如何通过在FMC上为FTD下发PBR以及FMC如何为FTD开启traceroute回显

最新推荐文章于 2024-04-11 09:22:30 发布
最新推荐文章于 2024-04-11 09:22:30 发布
阅读量665 收藏
点赞数
文章标签: 运维 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lakers_66/article/details/126671574
版权

目录

1、文档介绍

2、先决条件

2.1 需要的知识

2.2 实验平台

3、背景信息

4、配置

4.1 FMC&FTD的安装

4.2 FTD的基础配置

4.4 FTD开启traceroute配置

5、验证 

6、排错 

 6.1 通过FTD上面的抓包工具分析

7、参考文档 

8、Lab源文件以及Qemu文件分享

1、文档介绍

此文档描述如何在FTD上配置PBR以及开启traceroute回显。

2、先决条件

2.1 需要的知识

FMC基础操作

FTD基础操作

PBR原理

2.2 实验平台

EVE-NG版本:EVE-NG version: 5.0.1-12

FMC Version:6.6.0-90

FTD Version:6.6.0-90

IOL:i86bi-linux-l2-adventerprisek9-15.1a.bini86bi-linux-l3-adventerprisek9-15.4.1T.bin

此文档中所有的信息都是基于此实验环境,文档中所有的设备均从初始化开始,如果您是在生产环境中使用此文档,请确保您完全理解所有的命令与影响。

3、背景信息

FTD有两个outside口,默认全部流量均走outside1,现有需求将视频业务单独使用outside2出局保证会议质量。PBR策略路由根据管理员自定义的策略匹配上对应的流量再根据自定义策略的动作执行相应操作如指定下一跳,PBR中其余未匹配的流量均按照正常路由表转发。

在实验中需要验证主机出局的路径,需要使用traceroute命令,此需求的背景信息可看下面官方文档给出的详细解释。(重点提醒:如果FTD上有运行OSPF协议需要重点关注,OSPF HELLO包TTL=1,如果执行TTL-1将会发生一些问题,所以运行OSPF时需要执行TTL减量需要配置将OSPF排除)

4、配置

4.1 FMC&FTD的安装

请参考此博主的安装文档,写得很详细,EVE-NG之Cisco FirePower 系统 - 行业资讯 - 亿速云

记录下本人安装时折腾的坑:

  1. 最开始使用的FMC版本很老6.2.1跟6.2.0,6.2.1安装成功后FTD也正常注册,但在deploy的时候一直报错提示device re-register,最开始FMC用的6.2.1但FTD用的6.2.0,以为是版本兼容的问题于是开始部署6.2.0。
  2. 6.2.0版本的FMC就更夸张了,安装设置好后使用url访问一直停留在登陆界面显示安装程序正在安装中请稍等,查文档找解决方法都没有修复好。

最后建议大家使用新版本的FMC&FTD,实验效果非常好,几乎没有很折腾的bug。版本我会放在最后的链接中。

4.2 FTD的基础配置

 Step 1 :接口配置

下面是全部接口的配置

Step 2:路由配置

 

Step 3:NAT配置

第一次配置需要新建一个new policy

 

新建一个rule,类型为动态并enable,在Interface Object中源区域为inside,目标区域为outside 

切到Translation,OriginalPacket源地址为10.0.0.0/8,OriginalPacke目标地址为address。TranslatedPacket转换后的源地址为目标接口地址(也就是以outside口的地址作为转换后的源地址),其余保持默认,点击OK。

 

Step 5:设置AccessControl

FMC在初次注册设备时必须要求一个ACP,这里是我之前注册时新建的一个1,我们就以这个为例。

 

编辑它

新增一条rule in2out,设置好源区域目标区域源地址,其余全部any, 动作为allow,目前我们只指定这一条即可,保存。

 

Step 6:推送配置

 

 

 

Step 7:查看路由

 

 

 

4.3 FTD的PBR设置

Step 1:定义两个ACL

 

点击Add Extended Access List,参考以下的值:

 

 

Step 2:新增一个Route Map绑定前面的ACL

 

定义一个name,点击add

 

 

 

 

 

Step 3:新增自定义FlexConfigObject

 

 

插入RouterMap绑定变量

 

 

 

Step 4:设备的FlexConfig去绑定

 

 

 

 

Step 5:推送

 

4.4 FTD开启traceroute配置

*****一定要确保您的网络无OSPF等协议***************

 Step 1:定义一个Extended的ACL

Step 2:配置FTD ServicePolicy

点击add rule

 

 

 

保存

Step 3:减少ICMP不可达的速率限制

 

 

Step 4:放通outside到inside方向的icmp端口

 

Step 5:Deploy

5、验证 

 

 

 

 

6、排错 

 6.1 通过FTD上面的抓包工具分析

 

 

 

重现故障情况后,停止抓包,保存下抓包的文件下载到本地使用wireshake分析即可。

7、参考文档 

Allow Traceroute through Firepower Threat Defense (FTD) via Threat Service Policy (cisco.com)

 

为FTD上由FMC管理的双ISP配置PBR的IP SLA (cisco.com)

How to Configure Policy Based Routing (PBR) on Cisco ASA Firewall (networkstraining.com)

Solved: Traceroute through FTD - Cisco Community

EVE-NG之Cisco FirePower 系统 - 行业资讯 - 亿速云

8、Lab源文件以及Qemu文件分享

链接:https://pan.baidu.com/s/1LNPlndQYiBFcz_Yk3d6pNA

提取码:wnsy

--来自百度网盘超级会员V1的分享

 

 

 

 

 

Ihavethreecats
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
防火墙的策略路由PBR
zljszn的博客
10-21 1423
让R1走ISP1的路径,R2走ISP2的路径。
(二)FirePower-FTD初始化设置并加入到FMC管理
发量堪忧
11-22 2547
一、什么是FTD FMC是vFTD的管理中心,思科的FMC可以同时管理多个vFTD,配置基本都是在FMC完成,然后推送到vFTDFMC(Cisco_Firepower_Management_Center,防火墙管理中心) vFTD(Cisco_Firepower_Threat_Defense_Virtual ,思科虚拟的防火墙威胁防御) 思科 Firepower 威胁防御 (FTD) 是一种集成软件映像,将 CISCO ASA 和 FirePOWER 功能结合到一个包含硬件和软件的系统中。思科是
Cisco ASA防火墙PBR策略路由配置
最新发布
funnycoffee123的博客
04-11 513
cisco ASA配置pbr policy-base routing
(四)FTD的基本需求配置
发量堪忧
12-08 1329
一、拓扑图 二、拓扑介绍 此拓扑分3个网络区域Outside、Inside、DMZ Outside网段为:200.1.1.0/24 Inside网段为:192.168.1.0/24 DMZ网段为:172.16.1.0/24 Outside用一台路由器做主干,Inside用一台三层交换机做核心主干,DMZ用一台三层交换机做核心主干 模拟ISP用的其实是我办公的网络有外网功能,网段为88.88.88.0/24,和FMC管理员网络是同一个网络 Outside路由器做NAT让所有网段可以实现访问互联网 FTD
嵌入式的一些概念 FMC/GPIO/MIO与EMIO/GTP、GTX、GTH和GTZ
叶落随风
11-17 1796
xilinux zcu102 硬件连接 USB UART USB JTAG Ethernet cable 安装驱动(x USB UART)和调试工具(Tera Term) faq FMC连接器(FMC Connector) 高性能计算(HPC) 引脚复用(MUX) GPIO(英语:General-purpose input/output INA226是一款分流/功率监视器,具有I2C™或SMBUS兼容接口。 Pmod接口应用也越来越广泛,由于FPGA I/O接口的灵活性,Pmod接口非常适.
通信与网络中的蓝牙CTP在FMC接入网中的应用
12-04
摘要 介绍了蓝牙CTP(Cordless Telephony Profile)应用模型,并阐述它在FMC(Fixed Mobile Convergence)接入网中的应用:PSTN接入和VoIP接入。  1、蓝牙CTP应用模型  蓝牙应用模型定义了如何采用一套基本协议...
意法半导体微控制器ST7FMC系列通过汽车级质量标准测试
01-19
意法半导体(ST)宣布其ST7FMC系列微控制器已经通过汽车级质量标准测试,达到了汽车市场的严格要求。 以工业标准的8位内核为,专门为无刷直流(BLDC)电机设计,该系列产品适合各种车身应用,如燃油泵和水泵、冷却风扇和...
基于FMC150硬件平台在高速数据采集中的应用
04-16
针对传统的高速数据采集卡受采样率、采样位数和通道数限制的目的,采用了一款可灵活编程配置的FMC150硬件平台方法,通过利用FPGA编程控制,实现了该高速数据采集模块在探地雷达系统中的应用,使探地雷达系统的分辨...
fmc_FMC_
09-30
内存管理程序,适用于对内存资源的管理与控制。
FMC使用指南pdf包含Vivado 开发流程示例
09-12
本示例为将几个信号通过 ZC706 上的 FMC 接口输出到载卡上。 1. 源代码 : module top(clk,CLKW,D3,D2,D1,D0,CLK_RESET,CLK_COMPUTE); input clk; output CLKW,D3,D2,D1,D0,CLK_RESET,CLK_COMPUTE; reg CLKW,D3,D2,...
CISCO ASA 8.4配置手册.pdf
08-03
cisco ASA8.4,内容丰富
ASA 配置手册(官方 8.0、8.4、9.0、9.4 四个版本 包括PBR配置方法).rar
07-27
ASA 配置手册(官方 8.0、8.4、9.0、9.4 四个版本 包括PBR配置方法).ra
FCM(GCM)android消息推送
run and run
12-19 1万+
FCM(GCM) 1. 进入Firebase的控制台添加我们的项目(firebaseProject)(https://console.firebase.google.com/)     按照官方引导操作就可以了。     如果使用的是AS 2.3以上版本可以按照如下图的步骤进行FirebaseProject的配置(需要测试设备安装了Google play的商店应用或者Google API的模
Android推送集成——FCM推送
fengyulinde的博客
08-20 1万+
官方集成文档 前言 由于FCM是别的同事集成,后来自己接手以后,看了下官方集成文档,并没有手动集成过[给大佬递茶],因此并不打算说如何集成(集成过程按官方文档基本是没问题),而是主要讲讲遇到的问题。 问题 1.如何修改通知栏默认图标? 由于FCM并没有像其它平台一样,将推送分透传和通知栏两种,因此,需要自己实现通知栏显示。 收到推送时,通知栏的图标显示有两种情况: 1.app打开...
Cisco策略路由PBR小案例
ghwzjz的博客
02-21 1724
前言: PBR(Policy Based Routing)是路由策略中的内容,全称为基于策略的路由。所谓策略路由,顾名思义,即是根据一定的策略进行报文转发,因此策略路由是一种比目的路由更灵活的路由机制。 ​ PBR和扩展ACL练习 一、拓扑 要求: 1.R1、R2、R3、R4配置OSPF路由,使4台路由器处于同一OSPF域中。 2.环回接口(1.1.1.1/24—1.1.4.1/24)访问4.4.4.4/24时,经过R1-R2-R4路径;访问44.44.44.44/24时,...
PBR+SLA配置实例
weixin_34356138的博客
12-01 413
本文主要描述通过策略路由PBR和IP服务水平协议SLA来实现数据包的分流。 假设:Outside上设置默认路由到192.168.1.0/24,下一条指向R6:ip route 0.0.0.0 255.255.255.0 1.1.56.6要求:但是从源IP:5.5.5.5/32出来的数据包必须走R4:并且保证链路的畅通性: R5基本配置: interfa...
CISCO PBR
litwhy的专栏
04-28 760
What is Policy-based Routing? With policy-based routing (which we will call PBR from here on out), you get the option to implement policies that selectively cause packets to take different paths. Add
CCNP路由实验之十六 策略路由(PBR)
热门推荐
kkfloat博客
10-09 5万+
                                CCNP路由实验之十六 策略路由(PBR)   策略路由(PBR)是一种比基于目标网络进行路由更加灵活的数据包路由转发机制。路由器将通过路由图决定如何对需要路由的数据包进行处理,路由图决定了一个数据包的下一跳转发路由器。在路由器转发一个数据报文时,首先根据配置的规则对报文进行过滤,匹配成功则按照一定的转发策略进行报文转发。这种规则
SRAM芯片必须通过FMC模块连接STM32F429吗
07-08
不是的,SRAM芯片不必通过FMC模块连接STM32F429。STM32F429微控制器系列具有独立的SRAM接口,可直接连接外部SRAM芯片。您可以使用这个独立的SRAM接口来连接SRAM芯片,而无需使用FMC模块。请注意,FMC模块主要用于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值