Resolución de problemas FTD No se puede hacer ping al dispositivo ascendente a pesar de tener una entrada ARP

Opciones de descarga

PDF (312.8 KB)
Visualice con Adobe Reader en una variedad de dispositivos
ePub (145.8 KB)
Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
Mobi (Kindle) (126.8 KB)
Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos

Actualizado:19 de mayo de 2026

ID del documento:225935

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Contenido

Problema

Firewall Threat Defence (FTD) no pudo realizar un ping en la dirección IP del dispositivo ascendente, a pesar de que el firewall pudo observar la entrada ARP de la dirección IP ascendente. La tabla ARP mostró las entradas esperadas, lo que indica que la conectividad de la Capa 2 estaba funcionando pero que el tráfico ping de la Capa 3 estaba siendo bloqueado.

Topología

Topology

Síntomas de FTD CLI

El ping enviado a la dirección IP de flujo ascendente está fallando:

device# ping 192.0.2.250
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.0.2.250, timeout is 2 seconds:
?????
Success rate is 0 percent (0/5)

Hay una entrada ARP para la dirección IP de flujo ascendente:

device# show arp
        NET200 192.0.2.250 0000.5e00.5301 47

Habilite una captura con seguimiento en la interfaz FTD:

device# capture CAPI interface NET200 trace match icmp host 192.0.2.200 host 192.0.2.250

Registros del sistema LINA de FTD durante la prueba de ping:

device# show log | include 192.0.2.250
May 15 2026 09:46:26: %FTD-6-302020: Built outbound ICMP connection for faddr 192.0.2.250/0 gaddr 192.0.2.200/5035 laddr 192.0.2.200/5035 type 8 code 0 Internal-Data0/1:RX[0]
May 15 2026 09:46:26: %FTD-3-313001: Denied ICMP type=0, code=0 from 192.0.2.250 on interface NET200
May 15 2026 09:46:26: %FTD-6-302021: Teardown ICMP connection for faddr 192.0.2.250/0 gaddr 192.0.2.200/5035 laddr 192.0.2.200/5035 type 8 code 0 Internal-Data0/0:RX[0]
...

La captura de paquetes muestra las respuestas de eco ICMP que llegan:

device# show capture CAPI
10 packets captured
   1: 09:46:26.649456       802.1Q vlan#200 P0 192.0.2.200 > 192.0.2.250 icmp: echo request 
   2: 09:46:26.649883       802.1Q vlan#200 P0 192.0.2.250 > 192.0.2.200 icmp: echo reply 
   3: 09:46:28.642621       802.1Q vlan#200 P0 192.0.2.200 > 192.0.2.250 icmp: echo request 
   4: 09:46:28.643002       802.1Q vlan#200 P0 192.0.2.250 > 192.0.2.200 icmp: echo reply 
...

El seguimiento de paquetes de la respuesta de eco ICMP muestra que el paquete coincide con una conexión existente como se esperaba y la interfaz de salida es la interfaz FTD (NP Identity Ifc):

device# show capture CAPI packet-number 2 trace
10 packets captured
   2: 09:46:26.649883       802.1Q vlan#200 P0 192.0.2.250 > 192.0.2.200 icmp: echo reply 
...
Phase: 3
Type: FLOW-LOOKUP
Subtype:      
Result: ALLOW
Elapsed time: 4096 ns
Config:
Additional Information:
Found flow with id 1400, using existing flow
...

Result:
input-interface: NET200(vrfid:0)
input-status: up
input-line-status: up
output-interface: NP Identity Ifc
Action: allow
Time Taken: 28672 ns

El seguimiento ICMP de depuración muestra que se está denegando la respuesta de eco ICMP:

FTD220-5# debug icmp trace
debug icmp trace enabled at level 1

FTD220-5# ping 192.0.2.250
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.0.2.250, timeout is 2 seconds:
ICMP echo request from self:192.0.2.200 to NET200:192.0.2.250 ID=49503 seq=15001 len=72
ICMP echo reply from NET200:192.0.2.250 to self:192.0.2.200 ID=49503 seq=15001 len=72
Denied ICMP type = 0, code = 0 from 192.0.2.250on interface 4
?
...
Success rate is 0 percent (0/5)

Precaución: Utilice los debugs con precaución!

Para desactivar la depuración ICMP:

device# no debug icmp trace
debug icmp trace disabled.

Entorno

FTD 10.x. Otras versiones de software también se ven afectadas.

Resolución

El problema se resolvió al identificar y corregir una configuración de regla ICMP en la configuración de la plataforma que denegaba el tráfico ping. La resolución implicó estos pasos:

Paso 1. Verificar las Entradas de la Tabla ARP

Confirme que las entradas ARP para la dirección IP de flujo ascendente estén visibles en la tabla ARP del firewall, lo que indica que la conectividad de Capa 2 está funcionando correctamente:

device# show arp

Paso 2. Compruebe la configuración de la plataforma para las reglas ICMP

Desplácese hasta la configuración de la plataforma y examine las directivas de regla ICMP que pueden afectar al tráfico de ping. Busque específicamente reglas que podrían estar bloqueando o denegando paquetes de solicitud/respuesta de eco ICMP.

Paso 3. Identificar y modificar la regla de bloqueo ICMP

Localice la regla ICMP en la configuración de la plataforma que está configurada para denegar el tráfico de ping.

Platform_Settings

En este ejemplo, la regla ICMP permite que la interfaz FTD acepte solamente las solicitudes de eco ICMP.

Verificación CLI de FTD:

device# show run icmp
icmp unreachable rate-limit 1 burst-size 1
icmp permit any echo NET200

Paso 4. Actualizar configuración de regla ICMP

Modifique la regla ICMP identificada para permitir el tráfico de ping o quite la configuración de bloqueo según corresponda según los requisitos de seguridad de la red y las necesidades operativas.

ICMP_Policy

La regla ICMP resultante:

device# show run icmp
icmp unreachable rate-limit 1 burst-size 1
icmp permit any echo NET200
icmp permit 192.0.2.0 255.255.255.0 echo-reply NET200

Paso 5. Pruebe la conectividad

Después de realizar los cambios de configuración, pruebe la conectividad de ping con la dirección IP ascendente para verificar que el problema se haya resuelto y que el tráfico ICMP esté fluyendo correctamente:

device# ping 192.0.2.250
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.0.2.250, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

Causa

La causa raíz de este problema fue una regla ICMP configurada en la configuración de la plataforma que denegaba explícitamente el tráfico de respuestas de eco ICMP. Mientras el firewall mantenía una conectividad de Capa 2 adecuada (evidenciada por las entradas ARP visibles), la regla ICMP de nivel de plataforma estaba bloqueando los paquetes de respuesta de eco ICMP de Capa 3, lo que impedía operaciones de ping exitosas a la dirección IP ascendente. Este tipo de configuración puede producirse cuando se implementan políticas de seguridad para restringir el tráfico ICMP, pero puede afectar de forma inadvertida a la supervisión y las pruebas de conectividad de red legítimas.

Contenido relacionado

Historial de revisiones

Revisión	Fecha de publicación	Comentarios
2.0	19-May-2026	Versión inicial
1.0	19-May-2026	Versión inicial

Con la colaboración de ingenieros de Cisco

Mikis Zafeiroudis
Ingeniero del TAC de Cisco
Ilkin Gasimov
Ingeniero del TAC de Cisco