff:ff:ff:ff:ff
inet 192.0.2.100/24 brd 192.0.2.255 scope global management0
valid_lft forever preferred_lft forever
…
admin@KSEC-FPR3100-2:~$ ip route show default
default via 192.0.2.1 dev management0
4. هناك ترجمة عنوان أيسر حركي (ضرب) على الإدارة0 قارن أن يترجم المصدر عنوان إلى الإدارة0 قارن عنوان. يتم تحقيق ضرب ديناميكي من خلال تكوين قاعدة جداول باستخدام الإجراء MASQUERADE على واجهة management0:
admin@KSEC-FPR3100-2:~$ sudo iptables -t nat -L -v -n
Password:
…
Chain POSTROUTING (policy ACCEPT 49947 packets, 2347K bytes)
pkts bytes target prot opt in out source destination
6219 407K MASQUERADE all -- * management0+ 0.0.0.0/0 0.0.0.0/0
التحقق
في هذا مثال، CMI مكنت وفي النظام الأساسي شكلت DNS حل عن طريق الإدارة قارن:
> show management-interface convergence
management-interface convergence
> show running-config dns
dns domain-lookup management
DNS server-group DefaultDNS
DNS server-group ciscodns
name-server 198.51.100.100 management
dns-group ciscodns
يتم تكوين التقاط الحزم على واجهات Lina و Linux tap_m0 و Management0:
> show capture
capture dns type raw-data interface management [Capturing - 0 bytes]
match udp any any eq domain
> expert
admin@firewall:~$ sudo tcpdump -n -i tap_M0 udp and port 53
Password:
HS_PACKET_BUFFER_SIZE is set to 4.
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tap_M0, link-type EN10MB (Ethernet), capture size 262144 bytes
> expert
admin@firewall:~$ sudo tcpdump -n -i management0 udp and port 53
Password:
HS_PACKET_BUFFER_SIZE is set to 4.
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on management0, link-type EN10MB (Ethernet), capture size 262144 bytes
يقوم طلب صدى ICMP لعينة اسم مجال مؤهل بالكامل (FQDN) بإنشاء طلب DNS من محرك Lina. يظهر التقاط الحزمة في محرك Lina وواجهة Linux tap_m0 عنوان IP للبادئ 203.0.113.130، وهو واجهة الإدارة CMI عنوان:
> ping interface management www.example.org
Please use 'CTRL+C' to cancel/abort...
Sending 5, 100-byte ICMP Echos to 198.51.100.254, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 120/122/130 ms
> show capture dns
2 packets captured
1: 23:14:22.562303 203.0.113.130.45158 > 198.51.100.100.53: udp 29
2: 23:14:22.595351 198.51.100.100.53 > 203.0.113.130.45158: udp 45
2 packets shown
admin@firewall:~$ sudo tcpdump -n -i tap_M0 udp and port 53
Password:
HS_PACKET_BUFFER_SIZE is set to 4.
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tap_M0, link-type EN10MB (Ethernet), capture size 262144 bytes
23:14:22.570892 IP 203.0.113.130.45158 > 198.51.100.100.53: 38323+ A? www.example.org. (29)
23:14:22.603902 IP 198.51.100.100.53 > 203.0.113.130.45158: 38323 1/0/0 A 198.51.100.254(45)
تظهر الربط على الإدارة0 قارن العنوان من الإدارة0 قارن كالبادئ عنوان. وهذا يرجع إلى PAT الديناميكي المذكور في القسم "مسار حركة مرور بيانات الإدارة في عمليات نشر واجهة الإدارة المتقاربة":
admin@firewall:~$ sudo tcpdump -n -i management0 udp and port 53
Password:
HS_PACKET_BUFFER_SIZE is set to 4.
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on management0, link-type EN10MB (Ethernet), capture size 262144 bytes
23:14:22.570927 IP 192.0.2.100.45158 > 198.51.100.100.53: 38323+ A? www.example.org. (29)
23:14:22.603877 IP 198.51.100.100.53 > 192.0.2.100.45158: 38323 1/0/0 A 198.51.100.254 (45)
القرار
إذا تم تمكين CMI، يتم تعيين عنوان IP 203.0.113.x تلقائيا ويتم إستخدامه داخليا بواسطة البرنامج لتوفير الاتصال بين محرك Lina وشبكة الإدارة الخارجية. يمكنك تجاهل عنوان IP.
يظل عنوان IP الظاهر في إخراج الأمر show network دون تغيير وهو عنوان IP الصحيح الوحيد الذي يجب الإشارة إليه باسم عنوان IP الخاص بإدارة FTD.
المراجع
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
30-Dec-2024 |
الإصدار الأولي |
التعليقات