Firepower数据路径故障排除第2阶段：DAQ层

简介

本文是一系列文章的一部分，这些文章说明如何系统地排除Firepower系统上的数据路径故障，以确定Firepower的组件是否可能影响流量。有关Firepower平台架构的信息以及指向其他数据路径故障排除文章的链接，请参阅概述文章。

在本文中，我们将看到Firepower数据路径故障排除的第二阶段：DAQ（数据采集）层。

平台指南

下表介绍本文所涵盖的平台。

平台代码名称	描述	适用 Hardware 平台	备注
SFR	已安装带Firepower服务(SFR)模块的ASA。	ASA-5500-X系列	不适用
FTD（全部）	适用于所有Firepower威胁防御(FTD)平台	ASA-5500-X系列、虚拟NGFW平台、FPR-2100、FPR-9300、FPR-4100	不适用
FTD（非SSP和FPR-2100）	安装在ASA或虚拟平台上的FTD映像	ASA-5500-X系列、虚拟NGFW平台、FPR-2100	不适用
FTD(SSP)	FTD作为逻辑设备安装在基于Firepower可扩展操作系统(FXOS)的机箱上	FPR-9300、FPR-4100	2100系列不使用FXOS机箱管理器

排除Firepower DAQ阶段故障

DAQ（数据获取）层是Firepower的组件，它将数据包转换为Snort能够理解的形式。它最初在数据包发送到snort时处理该数据包。因此，如果数据包正在进入但未退出Firepower设备，或数据包进入故障排除未产生有用结果，则DAQ故障排除可能非常有用。

在DAQ层捕获流量

要获得运行捕获的提示，必须首先使用SSH连接到SFR或FTD IP地址。

注意：在FPR-9300和4100设备上，输入connect ftd first，最后出现第二个>提示符。您也可以通过SSH连接到FXOS机箱管理器IP，然后输入connect module 1 console，然后输入connect ftd。

本文介绍如何在Firepower DAQ级别收集数据包捕获。

注意语法与ASA上使用的capture命令以及FTD平台的LINA端的语法不同。以下是从FTD设备运行的DAQ数据包捕获示例：

如上面的屏幕截图所示，PCAP格式ct.pcap的捕获被写入到/ngfw/var/common目录(SFR平台上的/var/common)。 这些捕获文件可以从>提示符中按照上述文章中的说明从Firepower设备中复制出来。

或者，在Firepower版本6.2.0及更高版本的Firepower管理中心(FMC)上，导航至“设备”>“设备管理”。然后，单击 图标，然后是高级故障排除>文件下载。

然后，可以输入捕获文件的名称，然后点击Download。

如何绕过Firepower

如果Firepower看到流量，但已确定数据包未离开设备或流量存在另一问题，则下一步是绕过Firepower检查阶段，确认其中一个Firepower组件正在丢弃流量。以下是在各种平台上使流量绕过Firepower的最快方法的细分。

SFR — 将Firepower模块置于仅监控模式

在托管SFR的ASA上，可以通过ASA命令行界面(CLI)或思科自适应安全设备管理器(ASDM)将SFR模块置于仅监控模式。 这只会导致将实时数据包的副本发送到SFR模块。 

要通过ASA CLI将SFR模块置于仅监控模式，必须首先通过运行show service-policy sfr命令确定用于SFR重定向的类映射和策略映射。 

# show service-policy sfr

Global policy:
  Service-policy: global_policy
    Class-map: sfr
      SFR: card status Up, mode fail-open
        packet input 10000, packet output 9900, drop 100, reset-drop 0

输出显示global_policy策略映射正在“sfr”类映射上实施sfr fail-open操作。

注意：“fail-close”也是SFR可以运行的模式，但并不常用，因为如果SFR模块关闭或无响应，它会阻止所有流量。

要将SFR模块置于仅监控模式，您可以发出以下命令来否定当前SFR配置并输入仅监控配置：

# configure terminal
(config)# policy-map global_policy
(config-pmap)# class sfr
(config-pmap-c)# no sfr fail-open
(config-pmap-c)# sfr fail-open monitor-only

INFO: The monitor-only mode prevents SFR from denying or altering traffic.

(config-pmap-c)# write memory
Building configuration...

将模块置于仅监控模式后，可以在show service-policy sfr输出中验证该模块。

# sh service-policy sfr

Global policy:
  Service-policy: global_policy
    Class-map: sfr
      SFR: card status Up, mode fail-open monitor-only
        packet input 0, packet output 100, drop 0, reset-drop 0

注意：要将SFR模块重新置于内联模式，请在上面显示的(config-pmap-c)#提示符后发出no sfr fail-open monitor-only命令，然后发出sfr {fail-open | fail-close}命令。

或者，您也可以通过ASDM将模块置于仅监控模式，方法是导航到Configuration > Firewall > Service Policy Rules。然后，点击相关规则。然后，转到Rule Actions页面，并单击ASA FirePOWER Inspection选项卡。在此位置后，可以选择“仅监控”。

如果即使在SFR模块确认为处于仅监控模式后流量问题仍然存在，则Firepower模块不会导致问题。然后，可以运行Packet Tracer以进一步诊断ASA级别的问题。

如果问题不再存在，下一步是排除Firepower软件组件故障。

FTD（全部） — 将内联集置于TAP模式

如果流量通过内联集中配置的接口对传输，内联集可以置于TAP模式。这实际上会导致Firepower不对实时数据包采取操作。它不适用于没有内联集的路由器或透明模式，因为设备必须在将数据包发送到下一跳之前修改数据包，并且不能在不丢弃流量的情况下将其置于旁路模式。对于没有内联集的路由和透明模式，请继续执行packet tracer步骤。

要从FMC用户界面(UI)配置TAP模式，请导航至“设备”>“设备管理”，然后编辑相关设备。在内联集选项卡下，选中TAP模式选项。

如果TAP模式解决了问题，下一步是排除Firepower软件组件故障。

如果TAP模式无法解决问题，则问题将不在Firepower软件之外。然后，Packet Tracer可用于进一步诊断问题。

使用Packet Tracer排除模拟流量故障

Packet Tracer是一种实用程序，可帮助确定丢包的位置。它是一个模拟器，因此它执行人工数据包的跟踪。

SFR — 在ASA CLI上运行Packet Tracer

以下是如何在ASA CLI上为SSH流量运行packet-tracer的示例。有关packet tracer命令语法的更多详细信息，请参阅《ASA系列命令参考指南》中的此部分。

在上例中，我们看到ASA和SFR模块都允许数据包，以及有关ASA如何处理数据包流的有用信息。

FTD（全部） — 在FTD CLI上运行Packet Tracer

在所有FTD平台上，可以从FTD CLI运行packet tracer命令。 

在本例中，Packet Tracer确实显示丢弃的原因。在这种情况下，它是Firepower中安全情报功能中阻止数据包的IP黑名单。下一步是对导致丢弃的单个Firepower软件组件进行故障排除。

使用捕获和跟踪对实时流量进行故障排除

实时流量也可以通过带跟踪功能的捕获进行跟踪，该功能可通过CLI在所有平台上使用。以下是对SSH流量运行带跟踪的捕获的示例。

在本示例中，跟踪捕获中的第四个数据包，因为这是定义了应用数据的第一个数据包。如图所示，数据包最终被snort列入白名单，这意味着无需对流进行进一步的snort检测，并且总体允许。

有关使用跟踪语法捕获的详细信息，请参阅《ASA系列命令参考指南》中的此部分。

FTD（全部） — 在FMC GUI上运行带跟踪的捕获

在FTD平台上，可在FMC UI上运行带跟踪的捕获。要访问该实用程序，请导航至Devices > Device Management。

然后，单击 图标，然后是高级故障排除>捕获，带跟踪。

以下是如何通过GUI运行带跟踪的捕获的示例。

如果带跟踪的捕获显示丢包的原因，则下一步是对各个软件组件进行故障排除。

如果它不清楚显示问题的原因，则下一步是快速通过流量。

在FTD中创建PreFilter快速路径规则

在所有FTD平台上，都有预过滤器策略，可用于转移来自Firepower(snort)检测的流量。 

在FMC上，此字段位于Policies > Access Control > Prefilter下。无法编辑默认预过滤器策略，因此需要创建自定义策略。

之后，新创建的预过滤器策略需要与访问控制策略关联。这在“预过滤器策略设置”(Prefilter Policy Settings)部分的访问控制策略(Access Control Policy)的“高级”(Advanced)选项卡中进行配置。

以下是如何在预过滤器策略中创建快速路径规则并验证命中计数的示例。

单击此处了解有关预过滤器策略的操作和配置的更多详细信息。

如果添加预过滤器策略可解决流量问题，则可根据需要保留规则。但是，没有对该流进行进一步检查。需要对Firepower软件进行进一步的故障排除。

如果添加预过滤器策略无法解决问题，则可以再次运行带跟踪步骤的数据包以跟踪数据包的新路径。

向TAC提供的数据

数据	说明
命令输出	有关说明，请参阅本文
数据包捕获	对于ASA/LINA:https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/118097-configure-asa-00.html 对于Firepower:http://www.cisco.com/c/en/us/support/docs/security/sourcefire-firepower-8000-series-appliances/117778-technote-sourcefire-00.html
ASA“show tech”输出	登录ASA CLI并将终端会话保存到日志中。输入show techcommand，然后向TAC提供终端会话输出文件。 此文件可使用此命令保存到磁盘或外部存储系统。 show tech | redirect disk0:/show_tech.log
从Firepower设备检查流量的文件故障排除	http://www.cisco.com/c/en/us/support/docs/security/sourcefire-defense-center/117663-technote-SourceFire-00.html

下一步

如果已确定Firepower软件组件是问题的原因，则下一步是从安全情报开始系统地排除每个组件。

单击此处继续阅读下一个指南。