In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
Dieses Dokument beschreibt die Konfiguration, Verifizierung und den Betrieb einer Inline-Pair-Schnittstelle auf einer FirePOWER Threat Defense (FTD)-Appliance.
Für dieses Dokument bestehen keine spezifischen Anforderungen.
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Dieses Dokument kann auch mit folgenden Hardware- und Softwareversionen verwendet werden:
FTD ist ein einheitliches Software-Image, das aus zwei Haupt-Engines besteht:
Diese Abbildung zeigt, wie die beiden Engines interagieren:
FTD bietet zwei Bereitstellungsmodi und sechs Schnittstellenmodi, wie im Bild gezeigt:
Hinweis: Sie können die Schnittstellenmodi auf einer FTD-Einheit kombinieren.
Im Folgenden finden Sie einen allgemeinen Überblick über die verschiedenen FTD-Bereitstellungs- und Schnittstellenmodi:
FTD-Schnittstellenmodus |
FTD-Bereitstellungsmodus |
Beschreibung |
Datenverkehr kann verworfen werden |
Geroutet |
Geroutet |
Vollständige LINA-Engine- und Snort-Engine-Prüfungen |
Ja |
Geschaltet |
Transparent |
Vollständige LINA-Engine- und Snort-Engine-Prüfungen |
Ja |
Inline-Paar |
Geroutet oder transparent |
Partielle LINA-Engine- und vollständige Snort-Engine-Prüfungen |
Ja |
Inline-Paar mit Tap |
Geroutet oder transparent |
Partielle LINA-Engine- und vollständige Snort-Engine-Prüfungen |
Nein |
Passive |
Geroutet oder transparent |
Partielle LINA-Engine- und vollständige Snort-Engine-Prüfungen |
Nein |
Passiv (ERSPAN) |
Geroutet |
Partielle LINA-Engine- und vollständige Snort-Engine-Prüfungen |
Nein |
Anforderung
Konfigurieren Sie die physischen Schnittstellen e1/6 und e1/8 im Inline-Paarmodus gemäß den folgenden Anforderungen:
Schnittstelle | e1/6 | e1/8 |
Name | INNEN | AUSSEN |
Sicherheitszone | INNENBEREICH | EXTERNE_ZONE |
Name des Inline-Satzes | Inline-Paar-1 | |
Inline-Set-MTU | 1500 | |
FailSafe | Aktiviert | |
Verknüpfungsstatus propagieren | Aktiviert |
Lösung
Schritt 1: Navigieren Sie zu Geräte > Gerätemanagement, wählen Sie das entsprechende Gerät aus, und wählen Sie Bearbeiten aus, wie im Bild dargestellt.
Geben Sie als Nächstes den Namen und die Markierung aktiviert für die Schnittstelle an, wie im Bild dargestellt.
Hinweis: Der Name ist der Name der Schnittstelle.
Ähnlich bei Schnittstelle Ethernet1/8. Das Endergebnis ist wie im Bild dargestellt.
Schritt 2: Konfigurieren Sie das Inline-Paar.
Navigieren Sie zu Inline Sets > Add Inline Set (Inline Set hinzufügen), wie im Bild dargestellt.
Schritt 3: Konfigurieren Sie die allgemeinen Einstellungen gemäß den im Bild gezeigten Anforderungen.
Hinweis: Failsafe ermöglicht, dass der Datenverkehr das Inline-Paar ohne Überprüfung durchläuft, wenn die Schnittstellenpuffer voll sind (was in der Regel bei einer Überlastung des Geräts oder der Snort-Engine auftritt). Die Größe des Schnittstellenpuffers wird dynamisch zugewiesen.
Schritt 4: Aktivieren Sie die Option Link-Zustand propagieren in den erweiterten Einstellungen, wie im Bild dargestellt.
Durch die Link-State-Propagierung wird die zweite Schnittstelle im Inline-Schnittstellenpaar automatisch deaktiviert, wenn eine der Schnittstellen im Inline-Set ausfällt.
Schritt 5: Speichern der Änderungen und Bereitstellen.
Verwenden Sie diesen Abschnitt, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert.
Überprüfen der Inline-Paar-Konfiguration über die FTD-CLI
Lösung
Melden Sie sich bei der FTD-CLI an, und überprüfen Sie die Inline-Paar-Konfiguration:
> show inline-set
Inline-set Inline-Pair-1
Mtu is 1500 bytes
Failsafe mode is on/activated
Failsecure mode is off
Tap mode is off
Propagate-link-state option is on
hardware-bypass mode is disabled
Interface-Pair[1]:
Interface: Ethernet1/6 "INSIDE"
Current-Status: UP
Interface: Ethernet1/8 "OUTSIDE"
Current-Status: UP
Bridge Group ID: 509
>
Hinweis: Die Bridge-Gruppen-ID ist ein anderer Wert als 0. Wenn der Tap Mode (Tap-Modus) aktiviert ist, ist er 0
Informationen zu Schnittstelle und Name:
> show nameif
Interface Name Security
Ethernet1/6 INSIDE 0
Ethernet1/7 diagnostic 0
Ethernet1/8 OUTSIDE 0
>
Überprüfen Sie den Schnittstellenstatus:
> show interface ip brief
Interface IP-Address OK? Method Status Protocol
Internal-Data0/0 unassigned YES unset up up
Internal-Data0/1 unassigned YES unset up up
Internal-Data0/2 169.254.1.1 YES unset up up
Ethernet1/6 unassigned YES unset up up
Ethernet1/7 unassigned YES unset up up
Ethernet1/8 unassigned YES unset up up
Überprüfen Sie die Informationen der physischen Schnittstelle:
> show interface e1/6
Interface Ethernet1/6 "INSIDE", is up, line protocol is up
Hardware is EtherSVI, BW 1000 Mbps, DLY 1000 usec
MAC address 5897.bdb9.770e, MTU 1500
IPS Interface-Mode: inline, Inline-Set: Inline-Pair-1
IP address unassigned
Traffic Statistics for "INSIDE":
468 packets input, 47627 bytes
12 packets output, 4750 bytes
1 packets dropped
1 minute input rate 0 pkts/sec, 200 bytes/sec
1 minute output rate 0 pkts/sec, 7 bytes/sec
1 minute drop rate, 0 pkts/sec
5 minute input rate 0 pkts/sec, 96 bytes/sec
5 minute output rate 0 pkts/sec, 8 bytes/sec
5 minute drop rate, 0 pkts/sec
> show interface e1/8
Interface Ethernet1/8 "OUTSIDE", is up, line protocol is up
Hardware is EtherSVI, BW 1000 Mbps, DLY 1000 usec
MAC address 5897.bdb9.774d, MTU 1500
IPS Interface-Mode: inline, Inline-Set: Inline-Pair-1
IP address unassigned
Traffic Statistics for "OUTSIDE":
12 packets input, 4486 bytes
470 packets output, 54089 bytes
0 packets dropped
1 minute input rate 0 pkts/sec, 7 bytes/sec
1 minute output rate 0 pkts/sec, 212 bytes/sec
1 minute drop rate, 0 pkts/sec
5 minute input rate 0 pkts/sec, 7 bytes/sec
5 minute output rate 0 pkts/sec, 106 bytes/sec
5 minute drop rate, 0 pkts/sec
>
In diesem Abschnitt werden die folgenden Verifizierungsprüfungen zur Verifizierung des Inline-Pair-Betriebs beschrieben:
Lösung
Überblick über die Architektur
Wenn zwei FTD-Schnittstellen im Inline-Pair-Modus betrieben werden, wird ein Paket wie im Bild dargestellt verarbeitet.
Hinweis: Nur physische Schnittstellen können einem Inline-Paarsatz angehören.
Der letzte Punkt kann wie im Bild dargestellt dargestellt dargestellt werden:
Die Paketverfolgungsausgabe, die ein Paket emuliert, das das Inline-Paar mit den folgenden wichtigen Punkten durchquert:
> packet-tracer input INSIDE tcp 192.168.201.50 1111 192.168.202.50 80
Phase: 1
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list
Phase: 2
Type: NGIPS-MODE
Subtype: ngips-mode
Result: ALLOW
Config:
Additional Information:
The flow ingressed an interface configured for NGIPS mode and NGIPS services is be applied
Phase: 3
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group CSM_FW_ACL_ global
access-list CSM_FW_ACL_ advanced permit ip any any rule-id 268438528
access-list CSM_FW_ACL_ remark rule-id 268438528: ACCESS POLICY: FTD4100 - Default/1
access-list CSM_FW_ACL_ remark rule-id 268438528: L4 RULE: DEFAULT ACTION RULE
Additional Information:
This packet is sent to snort for additional processing where a verdict is reached
Phase: 4
Type: NGIPS-EGRESS-INTERFACE-LOOKUP
Subtype: Resolve Egress Interface
Result: ALLOW
Config:
Additional Information:
Ingress interface INSIDE is in NGIPS inline mode.
Egress interface OUTSIDE is determined by inline-set configuration
Phase: 5
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 106, packet dispatched to next module
Result:
input-interface: INSIDE
input-status: up
input-line-status: up
Action: allow
>
Sie können TCP-SYN/ACK-Pakete mithilfe eines Pakets generieren, das ein Dienstprogramm wie Scapy erstellt. Diese Syntax generiert 3 Pakete mit aktivierten SYN/ACK-Flags:
root@KALI:~# scapy INFO: Can't import python gnuplot wrapper . Won't be able to plot. WARNING: No route found for IPv6 destination :: (no default route?) Welcome to Scapy (2.2.0) >>> conf.iface='eth0' >>> packet = IP(dst="192.168.201.60")/TCP(flags="SA",dport=80) >>> syn_ack=[] >>> for i in range(0,3): # Send 3 packets ... syn_ack.extend(packet) ... >>> send(syn_ack)
Aktivieren Sie diese Erfassung für FTD CLI, und senden Sie einige TCP SYN/ACK-Pakete:
> capture CAPI interface INSIDE trace match ip host 192.168.201.60 any
> capture CAPO interface OUTSIDE match ip host 192.168.201.60 any
>
Nachdem Sie die Pakete über FTD gesendet haben, sehen Sie eine Verbindung, die erstellt wurde:
> show conn detail
1 in use, 34 most used
Flags: A - awaiting responder ACK to SYN, a - awaiting initiator ACK to SYN,
b - TCP state-bypass or nailed,
C - CTIQBE media, c - cluster centralized,
D - DNS, d - dump, E - outside back connection, e - semi-distributed,
F - initiator FIN, f - responder FIN,
G - group, g - MGCP, H - H.323, h - H.225.0, I - initiator data,
i - incomplete, J - GTP, j - GTP data, K - GTP t3-response
k - Skinny media, M - SMTP data, m - SIP media, N - inspected by Snort, n - GUP
O - responder data, P - inside back connection,
q - SQL*Net data, R - initiator acknowledged FIN,
R - UDP SUNRPC, r - responder acknowledged FIN,
T - SIP, t - SIP transient, U - up,
V - VPN orphan, v - M3UA W - WAAS,
w - secondary domain backup,
X - inspected by service module,
x - per session, Y - director stub flow, y - backup stub flow,
Z - Scansafe redirection, z - forwarding stub flow
TCP Inline-Pair-1:OUTSIDE(OUTSIDE): 192.168.201.60/80 Inline-Pair-1:INSIDE(INSIDE): 192.168.201.50/20,
flags b N, idle 13s, uptime 13s, timeout 1h0m, bytes 0
>
Hinweis: b-Flag - Eine klassische ASA würde ein nicht angefordertes SYN/ACK-Paket verwerfen, es sei denn, die TCP-Zustandsumgehung wurde aktiviert. Eine FTD-Schnittstelle im Inline-Pair-Modus verarbeitet eine TCP-Verbindung im TCP-State-Bypass-Modus und verwirft keine TCP-Pakete, die nicht zu den bereits vorhandenen Verbindungen gehören.
Hinweis: N-Flag - Das Paket wird von der FTD Snort Engine geprüft.
Die Aufnahmen beweisen dies, da Sie die 3 Pakete sehen, die die FTD durchlaufen:
> show capture CAPI
3 packets captured
1: 15:27:54.327146 192.168.201.50.20 > 192.168.201.60.80: S 0:0(0) ack 0 win 8192
2: 15:27:54.330000 192.168.201.50.20 > 192.168.201.60.80: S 0:0(0) ack 0 win 8192
3: 15:27:54.332517 192.168.201.50.20 > 192.168.201.60.80: S 0:0(0) ack 0 win 8192
3 packets shown
>
3 Pakete verlassen das FTD-Gerät:
> show capture CAPO
3 packets captured
1: 15:27:54.327299 192.168.201.50.20 > 192.168.201.60.80: S 0:0(0) ack 0 win 8192
2: 15:27:54.330030 192.168.201.50.20 > 192.168.201.60.80: S 0:0(0) ack 0 win 8192
3: 15:27:54.332548 192.168.201.50.20 > 192.168.201.60.80: S 0:0(0) ack 0 win 8192
3 packets shown
>
Mit dem Trace des ersten Capture-Pakets enthüllt einige zusätzliche Informationen wie das Snort-Engine-Urteil:
> show capture CAPI packet-number 1 trace 3 packets captured 1: 15:27:54.327146 192.168.201.50.20 > 192.168.201.60.80: S 0:0(0) ack 0 win 8192 Phase: 1 Type: CAPTURE Subtype: Result: ALLOW Config: Additional Information: MAC Access list Phase: 2 Type: ACCESS-LIST Subtype: Result: ALLOW Config: Implicit Rule Additional Information: MAC Access list Phase: 3 Type: NGIPS-MODE Subtype: ngips-mode Result: ALLOW Config: Additional Information: The flow ingressed an interface configured for NGIPS mode and NGIPS services is applied Phase: 4 Type: ACCESS-LIST Subtype: log Result: ALLOW Config: access-group CSM_FW_ACL_ global access-list CSM_FW_ACL_ advanced permit ip any any rule-id 268438528 access-list CSM_FW_ACL_ remark rule-id 268438528: ACCESS POLICY: FTD4100 - Default/1 access-list CSM_FW_ACL_ remark rule-id 268438528: L4 RULE: DEFAULT ACTION RULE Additional Information: This packet is sent to snort for additional processing where a verdict is reached Phase: 5 Type: NGIPS-EGRESS-INTERFACE-LOOKUP Subtype: Resolve Egress Interface Result: ALLOW Config: Additional Information: Ingress interface INSIDE is in NGIPS inline mode. Egress interface OUTSIDE is determined by inline-set configuration Phase: 6 Type: FLOW-CREATION Subtype: Result: ALLOW Config: Additional Information: New flow created with id 282, packet dispatched to next module Phase: 7 Type: EXTERNAL-INSPECT Subtype: Result: ALLOW Config: Additional Information: Application: 'SNORT Inspect' Phase: 8 Type: SNORT Subtype: Result: ALLOW Config: Additional Information: Snort Verdict: (pass-packet) allow this packet Phase: 9 Type: CAPTURE Subtype: Result: ALLOW Config: Additional Information: MAC Access list Result: input-interface: OUTSIDE input-status: up input-line-status: up Action: allow 1 packet shown >
The Trace of the second captured packet shows that the packet matching a current connection so it bypass the ACL check, but still is inspected by the Snort engine:
> show capture CAPI packet-number 2 trace 3 packets captured 2: 15:27:54.330000 192.168.201.50.20 > 192.168.201.60.80: S 0:0(0) ack 0 win 8192 Phase: 1 Type: CAPTURE Subtype: Result: ALLOW Config: Additional Information: MAC Access list Phase: 2 Type: ACCESS-LIST Subtype: Result: ALLOW Config: Implicit Rule Additional Information: MAC Access list Phase: 3 Type: FLOW-LOOKUP Subtype:ing Result: ALLOW Config: Additional Information: Found flow with id 282, using current flow Phase: 4 Type: EXTERNAL-INSPECT Subtype: Result: ALLOW Config: Additional Information: Application: 'SNORT Inspect' Phase: 5 Type: SNORT Subtype: Result: ALLOW Config: Additional Information: Snort Verdict: (pass-packet) allow this packet Phase: 6 Type: CAPTURE Subtype: Result: ALLOW Config: Additional Information: MAC Access list Result: input-interface: OUTSIDE input-status: up input-line-status: up Action: allow 1 packet shown >
Das Debugging der Firewall-Engine wird für bestimmte Komponenten der FTD Snort Engine ausgeführt, z. B. die Zugriffskontrollrichtlinie, wie im Bild gezeigt:
Wenn Sie die TCP SYN/ACK-Pakete über das Inline-Paar senden, sehen Sie in der Debug-Ausgabe Folgendes:
> system support firewall-engine-debug
Please specify an IP protocol: tcp
Please specify a client IP address:
Please specify a client port:
Please specify a server IP address: 192.168.201.60
Please specify a server port: 80
Monitoring firewall engine debug messages
192.168.201.60-80 > 192.168.201.50-20 6 AS 4 I 12 New session
192.168.201.60-80 > 192.168.201.50-20 6 AS 4 I 12 using HW or preset rule order 3, id 268438528 action Allow and prefilter rule 0
192.168.201.60-80 > 192.168.201.50-20 6 AS 4 I 12 allow action
192.168.201.60-80 > 192.168.201.50-20 6 AS 4 I 12 Deleting session
Aktivieren Sie das Pufferprotokoll auf FTD, und fahren Sie den mit der e1/6-Schnittstelle verbundenen Switch-Port herunter. Auf der FTD-CLI müssen Sie sehen, dass beide Schnittstellen ausgefallen sind:
> show interface ip brief
Interface IP-Address OK? Method Status Protocol
Internal-Data0/0 unassigned YES unset up up
Internal-Data0/1 unassigned YES unset up up
Internal-Data0/2 169.254.1.1 YES unset up up
Ethernet1/6 unassigned YES unset down down
Ethernet1/7 unassigned YES unset up up
Ethernet1/8 unassigned YES unset administratively down up
>
Die FTD-Protokolle zeigen Folgendes:
> show log
Jan 03 2017 15:53:19: %ASA-4-411002: Line protocol on Interface Ethernet1/6, changed state to down
Jan 03 2017 15:53:19: %ASA-4-411004: Interface OUTSIDE, changed state to administratively down
Jan 03 2017 15:53:19: %ASA-4-411004: Interface Ethernet1/8, changed state to administratively down
Jan 03 2017 15:53:19: %ASA-4-812005: Link-State-Propagation activated on inline-pair due to failure of interface Ethernet1/6(INSIDE) bringing down pair interface Ethernet1/8(OUTSIDE)
>
Der Inline-Set-Status zeigt den Status der beiden Schnittstellenmember an:
> show inline-set
Inline-set Inline-Pair-1
Mtu is 1500 bytes
Failsafe mode is on/activated
Failsecure mode is off
Tap mode is off
Propagate-link-state option is on
hardware-bypass mode is disabled
Interface-Pair[1]:
Interface: Ethernet1/6 "INSIDE"
Current-Status: Down(Propagate-Link-State-Activated)
Interface: Ethernet1/8 "OUTSIDE"
Current-Status: Down(Down-By-Propagate-Link-State)
Bridge Group ID: 509
>
Beachten Sie den Unterschied im Status der beiden Schnittstellen:
> show interface e1/6
Interface Ethernet1/6 "INSIDE", is down, line protocol is down
Hardware is EtherSVI, BW 1000 Mbps, DLY 1000 usec
MAC address 5897.bdb9.770e, MTU 1500
IPS Interface-Mode: inline, Inline-Set: Inline-Pair-1
Propagate-Link-State-Activated
IP address unassigned
Traffic Statistics for "INSIDE":
3393 packets input, 234923 bytes
120 packets output, 49174 bytes
1 packets dropped
1 minute input rate 0 pkts/sec, 0 bytes/sec
1 minute output rate 0 pkts/sec, 0 bytes/sec
1 minute drop rate, 0 pkts/sec
5 minute input rate 0 pkts/sec, 6 bytes/sec
5 minute output rate 0 pkts/sec, 3 bytes/sec
5 minute drop rate, 0 pkts/sec
>
Und für die Ethernet1/8-Schnittstelle:
> show interface e1/8
Interface Ethernet1/8 "OUTSIDE", is administratively down, line protocol is up
Hardware is EtherSVI, BW 1000 Mbps, DLY 1000 usec
MAC address 5897.bdb9.774d, MTU 1500
IPS Interface-Mode: inline, Inline-Set: Inline-Pair-1
Down-By-Propagate-Link-State
IP address unassigned
Traffic Statistics for "OUTSIDE":
120 packets input, 46664 bytes
3391 packets output, 298455 bytes
0 packets dropped
1 minute input rate 0 pkts/sec, 0 bytes/sec
1 minute output rate 0 pkts/sec, 0 bytes/sec
1 minute drop rate, 0 pkts/sec
5 minute input rate 0 pkts/sec, 3 bytes/sec
5 minute output rate 0 pkts/sec, 8 bytes/sec
5 minute drop rate, 0 pkts/sec
>
Nach der erneuten Aktivierung des Switch-Ports zeigen die FTD-Protokolle Folgendes an:
> show log
...
Jan 03 2017 15:59:35: %ASA-4-411001: Line protocol on Interface Ethernet1/6, changed state to up
Jan 03 2017 15:59:35: %ASA-4-411003: Interface Ethernet1/8, changed state to administratively up
Jan 03 2017 15:59:35: %ASA-4-411003: Interface OUTSIDE, changed state to administratively up
Jan 03 2017 15:59:35: %ASA-4-812006: Link-State-Propagation de-activated on inline-pair due to recovery of interface Ethernet1/6(INSIDE) bringing up pair interface Ethernet1/8(OUTSIDE)
>
Lösung
NAT wird nicht für Schnittstellen unterstützt, die im Inline-, Inline-Tap- oder Passivmodus betrieben werden:
Erstellen Sie eine Blockierungsregel, senden Sie Datenverkehr über das FTD-Inline-Paar, und beobachten Sie das Verhalten wie im Bild dargestellt.
Lösung
Aktivieren Sie die Erfassung mit Trace, und senden Sie die SYN/ACK-Pakete über das FTD-Inline-Paar. Der Datenverkehr wird blockiert:
> show capture capture CAPI type raw-data trace interface INSIDE [Capturing - 210 bytes] match ip host 192.168.201.60 any capture CAPO type raw-data interface OUTSIDE [Capturing - 0 bytes] match ip host 192.168.201.60 any
Mit der Ablaufverfolgung werden durch ein Paket folgende Informationen angezeigt:
> show capture CAPI packet-number 1 trace
3 packets captured
1: 16:12:55.785085 192.168.201.50.20 > 192.168.201.60.80: S 0:0(0) ack 0 win 8192
Phase: 1
Type: CAPTURE
Subtype:
Result: ALLOW
Config:
Additional Information:
MAC Access list
Phase: 2
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list
Phase: 3
Type: NGIPS-MODE
Subtype: ngips-mode
Result: ALLOW
Config:
Additional Information:
The flow ingressed an interface configured for NGIPS mode and NGIPS services is applied
Phase: 4
Type: ACCESS-LIST
Subtype: log
Result: DROP
Config:
access-group CSM_FW_ACL_ global
access-list CSM_FW_ACL_ advanced deny ip 192.168.201.0 255.255.255.0 any rule-id 268441600 event-log flow-start
access-list CSM_FW_ACL_ remark rule-id 268441600: ACCESS POLICY: FTD4100 - Mandatory/1
access-list CSM_FW_ACL_ remark rule-id 268441600: L4 RULE: Rule 1
Additional Information:
Result:
input-interface: INSIDE
input-status: up
input-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule
1 packet shown
Auf dieser Spur ist zu sehen, dass das Paket von der FTD LINA-Engine verworfen und nicht an die FTD Snort-Engine weitergeleitet wurde.
Aktivieren Sie den Tap-Modus für das Inline-Paar.
Lösung
Navigieren Sie zu Devices (Geräte) > Device Management (Geräteverwaltung) > Inline Sets (Inline-Sets) > Edit Inline Set (Inline-Set bearbeiten) > Advanced (Erweitert), und aktivieren Sie wie im Bild gezeigt den Tap Mode (Tap-Modus).
Verifizierung
> show inline-set Inline-set Inline-Pair-1 Mtu is 1500 bytes Failsafe mode is on/activated Failsecure mode is off Tap mode is on Propagate-link-state option is on hardware-bypass mode is disabled Interface-Pair[1]: Interface: Ethernet1/6 "INSIDE" Current-Status: UP Interface: Ethernet1/8 "OUTSIDE" Current-Status: UP Bridge Group ID: 0 >
Grundlegende Theorie
Der letzte Punkt ist wie in der Abbildung dargestellt:
Das Inline-Paar mit Tap Mode lässt den Transitverkehr nicht fallen. Mit der Spur eines Pakets bestätigt er dies:
> show capture CAPI packet-number 2 trace 3 packets captured 2: 13:34:30.685084 192.168.201.50.20 > 192.168.201.60.80: S 0:0(0) win 8192 Phase: 1 Type: CAPTURE Subtype: Result: ALLOW Config: Additional Information: MAC Access list Phase: 2 Type: ACCESS-LIST Subtype: Result: ALLOW Config: Implicit Rule Additional Information: MAC Access list Phase: 3 Type: NGIPS-MODE Subtype: ngips-mode Result: ALLOW Config: Additional Information: The flow ingressed an interface configured for NGIPS mode and NGIPS services is applied Phase: 4 Type: ACCESS-LIST Subtype: log Result: WOULD HAVE DROPPED Config: access-group CSM_FW_ACL_ global access-list CSM_FW_ACL_ advanced deny ip 192.168.201.0 255.255.255.0 any rule-id 268441600 event-log flow-start access-list CSM_FW_ACL_ remark rule-id 268441600: ACCESS POLICY: FTD4100 - Mandatory/1 access-list CSM_FW_ACL_ remark rule-id 268441600: L4 RULE: Rule 1 Additional Information: Result: input-interface: INSIDE input-status: up input-line-status: up Action: Access-list would have dropped, but packet forwarded due to inline-tap 1 packet shown
>
Sie können Inline-Paare mit Etherchannel auf zwei Arten konfigurieren:
Etherchannels auf SW-A:
SW-A# show etherchannel summary | i Po33|Po55 33 Po33(SU) LACP Gi3/11(P) 35 Po35(SU) LACP Gi2/33(P)
Etherchannels auf SW-B:
SW-B# show etherchannel summary | i Po33|Po55 33 Po33(SU) LACP Gi1/0/3(P) 55 Po55(SU) LACP Gi1/0/4(P)
Der Datenverkehr wird über den aktiven FTD weitergeleitet, wobei die MAC-Adresse ermittelt wird:
SW-B# show mac address-table address 0017.dfd6.ec00 Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- 201 0017.dfd6.ec00 DYNAMIC Po33 Total Mac Addresses for this criterion: 1
Das Inline-Set auf FTD:
FTD# show inline-set Inline-set SET1 Mtu is 1500 bytes Fail-open for snort down is on Fail-open for snort busy is off Tap mode is off Propagate-link-state option is off hardware-bypass mode is disabled Interface-Pair[1]: Interface: Port-channel3 "INSIDE" Current-Status: UP Interface: Port-channel5 "OUTSIDE" Current-Status: UP Bridge Group ID: 775
Hinweis: Bei einem FTD-Failover-Ereignis hängt der Ausfall des Datenverkehrs hauptsächlich von der Zeit ab, die die Switches benötigen, um die MAC-Adresse des Remote-Peers zu ermitteln.
Etherchannels auf SW-A:
SW-A# show etherchannel summary | i Po33|Po55
33 Po33(SU) LACP Gi3/11(P)
55 Po55(SD) LACP Gi3/7(I)
Die LACP-Pakete werden über den Standby-FTD blockiert:
FTD# capture ASP type asp-drop fo-standby FTD# show capture ASP | i 0180.c200.0002 29: 15:28:32.658123 a0f8.4991.ba03 0180.c200.0002 0x8809 Length: 124 70: 15:28:47.248262 f0f7.556a.11e2 0180.c200.0002 0x8809 Length: 124
Etherchannels auf SW-B:
SW-B# show etherchannel summary | i Po33|Po55
33 Po33(SU) LACP Gi1/0/3(P)
55 Po55(SD) LACP Gi1/0/4(s)
Der Datenverkehr wird über den aktiven FTD weitergeleitet, wobei die MAC-Adresse ermittelt wird:
SW-B# show mac address-table address 0017.dfd6.ec00 Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- 201 0017.dfd6.ec00 DYNAMIC Po33 Total Mac Addresses for this criterion: 1
Das Inline-Set auf FTD:
FTD# show inline-set
Inline-set SET1
Mtu is 1500 bytes
Fail-open for snort down is on
Fail-open for snort busy is off
Tap mode is off
Propagate-link-state option is off
hardware-bypass mode is disabled
Interface-Pair[1]:
Interface: Ethernet1/3 "INSIDE"
Current-Status: UP
Interface: Ethernet1/5 "OUTSIDE"
Current-Status: UP
Bridge Group ID: 519
Vorsicht: In diesem Szenario hängt die Konvergenzzeit bei einem FTD-Failover-Ereignis hauptsächlich von der Etherchannel-LACP-Aushandlung ab und kann sehr viel länger dauern. Wenn der Etherchannel-Modus EIN (kein LACP) ist, hängt die Konvergenzzeit vom MAC-Adressen-Learning ab.
Für diese Konfiguration sind derzeit keine spezifischen Informationen verfügbar.
Inline-Paar |
Inline-Paar mit Tap |
|
Inline-Set anzeigen |
> Inline-Set anzeigen |
> Inline-Set anzeigen > |
show interface |
> Schnittstelle e1/6 anzeigen |
> Schnittstelle e1/6 anzeigen |
So behandeln Sie Pakete mit Blockregel |
> Capture-CAPI-Paketnummer 1-Ablaufverfolgung anzeigen |
> Capture-CAPI-Paketnummer 1-Ablaufverfolgung anzeigen |
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
2.0 |
28-Apr-2023 |
Rezertifizierung |
1.0 |
18-Oct-2017 |
Erstveröffentlichung |