Firepower Data Path Problemen opsporen en verhelpen fase 1: PacketIngress

Downloadopties

  • PDF     (3.6 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (3.6 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (2.0 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:8 juli 2019
Document-id:214574

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit artikel maakt deel uit van een reeks artikelen waarin wordt uitgelegd hoe u het gegevenspad op FirePOWER-systemen systematisch moet oplossen om te bepalen of onderdelen van Firepower invloed kunnen hebben op het verkeer. Raadpleeg het gedeelte Overzicht voor informatie over de architectuur van FirePOWER-platforms en de koppelingen naar de andere artikelen voor probleemoplossing in datacenters.

    In dit artikel, zullen we de eerste fase van de het oplossen van het Vuurwerk van gegevenspad, het stadium van het Ingress van Packet bekijken.

    Platform Guide

    In de volgende tabel worden de onder dit artikel vallende platforms beschreven.

    Naam van platform Beschrijving toepasbaar Hardware Platforms Opmerkingen
    SFR ASA met FirePOWER Services (SFR) module geïnstalleerd. ASA-5500-X Series Next-Generation N.v.t.
    FTD (niet-SSP en FPR-2100) Firepower Threat Defense (FTD) afbeelding geïnstalleerd op een adaptieve security applicatie (ASA) of een virtueel platform ASA-5500-X Series, virtuele NGFW-platforms N.v.t.
    FTD (SSP) FTD geïnstalleerd als logisch apparaat op een op Firepower eXtensible Operative System (FXOS) gebaseerd chassis FPR-9300, FPR-4100, FPR-2100 De 2100-serie gebruikt niet de FXOS Chassis Manager

    Probleemoplossing voor de pakketinvoerfase

    De eerste stap voor het opsporen van problemen bij het gegevenspad is om ervoor te zorgen dat er geen druppels voorkomen in het inloop- of voortgangsstadium van de pakketverwerking. Als een pakket knippert maar niet egaliseert, kunt u er zeker van zijn dat het pakket op een bepaalde plaats binnen het datapad door het apparaat wordt gedropt of dat het apparaat niet in staat is om het strips-pakket te maken (bijvoorbeeld een ontbrekende ARP-ingang).

    Identificeer het betreffende verkeer

    De eerste stap in het oplossen van het stadium van het pakketinvoeren is om de stroom en de interfaces betrokken bij het probleemverkeer te isoleren. Dit omvat:

    Flow-informatie Interfaceinformatie

    Protocol

    IP-adres bron

    Bronpoort

    IP-bestemming

    Doelpoort

    Ingress-interface

    Egypte-interface

    Bijvoorbeeld:

    TCP inside 172.16.100.101:38974 outside 192.168.1.10:80

    Tip: U kunt de exacte bronpoort niet vinden omdat deze vaak verschillend is in elke flow, maar de bestemming (server) poort moet voldoende zijn.

    Op aansluitingen controleren

    Na het krijgen van een idee van de ingang en de spanning interface zou het verkeer zowel als de stroominformatie bij elkaar moeten passen, is de eerste stap om te identificeren of Firepower de stroom blokkeert het controleren van de verbindingsgebeurtenissen voor het betreffende verkeer. U kunt deze informatie in het FireSIGHT Management Center bekijken onder Analyse > Connections > Evenementen

    Opmerking: Voordat u verbindingsgebeurtenissen controleert, moet u ervoor zorgen dat logging mogelijk is in de regels van het toegangsbeleid. Vastlegging is ingesteld in het tabblad "Vastlegging" binnen elke regel van het toegangsbeleid en in het tabblad Security Intelligence. Zorg ervoor dat de verdachte regels zijn ingesteld om de logbestanden naar het "Event Viewer" te sturen.

    In het bovenstaande voorbeeld wordt op "Zoeken bewerken" gedrukt en wordt een IP-telefoon met een unieke bron (initiator) toegevoegd als een filter om de stromen te zien die met FirePOWER zijn gedetecteerd. De kolom Actie toont "toestaan" voor dit host verkeer.

    Als Firepower bedoeld verkeer blokkeert, bevat de Action het woord "Blok". Wanneer u op "Tabelweergave van verbindingsgebeurtenissen" klikt, worden er meer gegevens gegenereerd. De volgende velden in de verbindingsgebeurtenissen kunnen worden opgemerkt als de actie "Blok" is:

    - Reden

    - Toegangscontroleregels

    Dit kan, in combinatie met de andere velden in het geval in kwestie, helpen om te verkleinen welke component het verkeer blokkeert.

    U kunt hier voor meer informatie over de toegangscontroleregels voor probleemoplossing klikken.

    Packets op de inlaat- en bovenloopinterfaces opnemen

    Als er geen gebeurtenissen zijn of het Firepower nog steeds wordt vermoed te blokkeren ondanks de Connection-gebeurtenissen die een regelactie van "Allow" of "Trust" weergeven, gaat de probleemoplossing in het datapad door.

    Hieronder vindt u instructies voor het uitvoeren van een instap- en noodpakketvastlegging op de verschillende hierboven genoemde platforms:

    SFR - Opname op de ASA-interfaces

    Aangezien de SFR-module slechts een module is die op de ASA Firewall draait, is het het beste om eerst op de invoer- en spanningsinterfaces van de ASA te klikken om ervoor te zorgen dat dezelfde pakketten die ook in de lucht komen, worden opgenomen.

    Dit artikel bevat instructies over hoe de opnamen op de ASA moeten worden uitgevoerd.

    Als is vastgesteld dat de pakketten die de ASA niet tegenkomen, doorgaan naar de volgende fase in het oplossen van problemen (de DAQ fase).

    Opmerking: Als pakketten op de ASA INGress interface worden gezien, is het mogelijk de moeite waard om de aangesloten apparaten te controleren.

    FTD (niet-SSP en FPR-2100) - Capture on the Ingress and Egress Interfaces

    Het opnemen op een niet-SSP FTD apparaat is vergelijkbaar met het opnemen op de ASA. U kunt de Opname-opdrachten echter rechtstreeks vanuit de CLI-initiële melding uitvoeren. Wanneer u problemen oplossen met gedropte pakketten, is het raadzaam de optie "overtrekken" aan de opname toe te voegen.

    Hier is een voorbeeld van het configureren van een inbraakopname voor TCP-verkeer op poort 22:

    Als u de optie "overtrekken" toevoegt, kunt u vervolgens een afzonderlijk pakket selecteren om door het systeem te overtrekken om te zien hoe het tot de uiteindelijke beslissing is gekomen. Het helpt ook om ervoor te zorgen dat de juiste wijzigingen worden aangebracht in het pakket, zoals NAT-aanpassing (Network adresomzetting) IP en dat de juiste IP-interface is geselecteerd.

    In het bovenstaande voorbeeld zien we dat het verkeer tot snorinspectie leidt en dat het uiteindelijk tot een oordeel kwam en over het geheel genomen door het apparaat werd gepasseerd. Aangezien het verkeer in beide richtingen kan worden gezien, kunt u er zeker van zijn dat het verkeer door het apparaat voor deze sessie stroomt, zodat een drukopname misschien niet nodig is, maar u kunt er ook een nemen om er zeker van te zijn dat het verkeer correct werkt zoals in de sporenuitvoer wordt getoond. 

    Opmerking: Als het apparaat niet in staat is om het strips-pakket te maken, staat de overtrek-handeling nog steeds "toe", maar het pakket wordt niet aangemaakt of gezien op de video-opname. Dit is een veel voorkomend scenario waarin de FTD geen ARP ingang voor de volgende hop of bestemming IP heeft (als deze laatste direct verbonden is). 

    FTD (SSP) - Capture on the Logical FTD Interfaces

    Dezelfde stappen om een pakketvastlegging op de FTD te genereren zoals hierboven vermeld, kunnen op een SSP-platform worden gevolgd. U kunt met behulp van SSH verbinding maken met het IP-adres van de FTD logische interface en de volgende opdracht invoeren:

    Firepower-module1> connect ftd
    >

    U kunt ook met de volgende opdrachten naar het FTD logische apparaatshell navigeren vanuit de FXOS-opdrachtmelding:

    # connect module 1 console
    Firepower-module1> connect ftd
    >

    Als een Firepower 9300 wordt gebruikt, kan het modulenummer variëren afhankelijk van welke Security Module gebruikt wordt. Deze modules kunnen tot 3 logische hulpmiddelen ondersteunen.

    Als er meerdere exemplaren worden gebruikt, moet de instantie-ID in de "connect" opdracht worden opgenomen. De opdracht Telnet kan worden gebruikt om tegelijkertijd met verschillende instanties te verbinden.

    # connect module 1 telnet
    Firepower-module1>connect ftd ftd1 
Connecting to container ftd(ftd1) console... enter "exit" to return to Boot CLI
>

    Op interfacekaarten controleren

    Ook tijdens deze fase kunnen problemen op het interfaceniveau worden gecontroleerd. Dit is vooral handig als er pakketten ontbreken in de interface-opname. Als er interfacefouten worden gezien, kan het controleren van de aangesloten apparaten behulpzaam zijn.

    SFR - Controleer ASA-interfaces

    Aangezien de FirePOWER-module (SFR) in wezen een virtuele machine is die op een ASA draait, worden de feitelijke ASA-interfaces op fouten gecontroleerd. Zie dit ASA Series Opdrachtgids sectie voor uitgebreide informatie over het controleren van de interfacestatistieken op de ASA Series Opdrachtgids.

    FTD (niet-SSP en FPR-2100) - Controleer op interfaceresultaten

    Op niet-SSP FTD-apparaten kan de > show interface-opdracht worden uitgevoerd vanaf de eerste opdrachtmelding. De interessante uitvoer wordt in rood gemarkeerd.

    FTD (SSP) - Navigatie in het pad van de Gegevens om interfacekaarten te zoeken

    De 9300 en 4100 SSP-platforms hebben een interne fabric interconnect die eerst de pakketten verwerkt. 

    Het is de moeite waard om te controleren of er interfacekaarten zijn bij de eerste pakketingang. Dit zijn de opdrachten die u op de FXOS-systeemCLI moet uitvoeren om deze informatie te verkrijgen.

    ssp# scope eth-uplink
    ssp /et-uplink # show stats

    Dit is een voorbeelduitvoer.

    Nadat de fabric interconnect het pakje bij invoer verwerkt, wordt deze vervolgens verzonden naar de interfaces die zijn toegewezen aan het logische apparaat dat het FTD-apparaat gastheer ontvangt.

    Hier is een diagram ter referentie:

    Ga als volgt te controleren op problemen met het interfaceniveau:

    ssp# connect fxos
    ssp(fxos)# show interface Ethernet 1/7

    Dit is een uitvoervoorbeeld (mogelijke problemen worden in rood gemarkeerd):

    Als er fouten worden gezien, kan de eigenlijke FTD-software ook worden gecontroleerd op interfacefouten. 

    Om de FTD-prompt te bereiken, moet eerst naar de FTD CLI-prompt worden gevlogen.

    # connect module 1 console
    Firepower-module1> connect ftd
    > show interface

    Voor meerdere gevallen:

    # connect module 1 telnet
    Firepower-module1>connect ftd ftd1  
    Connecting to container ftd(ftd1) console... enter "exit" to return to Boot CLI 
    >

    Dit is een uitvoervoorbeeld.

    Gegevens om aan Cisco Technical Assistance Center (TAC) te leveren

    Gegevens Instructies
    Screenshots van verbindingsgebeurtenissen Zie dit artikel voor instructies
    uitvoer 'interface tonen' Zie dit artikel voor instructies
    Packet Capture

    Voor ASA/LINA: https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/1180...

    Voor vuurkracht: http://www.cisco.com/c/en/us/support/docs/security/sourcefire-firepower-8000-series-appliances/11777...
    ASA 'show tech'-uitvoer

    Log in op ASA CLI en de eindsessie wordt opgeslagen op een logbestand. Typ de opdracht Tech-opdracht en geef het uitvoerbestand van de eindsessie aan TAC op.

    Dit bestand kan met deze opdracht op schijf of een extern opslagsysteem worden opgeslagen.

    toontechniek | redirect disk0:/show_tech.log
    Probleemoplossing bestand via het FirePOWER-apparaat dat het verkeer controleert http://www.cisco.com/c/en/us/support/docs/security/sourcefire-defense-center/117663-technote-SourceFire-00.html

    Volgende stap: Probleemoplossing in de FirePOWER DAQ-laag

    Als niet duidelijk is of het FirePOWER-apparaat pakketten laat vallen, kan het Firepower-apparaat zelf worden omzeild om alle FirePOWER-onderdelen tegelijk uit te sluiten. Dit is met name nuttig voor het verzachten van een probleem als het betreffende verkeer het Firepower device probeert te verhullen maar niet verbazingwekkend.

    Raadpleeg de volgende fase van probleemoplossing bij FirePOWER-gegevens als volgt: De Firepower DAQ. Klik hier om verder te gaan

    TAC Authored

    Bijgedragen door Cisco-engineers

    • Created by John Groetzinger
      Cisco technische leider
    • Edited by John Long
      Cisco QA-softwareengineer
    • Edited by Cesar Lopez Zamarripa
      Cisco technische consulent-engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten