Sta traceroute toe via Firepower Threat Defense (FTD)

Downloadopties

  • PDF     (491.7 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (285.8 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (282.9 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:24 mei 2024
Document-id:215237

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt de configuratie beschreven waarmee de traceroute via Firepower Threat Defense (FTD) via Threat Service Policy kan worden uitgevoerd.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Firepower Management Center (FMC)
    • Firepower Threat Defense (FTD)

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • Dit artikel is van toepassing op alle Firepower platformen.
    • Cisco Firepower Threat Defense, dat softwareversie 6.4.0 uitvoert.
    • Cisco Firepower Management Center Virtual met softwareversie 6.4.0.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    Traceroute om u te helpen de route te bepalen die pakketten naar hun bestemming nemen. Een traceroute werkt door pakketten van het Unified Data Platform (UDP) naar een bestemming op een ongeldige poort te sturen. Omdat de poort niet geldig is, reageren de routers op weg naar de bestemming met een bericht van het Internet Control Message Protocol (ICMP) Time Above Message en melden die fout aan de Adaptive Security Appliance (ASA).

    De traceroute toont het resultaat van elke verzonden sonde. Elke uitvoerlijn komt overeen met een TTL-waarde (Time to Live) in oplopende volgorde. In deze tabel worden de uitvoersymbolen uitgelegd.

    uitvoersymbool

    Beschrijving
    *

    Er werd geen antwoord ontvangen voor de sonde binnen de time-outperiode.

    nn msec

    Voor elk knooppunt, de retourtijd (in milliseconden) voor het opgegeven aantal sondes.

    !N

    Het ICMP-netwerk is onbereikbaar.

    !H

    ICMP-host is onbereikbaar.

    !P

    ICMP is onbereikbaar.

    !A

    ICMP administratief verboden.

    ?

    Onbekende ICMP-fout.

    Standaard wordt de ASA niet weergegeven op traceroutes als een hop. Om het te laten verschijnen, verlaagt u de time-to-live op pakketten die door de ASA gaan en verhoogt u de snelheidslimiet op ICMP-onbereikbare berichten.

    Let op: Als u de tijd om te leven decodeert, worden pakketten met een TTL van 1 verwijderd, maar wordt er een verbinding geopend voor de sessie, ervan uitgaande dat de verbinding pakketten met een grotere TTL kan bevatten. Merk op dat sommige pakketten, zoals OSPF-hello-pakketten, worden verzonden met TTL = 1, dus het verminderen van de tijd om te leven kan onverwachte gevolgen hebben. Houd deze overwegingen in gedachten wanneer u uw verkeersklasse definieert.

    Configureren

    Stap 1. Maak de uitgebreide ACL die de verkeersklasse definieert waarvoor traceroute-rapportage moet worden ingeschakeld.

    Meld u aan bij de FMC GUI en navigeer naar Objecten > Objectbeheer > Toegangslijst. Selecteer Uitgebreid in de inhoudsopgave en Voeg een nieuwe lijst met uitgebreide toegang toe.Voer een naam in voor het object, bijvoorbeeld Onder Traceroute_ACL,Voeg een regel toe om ICMP-type 3 en 11 toe te staan en sla deze op, zoals in de afbeelding wordt getoond:

    Create the Extended ACL

    Stap 2. Configureer de regel voor het servicebeleid waarmee de waarde voor de time-to-live wordt verlaagd.

    Navigeer naar Beleid > Toegangsbeheer en bewerk het beleid dat aan het apparaat is toegewezen. Bewerk onder het tabblad Geavanceerd het beleid voor de service voor bedreigingsbeveiliging en voeg vervolgens een nieuwe regel toe op het tabblad Regel toevoegen, kies het selectievakje Globaal om het globaal toe te passen en klik op Volgende, zoals weergegeven in de afbeelding:

    Threat Defense Service Policy - Edit Policy Assigned to the Device

    Navigeer naar Verkeersstroom > Uitgebreide toegangslijst en kies vervolgens Uitgebreid toegangslijstobject in het vervolgkeuzemenu dat in eerdere stappen is gemaakt. Klik nu op Volgende, zoals weergegeven in de afbeelding:

    Threat Defense Service Policy - Choose Extended Access List Policy

    Schakel het selectievakje Decrement TTL inschakelen in en wijzig de andere verbindingsopties (optioneel). Klik nu op Voltooien om de regel toe te voegen, klik vervolgens op OK, en Sla de wijzigingen op in het beleid voor de service voor bedreigingsbeveiliging, zoals weergegeven in de afbeelding:

    Threat Defense Service Policy - Choose Enable Decrement TTL

    Nadat de vorige stappen zijn voltooid, slaat u het toegangscontrolebeleid op.

    Stap 3. Geef ICMP binnen en buiten toestemming en verhoog de snelheidslimiet tot 50 (optioneel).

    Navigeer naar Apparaten > Platforminstellingen en bewerk of maak een nieuw Firepower Threat Defense-platformbeleid en koppel dit aan het apparaat. Kies ICMP uit de inhoudsopgave en Verhoog de snelheidslimiet. Ga bijvoorbeeld naar 50 (U kunt de burstgrootte negeren) en klik vervolgens op Opslaan, en ga verder met Implementeren van het beleid op het apparaat, zoals weergegeven in de afbeelding:

    • TarievenlimietHiermee stelt u de snelheidslimiet voor onbereikbare berichten in, tussen 1 en 100 berichten per seconde. De standaardwaarde is 1 bericht per seconde.

    • Burst Size Stelt de burst rate in, tussen 1 en 10. Deze waarde wordt momenteel niet door het systeem gebruikt.

    FTD-R-Platform Setting

    Let op: Zorg ervoor dat ICMP-bestemming onbereikbaar (type 3) en ICMP-tijd overschreden (type 11) zijn toegestaan van buiten naar binnen in het ACL-beleid of via Fastpath in het voorfilterbeleid.

    Verifiëren

    Controleer de configuratie van de FTD CLI zodra de beleidsimplementatie is voltooid:

    FTD# show run policy-map
!
policy-map type inspect dns preset_dns_map
---Output omitted---

class class_map_Traceroute_ACL
set connection timeout idle 1:00:00
set connection decrement-ttl
class class-default
!

FTD# show run class-map
!
class-map inspection_default

---Output omitted---

class-map class_map_Traceroute_ACL
match access-list Traceroute_ACL
!

FTD# show run access-l Traceroute_ACL
access-list Traceroute_ACL extended permit object-group ProxySG_ExtendedACL_30064773500 any any log
FTD#

    Problemen oplossen

    U kunt opnames maken op FTD Ingress- en Egress-interfaces voor het interessante verkeer om het probleem verder op te lossen.

    Packet capture op Lina, terwijl de traceroute wordt uitgevoerd, kan dit voor elke hoop op de route weergeven totdat het het doel-IP bereikt. 

    ftd64# capture icmp interface inside real-time match icmp any any

Warning: using this option with a slow console connection may
         result in an excessive amount of non-displayed packets
         due to performance limitations.

Use ctrl-c to terminate real-time capture


   1: 00:22:04.192800       10.0.0.1 > 10.10.10.11 icmp: time exceeded in-transit
   2: 00:22:04.194432       10.0.0.1 > 10.10.10.11 icmp: time exceeded in-transit
   3: 00:22:04.194447       10.0.0.1 > 10.10.10.11 icmp: time exceeded in-transit
   4: 00:22:04.194981       172.16.1.1 > 10.10.10.11 icmp: time exceeded in-transit
   5: 00:22:04.194997       172.16.1.1 > 10.10.10.11 icmp: time exceeded in-transit
   6: 00:22:04.201130       10.122.149.1 > 10.10.10.11 icmp: time exceeded in-transit
   7: 00:22:04.201146       10.122.149.1 > 10.10.10.11 icmp: time exceeded in-transit
   8: 00:22:04.201161       172.16.1.1 > 10.10.10.11 icmp: time exceeded in-transit
   9: 00:22:04.201375       10.0.114.197 > 10.10.10.11 icmp: time exceeded in-transit
  10: 00:22:04.201420       10.0.254.225 > 10.10.10.11 icmp: time exceeded in-transit
  11: 00:22:04.202336       10.122.149.1 > 10.10.10.11 icmp: time exceeded in-transit
  12: 00:22:04.202519       10.0.127.113 > 10.10.10.11 icmp: time exceeded in-transit
  13: 00:22:04.216022       10.0.127.113 > 10.10.10.11 icmp: time exceeded in-transit
  14: 00:22:04.216038       10.0.127.113 > 10.10.10.11 icmp: time exceeded in-transit
  15: 00:22:04.216038       10.0.114.197 > 10.10.10.11 icmp: time exceeded in-transit
  16: 00:22:04.216053       10.0.114.197 > 10.10.10.11 icmp: time exceeded in-transit
  17: 00:22:04.216297       172.18.127.245 > 10.10.10.11 icmp: 172.18.127.245 udp port 33452 unreachable
  18: 00:22:04.216312       10.0.254.225 > 10.10.10.11 icmp: time exceeded in-transit
  19: 00:22:04.216327       10.0.254.225 > 10.10.10.11 icmp: time exceeded in-transit

    Een meer gedetailleerde uitvoer kan worden verkregen op Lina CLI als u traceroute uitvoert met "-I" en "-n" switches zoals vermeld.

    [ On the Client PC ] 

# traceroute 10.18.127.245 -I -n 

Note: You may not observe any difference between traceroute with or without -I switch. The difference is noticeable in the packet captures. 


[ On FTD Lina CLI ] 

ftd64# capture icmp interface inside real-time match icmp any any

Warning: using this option with a slow console connection may
         result in an excessive amount of non-displayed packets
         due to performance limitations.

Use ctrl-c to terminate real-time capture


   1: 18:37:33.517307       10.10.10.11 > 172.18.127.245 icmp: echo request
   2: 18:37:33.517642       10.10.10.11 > 172.18.127.245 icmp: echo request
   3: 18:37:33.517658       10.10.10.11 > 172.18.127.245 icmp: echo request
   4: 18:37:33.517658       10.10.10.11 > 172.18.127.245 icmp: echo request
   5: 18:37:33.517673       10.10.10.11 > 172.18.127.245 icmp: echo request
   6: 18:37:33.517673       10.10.10.11 > 172.18.127.245 icmp: echo request
   7: 18:37:33.517673       10.10.10.11 > 172.18.127.245 icmp: echo request
   8: 18:37:33.517749       10.10.10.11 > 172.18.127.245 icmp: echo request
   9: 18:37:33.517749       10.10.10.11 > 172.18.127.245 icmp: echo request
  10: 18:37:33.517764       10.10.10.11 > 172.18.127.245 icmp: echo request
  11: 18:37:33.517764       10.10.10.11 > 172.18.127.245 icmp: echo request
  12: 18:37:33.517826       10.10.10.11 > 172.18.127.245 icmp: echo request
  13: 18:37:33.517826       10.10.10.11 > 172.18.127.245 icmp: echo request
  14: 18:37:33.517826       10.10.10.11 > 172.18.127.245 icmp: echo request
  15: 18:37:33.517932       10.10.10.11 > 172.18.127.245 icmp: echo request
  16: 18:37:33.517932       10.10.10.11 > 172.18.127.245 icmp: echo request
  17: 18:37:33.522464       10.0.0.1 > 10.10.10.11 icmp: time exceeded in-transit
  18: 18:37:33.522510       10.0.0.1 > 10.10.10.11 icmp: time exceeded in-transit
  19: 18:37:33.522510       10.0.0.1 > 10.10.10.11 icmp: time exceeded in-transit
  20: 18:37:33.522632       172.16.1.1 > 10.10.10.11 icmp: time exceeded in-transit
  21: 18:37:33.522647       172.16.1.1 > 10.10.10.11 icmp: time exceeded in-transit
  22: 18:37:33.522647       172.16.1.1 > 10.10.10.11 icmp: time exceeded in-transit
  23: 18:37:33.523852       10.0.114.197 > 10.10.10.11 icmp: time exceeded in-transit
  24: 18:37:33.523929       10.0.114.197 > 10.10.10.11 icmp: time exceeded in-transit
  25: 18:37:33.523944       10.0.114.197 > 10.10.10.11 icmp: time exceeded in-transit
  26: 18:37:33.524066       10.0.127.113 > 10.10.10.11 icmp: time exceeded in-transit
  27: 18:37:33.524127       10.0.254.225 > 10.10.10.11 icmp: time exceeded in-transit
  28: 18:37:33.524127       10.0.127.113 > 10.10.10.11 icmp: time exceeded in-transit
  29: 18:37:33.524142       10.0.127.113 > 10.10.10.11 icmp: time exceeded in-transit
  30: 18:37:33.526767       10.122.149.1 > 10.10.10.11 icmp: time exceeded in-transit
  31: 18:37:33.526843       10.122.149.1 > 10.10.10.11 icmp: time exceeded in-transit
  32: 18:37:33.526843       10.122.149.1 > 10.10.10.11 icmp: time exceeded in-transit
  33: 18:37:33.527652       10.10.10.11 > 172.18.127.245 icmp: echo request
  34: 18:37:33.527697       10.10.10.11 > 172.18.127.245 icmp: echo request
  35: 18:37:33.527713       10.10.10.11 > 172.18.127.245 icmp: echo request
  36: 18:37:33.527728       10.10.10.11 > 172.18.127.245 icmp: echo request
  37: 18:37:33.527987       10.10.10.11 > 172.18.127.245 icmp: echo request
  38: 18:37:33.528033       10.10.10.11 > 172.18.127.245 icmp: echo request
  39: 18:37:33.528048       10.10.10.11 > 172.18.127.245 icmp: echo request
  40: 18:37:33.528048       10.10.10.11 > 172.18.127.245 icmp: echo request
  41: 18:37:33.528064       10.10.10.11 > 172.18.127.245 icmp: echo request
  42: 18:37:33.528064       10.10.10.11 > 172.18.127.245 icmp: echo request
  43: 18:37:33.528079       10.10.10.11 > 172.18.127.245 icmp: echo request
  44: 18:37:33.528094       10.10.10.11 > 172.18.127.245 icmp: echo request
  45: 18:37:33.528094       10.10.10.11 > 172.18.127.245 icmp: echo request
  46: 18:37:33.532870       10.0.254.225 > 10.10.10.11 icmp: time exceeded in-transit
  47: 18:37:33.532885       10.0.254.225 > 10.10.10.11 icmp: time exceeded in-transit
  48: 18:37:33.533679       172.18.127.245 > 10.10.10.11 icmp: echo reply
  49: 18:37:33.533694       172.18.127.245 > 10.10.10.11 icmp: echo reply
  50: 18:37:33.533694       172.18.127.245 > 10.10.10.11 icmp: echo reply
  51: 18:37:33.533694       172.18.127.245 > 10.10.10.11 icmp: echo reply
  52: 18:37:33.533694       172.18.127.245 > 10.10.10.11 icmp: echo reply
  53: 18:37:33.533724       172.18.127.245 > 10.10.10.11 icmp: echo reply
  54: 18:37:33.533724       172.18.127.245 > 10.10.10.11 icmp: echo reply
  55: 18:37:33.533724       172.18.127.245 > 10.10.10.11 icmp: echo reply
  56: 18:37:33.533740       10.10.10.11 > 172.18.127.245 icmp: echo request
  57: 18:37:33.533816       10.10.10.11 > 172.18.127.245 icmp: echo request
  58: 18:37:33.533831       10.10.10.11 > 172.18.127.245 icmp: echo request
  59: 18:37:33.537066       172.18.127.245 > 10.10.10.11 icmp: echo reply
  60: 18:37:33.537081       172.18.127.245 > 10.10.10.11 icmp: echo reply
  61: 18:37:33.537081       172.18.127.245 > 10.10.10.11 icmp: echo reply
  62: 18:37:33.538500       172.18.127.245 > 10.10.10.11 icmp: echo reply
  63: 18:37:33.538500       172.18.127.245 > 10.10.10.11 icmp: echo reply
  64: 18:37:33.539217       172.18.127.245 > 10.10.10.11 icmp: echo reply
64 packets shown.
0 packets not shown due to performance limitations.

    Tip: Cisco bug ID CSCvq79913. ICMP-foutpakketten worden verwijderd voor Null pdts_info. Zorg ervoor dat u het voorfilter voor ICMP gebruikt, bij voorkeur voor retourverkeer van type 3 en 11.

    Gerelateerde informatie

    Technische ondersteuning en documentatie – Cisco Systems

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    3.0
    24-May-2024
    hercertificering
    2.0
    24-Mar-2023
    Bijgewerkte titel, inleiding, alt-tekst, machinevertaling, stijlvereisten, redenen en opmaak.
    1.0
    12-Feb-2020
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Dinesh Khandal
      Cisco TAC Engineer
    • Dinesh Verma
      Cisco TAC Engineer
    • Prashant Joshi
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten