¿Tiene una cuenta?

  •   Contenido personalizado
  •   Sus productos y soporte

¿Necesita una cuenta?

Crear una cuenta

Permita Traceroute a través de la defensa de la amenaza de FirePOWER (FTD) vía la política de servicio de la amenaza

Opciones de descarga

  • PDF     (313.9 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (281.1 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (228.5 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:13 de febrero de 2020
ID del documento:215237
Acerca de la traducción

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe la configuración para permitir el traceroute a través de la defensa de la amenaza de FirePOWER (FTD)

    Prerrequisitos

    Requisitos

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Centro de administración de FirePOWER (FMC)
    • Defensa de la amenaza de FirePOWER (FTD)

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • Este artículo es aplicable a todas las Plataformas de FirePOWER
    • Defensa de la amenaza de Cisco FirePOWER (FTD) que funciona con la versión de software 6.4.0
    • Centro de administración de Cisco FirePOWER virtual (FMC) que funciona con la versión de software 6.4.0

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Antecedentes

    Traceroute para ayudarle a determinar la ruta que los paquetes llevan su destino. Un traceroute trabaja enviando los paquetes UDP a un destino en un puerto no válido. Porque el puerto es inválido, el Routers a lo largo del camino al destino responde con un mensaje excedido tiempo ICMP y señala ese error al ASA.

    El traceroute muestra el resultado de cada punta de prueba enviada. Cada línea de salida corresponde a un valor de TTL en la orden cada vez mayor. Esta tabla explica los símbolos de la salida.

    Símbolo de la salida Descripción
    * No se recibió ninguna respuesta para la punta de prueba dentro del período de agotamiento del tiempo de espera.
    nn milisegundo Para cada nodo, el Round-Trip Time (en los milisegundos) para el número especificado de puntas de prueba.
    ! N La red ICMP es inalcanzable.
    ! H El host ICMP es inalcanzable.
    ! P El ICMP es inalcanzable.
    ! A ICMP administrativo prohibido.
    ¿? Error ICMP desconocido.

    Por abandono, el ASA no aparece en los traceroutes como salto. Para hacer que aparece, usted necesita decrement el Time to Live en los paquetes que pasan a través del ASA y aumentan el límite de velocidad en los mensajes del ICMP fuera de alcance.

    Precaución: Si usted decrement el Time to Live, los paquetes con TTL de 1 se caen, pero una conexión se abre para la sesión sobre la suposición que la conexión pudo contener los paquetes con mayor TTL. Observe que algunos paquetes, tales como paquetes de los saludos OSPF, están enviados con el TTL=1, así que decrementing el Time to Live puede tener consecuencias inesperadas. Tenga estas consideraciones presente al definir su clase de tráfico.

    Configurar

    Paso 1. Cree el ACL extendido que define la clase de tráfico para la cual la información del traceroute necesita ser activada.

    Ábrase una sesión al GUI FMC y navegue a los objetos > a la Administración > a la lista de acceso del objeto. Seleccione extendido del índice y agregue un nuevo acceso extendido List.Enter un nombre para el objeto, por ejemplo, bajo Traceroute_ACL, agregue una regla para permitir el tráfico interesado y para salvarlo, tal y como se muestra en de la imagen:

    Paso 2. Configure la regla de la política de servicio que decrements el valor del Time to Live.

    Navegue a las directivas > al control de acceso y después corrija la directiva asignada al dispositivo. Bajo ficha Avanzadascorrija la política de servicio de la defensa de la amenaza y después agregue una nueva regla de agregan la tabulación de la regla después seleccionan el checkbox global para aplicarlo global y para hacer clic después, tal y como se muestra en de la imagen:

    Navegue al flujo de tráfico > extendió la lista de acceso y después eligen el objeto extendido de la lista de acceso del menú desplegable que fue creado en los pasos anteriores. Ahora haga clic después, tal y como se muestra en de la imagen:

    Seleccione el checkbox de TTL del decremento del permiso y modifique las otras opciones de conexión (opcionales). Ahora clic en Finalizar para agregar la regla y entonces para hacer clic la AUTORIZACIÓN y para salvar los cambios a la política de servicio de la defensa de la amenaza, tal y como se muestra en de la imagen:

    Una vez que se completan los pasos anteriores, asegure para salvar la directiva del control de acceso.

       

    Paso 3. Aumente el límite de velocidad en los mensajes del ICMP fuera de alcance (opcionales).

    Navegue a los dispositivos > a las configuraciones de la plataforma y entonces corrija o cree una nueva directiva de las configuraciones de la plataforma de la defensa de la amenaza de FirePOWER y asocíela al dispositivo. Ahora seleccione el ICMP del índice y aumente el límite de velocidad, por ejemplo, a 50 (usted puede ignorar el tamaño de ráfaga) y entonces haga clic la salvaguardia y proceda a desplegar la directiva al dispositivo, tal y como se muestra en de la imagen:

    Precaución: Asegúrese que destino ICMP inalcanzable (el tipo 3) y el tiempo ICMP excedido (tipo 11) se dan un plazo del exterior al interior en la directiva ACL o a Fastpath'ed en la directiva del Pre-filtro.

    Verificación

    Controle la configuración de FTD CLI una vez que la implementación de política es completa:

    FTD# show run policy-map
!
policy-map type inspect dns preset_dns_map
---Output omitted---

class class_map_Traceroute_ACL
set connection timeout idle 1:00:00
set connection decrement-ttl
class class-default
!

FTD# show run class-map
!
class-map inspection_default

---Output omitted---

class-map class_map_Traceroute_ACL
match access-list Traceroute_ACL
!

FTD# show run access-l Traceroute_ACL
access-list Traceroute_ACL extended permit object-group ProxySG_ExtendedACL_30064773500 any any log
FTD#

    Troubleshooting

    Usted puede tomar las capturas en el ingreso y las interfaces de egreso FTD para que el tráfico interesante resuelva problemas más lejos el problema.

    Consejo: CSCvq79913, los paquetes del error ICMP que son caídos para el pdts_info nulo, aseguran para utilizar el prefilter para el ICMP preferiblemente para el tipo 3 y el tráfico de retorno 11.

    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Dinesh Khandal
      Ingeniero del TAC de Cisco
    • Dinesh Verma
      Ingeniero del TAC de Cisco
    • Prashant Joshi
      Ingeniero del TAC de Cisco

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Discusiones relacionadas con la comunidad de Cisco

    Este documento se aplica a estos productos

    Acerca de Cisco
    Contáctenos
    Trabaje con Nosotros