أستكشاف أخطاء FTD وإصلاحها غير قادر على إختبار اتصال جهاز الخادم على الرغم من وجود إدخال ARP
المحتويات
مسألة
تعذر على "الدفاع عن تهديد جدار الحماية (FTD)" إختبار عنوان IP لجهاز الخادم، على الرغم من قدرة جدار الحماية على مراقبة إدخال ARP لعنوان IP للتدفق. أظهر جدول ARP الإدخالات المتوقعة، مشيرا إلى أن اتصال الطبقة 2 كان يعمل لكن حركة مرور إختبار الاتصال للطبقة 3 كان يتم حظرها.
المخطط
أعراض واجهة سطر الأوامر (CLI) ل FTD
فشل إختبار الاتصال لعنوان IP للتحميل:
device# ping 192.0.2.250
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.0.2.250, timeout is 2 seconds:
?????
Success rate is 0 percent (0/5)
هناك إدخال ARP لعنوان IP للتدفق:
device# show arp
NET200 192.0.2.250 0000.5e00.5301 47
تمكين التقاط باستخدام تتبع على واجهة FTD:
device# capture CAPI interface NET200 trace match icmp host 192.0.2.200 host 192.0.2.250
FTD LINA syslogs أثناء إختبار الاتصال:
device# show log | include 192.0.2.250
May 15 2026 09:46:26: %FTD-6-302020: Built outbound ICMP connection for faddr 192.0.2.250/0 gaddr 192.0.2.200/5035 laddr 192.0.2.200/5035 type 8 code 0 Internal-Data0/1:RX[0]
May 15 2026 09:46:26: %FTD-3-313001: Denied ICMP type=0, code=0 from 192.0.2.250 on interface NET200
May 15 2026 09:46:26: %FTD-6-302021: Teardown ICMP connection for faddr 192.0.2.250/0 gaddr 192.0.2.200/5035 laddr 192.0.2.200/5035 type 8 code 0 Internal-Data0/0:RX[0]
...
يظهر التقاط الحزمة ردود صدى ICMP التي تصل:
device# show capture CAPI
10 packets captured
1: 09:46:26.649456 802.1Q vlan#200 P0 192.0.2.200 > 192.0.2.250 icmp: echo request
2: 09:46:26.649883 802.1Q vlan#200 P0 192.0.2.250 > 192.0.2.200 icmp: echo reply
3: 09:46:28.642621 802.1Q vlan#200 P0 192.0.2.200 > 192.0.2.250 icmp: echo request
4: 09:46:28.643002 802.1Q vlan#200 P0 192.0.2.250 > 192.0.2.200 icmp: echo reply
...
يظهر تتبع الحزمة الخاص برد صدى ICMP أن الحزمة تطابق اتصالا موجودا كما هو متوقع وأن واجهة الإخراج هي واجهة FTD (NP Identity IFC):
device# show capture CAPI packet-number 2 trace
10 packets captured
2: 09:46:26.649883 802.1Q vlan#200 P0 192.0.2.250 > 192.0.2.200 icmp: echo reply
...
Phase: 3
Type: FLOW-LOOKUP
Subtype:
Result: ALLOW
Elapsed time: 4096 ns
Config:
Additional Information:
Found flow with id 1400, using existing flow
...
Result:
input-interface: NET200(vrfid:0)
input-status: up
input-line-status: up
output-interface: NP Identity Ifc
Action: allow
Time Taken: 28672 ns
يوضح تتبع ICMP الخاص بتصحيح أخطاء ICMP أنه يتم رفض الرد على صدى ICMP:
FTD220-5# debug icmp trace
debug icmp trace enabled at level 1
FTD220-5# ping 192.0.2.250
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.0.2.250, timeout is 2 seconds:
ICMP echo request from self:192.0.2.200 to NET200:192.0.2.250 ID=49503 seq=15001 len=72
ICMP echo reply from NET200:192.0.2.250 to self:192.0.2.200 ID=49503 seq=15001 len=72
Denied ICMP type = 0, code = 0 from 192.0.2.250on interface 4
?
...
Success rate is 0 percent (0/5)
تحذير: أستخدم تصحيح الأخطاء بحذر!
لإيقاف تشغيل تصحيح أخطاء ICMP:
device# no debug icmp trace
debug icmp trace disabled.
البيئة
معيار FTD 10.x. كما تتأثر إصدارات البرامج الأخرى.
قرار
تم حل المشكلة بتعريف تكوين قاعدة ICMP وتصحيحه في إعدادات النظام الأساسي التي كانت ترفض حركة مرور إختبار الاتصال. وتضمن القرار هذه الخطوات:
الخطوة 1. التحقق من إدخالات جدول ARP
تأكد من أن إدخالات ARP لعنوان IP للتحميل مرئية في جدول ARP لجدار الحماية، والذي يشير إلى أن اتصال الطبقة 2 يعمل بشكل صحيح:
device# show arp
الخطوة 2. تحقق من إعدادات النظام الأساسي لقواعد ICMP
انتقل إلى تكوين إعدادات النظام الأساسي وفحص سياسات قاعدة ICMP التي يمكن أن تؤثر على حركة مرور إختبار الاتصال. ابحث بشكل خاص عن القواعد التي يمكن أن تمنع حزم طلب/رد ICMP echo أو ترفضها.
الخطوة 3. التعرف على قاعدة ICMP الخاصة بالحظر وتعديلها
حدد موقع قاعدة ICMP في إعدادات النظام الأساسي التي تم تكوينها لرفض حركة مرور إختبار الاتصال.
في هذا المثال، تسمح قاعدة ICMP بطلبات صدى ICMP فقط التي يتم قبولها بواسطة واجهة FTD.
التحقق من واجهة سطر الأوامر (CLI) في برنامج FTD:
device# show run icmp
icmp unreachable rate-limit 1 burst-size 1
icmp permit any echo NET200
الخطوة 4. تحديث تكوين قاعدة ICMP
قم بتعديل قاعدة ICMP المحددة للسماح بحركة مرور إختبار الاتصال أو إزالة تكوين الحظر كما هو مناسب لمتطلبات أمان الشبكة والاحتياجات التشغيلية.
قاعدة ICMP الناتجة:
device# show run icmp
icmp unreachable rate-limit 1 burst-size 1
icmp permit any echo NET200
icmp permit 192.0.2.0 255.255.255.0 echo-reply NET200
الخطوة 5. إختبار الاتصال
بعد إجراء تغييرات التكوين، اختبر اتصال إختبار الاتصال بعنوان IP للتحميل للتحقق من حل المشكلة ومن تدفق حركة مرور ICMP الآن بشكل صحيح:
device# ping 192.0.2.250
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.0.2.250, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
السبب
كان السبب الجذري لهذه المشكلة قاعدة ICMP التي تم تكوينها في إعدادات النظام الأساسي التي كانت ترفض بشكل صريح حركة مرور ردود صدى ICMP. وبينما حافظ جدار الحماية على اتصال مناسب للطبقة 2 (كما هو موضح بإدخالات ARP المرئية)، كانت قاعدة ICMP على مستوى النظام الأساسي تمنع حزم الرد على صدى ICMP من الطبقة 3، مما يمنع عمليات إختبار الاتصال الناجحة إلى عنوان IP للتحميل. يمكن أن يحدث هذا النوع من التكوين عند تنفيذ سياسات الأمان لتقييد حركة مرور ICMP ولكن يمكن أن يؤثر دون قصد على إختبار اتصال الشبكة المشروع ومراقبته.
المحتوى ذي الصلة
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
2.0 |
19-May-2026
|
الإصدار الأولي |
1.0 |
19-May-2026
|
الإصدار الأولي |
التعليقات