Configuratie en werking van het FTDprefilterbeleid

(1)

Configuratie en werking van het FTD- prefilterbeleid

Inhoud

Inleiding Voorwaarden Vereisten

Gebruikte componenten Achtergrondinformatie Configureren

Voorfilter Beleidscase 1 Beleidscase 2

Task 1. Controleer het standaard voorfilterbeleid CLI (LINA)-verificatie

Task 2. Ingebundeld verkeer met tag blokkeren

Task 3. Bypass Snort Engine met Fastpath prefilter-regels Verifiëren

Problemen oplossen Gerelateerde informatie

Inleiding

In dit document worden de configuratie en werking van voorfilterbeleid (Firepower Threat Defense, FTD) beschreven.

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

ASA 5506X met FTD-code 6.1.0-195

●

FireSIGHT Management Center (FMC) voor 6.1.0-195

●

Twee 3925 Cisco IOS® routers die 15.2 beelden draaien

●

De informatie in dit document is gebaseerd op de apparaten in een specifieke

laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg er dan voor dat u de

(2)

mogelijke impact van om het even welke opdracht begrijpt.

Achtergrondinformatie

Een Prefilter Policy is een optie die in versie 6.1 wordt geïntroduceerd en heeft drie belangrijke doelstellingen:

Overeenkomend verkeer op basis van zowel binnen- als buitenkant 1.

Voortijdig toegangscontrole bieden waarmee de doorstroommotor volledig kan worden omzeild

2.

Werk als plaatsaanduiding voor toegangscontrole-ingangen (ACE's) die vanaf ASA- migratiegereedschap (adaptieve security applicatie) zijn gemigreerd.

3.

Configureren

Voorfilter Beleidscase 1

Een voorfilterbeleid kan gebruik maken van een tunneltype waarmee FTD kan worden gefilterd op basis van zowel binnen- als buiten IP-headertunnelverkeer. Op het moment van schrijven verwijst tunnelverkeer naar:

Generic Routing Encapsulation (GRE)

●

IP-in-IP

●

IPv6-in-IP

●

Teredo Port 3544

●

Bekijk hier een GRE-tunnel zoals in de afbeelding.

Wanneer u van R1 aan R2 pingelt met het gebruik van een GRE-tunnel, gaat het verkeer door de Firewall zoals in het beeld weergegeven wordt.

Als de firewall een ASA apparaat is, controleert het de buitenste IP header zoals in de afbeelding.

(3)

ASA# show conn

GRE OUTSIDE 192.168.76.39:0 INSIDE 192.168.75.39:0, idle 0:00:17, bytes 520, flags

Als de firewall een FirePOWER-apparaat is, controleert u de binnenste IP-header zoals in de afbeelding wordt weergegeven.

Met pre-filter beleid kan een FTD apparaat verkeer op basis van zowel binnen- als buitenkant headers aanpassen.

Belangrijkste punt:

Apparaat Controles

ASA Buiten IP

snuiven Binnenkant IP

FTD Buiten (prefilter) + Binnenverlichting IP (Toegangscontrolebeleid (ACS))

Beleidscase 2

Een voorfilterbeleid kan een type prefilterregel gebruiken dat een vroege toegangscontrole kan bieden en een stroom kan toestaan om de snijmachine volledig te omzeilen zoals in de afbeelding wordt getoond.

Task 1. Controleer het standaard voorfilterbeleid

Taakeis:

Controleer het standaard prefilterbeleid Oplossing:

Stap 1. Navigeer naar beleid > Toegangsbeheer > prefilter. Er bestaat al een standaard prefilterbeleid, zoals in de afbeelding.

(4)

Stap 2. Selecteer Bewerken om de beleidsinstellingen zoals in de afbeelding te zien.

Stap 3. Het voorfilterbeleid is al aan het toegangscontrolbeleid gekoppeld, zoals in de afbeelding.

CLI (LINA)-verificatie

(5)

Voorfilterregels worden bovenop ACL’s toegevoegd:

firepower# show access-list

access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096) alert-interval 300

access-list CSM_FW_ACL_; 5 elements; name hash: 0x4a69e3f3

access-list CSM_FW_ACL_ line 1 remark rule-id 9998: PREFILTER POLICY: Default Tunnel and Priority Policy

access-list CSM_FW_ACL_ line 2 remark rule-id 9998: RULE: DEFAULT TUNNEL ACTION RULE

access-list CSM_FW_ACL_ line 3 advanced permit ipinip any any rule-id 9998 (hitcnt=0) 0xf5b597d6 access-list CSM_FW_ACL_ line 4 advanced permit 41 any any rule-id 9998 (hitcnt=0) 0x06095aba access-list CSM_FW_ACL_ line 5 advanced permit gre any any rule-id 9998 (hitcnt=5) 0x52c7a066 access-list CSM_FW_ACL_ line 6 advanced permit udp any any eq 3544 rule-id 9998 (hitcnt=0) 0xcf6309bc

Task 2. Ingebundeld verkeer met tag blokkeren

Taakeis:

Blokkeer ICMP-verkeer dat in GRE-tunnel is gekanaliseerd.

Oplossing:

Stap 1. Als u deze ACS toepast, kunt u zien dat het verkeer Internet Control Message Protocol (ICMP) wordt geblokkeerd, ongeacht of het door de GRE-tunnel gaat of niet, zoals in de

afbeelding wordt getoond.

R1# ping 192.168.76.39

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.76.39, timeout is 2 seconds:

...

Success rate is 0 percent (0/5)

R1# ping 10.0.0.2

...

In dit geval kunt u een voorfilterbeleid gebruiken om aan de taakvereisten te voldoen. De logica is als volgt:

U labelt alle pakketten die in GRE zijn ingesloten.

1.

U maakt een beleid voor toegangscontrole dat overeenkomt met de gemerkte pakketten en 2.

(6)

de ICMP-blokken blokkeert.

Vanuit architectuuroogpunt worden de pakketten gecontroleerd aan de hand van de pre-filter regels van de LINA, vervolgens regels van de Snort voorfilter en ACS en tenslotte instructies van de Snort om LINA te laten vallen. Het eerste pakket maakt het door het FTD apparaat.

Stap 1. Defineer een tag voor het gekanaliseerde verkeer.

Navigeren in op beleid > Toegangsbeheer > prefilter en een nieuw prefilterbeleid maken. Onthoud dat het standaard prefilterbeleid niet kan worden bewerkt zoals in de afbeelding.

In het prefilterbeleid kunt u twee soorten regels definiëren:

Tunnelregel

●

prefilterregel

●

Je kunt deze twee zien als totaal verschillende functies die kunnen worden geconfigureerd in een prefilterbeleid.

Voor deze taak moet u een tunnelregel definiëren zoals in de afbeelding.

Met betrekking tot de acties:

Handeling Beschrijving

analyseren Na LINA wordt de stroom gecontroleerd door Snort Engine. Optioneel kan een tunneltag worden toegewezen aan het tunnelverkeer.

(7)

blokkeren De stroom wordt geblokkeerd door LINA. De buitenste kop moet worden gecontroleerd.

snelpad De stroom wordt uitsluitend door LINA afgehandeld zonder dat de kortmotor hoeft te worden ingestuurd.

Stap 2. Defineer het toegangscontrolebeleid voor het gelabelde verkeer.

Hoewel het in het begin misschien niet heel intuïtief is, kan de tunneltag worden gebruikt door een toegangscontrolelijn als bronzone. Navigeren in op beleid > Toegangsbeheer en maken een regel die ICMP voor het gelabelde verkeer zoals in de afbeelding blokkeert.

Opmerking: Het nieuwe prefilterbeleid is gekoppeld aan het toegangscontrolebeleid.

Verificatie:

Opnemen op LINA en op CLISH inschakelen:

firepower# show capture

capture CAPI type raw-data trace interface inside [Capturing - 152 bytes]

capture CAPO type raw-data trace interface outside [Capturing - 152 bytes]

> capture-traffic

Please choose domain to capture traffic from:

0 - br1 1 - Router Selection? 1

Please specify tcpdump options desired.

(or enter '?' for a list of supported options) Options: -n

Probeer vanaf R1 het GRE-tunneleindpunt op afstand te pingelen. ping mislukt:

R1# ping 10.0.0.2

...

De CLISH-opname laat zien dat het eerste echo-verzoek door de FTD ging en het antwoord geblokkeerd was:

(8)

Options: -n

18:21:07.759939 IP 192.168.75.39 > 192.168.76.39: GREv0, length 104: IP 10.0.0.1 > 10.0.0.2:

ICMP echo request, id 65, seq 0, length 80

18:21:07.759939 IP 192.168.76.39 > 192.168.75.39: GREv0, length 104: IP 10.0.0.2 > 10.0.0.1:

ICMP echo reply, id 65, seq 0, length 80

18:21:09.759939 IP 192.168.75.39 > 192.168.76.39: GREv0, length 104: IP 10.0.0.1 > 10.0.0.2:

18:21:11.759939 IP 192.168.75.39 > 192.168.76.39: GREv0, length 104: IP 10.0.0.1 > 10.0.0.2:

18:21:13.759939 IP 192.168.75.39 > 192.168.76.39: GREv0, length 104: IP 10.0.0.1 > 10.0.0.2:

18:21:15.759939 IP 192.168.75.39 > 192.168.76.39: GREv0, length 104: IP 10.0.0.1 > 10.0.0.2:

De LINA-opname bevestigt dit:

> show capture CAPI | include ip-proto-47

102: 18:21:07.767523 192.168.75.39 > 192.168.76.39: ip-proto-47, length 104 107: 18:21:09.763739 192.168.75.39 > 192.168.76.39: ip-proto-47, length 104 111: 18:21:11.763769 192.168.75.39 > 192.168.76.39: ip-proto-47, length 104 115: 18:21:13.763784 192.168.75.39 > 192.168.76.39: ip-proto-47, length 104 120: 18:21:15.763830 192.168.75.39 > 192.168.76.39: ip-proto-47, length 104

>

> show capture CAPO | include ip-proto-47

93: 18:21:07.768133 192.168.75.39 > 192.168.76.39: ip-proto-47, length 104 94: 18:21:07.768438 192.168.76.39 > 192.168.75.39: ip-proto-47, length 104

Schakel CLISH firewall-engine-debug in, helderder LINA ASP-valtellers en doe de zelfde test. De CLISH-debug toont aan dat u bij de Echo-aanvraag de prefilterregel en bij de Echo-reactie de ACS-regel heeft overgenomen:

10.0.0.1-8 > 10.0.0.2-0 1 AS 1 I 0 New session

10.0.0.1-8 > 10.0.0.2-0 1 AS 1 I 0 using prefilter rule 268434441 with tunnel zone 1

10.0.0.1-8 > 10.0.0.2-0 1 AS 1 I 0 Starting with minimum 0, id 0 and SrcZone first with zones 1 -> -1, geo 0 -> 0, vlan 0, sgt tag: 65535, svc 0, payload 0, client 0, misc 0, user 9999997, icmpType 8, icmpCode 0

10.0.0.1-8 > 10.0.0.2-0 1 AS 1 I 0 pending rule order 3, 'Block ICMP', AppId

10.0.0.1-8 > 10.0.0.2-0 1 AS 1 I 0 using prefilter rule 268434441 with tunnel zone 1

10.0.0.1-8 > 10.0.0.2-0 1 AS 1 I 0 Starting with minimum 0, id 0 and SrcZone first with zones 1 -> -1, geo 0 -> 0, vlan 0, sgt tag: 65535, svc 3501, payload 0, client 2000003501, misc 0, user 9999997, icmpType 0, icmpCode 0

10.0.0.1-8 > 10.0.0.2-0 1 AS 1 I 0 match rule order 3, 'Block ICMP', action Block 10.0.0.1-8 > 10.0.0.2-0 1 AS 1 I 0 deny action

De ASP-toets toont dat Snort de pakketten heeft laten vallen:

> show asp drop

Frame drop:

No route to host (no-route) 366

Reverse-path verify failed (rpf-violated) 2

Flow is denied by configured rule (acl-drop) 2

Snort requested to drop the frame (snort-drop) 5

In de gebeurtenissen van de Verbinding, kunt u het beleid en de Regel van het Voorfilter zien dat

(9)

u zoals in de afbeelding vond overeenkomt.

Task 3. Bypass Snort Engine met Fastpath prefilter-regels

Netwerkdiagram

Taakeis:

Verwijder de bestaande regels van het toegangscontrolbeleid en voeg een regel van het toegangscontrolbeleid toe die al het verkeer blokkeert.

1.

Configureer een prefilterbeleidsregel die de snaarmotor voor verkeer passeert en die is afgeleid van het 192.168.75.0/24 netwerk.

2.

Oplossing:

Stap 1. Toegangsbeheerbeleid dat al het verkeer blokkeert is zoals in de afbeelding.

Stap 2. Voeg een prefilterregel met Fastpath toe als een actie voor een bronnetwerk 192.168.75.0/24 zoals in de afbeelding.

(10)

Stap 3. Het resultaat is zoals in de afbeelding.

Stap 4. Opslaan en implementeren.

Opnemen met overtrekken op beide FTD-interfaces inschakelen:

firepower# capture CAPI int inside trace match icmp any any firepower# capture CAPO int outsid trace match icmp any any

Probeer door de FTD te pingelen van R1 (192.168.75.39) tot R2 (192.168.76.39). Ping mislukt:

R1# ping 192.168.76.39

...

Opname op de interne interfaceshows:

firepower# show capture CAPI 5 packets captured

1: 23:35:07.281738 192.168.75.39 > 192.168.76.39: icmp: echo request 2: 23:35:09.278641 192.168.75.39 > 192.168.76.39: icmp: echo request

(11)

3: 23:35:11.279251 192.168.75.39 > 192.168.76.39: icmp: echo request 4: 23:35:13.278778 192.168.75.39 > 192.168.76.39: icmp: echo request 5: 23:35:15.279282 192.168.75.39 > 192.168.76.39: icmp: echo request 5 packets shown

Overtrek van het eerste pakket (echo-request) toont (belangrijke punten gemarkeerd):

Klik om uit te vouwen

vuurkracht# toont CAPI-pakketnummer 1-spoor met opname 5 opgenomen pakketten

1: 23:35:07.281738 192.168.75.39 > 192.168.76.39: icmp: verzoek van echo Fase: 1

Type: OPVANGEN Subtype:

Resultaat: TOESTAAN Config:

Aanvullende informatie:

MAC-toegangslijst Fase: 2

Type: TOEGANGSLIJST Subtype:

impliciete regel

Type: ROUTELOOKUP

Subtype: Oplossen van voedingsinterface Resultaat: TOESTAAN

Config:

(12)

gevonden volgende-hop 192.168.76.39 met egress ifc buiten Fase: 4

Type: TOEGANGSLIJST Subtype: logboek

toegangsgroep CSM_FW_ACL_ global

Toegangslijst CSM_FW_ACL_ advanced trust ip 192.168.75.0 255.255.255.0 met beide regelnummers 26843448-log

toegangslijst CSM_FW_ACL_ remark regel-id 26843448: PREFILTERBELEID: Prefilter_Policy1 toegangslijst CSM_FW_ACL_ remark regel-id 26843448: REGEL: Fastpath_src_192.168.75.0/24 Aanvullende informatie:

Fase: 5

Type: CONN-INSTELLINGEN Subtype:

class-map-default gelijk maken

beleidsmatig 'global_policy' standaardinstelling van klasse

Stel een verbinding met geavanceerde opties in via UM_STATIC_TCP_MAP global_policy voor diensten

Fase: 6 Type: NAT

(13)

Subtype: per sessie Resultaat: TOESTAAN Config:

Fase: 7

Type: IP-OPTIES Subtype:

Fase: 8

Type: INSPECTEREN Subtype: np-inspectie Resultaat: TOESTAAN Config:

class-map inspectie_default

overeenkomende met standaardinspectie-verkeer beleidsmatig 'global_policy'

class inspection_default ijsvogel

global_policy voor diensten Aanvullende informatie:

Fase: 9

Type: INSPECTEREN Subtype: np-inspectie Resultaat: TOESTAAN Config:

(14)

Fase: 10 Type: NAT

Fase: 11

Fase: 12

Type: STROOMCREATIE Subtype:

Nieuwe stroom gemaakt met id 52, pakket verzonden naar volgende module Fase: 13

Toegangslijst CSM_FW_ACL_ Advanced trust ip 192.168.75.0 255.255.255.0 elk regelnummer

(15)

26843448-weblog met beide zijden

toegangslijst CSM_FW_ACL_ remark regel-id 26843448: PREFILTERBELEID: Prefilter_Policy1 toegangslijst CSM_FW_ACL_ remark regel-id 26843448: REGEL: Fastpath_src_192.168.75.0/24 Aanvullende informatie:

Fase: 14

Fase: 15 Type: NAT

Fase: 16

(16)

Fase: 17

Type: ROUTELOOKUP

Config:

gevonden volgende-hop 192.168.76.39 met egress ifc buiten Fase: 18

Type: AANPASSINGSLOOKUP Subtype: volgende hop en nabijheid Resultaat: TOESTAAN

Config:

nabijheid Actief

Next-hop-mac-adres 0004.deab.681b hits 140372416161507 Fase: 19

MAC-toegangslijst Resultaat:

input-interface: buiten invoerstatus: omhoog invoerregel-status: omhoog

(17)

uitvoerinterface: buiten uitvoerstatus: omhoog uitgangsstatus: omhoog Actie: toestaan

1 pakket getoond vuurkracht#

vuurkracht# toont CAPI-pakketnummer 1 overtrek 5 pakketten die opgenomen zijn 1:

23:35:07.281738 192.168.75.39 > 192.168.76.39: icmp: Aanvraag van echo Fase: 1 Type:

CAPTURE Subtype: Resultaat: Config: Aanvullende informatie: MAC Access List fase: 2 Type:

Subtype TOEGANGSLIJST: Resultaat: Config: Impliciete regel Extra informatie: MAC Access List fase: Type: ROUTE-LOOKUP-subtype: Resultaat van uitgaande interface oplossen: Config:

Aanvullende informatie: vond next-hop 192.168.76.39 met egress ifc buiten Fase: Type: Subtype TOEGANGSLIJST: Logresultaat: Config: ACL (toegangsgroep): CSM_FW_ACL_ global access-list CSM_FW_ACL_ Advanced trust ip 192.168.75.0 255.255.255.0 met elk regelnummer 26843448- log, beide toegangslijsten CSM_FW_remark regel-id 268434448: PREFILTERBELEID:

Prefilter_Policy1 access-list CSM_FW_ACL_ remark regel-id 26843448: REGEL:

Fastpath_src_192.168.75.0/24 Aanvullende informatie: Fase: Type: CONN-INSTELLINGEN Subtype: Resultaat: Config: class-map-default match om een eventueel beleid-map global_policy class-class-default set connectie met geavanceerde opties UM_STATIC_TCP_MAP service-policy global_policy globalExtra Informatie: Fase: Type: NAT-subtype: Resultaat per sessie: Config:

Aanvullende informatie: Fase: Type: IP-OPTIES - subtype: Resultaat: Config: Aanvullende informatie: Fase: Type: Subtype INSPECT: Resultaat np-inspectie: Config: class-map inspection_default match default-inspection-traffic policy-map global_policy class

inspection_default inspectie ICMP service-beleid global_policy global Aanvullende Informatie:

Fase: Type 9: Subtype INSPECT: Resultaat np-inspectie: Config: Aanvullende informatie: Fase:

Type: NAT-subtype: Resultaat per sessie: Config: Aanvullende informatie: Fase: Type: IP- OPTIES - subtype: Resultaat: Config: Aanvullende informatie: Fase: Type: STROOMCREATIE- subtype: Resultaat: Config: Aanvullende informatie: Nieuwe stroom gemaakt met id 52, pakket verzonden naar volgende modulatiefase: Type: Subtype TOEGANGSLIJST: Logresultaat: Config:

ACL (toegangsgroep): CSM_FW_ACL_ global access-list CSM_FW_ACL_ Advanced trust ip 192.168.75.0 255.255.255.0 met elk regelnummer 26843448-log, beide toegangslijsten CSM_FW_remark regel-id 268434448: PREFILTERBELEID: Prefilter_Policy1 access-list

CSM_FW_ACL_ remark regel-id 26843448: REGEL: Fastpath_src_192.168.75.0/24 Aanvullende informatie: Fase: Type: CONN-INSTELLINGEN Subtype: Resultaat: Config: class-map-default match om een eventueel beleid-map global_policy class-class-default set connectie met

geavanceerde opties UM_STATIC_TCP_MAP service-policy global_policy globalExtra Informatie:

Fase: Type: NAT-subtype: Resultaat per sessie: Config: Aanvullende informatie: Fase: Type: IP- OPTIES - subtype: Resultaat: Config: Aanvullende informatie: Fase: Type: ROUTE-LOOKUP- subtype: Resultaat van uitgaande interface oplossen: Config: Aanvullende informatie: vond next- hop 192.168.76.39 met egress ifc buiten Fase: Type: ADJACENCY-LOOKUP subtype: Next-hop en nabijheid Resultaat: Config: Aanvullende informatie: nabijheid Active next-hop-mac-adres 0004.deab.681b-hits 140372416161507 fase: Type: CAPTURE Subtype: Resultaat: Config:

Aanvullende informatie: Resultaat MAC-toegangslijst: input-interface: externe invoerstatus:

invoerstatus omhoog: uitvoerinterface: buiten de uitvoerstatus: status omhoog uitvoerlijn: Actie op:

1 pakje weergegeven vuurkracht#

Opname op de externe interfaceshows:

(18)

firepower# show capture CAPO 10 packets captured

1: 23:35:07.282044 192.168.75.39 > 192.168.76.39: icmp: echo request 2: 23:35:07.282227 192.168.76.39 > 192.168.75.39: icmp: echo reply 3: 23:35:09.278717 192.168.75.39 > 192.168.76.39: icmp: echo request 4: 23:35:09.278962 192.168.76.39 > 192.168.75.39: icmp: echo reply 5: 23:35:11.279343 192.168.75.39 > 192.168.76.39: icmp: echo request 6: 23:35:11.279541 192.168.76.39 > 192.168.75.39: icmp: echo reply 7: 23:35:13.278870 192.168.75.39 > 192.168.76.39: icmp: echo request 8: 23:35:13.279023 192.168.76.39 > 192.168.75.39: icmp: echo reply 9: 23:35:15.279373 192.168.75.39 > 192.168.76.39: icmp: echo request 10: 23:35:15.279541 192.168.76.39 > 192.168.75.39: icmp: echo reply 10 packets shown

Trace van het retourpakket geeft aan dat het overeenkomt met de bestaande stroom (52), maar het is geblokkeerd door ACL:

firepower# show capture CAPO packet-number 2 trace 10 packets captured

2: 23:35:07.282227 192.168.76.39 > 192.168.75.39: icmp: echo reply Phase: 1

Type: CAPTURE Subtype:

Result: ALLOW Config:

Additional Information:

MAC Access list

Phase: 2

Type: ACCESS-LIST Subtype:

Implicit Rule

MAC Access list

Phase: 3

Type: FLOW-LOOKUP Subtype:

Found flow with id 52, using existing flow

Phase: 4

Type: ACCESS-LIST Subtype: log Result: DROP Config:

access-group CSM_FW_ACL_ global

access-list CSM_FW_ACL_ advanced deny ip any any rule-id 268434432 event-log flow-start access-list CSM_FW_ACL_ remark rule-id 268434432: ACCESS POLICY: ACP_5506-1 - Default/1 access-list CSM_FW_ACL_ remark rule-id 268434432: L4 RULE: DEFAULT ACTION RULE

(19)

Result:

input-interface: outside input-status: up

input-line-status: up Action: drop

Drop-reason: (acl-drop) Flow is denied by configured rule

Stap 5. Voeg nog één prefilterregel toe voor het retourverkeer. Het resultaat is zoals in de afbeelding weergegeven.

Vind nu het retourpakket dat u ziet (belangrijke onderstreepte punten):

Klik om uit te vouwen

vuurkracht# tonen CAPO pakje-nummer 2 sporen 10 gevangen pakketten

2: 00:01:38.873123 192.168.76.39 > 192.168.75.39: icmp: weerwoord Fase: 1

Type: TOEGANGSLIJST Subtype:

impliciete regel

(20)

Type: STROOMLOOP Subtype:

Vond flow met id62, gebruik makend van bestaande stroom Fase: 4

toegangslijst CSM_FW_ACL_ Advanced trust ip 192.168.75.0 255.255.255.0 regelid 26843450- log, beide

toegangslijst CSM_FW_ACL_ remark regel-id 26843450: PREFILTERBELEID: Prefilter_Policy1 toegangslijst CSM_FW_ACL_ remark regel-id 26843450: REGEL: Fastpath_dst_192.168.75.0/24 Aanvullende informatie:

Fase: 5

(21)

Fase: 6 Type: NAT

Fase: 7

Fase: 8

Type: ROUTELOOKUP

Config:

gevonden volgende-hop 192.168.75.39 met egress ifc binnenin Fase: 9

Type: AANPASSINGSLOOKUP Subtype: volgende hop en nabijheid

(22)

nabijheid Actief

Next-hop-mac-adres c84c.758d.4981 hits 1403767112802 Fase: 10

MAC-toegangslijst Resultaat:

input-interface: binnenkant invoerstatus: omhoog invoerregel-status: omhoog uitvoerinterface: binnenkant uitvoerstatus: omhoog uitgangsstatus: omhoog Actie: toestaan

vuurkracht# toont CAPO pakketnummer 2 sporen 10 pakketten die opgenomen zijn 2:

00:01:38.873123 192.168.76.39 > 192.168.75.39: icmp: antwoordfase echo: 1 Type: CAPTURE Subtype: Resultaat: Config: Aanvullende informatie: MAC Access List fase: 2 Type: Subtype TOEGANGSLIJST: Resultaat: Config: Impliciete regel Extra informatie: MAC Access List fase:

Type: STROOMLOOKUP-subtype: Resultaat: Config: Aanvullende informatie: Vond flow met id62, gebruik makend van bestaande stroomfase: Type: Subtype TOEGANGSLIJST: Logresultaat:

Config: ACL (toegangsgroep): CSM_FW_ACL_ global access-list CSM_FW_ACL_ Advanced trust ip 192.168.75.0 255.255.255.0 regelid 26843450-log beide access-list CSM_FW_remark regel-id 268434450: PREFILTERBELEID: Prefilter_Policy1 access-list CSM_FW_ACL_ remark regel-id 26843450: REGEL: Fastpath_dst_192.168.75.0/24 Aanvullende informatie: Fase: Type: CONN- INSTELLINGEN Subtype: Resultaat: Config: class-map-default match om een eventueel beleid- map global_policy class-class-default set connectie met geavanceerde opties

UM_STATIC_TCP_MAP service-policy global_policy globalExtra Informatie: Fase: Type: NAT-

(23)

subtype: Resultaat per sessie: Config: Aanvullende informatie: Fase: Type: IP-OPTIES - subtype:

Resultaat: Config: Aanvullende informatie: Fase: Type: ROUTE-LOOKUP-subtype: Resultaat van uitgaande interface oplossen: Config: Aanvullende informatie: vond next-hop 192.168.75.39 met egress ifc binnenin fase: Type 9: ADJACENCY-LOOKUP subtype: Next-hop en nabijheid

Resultaat: Config: Aanvullende informatie: nabijheid Active next-hop-mac-adres c84c.758d.4981 hits 1403767112802 fase: Type: CAPTURE Subtype: Resultaat: Config: Aanvullende informatie:

Resultaat MAC-toegangslijst: input-interface: invoerstatus: invoerstatus omhoog: uitvoerinterface:

binnenin uitvoerstatus: status omhoog uitvoerlijn: Actie op: toestaan

Verifiëren

Gebruik dit gedeelte om te bevestigen dat de configuratie correct werkt.

De verificatie is in de respectieve taakdelen toegelicht.

Problemen oplossen

Er is momenteel geen specifieke troubleshooting-informatie beschikbaar voor deze configuratie.

Gerelateerde informatie

Alle versies van de Cisco Firepower Management Center-configuratiehandleiding zijn hier te vinden:

●

https://www.cisco.com/c/en/us/td/docs/security/firepower/roadmap/firepower- roadmap.html#id_47280

Cisco Global Technical Assistance Center (TAC) raadt deze visuele handleiding voor diepgaande praktische kennis van Cisco Firepower Next-generation security technologieën aan, inclusief de technologieën die in dit artikel worden genoemd:

●

http://www.ciscopress.com/title/9781587144806

TechNotes over configuratie en probleemoplossing:

●

https://www.cisco.com/c/en/us/support/security/defense-center/tsd-products-support-series- home.html

Technische ondersteuning en documentatie – Cisco Systems

●