Introducción
Este documento describe la configuración para permitir el traceroute a través de Firepower Threat Defense (FTD)
Prerequisites
Requirements
Cisco recomienda que tenga conocimiento sobre estos temas:
- Firepower Management Center (FMC)
- Firepower Threat Defense (FTD)
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- Este artículo se aplica a todas las plataformas Firepower
- Cisco Firepower Threat Defense (FTD) que ejecuta la versión de software 6.4.0
- Cisco Firepower Management Center Virtual (FMC), que ejecuta la versión de software 6.4.0
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Antecedentes
Traceroute para ayudarle a determinar la ruta que los paquetes llevan a su destino. Un traceroute funciona enviando paquetes UDP a un destino en un puerto no válido. Debido a que el puerto no es válido, los routers en el camino al destino responden con un mensaje ICMP Time Exceeded e informan ese error al ASA.
El traceroute muestra el resultado de cada sonda enviada. Cada línea de salida corresponde a un valor TTL en orden creciente. Esta tabla explica los símbolos de salida.
|
|
* |
No se recibió respuesta para la sonda dentro del período de tiempo de espera. |
nn msec |
Para cada nodo, el tiempo de ida y vuelta (en milisegundos) para el número especificado de sondas. |
!N |
La red ICMP es inalcanzable. |
!H |
El host ICMP es inalcanzable. |
!P |
ICMP inalcanzable. |
!A |
ICMP prohibido administrativamente. |
? |
Error ICMP desconocido. |
De forma predeterminada, el ASA no aparece en traceroutes como salto. Para que aparezca, necesita reducir el tiempo de vida de los paquetes que pasan a través del ASA y aumentar el límite de velocidad en los mensajes ICMP inalcanzables.
Precaución: Si disminuye el tiempo de vida, se descartan los paquetes con un TTL de 1, pero se abre una conexión para la sesión suponiendo que la conexión podría contener paquetes con un TTL mayor. Tenga en cuenta que algunos paquetes, como los paquetes hello OSPF, se envían con TTL = 1, por lo que reducir el tiempo de vida puede tener consecuencias inesperadas. Tenga en cuenta estas consideraciones al definir la clase de tráfico.
Configurar
Paso 1. Cree la ACL extendida que define la clase de tráfico para la que se debe habilitar el informe de traceroute.
Inicie sesión en la GUI de FMC y navegue hasta Objetos > Administración de objetos > Lista de acceso. Seleccione Extended de la tabla de contenido y Add a new Extended Access List.Ingrese un Nombre para el objeto, por ejemplo, En Traceroute_ACL, Add una regla para permitir el tráfico interesado y guardarlo, como se muestra en la imagen:

Paso 2. Configure la regla de política de servicio que reduce el valor de tiempo de vida.
Navegue hasta Políticas > Control de Acceso y luego Editar la política asignada al dispositivo. En la ficha Advanced, edite la directiva Threat Defense Service y, a continuación, agregue una nueva regla desde la ficha Add Rule y, a continuación, seleccione la casilla de verificación Global para aplicarla globalmente y haga clic en Next, como se muestra en la imagen:

Navegue hasta Flujo de Tráfico > Lista de Acceso Extendido y luego elija Objeto de Lista de Acceso Extendido del menú desplegable que se creó en pasos anteriores. Haga clic en Siguiente, como se muestra en la imagen:

Seleccione la casilla Enable Decrement TTL y modifique las demás opciones de conexión (Opcional). Ahora haga clic en Finalizar para agregar la regla y luego haga clic en Aceptar y Guardar los cambios en la política de servicio de Threat Defence, como se muestra en la imagen:

Una vez completados los pasos anteriores, asegúrese de guardar la política de control de acceso.
Paso 3. Aumente el límite de velocidad de los mensajes ICMP inalcanzables (opcional).
Navegue hasta Dispositivos > Configuración de la plataforma y, a continuación, Editar o Crear una nueva política de configuración de la plataforma Firepower Threat Defense y asóciela al dispositivo. Ahora seleccione ICMP de la tabla de contenido y Aumente el Límite de Velocidad, por ejemplo, a 50 (puede ignorar el Tamaño de Ráfaga) y luego haga clic en Guardar y continúe con la Implementación de la Política en el dispositivo, como se muestra en la imagen:

Precaución: Asegúrese de que el Destino ICMP Inalcanzable (Tipo 3) y el Tiempo ICMP Excedido (Tipo 11) estén permitidos desde el exterior al interior en la política ACL o Fastpath'ed en la política de prefiltro.
Verificación
Verifique la configuración de la CLI de FTD una vez que se haya completado la implementación de la política:
FTD# show run policy-map
!
policy-map type inspect dns preset_dns_map
---Output omitted---
class class_map_Traceroute_ACL
set connection timeout idle 1:00:00
set connection decrement-ttl
class class-default
!
FTD# show run class-map
!
class-map inspection_default
---Output omitted---
class-map class_map_Traceroute_ACL
match access-list Traceroute_ACL
!
FTD# show run access-l Traceroute_ACL
access-list Traceroute_ACL extended permit object-group ProxySG_ExtendedACL_30064773500 any any log
FTD#
Troubleshoot
Puede tomar capturas en interfaces de entrada y salida de FTD para el tráfico interesante para resolver el problema.
Consejo: CSCvq79913, paquetes de error ICMP que se descartan para Null pdts_info, asegúrese de utilizar el prefiltro para ICMP preferiblemente para el tráfico de retorno tipo 3 y 11.