13Июл

Модель и номер двигателя в птс: Страница не найдена — Автожур

Содержание

Купил автомобиль, номер двигателя не совпадает с ПТС

Открыть содержание

С 7 октября 2018 года действуют новые Правила регистрации транспортных средств, утвержденные Приказом МВД №399 от 26.09.18, которые в том числе описывают процедуру регистрации замены двигателя. Если после покупки автомобиля при его регистрации в ГАИ окажется, что на нем установлен неродной мотор, а номер двигателя не совпадает с указанным в ПТС, то у нового собственника могут возникнуть проблемы... Но не всегда. Разберемся с вопросом во всех тонкостях.

Что говорит закон 2021 года о двигателях?

С 2011 года двигатель является запасной частью. И с тех пор на его замену не нужно получать разрешения ГИБДД. Впрочем, не нужны и никакие документы на устанавливаемый и снимаемый агрегат.

Замена двигателя на полностью идентичный внесением изменений в конструкцию транспортного средства не является.

Если водитель не хочет бегать по кабинетам, регистрируя внесение изменений в конструкцию, то ему достаточно заменить двигатель на полностью аналогичный.

То есть на 2021 год допускается замена именно на тот тип и модель мотора, который поставляется на сборочное производство, или поставляется как запасная часть, что, в частности, может быть подтверждено документацией изготовителя двигателя – сертификатом или декларацией. При этом, номер агрегата не будет совпадать с указанным в паспорте транспортного средства, но такие изменения всё равно законны.

Вас также заинтересует:

Про сверку номера мотора при постановке на учёт в ГИБДД

До 2011 года вопрос о проверке однотипности старого и нового двигателей продуман не был. И даже сверка номеров агрегата при регистрации не предполагалась. В результате замена двигателя на любой, подходящий к данной модели автомобиля, стала приобретать массовый характер, причем, собственники автомобилей мало задумывались, что, вероятно, данные изменения необходимо регистрировать в МРЭО.

Максимум, что в рамках закона мог сделать инспектор ГИБДД – обратить внимание на внешний вид мотора при проведении регистрационных действий. Если он догадывался, что на автомобиле двигатель, не соответствующий модели автомобиля, то в проведении регистрационных действий водителю отказывали.

Сверка номера двигателя лежала вне правового поля, но в качестве доказательства неправомерной замены вполне подходила.

С 2018 года наступила определенность в вопросе порядка такой замены.

При сверке VIN-номеров автомобиля инспектор сверяет и номера на других номерных агрегатах, в том числе, и на двигателе. Если номер не совпадает с номером, указанным в ПТС, то по VIN-номеру устанавливается, какой тип агрегата является родным для данного конкретного автомобиля.

Если номер двигателя не совпадает с номером в ПТС

В этом случае стоит или не стоит беспокоиться, зависит от того, совпадают ли у родного и нового мотора:

  • тип двигателя,
  • модель (название и начало номера),
  • характеристики,
  • не числится ли новый двигатель в розыске по базам ГИБДД.

Если двигатель заменён на аналогичный

Если замена агрегата произошла на аналогичный по типу и модели, то к водителю никаких вопросов быть не должно.

Автомобиль зарегистрируют, и сотрудники МРЭО внесут необходимые изменения в ПТС и банки данных. Причем, никто не спросит, откуда взялся новый двигатель? Это по закону.

На практике бывают и случаи отказа, но они не основаны на законе, и требование письменного отказа под видеосъёмку, как правило, вопрос снимает.

Мотор заменили на другую модель

Если, помимо несовпадения номеров, двигатель другого типа, большей или меньшей мощности или модели, то внесение изменений в конструкцию необходимо зарегистрировать.

Процедура не такая сложная и неоднократно описывалась на нашем сайте. Вкратце порядок следующий:

  1. До начала работ:
    1. Пройти предварительную техническую экспертизу. Экспертизу проводят только аккредитованные организации, список которых представлен на сайте http://www. eurasiancommission.org/ru
    2. Получить разрешение в ГИБДД на внесение изменений.
  2. После выполнения работ:
    1. Пройти техосмотр.
    2. Пройти повторную экспертизу.
    3. Получить в ГАИ "Свидетельство о внесении изменений в конструкцию".

Пока внесенные в конструкцию транспортного средства изменения не будут зарегистрированы, в постановке на учет самого автомобиля будет отказано.

Альтернативно водитель может доказать, что новый двигатель поставляется на рынок как запасная часть для его автомобиля.

Для подтверждения, как было сказано выше, необходимо представить сертификат или декларацию, которая подтвердит, что двигатель испытан в составе данного автомобиля в соответствии с требованиями технического регламента О безопасности ТС. Если мотор куплен у официального дилера, то проблем с сертификатом или декларацией не будет. По требованию водителя сертификат или декларацию на приобретаемый двигатель продавец обязан предоставить.

Ещё кое-что полезное для Вас:

Можно ли не ставить на учёт и что будет?

На незарегистрированном автомобиле передвигаться по дорогам запрещено.

За нарушение требований законодательства последует наказание по ч.1 ст.12.1 КоАП – штраф. Если со дня вступления постановления о наложении штрафа в силу и до истечения одного года с момента оплаты штрафа водитель вновь попадает в поле зрения ГИБДД на автомобиле без регистрации, то ему грозит лишение права управления по ч.1.1 ст.12.1 КоАП.

Единственный и довольно рискованный вариант ездить на незарегистрированном автомобиле описан в отдельной статье.

Номер двигателя проверяют при постановке на учет? Ответим!

Расхожее мнение, сложившееся несколько лет назад, номер двигателя при постановке на учет не проверяют, дескать это запчасть и всем не важно что под капотом. Фото с Маздой должно развеять этот миф у вас, на нем, человек старательно отмывает планку с номером двигателя нанесенным в очень не удобном месте, чтобы инспектор мог его сверить. А если у вас не читается или по другому говоря нечитаемый номер двигателя, то это дополнительные проблемы.

Почему смотрят номер двигателя при постановке на учет в ГИБДД?

  1. Запрет на внесение изменений в конструкцию авто.

    Каждый автомобиль при производстве оснащается определенной моделью двигателя, одобренной и разрешенной к эксплуатации в стране. Завод маркирует серию и номер двигателя. Инспектор проверяет соответствует ли серия двигателя данным в ПТС и не внесены ли изменения в конструкцию машины, путем замены на двигатель другого типа. Например, не поставили ли вы в волгу двигатель от мерседеса.

  2. Выявление украденных запчастей и угнанных машин.

    В ПТС указана серия и номер двигателя установленного на вашем автомобиле. Если машину угонят, продадут по запчастям, а двигатель поставят на другой авто, то при постановке на учет это можно будет выявить, путем проверки по базам сотрудниками ГИБДД.

Бывает, что при установке бу двигателя, ставят деталь со “спиленным” номером. Скорей всего с угнанного авто. При регистрации машины, с такой запчастью, “без договоренностей” машину вам не зарегистрируют.

Можно ли делать замену двигателя?

  • Двигатель, это действительно запчасть и его можно менять, но чтобы не нажить себе геморой, нужно подходить к этому вопросу правильно. Чтобы не проходить дополнительных технических экспертиз, а лишь сделать сверку номера двигателя при постановке на учет, заменять его можно на агрегат с серией подобной указанной в вашем ПТС, номер соответственно будет другой.
  • Замена на двигатель другой серии это целая процедура, сначала нужно сделать осмотр машины со старым двигателем, потом пройти экспертизу на возможность установки двигателя другой серии, только после этого установить и пройти осмотр заново. Вообщем проблем, как с установкой официально газа на машину.
  • На сегодня открытого источника по которому можно проверить номер двигателя по базам ГИБДД не существует, но те кто продают и знают что движок с угнанной машины, скорей всего собьют с него номер напильником.

Не читается номер двигателя?

Если вы уже купили машину и на ней не читается номер двигателя, то это очень плохо и сулит большие расходы. Пол беды если номер плохо читается, по текущим правилам вас отправят на экспертизу, если она установит серию и номер двигателя, то машину поставят на учет. Другая проблема если номер двигателя не читается, тогда если попадется инспектор с нормальным настроением, то порекомендует вам сделать замену части двигателя на которой нанесен номер на другую, на которой он читается, в среднем снятие установка и переборка двигателя обходятся от 50 тыс руб, в зависимости от марки и модели. Если попадется инспектор с плохим настроением или желающий получить премию за выявленный “плохой” автомобиль, то машину могут задержать для экспертизы.

Возможны ситуации с Американскими машинами, где иногда номер двигателя действительно отсутствует, лучше, прежде чем купить авто с отсутствующим номером двигателя, проконсультироваться в ГИБДД, про свой частный случай.

Покупайте правильно машины с пробегом! Доверяйте мнению экспертов, так вы сэкономите время и деньги. На нашей практике встречались и довольно новые автомобили с проблемой отсутствующего (спиленного) номера двигателя.

3.9 8 голоса

Оцените статью

Что нужно знать?

Политика конфиденциальности сайта www.avtosprobegom21.ru

Мы признаем важность конфиденциальности информации. В этом документе описывается, какую личную информацию мы получаем и собираем, когда Вы пользуетесь сайтом www.avtosprobegom21.ru. Мы надеемся, что эти сведения помогут Вам принимать осознанные решения в отношении предоставляемой нам личной информации.

Политика конфиденциальности объясняет:

  • какие данные мы собираем и зачем;
  • как мы используем собранные данные;
  • какие существуют варианты доступа к данным и их обновления.

Общедоступная информация

Если Вы просто просматриваете сайт, информация о Вас не собирается и не публикуется на сайте.

Какую информацию мы собираем?

Мы собираем информацию об имени, телефоне и адресе электронной почте только тех посетителей нашего сайта, которые заполнили любую из форм на нашем сайте.

Как мы используем собранные данные

Ваше добровольное согласие оставить имя, телефон и адрес электронной почты подтверждается путем ввода вашего имени, телефона и/или адреса электронной почты в соответствующую форму. Информация, собранная после отправки формы на сайте (а именно: имя, телефон и e-mail адрес) нигде не публикуется и не доступна другим посетителям сайта. Имя используется для личного обращения к Вам, а телефон и адрес электронной почты — для уточнения вопросов. При необходимости использовать ваши данные для целей, не упомянутых в настоящей политике конфиденциальности, мы всегда запрашиваем предварительное согласие на это.

Условия обработки и её передачи третьим лицам

Ваши Имя, телефон и адрес электронной почты никогда, ни при каких условиях не будут переданы третьим лицам, за исключением случаев, связанных с исполнением действующего законодательства.

Протоколирование

При каждом посещении сайта наши серверы автоматически записывают информацию, которую Ваш браузер передает при посещении веб-страниц. Как правило эта информация включает запрашиваемую веб-страницу, IP-адрес компьютера, тип браузера, языковые настройки браузера, дату и время запроса, а также один или несколько файлов cookie, которые позволяют точно идентифицировать Ваш браузер.

Куки (Cookie)

На сайте используются куки (Cookies), происходит сбор данных о посетителях с помощью сервисов Яндекс Метрика. Эти данные служат для сбора информации о действиях посетителей на сайте, для улучшения качества его содержания и возможностей. В любое время Вы можете изменить параметры в настройках Вашего браузера таким образом, чтобы браузер перестал сохранять все файлы cookie, а так же оповещал их об отправке. При этом следует учесть, что в этом случае некоторые сервисы и функции могут перестать работать.

Изменение Политики конфиденциальности

На этой странице Вы сможете узнать о любых изменениях данной политики конфиденциальности. В особых случаях, Вам будет выслана информация на Ваш адрес электронной почты.

Замена двигателя и проржавевший VIN – теперь не проблема

С 6 октября вступает в силу приказ МВД России, который определяет новый порядок регистрации транспортных средств. Он упрощает жизнь автомобилистам, в том числе, при замене двигателя автомобиля и в случаях, когда VIN проржавел и не читается.

Приказ МВД России от 26 июня 2018 г. № 399 «Об утверждении Правил государственной регистрации автомототранспортных средств и прицепов к ним в Госавтоинспекции МВД России, образца бланка свидетельства о регистрации транспортного средства и признании утратившими силу нормативных правовых актов МВД России и отдельных положений нормативных правовых актов МВД России» зарегистрирован Министерством юстиции 25 сентября и вступает в силу 6 октября. Он опубликован на официальном интернет-портале правовой информации.

Приказ определяет порядок действий в случае необходимости замены или получения дубликата ПТС. При этом учитывается грядущее внедрение электронных паспортов (с ноября 2019 года новые и ввезенные из-за границы автомобили будут получать только ЭПТС). Срок действия имеющихся бумажных ПТС не ограничен, но владельцы машин с такими паспортами получают возможность выбрать, получать ли им бумажный дубликат либо оформить электронный паспорт.

Документ, который вступает в силу через неделю, закрепляет «антикоррупционный», по словам официального представителя МВД, механизм выдачи государственных регистрационных знаков и продлевает срок их хранения по заявлениям автовладельцев: со 180 до 360 суток. Уточнены также процедуры выдачи транзитных номеров, расширен список документов для подтверждения факта и последующей регистрации утилизации транспортного средства.

Новые правила значительно упрощают жизнь автовладельцам в случае замены двигателя на аналогичный. Если новый мотор соответствует марке и модели, в том числе по мощности, то это не считается внесением изменений в конструкцию автомобиля. В этом случае для внесения нового номера двигателя в ПТС достаточно предоставить автомобиль на осмотр в ГАИ. Конечно, установленный двигатель при этом должен иметь оригинальную заводскую маркировку и не должен находиться в розыске. До возникновения необходимости в регистрационных действиях, например, при продаже автомобиля, автовладельцу можно не заниматься никакой бюрократической рутиной. Отдельный договор купли-продажи двигателя при регистрации предъявлять не потребуется.

Инспекторы ГАИ теперь обязаны вносить в Федеральную информационную систему ГИБДД все данные, в том числе копии документов и фотографии, касающиеся изменений в маркировке автомобиля. Например, если официальная экспертиза установила, что повреждение одного из номеров на кузове не носит криминального характера, а вызвано коррозией, то автовладелец получает возможность спокойно ездить на этом автомобиле, при этом его не будут отправлять на аналогичные экспертизы в других регионах.

Что бы ни случилось с вашим автомобилем, знайте: на СТО Автоцентра «Витебский» вам всегда готовы прийти на помощь. Проведем диагностику двигателя, устраним неисправности, а если вы хотите заменить двигатель, то справимся и с этим. Если поврежден кузов – аккуратно восстановим его, сохраняя все важные элементы, и он будет выглядеть как новый.

Новые правила регистрации автомобилей в 2019 году: обязательная сверка номера двигателя

Порядок регистрации мото, автотранспорта и прицепов к ним определен Приказом МВД России № 1001 от 2008 г. Изменениями от 2011 года в данный приказ был внесен пункт, согласно которому номер двигателя не подлежит сверке при осуществлении регистрационных действий. Номер двигателя отныне рассматривался законодателями как расходный элемент, вроде коробки передач или какой-нибудь раздаточной коробки. Такая практика широко применяется, например, в США, где двигатель часто заменяется целиком при ремонте, и никакой перерегистрации в полиции не требуется.
Это послужило своего рода толчком к массовым заменам двигателей, в т.ч. не обязательно на аналогичные. Напомним, замена двигателя на другую модель является переоборудованием и должно оформляться соответствующим образом.

29 июня 2017 года в данный Приказ МВД № 1001 внесены новые изменения, касающиеся сверки номера двигателя. Согласно новым правилам регистрации автомобилей 2018 года этот номер снова будут смотреть, причем если выясниться, что номер двигателя подвергался изменим, это станет основанием для отказа в регистрации (или аннулирования действующей регистрации).
Интересно то, что в Свидетельстве о регистрации транспортного средства номер двигателя по-прежнему не указывается.


3. Не подлежат регистрации в Госавтоинспекции и не проводятся регистрационные действия с транспортными средствами по следующим основаниям:

"обнаружены признаки скрытия, подделки, изменения, уничтожения идентификационных номеров транспортных средств, номеров узлов и агрегатов (кузова, рамы, кабины, двигателя) идентифицирующих транспортное средство, <1> либо подделки представленных документов, несоответствия транспортных средств и номерных агрегатов сведениям, указанным в представленных документах, или регистрационным данным, а также при наличии сведений о нахождении транспортных средств, номерных агрегатов в розыске или представленных документов в числе утраченных (похищенных), за исключением транспортных средств с измененной маркировкой транспортных средств и номерных агрегатов в результате естественного износа, коррозии, ремонта или возвращенных собственникам или владельцам после хищения, при условии их идентификации;".

Хотя в свидетельстве о регистрации номер двигателя отсутствует, в регистрационных данных ГИБДД он есть. А несоответствие номерных агрегатов учетным данным является поводом для отказа в регистрации автомобиля. В итоге имеем весьма спорный момент – при покупке б/у автомобиля с рук, если отсутствует ПТС, новый собственник никак не может узнать, какой номер двигателя числится за данным автомобилем. А значит, легко можно попасть в ситуацию, когда двигатель был заменен на аналогичный без документов. А эта ситуация грозит, как мы выше сказали, аннулированием регистрации до покупки легального двигателя с документами и оформления переоборудования автомобиля.
Что интересно, номер двигателя не выдается даже в распечатке по VIN на официальном портале ГИБДД gibdd.ru:

Доверенность на автотранспорт (генеральная доверенность на машину)

Данные транспортного средства

Тип транспортного средства * автомобильмотоциклмотоцикл с коляскоймотороллермикроавтобусприцептракторэкскаваторпрочее…

Марка и модель транспортного средства *

Пункт 2 ПТС. Например: Mercedes-Benz GL 450 4MATIC

Наименование (тип) транспортного средства *

Пункт 3 ПТС. Например: легковой, грузовой, тягач и т.д.

Идентификационный номер (VIN) транспортного средства *

Пункт 1 ПТС.

Государственный регистрационный знак транспортного средства *

Номер указывается без пробелов. Например: Е777КХ190

Транзитный номер

Год выпуска

Модель двигателя

Пункт 6 ПТС.

Номер двигателя

Пункт 6 ПТС.

Номер шасси (рамы)

Пункт 7 ПТС.

Номер кузова

Пункт 8 ПТС.

Цвет транспортного средства

Пункт 9 ПТС.

Документ, подтверждающий право собственности ТС *

паспорт транспортного средства и свидетельство о регистрации ТС

паспорт транспортного средства

свидетельство о регистрации ТС

техпаспорт

техталон

временный техталон

паспорт самоходной машины и других видов техники

справка-счёт

прочее…

Если на преднадлежащее Вам транспортное средство есть и ПТС и свидетельство о регистрации, то указываются данные обоих этих документов.

Паспорт транспортного средства Серия и номер паспорта транспортного средства *

Указывается вверху чернилами красного цвета на лицевой стороне. Например: 78ТР470663

Кем выдан паспорт транспортного средства *

Пункт 23 ПТС. Наименование организации, выдавшей паспорт

Дата выдачи паспорта транспортного средства *

Пункт 25 ПТС.


Свидетельство о регистрации ТС Серия и номер свидетельства о регистрации ТС *

Указывается внизу чернилами красного цвета на лицевой стороне. Например: 02РУ956588

Кем выдано свидетельство ТС *

Указывается внизу на обратной сторне свидетельства.

Дата выдачи свидетельства тс *

Указывается внизу на обратной сторне свидетельства.

Где состоит на учете транспортное средство *

Данные доверителя (собственника автомобиля)

Ф.И.О. *

Дата рождения *

Место рождения *

Пол *

Мужской

Женский

Паспорт РФ

Серия *

Номер *

Дата выдачи *

Кем выдан *

Код подразделения *

Адрес *

Адрес прописки (по паспорту)


Количество поверенных (на кого составляется доверенность) * 12345678910

Поверенный

Ф. И.О. *

Дата рождения *

Место рождения *

Пол *

Мужской

Женский

Паспорт РФ

Серия *

Номер *

Дата выдачи *

Кем выдан *

Код подразделения *

Адрес *

Адрес прописки (по паспорту)


Полномочия по доверенности * Только управлениеРаспоряжение ТС (генеральная)Продажа ТСПоставновка на учёт в ГИБДД

Срок действия доверенности * 3 года2 года1 год6 месяцев3 месяца2 месяца1 месяцсроком по…

Date

E.g., 20.06.2021

С правом передоверия полномочий другим лицам

Ометьте данный пункт галочкой, если Вы доверяете своему поверенному право передоверия ТС на другое лицо.

Примечание

Здесь Вы можете указать любую дополнительную информацию по данному нотариальному действию.

Настоящим потверждаю правильность введённых данных и даю своё согласие на обработку предоставленных мной для совершения нотариального действия персональных данных в соответствии с Федеральным законом Российской Федерации № 152-ФЗ от 27 июля 2006 года «О персональных данных». *

Kia Sportage (SL) 3 поколение – Расположение VIN и номера двигателя

Кроссовер Kia Sportage популярен не только в кругах автолюбителей обывателей, но и у автокрадов. Для того, чтобы обезопасить себя от покупки криминального автомобиля можно обратиться к профессионалам или запастись знаниями о внешнем виде и расположении VIN-номера, а также номера двигателя.

У Sportage (SL, 3 поколения) российской сборки минимум шесть точек проверки идентификационных обозначений. Главный VIN здесь выбивается точками на правом переднем лонжероне (со стороны приводного ремня двигателя). Номер почти всегда покрыт пылью, благо очистить его можно без труда, а вот полноценно проверить оригинальность нанесения маркировки можно только при наличии зеркала:

Для детального анализа символов придется воспользоваться инспекционным зеркалом. Иначе мешает навесное оборудование двигателя

Дублирующая шильда с российским VIN крепится заклепками к правой центральной стойке. Даже заводская «автоторовская» табличка выглядит так, будто изготовлена кустарно:

Разметка, нанесенная краской на машинах разных годов выпуска, может отличаться, однако символы VIN-номера всегда протачиваются одним и тем же способом

Главная площадка со «словацким» VIN распростерлась под передним пассажирским креслом:

Посмотреть просто на символы недостаточно. Несмотря на злость и недоумение продавца автомобиля, снимаем пластиковую облицовку порога и проверяем крепление планки с VIN-номером к основной части кузова:

«Словацкая» табличка также продублирована на левой центральной стойке:

И под лобовым стеклом:

В блоке управления двигателем также «сидит» обозначение. Так что компьютерная диагностика, несмотря на простоту устройства автомобиля, будет просто необходима:

Сверяем данные с ПТС:

Kia Sportage SL – номер двигателя

Знаменитый своими стуками поршней бензиновый G4KD (2.0, 150 л.с.) хранит номер на передней стенке блока цилиндров на стыке с КПП. Увидеть обозначение своими глазами возможно лишь при помощи инспекционного зеркала или телефона с камерой, пропустив руку между двигателем и радиатором. Площадка должна иметь четкий след от обработки фрезой. Сами символы нанесены точками так:

Справа коробка передач

Либо так:

Его следующая генерация G4NU пронумерована в том же самом месте, только визуально добраться до обозначения можно без зеркала.

На примере G4NA

Если уж решились на покупку Sportage с 2-литровым дизелем D4HA (136, 184 л.с.), то номер двигателя нужно искать в совсем другом месте – справа (по ходу движения), на вертикальной площадке блока за ремнем навесного оборудования:

Все моторы также имеют дубль номера двигателя на наклейке, нанесенной на клапанную крышку. Вот только после первой же мойки мотора от неё не остается и следа:

Автор: Денис Путков

% PDF-1.4 % 16152 0 объект> эндобдж xref 16152 605 0000000016 00000 н. 0000025627 00000 н. 0000025847 00000 п. 0000025877 00000 п. 0000025924 00000 п. 0000025962 00000 п. 0000026373 00000 п. 0000026509 00000 п. 0000026646 00000 п. 0000026750 00000 п. 0000026858 00000 н. 0000029917 00000 н. 0000031099 00000 п. 0000032277 00000 н. 0000032470 00000 п. 0000032652 00000 п. 0000032725 00000 п. 0000033911 00000 п. 0000034132 00000 п. 0000044774 00000 п. 0000113380 00000 н. 0000114236 00000 н. 0000114715 00000 н. 0000114832 00000 н. 0000115311 00000 н. 0000115428 00000 н. 0000115907 00000 н. 0000116024 00000 н. 0000116503 00000 н. 0000116619 00000 н. 0000116682 00000 н. 0000116806 00000 н. 0000116896 00000 н. 0000116996 00000 н. 0000117151 00000 н. 0000117243 00000 н. 0000117336 00000 н. 0000117457 00000 н. 0000117633 00000 н. 0000117778 00000 н. 0000117891 00000 н. 0000118083 00000 н. 0000118180 00000 н. 0000118294 00000 н. 0000118474 00000 н. 0000118609 00000 н. 0000118723 00000 н. 0000118886 00000 н. 0000119043 00000 н. 0000119158 00000 н. 0000119333 00000 н. 0000119471 00000 н. 0000119585 00000 н. 0000119760 00000 н. 0000119920 00000 н. 0000120034 00000 н. 0000120174 00000 н. 0000120337 00000 н. 0000120454 00000 н. 0000120568 00000 н. 0000120745 00000 н. 0000120849 00000 н. 0000120974 00000 н. 0000121139 00000 н. 0000121311 00000 н. 0000121425 00000 н. 0000121579 00000 н. 0000121676 00000 н. 0000121790 00000 н. 0000121954 00000 н. 0000122108 00000 н. 0000122222 00000 н. 0000122391 00000 н. 0000122546 00000 н. 0000122660 00000 н. 0000122849 00000 н. 0000122980 00000 н. 0000123094 00000 н. 0000123271 00000 н. 0000123423 00000 п. 0000123537 00000 н. 0000123732 00000 н. 0000123888 00000 н. 0000124002 00000 н. 0000124132 00000 н. 0000124290 00000 н. 0000124392 00000 н. 0000124516 00000 н. 0000124674 00000 н. 0000124815 00000 н. 0000124928 00000 н. 0000125092 00000 н. 0000125184 00000 н. 0000125297 00000 н. 0000125452 00000 н. 0000125594 00000 н. 0000125707 00000 н. 0000125866 00000 н. 0000126010 00000 н. 0000126124 00000 н. 0000126288 00000 н. 0000126390 00000 н. 0000126504 00000 н. 0000126675 00000 н. 0000126816 00000 н. 0000126929 00000 н. 0000127099 00000 н. 0000127246 00000 н. 0000127358 00000 н. 0000127522 00000 н. 0000127695 00000 н. 0000127808 00000 н. 0000127997 00000 н. 0000128146 00000 н. 0000128258 00000 н. 0000128380 00000 н. 0000128521 00000 н. 0000128632 00000 н. 0000128727 00000 н. 0000128868 00000 н. 0000128942 00000 н. 0000129044 00000 н. 0000129149 00000 н. 0000129268 00000 н. 0000129428 00000 н. 0000129536 00000 н. 0000129642 00000 н. 0000129796 00000 н. 0000129909 00000 н. 0000130012 00000 н. 0000130175 00000 н. 0000130267 00000 н. 0000130408 ​​00000 н. 0000130517 00000 н. 0000130647 00000 н. 0000130753 00000 н. 0000130867 00000 н. 0000130967 00000 н. 0000131071 00000 н. 0000131197 00000 н. 0000131367 00000 н. 0000131469 00000 н. 0000131569 00000 н. 0000131742 00000 н. 0000131870 00000 н. 0000131998 00000 н. 0000132124 00000 н. 0000132293 00000 н. 0000132377 00000 н. 0000132526 00000 н. 0000132623 00000 н. 0000132727 00000 н. 0000132829 00000 н. 0000132971 00000 н. 0000133140 00000 н. 0000133238 00000 н. 0000133359 00000 н. 0000133498 00000 н. 0000133635 00000 н. 0000133754 00000 н. 0000133872 00000 н. 0000133994 00000 н. 0000134121 00000 н. 0000134245 00000 н. 0000134331 00000 п. 0000134513 00000 н. 0000134621 00000 н. 0000134737 00000 н. 0000134903 00000 н. 0000135004 00000 н. 0000135109 00000 н. 0000135291 00000 н. 0000135373 00000 н. 0000135546 00000 н. 0000135643 00000 п. 0000135763 00000 н. 0000135904 00000 н. 0000136084 00000 н. 0000136182 00000 н. 0000136284 00000 н. 0000136399 00000 н. 0000136519 00000 н. 0000136638 00000 н. 0000136773 00000 н. 0000136919 00000 п. 0000137045 00000 н. 0000137177 00000 н. 0000137295 00000 н. 0000137393 00000 н. 0000137489 00000 н. 0000137628 00000 н. 0000137763 00000 н. 0000137894 00000 н. 0000138027 00000 н. 0000138190 00000 н. 0000138300 00000 н. 0000138410 00000 н. 0000138586 00000 н. 0000138683 00000 н. 0000138802 00000 н. 0000138971 00000 н. 0000139076 00000 н. 0000139199 00000 п. 0000139337 00000 н. 0000139428 00000 н. 0000139521 00000 н. 0000139660 00000 н. 0000139804 00000 н. 0000139930 00000 н. 0000140100 00000 н. 0000140214 00000 н. 0000140320 00000 н. 0000140452 00000 н. 0000140643 00000 п. 0000140746 00000 н. 0000140850 00000 н. 0000141022 00000 н. 0000141124 00000 н. 0000141234 00000 н. 0000141387 00000 н. 0000141508 00000 н. 0000141613 00000 н. 0000141800 00000 н. 0000141905 00000 н. 0000142008 00000 н. 0000142183 00000 п. 0000142285 00000 н. 0000142386 00000 н. 0000142570 00000 н. 0000142670 00000 н. 0000142770 00000 н. 0000142890 00000 н. 0000143009 00000 п. 0000143133 00000 п. 0000143270 00000 н. 0000143399 00000 н. 0000143522 00000 н. 0000143640 00000 н. 0000143756 00000 н. 0000143882 00000 п. 0000144010 00000 н. 0000144133 00000 п. 0000144252 00000 н. 0000144368 00000 н. 0000144488 00000 н. 0000144603 00000 н. 0000144724 00000 н. 0000144852 00000 н. 0000145013 00000 н. 0000145112 00000 н. 0000145220 00000 н. 0000145392 00000 н. 0000145522 00000 н. 0000145641 00000 н. 0000145818 00000 н. 0000145918 00000 н. 0000146019 00000 п. 0000146182 00000 н. 0000146285 00000 н. 0000146393 00000 н. 0000146584 00000 н. 0000146687 00000 н. 0000146786 00000 н. 0000146956 00000 п. 0000147075 00000 н. 0000147188 00000 п. 0000147310 00000 н. 0000147492 00000 н. 0000147591 00000 н. 0000147691 00000 п. 0000147819 00000 п. 0000147969 00000 н. 0000148107 00000 н. 0000148237 00000 н. 0000148364 00000 н. 0000148487 00000 н. 0000148656 00000 н. 0000148751 00000 н. 0000148870 00000 н. 0000148989 00000 н. 0000149104 00000 п. 0000149219 00000 п. 0000149339 00000 н. 0000149444 00000 н. 0000149569 00000 н. 0000149731 00000 н. 0000149853 00000 п. 0000149987 00000 н. 0000150145 00000 н. 0000150246 00000 н. 0000150359 00000 н. 0000150502 00000 н. 0000150621 00000 н. 0000150745 00000 н. 0000150870 00000 н. 0000151057 00000 н. 0000151191 00000 н. 0000151301 00000 н. 0000151462 00000 н. 0000151566 00000 н. 0000151690 00000 н. 0000151810 00000 н. 0000151961 00000 н. 0000152047 00000 н. 0000152197 00000 н. 0000152299 00000 н. 0000152492 00000 н. 0000152596 00000 н. 0000152718 00000 н. 0000152879 00000 н. 0000152982 00000 н. 0000153080 00000 н. 0000153194 00000 н. 0000153306 00000 н. 0000153420 00000 н. 0000153536 00000 н. 0000153649 00000 н. 0000153759 00000 н. 0000153854 00000 н. 0000153961 00000 н. 0000154136 00000 н. 0000154267 00000 н. 0000154369 00000 н. 0000154474 00000 н. 0000154578 00000 н. 0000154731 00000 н. 0000154851 00000 н. 0000154966 00000 н. 0000155076 00000 н. 0000155189 00000 н. 0000155303 00000 н. 0000155413 00000 н. 0000155596 00000 н. 0000155697 00000 н. 0000155796 00000 н. 0000155953 00000 н. 0000156084 00000 н. 0000156179 00000 н. 0000156365 00000 н. 0000156485 00000 н. 0000156612 00000 н. 0000156746 00000 н. 0000156912 00000 н. 0000157026 00000 н. 0000157149 00000 н. 0000157285 00000 н. 0000157436 00000 н. 0000157550 00000 н. 0000157661 00000 н. 0000157776 00000 н. 0000157889 00000 н. 0000158020 00000 н. 0000158147 00000 н. 0000158260 00000 н. 0000158364 00000 н. 0000158476 00000 н. 0000158596 00000 н. 0000158716 00000 н. 0000158846 00000 н. 0000158983 00000 н. 0000159107 00000 н. 0000159235 00000 н. 0000159390 00000 н. 0000159528 00000 н. 0000159645 00000 н. 0000159762 00000 н. 0000159902 00000 н. 0000160074 00000 н. 0000160172 00000 н. 0000160274 00000 н. 0000160475 00000 н. 0000160583 00000 н. 0000160692 00000 н. 0000160843 00000 н. 0000160969 00000 н. 0000161082 00000 н. 0000161206 00000 н. 0000161309 00000 н. 0000161419 00000 н. 0000161552 00000 н. 0000161688 00000 н. 0000161811 00000 н. 0000161931 00000 н. 0000162057 00000 н. 0000162173 00000 н. 0000162299 00000 н. 0000162475 00000 н. 0000162581 00000 н. 0000162686 00000 н. 0000162816 00000 н. 0000162983 00000 н. 0000163081 00000 н. 0000163174 00000 н. 0000163363 00000 н. 0000163470 00000 н. 0000163582 00000 н. 0000163761 00000 н. 0000163858 00000 н. 0000163960 00000 н. 0000164083 00000 н. 0000164195 00000 н. 0000164309 00000 н. 0000164431 00000 н. 0000164554 00000 н. 0000164673 00000 н. 0000164788 00000 н. 0000164905 00000 н. 0000165028 00000 н. 0000165144 00000 н. 0000165249 00000 н. 0000165357 00000 н. 0000165478 00000 н. 0000165593 00000 н. 0000165706 00000 н. 0000165828 00000 н. 0000165955 00000 н. 0000166081 00000 н. 0000166197 00000 н. 0000166379 00000 н. 0000166506 00000 н. 0000166607 00000 н. 0000166775 00000 н. 0000166879 00000 н. 0000166993 00000 н. 0000167179 00000 н. 0000167280 00000 н. 0000167412 00000 н. 0000167560 00000 н. 0000167688 00000 н. 0000167793 00000 н. 0000167930 00000 н. 0000168071 00000 н. 0000168185 00000 н. 0000168286 00000 н. 0000168404 00000 н. 0000168551 00000 н. 0000168652 00000 н. 0000168790 00000 н. 0000168966 00000 н. 0000169069 00000 н. 0000169170 00000 н. 0000169281 00000 н. 0000169410 00000 н. 0000169539 00000 н. 0000169698 00000 н. 0000169807 00000 н. 0000169922 00000 н. 0000170048 00000 н. 0000170177 00000 н. 0000170292 00000 н. 0000170404 00000 н. 0000170520 00000 н. 0000170639 00000 н. 0000170757 00000 н. 0000170873 00000 н. 0000171003 00000 н. 0000171142 00000 н. 0000171300 00000 н. 0000171430 00000 н. 0000171550 00000 н. 0000171708 00000 н. 0000171829 00000 н. 0000171949 00000 н. 0000172078 00000 н. 0000172223 00000 н. 0000172384 00000 н. 0000172485 00000 н. 0000172580 00000 н. 0000172715 00000 н. 0000172833 00000 н. 0000172949 00000 н. 0000173087 00000 н. 0000173215 00000 н. 0000173351 00000 н. 0000173471 00000 н. 0000173609 00000 н. 0000173737 00000 н. 0000173872 00000 н. 0000174011 00000 н. 0000174155 00000 н. 0000174315 00000 н. 0000174473 00000 н. 0000174574 00000 н. 0000174679 00000 н. 0000174820 00000 н. 0000174945 00000 н. 0000175111 00000 п. 0000175216 00000 н. 0000175323 00000 н. 0000175498 00000 н. 0000175589 00000 н. 0000175768 00000 н. 0000175872 00000 н. 0000175974 00000 н. 0000176162 00000 н. 0000176273 00000 н. 0000176385 00000 н. 0000176510 00000 н. 0000176622 00000 н. 0000176735 00000 н. 0000176892 00000 н. 0000177008 00000 н. 0000177100 00000 н. 0000177261 00000 н. 0000177367 00000 н. 0000177473 00000 н. 0000177610 00000 н. 0000177739 00000 н. 0000177888 00000 н. 0000178016 00000 н. 0000178154 00000 н. 0000178284 00000 н. 0000178422 00000 н. 0000178526 00000 н. 0000178647 00000 н. 0000178825 00000 н. 0000178922 00000 н. 0000179036 00000 н. 0000179212 00000 н. 0000179311 00000 н. 0000179419 00000 н. 0000179562 00000 н. 0000179701 00000 н. 0000179890 00000 н. 0000179989 00000 н. 0000180108 00000 н. 0000180291 00000 п. 0000180393 00000 н. 0000180547 00000 н. 0000180679 00000 н. 0000180847 00000 н. 0000180946 00000 н. 0000181045 00000 н. 0000181209 00000 н. 0000181293 00000 н. 0000181438 00000 н. 0000181537 00000 н. 0000181711 00000 н. 0000181806 00000 н. 0000181931 00000 н. 0000182080 00000 н. 0000182183 00000 н. 0000182288 00000 н. 0000182464 00000 н. 0000182562 00000 н. 0000182691 00000 н. 0000182817 00000 н. 0000182969 00000 н. 0000183085 00000 н. 0000183222 00000 н. 0000183358 00000 н. 0000183491 00000 н. 0000183618 00000 н. 0000183758 00000 н. 0000183888 00000 н. 0000184019 00000 н. 0000184150 00000 н. 0000184284 00000 н. 0000184393 00000 н. 0000184513 00000 н. 0000184632 00000 н. 0000184750 00000 н. 0000184860 00000 н. 0000184999 00000 н. 0000185139 00000 н. 0000185322 00000 н. 0000185453 00000 н. 0000185586 00000 н. 0000185765 00000 н. 0000185879 00000 н. 0000185979 00000 н. 0000186094 00000 н. 0000186277 00000 н. 0000186376 00000 н. 0000186481 00000 н. 0000186595 00000 н. 0000186705 00000 н. 0000186819 00000 н. 0000186930 00000 н. 0000187052 00000 н. 0000187167 00000 н. 0000187285 00000 н. 0000187475 00000 н. 0000187569 00000 н. 0000187669 00000 н. 0000187805 00000 н. 0000187967 00000 н. 0000188067 00000 н. 0000188165 00000 н. 0000188294 00000 н. 0000188427 00000 н. 0000188561 00000 н. 0000188689 00000 н. 0000188810 00000 н. 0000188955 00000 н. 0000189088 00000 н. 0000189209 00000 н. 0000189354 00000 н. 0000189488 00000 н. 0000189585 00000 н. 0000189694 00000 н. 0000189812 00000 н. 0000189923 00000 н. 00001 00000 н. 0000012396 00000 п. трейлер ] >> startxref 0 %% EOF 16756 0 obj> поток x} t 螙 $ Mh> S (5Ҧ @ 6 @ Z (Z1JEԂuZTyA "* j թ J QX ݯ kku] {

Профиль TCP / UDP

Профиль TCP / UDP определяет тип и настройки сетевого протокола, который будет использовать подписывающаяся виртуальная служба.Он устанавливает ряд параметров, например, является ли виртуальная служба TCP-прокси или сквозной через быстрый путь. Виртуальная служба может иметь как TCP, так и UDP, что полезно для таких протоколов, как DNS или Syslog.

Avi Vantage перезапишет IP-адрес клиента перед отправкой любого TCP-соединения на сервер, независимо от того, какой тип профиля TCP используется виртуальной службой. Точно так же адрес назначения будет перезаписан с IP-адреса виртуальной службы на IP-адрес сервера.Сервер всегда будет видеть исходный IP-адрес Service Engine. Профили UDP имеют возможность отключить NAT источника Service Engine.

В режимах быстрого пути UDP и TCP соединения происходят напрямую между клиентом и сервером, даже если поле IP-адреса пакета было изменено.

Для приложений HTTP Avi Vantage может вставить исходный IP-адрес клиента через XFF в заголовок HTTP, отправляемый на сервер.

Этот раздел содержит следующие подразделы.

Настройки профилей TCP / UDP

Выберите «Шаблоны»> «Профили»> «TCP / UDP», чтобы открыть вкладку «Профили TCP / UDP». Эта вкладка включает в себя следующие функции:

  • Искать: Искать по списку объектов.
  • Создать: Открывает всплывающее окно «Новый профиль TCP / UDP».
  • Изменить: Открывает всплывающее окно «Изменить профиль TCP / UDP».
  • Удалить: Профиль TCP / UDP может быть удален только в том случае, если он в настоящее время не назначен виртуальной службе.В сообщении об ошибке будет указано, что виртуальная служба ссылается на профиль. Системные профили по умолчанию удалить нельзя.

Таблица на этой вкладке предоставляет следующую информацию для каждого профиля TCP / UDP:

  • Имя: Имя профиля.
  • Тип: Тип профиля TCP / UDP, который может быть одним из следующих:
    • TCP-прокси: Этот профиль завершает клиентские подключения к виртуальной службе, а затем открывает новое TCP-подключение к целевому серверу.Каждое соединение будет согласовывать оптимальные настройки TCP для подключаемого устройства. Например, клиент может подключиться с MTU размером 1400 байт, в то время как сервер по-прежнему может отправлять данные в Avi Vantage в формате MTU размером 1500 байт. В этом случае Avi Vantage буферизует ответы сервера и отправляет их клиенту отдельно. Если клиентское соединение отбрасывает пакет, Avi Vantage обработает повторную передачу, поскольку сервер, возможно, уже завершил передачу и перешел к обработке следующего клиентского запроса.См. TCP Proxy.
    • TCP Fast Path: После получения TCP SYN от клиента Avi Vantage принимает решение о балансировке нагрузки и пересылает SYN и все последующие пакеты непосредственно на сервер. Исходный IP-адрес клиента по-прежнему будет преобразован в IP-адрес Service Engine для сети сервера, чтобы обеспечить маршрутизацию обратного пути. Обмен данными между клиентом и сервером осуществляется через одно TCP-соединение с использованием параметров, согласованных между клиентом и сервером. См. TCP Fast Path.
    • UDP Fast Path: UDP не требует установления соединения, что означает, что пакеты напрямую пересылаются на сервер с балансировкой нагрузки. Решение о балансировке нагрузки принимается на основе первого пакета от клиента, а исходный IP-адрес по-прежнему изменяется на IP-адрес Service Engine. См. Раздел «Быстрый путь UDP».
    • UDP-прокси: Этот профиль поддерживает разные потоки для внешней и внутренней передачи, одновременно переводя поток между ними. Например, поток от клиента к виртуальной службе преобразуется в поток от виртуальной службы к внутреннему серверу путем сохранения информации о состоянии потока.Входящий порт назначения от клиента должен быть настроен для виртуальной службы. Исходящий порт назначения к внутреннему серверу определяется конфигурацией пула виртуальной службы. Исходные порты во внутреннем потоке недолговечны .
  • Автообучение: В режиме автообучения по умолчанию профиль TCP / UDP будет динамически корректировать настройки в зависимости от типа приложения, назначенного виртуальной службе. При отключении автоматического обучения используются параметры, статически определенные в профиле.

Создать профиль TCP / UDP

Для создания или редактирования профиля TCP / UDP:

  1. Имя: Введите уникальное имя для профиля.

  2. Тип: Выберите тип профиля TCP / UDP: прокси UDP, быстрый путь TCP, прокси TCP, быстрый путь UDP.

  3. Нажмите «Сохранить», чтобы сохранить изменения и вернуться на вкладку «Профили TCP / UDP».

TCP-прокси

Включение TCP-прокси заставляет Avi Vantage разрывать входящее соединение от клиента.Любые данные приложения от клиента, предназначенные для сервера, пересылаются на этот сервер по новому TCP-соединению. Разделение (или проксирование) соединений между клиентом и сервером позволяет Avi Vantage обеспечивать повышенную безопасность, такую ​​как очистка протокола TCP или смягчение последствий DoS. Это также обеспечивает лучшую производительность клиента и сервера, такую ​​как максимальное увеличение размеров TCP MSS или окна клиента и сервера независимо друг от друга и буферизация ответов сервера. Вы должны использовать профиль TCP / UDP с типом Прокси для профилей приложений, таких как HTTP.

Выберите TCP Proxy во всплывающем окне Create / Edit TCP / UDP Profile и выберите Auto Learn или Custom. С помощью Auto Learn Avi Vantage будет динамически настраивать следующие параметры в зависимости от приложения виртуального сервера, которому он назначен. Этот параметр выбран по умолчанию и является самым простым способом обеспечить оптимальную производительность. Выберите Custom, чтобы вручную настроить следующие параметры:

  • Тайм-аут: Управляет поведением незанятых соединений следующим образом:
    • Do TCP keepalive: Посылать клиенту периодический сигнал проверки активности, который будет поддерживать текущее соединение открытым.
    • Срок действия незанятых соединений: Завершить незанятые соединения, которые не имеют сигнала подтверждения активности от клиента, как указано в поле «Длительность».
    • Длительность простоя: Время простоя в секундах до того, как Avi Vantage сможет упреждающе закрыть TCP-соединение. Таймер сбрасывается при отправке или получении любого пакета. Установка этого значения выше может быть подходящей для долгоживущих соединений, которые не используют пакеты поддержки активности; однако более высокие настройки могут также повысить уязвимость Avi Vantage для атак типа «отказ в обслуживании», поскольку система не будет заранее закрывать незанятые соединения.Вы можете указать диапазон 60-1800 секунд или 0 для бесконечного тайм-аута.
    • Ignore Time Wait: Когда соединение между Service Engine и клиентом или Service Engine и сервером закрыто, уникальный IP-адрес клиента или сервера: Порт + Service Engine IP: Порт (называемый 4-кортежем) помещен в состояние TIME_WAIT в течение определенного периода времени. Этот 4-кортеж нельзя использовать повторно, пока не станет ясно, что в сети больше нет задержанных пакетов, которые все еще находятся в пути или которые еще не были доставлены.Значение времени ожидания определяет период ожидания перед повторным использованием этого кортежа из четырех элементов. Это может быть либо значение от 500 до 2000 (по умолчанию) мс, либо включение флажка Ignore Time Wait, чтобы Avi Vantage мог немедленно повторно открыть соединение из четырех кортежей, если он получает пакет SYN от удаленного IP, который соответствует тому же самому кортежу из четырех элементов. .
  • Поведение при повторной передаче:
    • Максимальное количество повторных передач: Максимальное количество попыток (3–8) повторной передачи пакетов перед разрывом и закрытием соединения.
    • Макс. Количество повторных передач SYN: Максимальное количество попыток (3–8) повторной передачи пакета SYN перед отказом.
  • Управление буфером:
    • Окно приема: Окно приема информирует отправителя, сколько данных Avi Vantage может буферизовать (2 КБ - 64 МБ) перед отправкой подтверждения TCP.
    • Максимальный размер сегмента (MSS): Его можно вычислить, используя длину максимального блока передачи (MTU) для сетевого интерфейса.MSS определяет наибольший размер данных, которые могут быть безопасно вставлены в пакет TCP. В некоторых средах MSS должен быть меньше MTU. Например, для трафика между Avi Vantage и клиентом, который проходит через VPN типа "сеть-сеть", может потребоваться некоторое пространство, зарезервированное для заполнения данными шифрования. Выберите либо:
      • Использовать MTU интерфейса: Устанавливает MSS равным размеру MTU сетевого интерфейса.
      • Пользовательское значение: Может быть в диапазоне 512–9000 килобайт.
  • QOS и управление трафиком:
    • IP DSCP: Позволяет Avi Vantage либо передать существующий параметр точки кода дифференцированных услуг (DSCP), либо указать пользовательский номер. DSCP - это 8-битное поле в заголовке TCP, которое можно использовать для классификации трафика аналогично устаревшему полю TCP TOS.
    • Nagles Алгоритм: Пытается уменьшить задержку путем объединения небольших пакетов в меньшее количество более крупных пакетов перед отправкой.Это снижает влияние задержки в сети за счет уменьшения количества циклов приема-передачи, требуемого из-за подтверждений TCP. Эта опция может отрицательно повлиять на протоколы реального времени, особенно SSH и Telnet. Например, при вводе в сеансе telnet многие не отображают никакой текст, пока пользователь не наберет 1500 символов (достаточно для заполнения типичного пакета) или пока не пройдет достаточно времени, и пакет будет отправлен наполовину.

Быстрый путь TCP

Профиль быстрого пути TCP не использует прокси-соединения TCP; скорее, он напрямую соединяет клиентов с целевым сервером и преобразует целевой виртуальный сервисный адрес клиента в IP-адрес выбранного целевого сервера.Исходный IP-адрес клиента по-прежнему преобразуется в адрес Service Engine, чтобы обеспечить симметричный возврат трафика ответа сервера.

В этом режиме между клиентом и сервером происходит согласование сети, такое как окна MSS или TCP. Быстрый путь TCP требует меньше работы (накладные расходы ЦП) для Avi Vantage, чем режим прокси TCP; однако это также приводит к увеличению нагрузки на сеть и задержке как для клиента, так и для сервера. Кроме того, виртуальная служба, использующая быстрый путь TCP, может не использовать профили прикладного уровня, такие как HTTP.

Этот тип профиля имеет следующие настройки:

  • Включить защиту SYN: Когда отключено, Avi Vantage выполняет балансировку нагрузки на основе исходного пакета SYN клиента. SYN пересылается на сервер, а Avi Vantage просто пересылает пакеты между клиентом и сервером, что делает серверы уязвимыми для атак SYN-флуда с поддельных IP-адресов. Если этот параметр включен, Avi Vantage будет проксировать начальное трехстороннее рукопожатие TCP с клиентом, чтобы проверить, не является ли клиент поддельным IP-адресом источника.Как только трехстороннее рукопожатие будет установлено, Avi Vantage повторно воспроизведет рукопожатие на стороне сервера. После соединения клиента и сервера Avi Vantage вернется в режим прохода (ускоренный путь). Этот процесс иногда называют отложенным связыванием. > Примечание. Рассмотрите возможность использования режима TCP Proxy для максимальной безопасности TCP.

  • Тайм-аут простоя сеанса: Неактивные потоки завершатся (тайм-аут) по истечении указанного периода времени. Avi Vantage выполнит сброс TCP как для клиента, так и для сервера.

Быстрый путь UDP

Профиль быстрого пути UDP позволяет виртуальной службе поддерживать UDP. Avi Vantage преобразует целевой виртуальный сервисный адрес клиента на целевой сервер и перезапишет исходный IP-адрес клиента на адрес Service Engine при пересылке пакета на сервер. Это гарантирует, что трафик ответа сервера симметрично проходит через исходный SE.

Этот тип профиля использует следующие настройки:

  • IP-адрес клиента NAT: По умолчанию Avi Vantage преобразует исходный IP-адрес клиента в IP-адрес Avi Service Engine.Это может быть отключено для протоколов без установления соединения, которые не требуют, чтобы трафик ответа сервера проходил обратно через тот же Service Engine. Например, сервер системного журнала будет молча принимать пакеты, не отвечая на запросы. Следовательно, нет необходимости обеспечивать маршрутизацию ответных пакетов через один и тот же SE. Когда SNAT отключен, рекомендуется установить более низкое значение тайм-аута простоя сеанса.
  • Балансировка нагрузки на каждый пакет: По умолчанию Avi Vantage обрабатывает поток пакетов UDP с одного и того же клиентского IP: порта как сеанс, принимая одно решение о балансировке нагрузки и отправляя последующие пакеты на тот же сервер назначения.Для некоторых протоколов приложений каждый пакет следует рассматривать как отдельный сеанс, который может быть однозначно сбалансирован по нагрузке на другой сервер. DNS является одним из примеров, когда включение балансировки нагрузки на каждый пакет заставляет Avi Vantage обрабатывать каждый пакет как отдельный сеанс или запрос.
  • Тайм-аут простоя сеанса: Неактивные потоки UDP завершатся (тайм-аут) по истечении указанного периода времени. Последующие пакеты UDP могут быть сбалансированы по нагрузке на новый сервер, если не применяется профиль постоянства.Тайм-аут настраивается в диапазоне от 2 до 3600 секунд.
    Это значение тайм-аута должно быть больше тайм-аута транзакции. Убедитесь, что значение не слишком велико, так как это может привести к исчерпанию ресурсов порта в случае эфемерных портов. Независимо от полезной нагрузки, любая передача в потоке сбрасывает этот таймер. Даже фрагментированного пакета или дейтаграммы UDP в конкретном потоке достаточно для сброса тайм-аута для конкретного потока.

UDP-прокси

Профиль прокси UDP в настоящее время поддерживается только для приложений SIP.Этот профиль поддерживает различный поток как для внешней, так и для внутренней передачи.

Обзор

TCP / IP - Cisco

За два десятилетия, прошедшие с момента их изобретения, неоднородность сетей еще больше расширилась с развертыванием Ethernet, Token Ring, Fiber Distributed Data Interface (FDDI), X.25, Frame Relay, Switched Multimegabit Data Service (SMDS), Integrated Services. Цифровая сеть (ISDN), а в последнее время - режим асинхронной передачи (ATM).Интернет-протоколы - лучший проверенный подход к объединению всего этого разнообразия технологий LAN и WAN.

Пакет Интернет-протокола включает не только спецификации нижнего уровня, такие как протокол управления передачей (TCP) и Интернет-протокол (IP), но и спецификации для таких распространенных приложений, как электронная почта, эмуляция терминала и передача файлов. На рисунке 1 показан набор протоколов TCP / IP по отношению к эталонной модели OSI. На рисунке 2 показаны некоторые важные интернет-протоколы и их связь с эталонной моделью OSI.Информацию об эталонной модели OSI и роли каждого уровня см. В документе Основы межсетевого взаимодействия.

Интернет-протоколы - это наиболее широко применяемый сегодня набор протоколов от различных производителей. Поддержка по крайней мере части пакета Интернет-протокола доступна практически у каждого производителя компьютеров.

В этом разделе описываются технические аспекты TCP, IP, связанных протоколов и среды, в которой эти протоколы работают. Поскольку основное внимание в этом документе уделяется маршрутизации (функция уровня 3), обсуждение TCP (протокола уровня 4) будет относительно кратким.

TCP

TCP - это транспортный протокол с установлением соединения, который отправляет данные в виде неструктурированного потока байтов. Используя порядковые номера и сообщения подтверждения, TCP может предоставить отправляющему узлу информацию о доставке пакетов, переданных узлу назначения. Если данные были потеряны при передаче от источника к месту назначения, TCP может повторно передать данные до тех пор, пока не будет достигнуто условие тайм-аута или пока не будет достигнута успешная доставка. TCP также может распознавать повторяющиеся сообщения и отбрасывать их соответствующим образом.Если передающий компьютер передает слишком быстро для принимающего компьютера, TCP может использовать механизмы управления потоком для замедления передачи данных. TCP также может передавать информацию о доставке протоколам верхнего уровня и поддерживаемым им приложениям. Все эти характеристики делают TCP сквозным надежным транспортным протоколом. TCP указан в RFC 793.

Рисунок 1 - Набор протоколов TCP / IP по отношению к эталонной модели OSI

Рисунок 2 - Важные Интернет-протоколы по отношению к эталонной модели OSI

Дополнительные сведения см. В разделе TCP Интернет-протоколов.

IP

IP - это основной протокол уровня 3 в Интернет-пакете. В дополнение к межсетевой маршрутизации IP обеспечивает сообщение об ошибках, фрагментацию и повторную сборку информационных блоков, называемых дейтаграммами, для передачи по сетям с разными максимальными размерами блоков данных. IP представляет собой сердце пакета Интернет-протоколов.

Примечание: Термин IP в этом разделе относится к IPv4, если иное не указано явно.

IP-адресов - это глобально уникальные 32-битные числа, присваиваемые Сетевым информационным центром.Глобально уникальные адреса позволяют IP-сетям в любой точке мира связываться друг с другом.

IP-адрес делится на две части. Первая часть обозначает сетевой адрес, а вторая часть обозначает адрес хоста.

Пространство IP-адресов разделено на разные классы сети. Сети класса A предназначены в основном для использования с несколькими очень большими сетями, поскольку они предоставляют только 8 бит для поля сетевого адреса. Сети класса B выделяют 16 битов, а сети класса C выделяют 24 бита для поля сетевого адреса.Однако сети класса C предоставляют только 8 бит для поля хоста, поэтому количество хостов в сети может быть ограничивающим фактором. Во всех трех случаях крайний левый бит (ы) указывает класс сети. IP-адреса записываются в десятичном формате, разделенном точками; например 34.0.0.1. На рисунке 3 показаны форматы адресов для IP-сетей классов A, B и C.

Рисунок 3 - Форматы адресов для IP-сетей классов A, B и C

IP-сети

также можно разделить на более мелкие блоки, называемые подсетями или «подсетями».«Подсети обеспечивают дополнительную гибкость для администратора сети. Например, предположим, что сети был назначен адрес класса A, и все узлы в сети используют адрес класса A. Далее предположим, что десятичное представление адреса этой сети с разделительными точками равно 34.0 .0.0. (Все нули в поле хоста адреса указывают всю сеть.) Администратор может разделить сеть с помощью подсетей. Это делается путем «заимствования» битов из части адреса, относящейся к хосту, и использования их в качестве поля подсети. , как показано на рисунке 4.

Рисунок 4 - Биты «заимствования»

Если сетевой администратор выбрал использование 8 битов подсети, второй октет IP-адреса класса A предоставляет номер подсети. В нашем примере адрес 34.1.0.0 относится к сети 34, подсеть 1; адрес 34.2.0.0 относится к сети 34, подсети 2 и так далее.

Число битов, которые можно заимствовать для адреса подсети, варьируется. Чтобы указать, сколько битов используется для представления сети и части адреса подсети, IP предоставляет маски подсети.Маски подсети используют тот же формат и технику представления, что и IP-адреса. Маски подсети имеют единицы во всех битах, кроме тех, которые определяют поле хоста. Например, маска подсети, определяющая 8 битов подсети для адреса 34.0.0.0 класса A, равна 255.255.0.0. Маска подсети, определяющая 16 битов подсети для адреса 34.0.0.0 класса A, - 255.255.255.0. Обе эти маски подсети изображены на рисунке 5. Маски подсети могут передаваться через сеть по запросу, чтобы новые узлы могли узнать, сколько битов подсети используется в их сети.

Рисунок 5 - Маски подсети

Традиционно все подсети с одним и тем же сетевым номером использовали одну и ту же маску подсети. Другими словами, администратор сети выберет восьмибитную маску для всех подсетей в сети. Этой стратегией легко управлять как для сетевых администраторов, так и для протоколов маршрутизации. Однако такая практика приводит к потере адресного пространства в некоторых сетях. В некоторых подсетях много хостов, а в других - всего несколько, но каждая из них использует целый номер подсети.Последовательные линии являются наиболее ярким примером, потому что у каждого есть только два хоста, которые могут быть подключены через подсеть последовательной линии.

По мере роста IP-подсетей администраторы искали способы более эффективного использования своего адресного пространства. Один из предложенных методов называется масками подсети переменной длины (VLSM). С VLSM сетевой администратор может использовать длинную маску в сетях с небольшим количеством хостов и короткую маску в подсетях с большим количеством хостов. Однако этот метод более сложен, чем создание их всех одного размера, и адреса необходимо назначать осторожно.

Конечно, чтобы использовать VLSM, сетевой администратор должен использовать протокол маршрутизации, который его поддерживает. Маршрутизаторы Cisco поддерживают VLSM с первым открытием кратчайшего пути (OSPF), интегрированную промежуточную систему в промежуточную систему (Integrated IS-IS), усовершенствованный протокол маршрутизации внутреннего шлюза (Enhanced IGRP) и статическую маршрутизацию. Обратитесь к IP-адресации и подсетям для новых пользователей для получения дополнительной информации об IP-адресации и подсетях.

На некоторых носителях, например в локальных сетях IEEE 802, IP-адреса обнаруживаются динамически с помощью двух других членов набора Интернет-протоколов: протокола разрешения адресов (ARP) и протокола обратного разрешения адресов (RARP).ARP использует широковещательные сообщения для определения аппаратного адреса (MAC-уровня), соответствующего конкретному адресу сетевого уровня. ARP достаточно универсален, чтобы позволить использовать IP практически с любым типом базового механизма доступа к среде. RARP использует широковещательные сообщения для определения адреса сетевого уровня, связанного с конкретным адресом оборудования. RARP особенно важен для бездисковых узлов, для которых адреса сетевого уровня обычно неизвестны во время загрузки.

Маршрутизация в IP-среде

Интернет - это группа взаимосвязанных сетей.Интернет, с другой стороны, представляет собой совокупность сетей, которые обеспечивают связь между большинством исследовательских институтов, университетов и многих других организаций по всему миру. Маршрутизаторы в Интернете организованы иерархически. Некоторые маршрутизаторы используются для перемещения информации через одну определенную группу сетей под одним и тем же административным правом и контролем. (Такой объект называется автономной системой.) Маршрутизаторы, используемые для обмена информацией в автономных системах, называются внутренними маршрутизаторами, и для достижения этой цели они используют различные протоколы внутренних шлюзов (IGP).Маршрутизаторы, которые перемещают информацию между автономными системами, называются внешними маршрутизаторами; они используют протокол внешнего шлюза (EGP) или протокол пограничного шлюза (BGP). На рисунке 6 показана архитектура Интернета.

Рисунок 6 - Представление архитектуры Интернета

Протоколы маршрутизации, используемые с IP, по своей природе являются динамическими. Для динамической маршрутизации требуется программное обеспечение в устройствах маршрутизации для расчета маршрутов. Алгоритмы динамической маршрутизации адаптируются к изменениям в сети и автоматически выбирают лучшие маршруты.В отличие от динамической маршрутизации, статическая маршрутизация требует установления маршрутов администратором сети. Статические маршруты не меняются, пока их не изменит сетевой администратор.

Таблицы IP-маршрутизации

состоят из пар адрес назначения / следующий переход. Этот образец таблицы маршрутизации от маршрутизатора Cisco показывает, что первая запись интерпретируется как означающая «добраться до сети 34.1.0.0 (подсеть 1 в сети 34), следующая остановка - это узел по адресу 54.34.23.12»:

 R6-2500 #  показать ip route 
   Коды: C - подключен, S - статический, I - IGRP, R - RIP, M - мобильный, B - BGP.
   D - EIGRP, EX - EIGRP external, O - OSPF, IA - внутренняя область OSPF
   N1 - OSPF NSSA внешний тип 1, N2 - OSPF NSSA внешний тип 2
   E1 - OSPF внешний тип 1, E2 - OSPF внешний тип 2, E - EGP
   i - IS-IS, su - сводка IS-IS, L1 - IS-IS уровень-1, L2 - IS-IS уровень-2
   ia - внутренняя область IS-IS, * - кандидат по умолчанию, U - статический маршрут для каждого пользователя
   o - ODR, P - периодически загружаемый статический маршрут
Шлюз последней инстанции не установлен
34.0.0.0 / 16 подсети, 1 подсети
  O 34.1.0.0 [110/65] через 54.34.23.12, 00:00:51, Serial0 
   54.0.0.0/24 разделен на подсети, 1 подсеть
C 54.34.23.0 подключен напрямую, Serial0
R6-2500 № 

Как мы уже видели, IP-маршрутизация определяет, что IP-дейтаграммы перемещаются через межсетевое соединение с одним маршрутизатором за раз. В начале путешествия весь маршрут неизвестен. Вместо этого на каждой остановке следующий переход маршрутизатора определяется путем сопоставления адреса назначения в дейтаграмме с записью в таблице маршрутизации текущего узла.Участие каждого узла в процессе маршрутизации заключается только в пересылке пакетов на основе внутренней информации. IP не обеспечивает отправку отчетов об ошибках источнику при возникновении аномалий маршрутизации. Эта задача возложена на другой протокол Интернета - протокол управляющих сообщений Интернета (ICMP).

ICMP выполняет ряд задач в объединенной IP-сети. В дополнение к основной причине, по которой он был создан (сообщение об ошибках маршрутизации обратно источнику), ICMP предоставляет метод проверки доступности узла через Интернет (сообщения ICMP Echo и Reply), метод повышения эффективности маршрутизации (протокол ICMP Сообщение перенаправления), метод информирования источников о том, что дейтаграмма превысила выделенное время для существования в Интернете (сообщение ICMP Time Exceeded), а также другие полезные сообщения.В общем, ICMP является неотъемлемой частью любой реализации IP, особенно той, которая работает в маршрутизаторах. См. Сопутствующую информацию

Анализируйте снимки межсетевого экрана Firepower для эффективного устранения сетевых проблем

Введение

В этом документе описываются различные методы анализа перехвата пакетов, направленные на эффективное устранение неполадок в сети. Все сценарии, представленные в этом документе, основаны на реальных пользовательских случаях, замеченных в Центре технической поддержки Cisco (TAC).Документ охватывает захват пакетов с точки зрения межсетевого экрана Cisco следующего поколения (NGFW), но те же концепции применимы и к другим типам устройств.

Предварительные требования

Требования

Cisco рекомендует знать следующие темы:

  • Архитектура платформы огневой мощи
  • Журналы NGFW
  • Устройство трассировки пакетов NGFW

Кроме того, перед началом анализа перехвата пакетов настоятельно рекомендуется выполнить следующие требования:

  • Знать работу протокола - Бесполезно начинать проверку захвата пакета, если вы не понимаете, как работает захваченный протокол
  • Знать топологию - Вы должны знать транзитные устройства.В идеале сквозной. Если это невозможно, вы должны, по крайней мере, знать восходящие и нисходящие устройства
  • .
  • Знать устройство - Вы должны знать, как ваше устройство обрабатывает пакеты, каковы задействованные интерфейсы (например, вход / выход), какова архитектура устройства и каковы различные точки захвата
  • Знать конфигурацию - Вы должны знать, как устройство должно обрабатывать поток пакетов с точки зрения:
    • Интерфейс маршрутизации / выхода
    • Применяемые политики
    • Трансляция сетевых адресов (NAT)
  • Знайте доступные инструменты - Наряду с захватами рекомендуется также быть готовым к применению других инструментов и методов устранения неполадок, таких как ведение журнала и трассировщики, и, при необходимости, сопоставить их с захваченными пакетами

Используемые компоненты

Информация в этом документе основана на следующих версиях программного и аппаратного обеспечения:

  • Большинство сценариев основано на FP4140 с программным обеспечением FTD 6.5.x.
  • FMC с программным обеспечением 6.5.x.

Информация в этом документе была создана на устройствах в определенной лабораторной среде. Все устройства, используемые в этом документе, были запущены с очищенной (по умолчанию) конфигурацией. Если ваша сеть работает, убедитесь, что вы понимаете потенциальное влияние любой команды.

Справочная информация

Захват пакетов - один из наиболее часто игнорируемых инструментов устранения неполадок, доступных сегодня. Центр технической поддержки Cisco TAC ежедневно решает множество проблем клиентов путем анализа собранных данных.Цель этого документа - помочь сетевым инженерам и специалистам по безопасности выявлять и устранять распространенные сетевые проблемы, в основном на основе анализа перехвата пакетов.

Как собирать и экспортировать снимки по семейству продуктов NGFW?

В случае устройства Firepower (1xxx, 21xx, 41xx, 93xx) и приложения Firepower Threat Defense (FTD) обработка пакетов может быть визуализирована, как показано на изображении.

  1. Пакет поступает на входящий интерфейс и обрабатывается внутренним коммутатором шасси.
  2. Пакет поступает в механизм FTD Lina, который в основном выполняет проверки L3 / L4.
  3. Если политика требует, пакет проверяется механизмом Snort (в основном проверка L7).
  4. Механизм Snort возвращает вердикт для пакета.
  5. Механизм LINA отбрасывает или пересылает пакет на основе вердикта Snort.
  6. Пакет выходит на шасси через внутренний коммутатор шасси.

Исходя из показанной архитектуры, захваты FTD могут быть взяты в 3 разных местах:

  • FXOS
  • FTD Lina двигатель
  • FTD Двигатель Snort

Собирать захваты FXOS

Процесс описан в этом документе:

https: // www.cisco.com/c/en/us/td/docs/security/firepower/fxos/fxos271/web-guide/b_GUI_FXOS_ConfigGuide_271/troubleshooting.html#concept_E8823CC63C934A909BBC0DF12F301DED 9000

захвата FXOS могут быть сделаны только во входном направлении с точки зрения внутреннего коммутатора, как показано на изображении здесь.

Как показано на изображении, это две точки захвата в каждом направлении (из-за внутренней архитектуры коммутатора).

Перехваченные пакеты в точках 2, 3 и 4 имеют виртуальный сетевой тег (VNTag).

Примечание : Захваты FXOS на уровне шасси доступны только на платформах FP41xx и FP93xx. FP1xxx и FP21xx не предоставляют такой возможности.

Включить и собрать FTD Lina Capture

Основные точки захвата:

  • Входной интерфейс
  • Выходной интерфейс
  • Ускоренный путь безопасности (ASP)

Вы можете использовать пользовательский интерфейс Центра управления огневой мощью (FMC UI) или FTD CLI, чтобы включить и собрать захваты FTD Lina.

Включить захват из CLI на интерфейсе INSIDE:

 firepower #  захват интерфейса CAPI INSIDE соответствует хосту icmp 192.168.103.1 хосту 192.168.101.1  

Этот захват соответствует трафику между IP-адресами 192.168.103.1 и 192.168.101.1 в обоих направлениях.

Включите захват ASP, чтобы увидеть все пакеты, отброшенные механизмом FTD Lina:

 огневая мощь #  захват ASP тип asp-drop all  

Экспорт захвата FTD Lina на FTP-сервер:

 firepower #  copy / pcap capture: CAPI ftp: // ftp_username: ftp_password @ 192.168.78.73 / CAPI.pcap  

Экспорт захвата FTD Lina на сервер TFTP:

 firepower #  copy / pcap capture: CAPI tftp: //192.168.78.73  

Начиная с версии FMC 6.2.x, вы можете включать и собирать захваты FTD Lina из пользовательского интерфейса FMC.

Другой способ сбора данных FTD от межсетевого экрана, управляемого FMC, - это.

Шаг 1

В случае захвата LINA или ASP скопируйте захват на диск FTD, например.

 firepower #  copy / pcap capture: capin disk0: capin.pcap 

Имя захвата источника [capin]?

Целевое имя файла [capin.pcap]?
!!!!
 

Шаг 2

Перейдите в экспертный режим, найдите сохраненный снимок и скопируйте его в / ngfw / var / common location:

 огневая мощь #

Консольное соединение отключено.

>  эксперт
  админ @ огневая мощь: ~ $  sudo su 
Пароль:
корень @ огневая мощь: / home / admin #  cd / mnt / disk0 
root @ firepower: / mnt / disk0 #  ls -al | grep pcap 
-rwxr-xr-x 1 корень root 24 апр 26 18:19 CAPI.pcap
-rwxr-xr-x 1 корневой корень 30110 8 апреля 14:10  capin.pcap 
-rwxr-xr-x 1 корневой корень 6123 8 апр, 14:11 capin2.pcap
корень @ огневая мощь: / mnt / disk0 #  cp capin.pcap / ngfw / var / common
  

Шаг 3

Войдите в FMC, который управляет FTD, и перейдите к Devices> Device Management. Найдите устройство FTD и выберите значок Устранение неполадок :

Шаг 4

Выберите Расширенный поиск неисправностей:

Укажите имя файла захвата и выберите Загрузить:

Дополнительные примеры включения / сбора снимков из пользовательского интерфейса FMC см. В этом документе:

https: // www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/212474-working-with-firepower-threat-defense-f.html

Включение и сбор перехватов FTD Snort

Точка захвата показана на изображении здесь.

Включить захват уровня Snort:

>  захват трафика 

Выберите домен для захвата трафика:
  0 - br1
  1 - Маршрутизатор

Выбор?  1 

Укажите желаемые параметры tcpdump.
(или введите "?" для получения списка поддерживаемых опций)
Опции:  -n хост 192.168.101.1
  

Чтобы записать захват в файл с именем capture.pcap и скопировать его через FTP на удаленный сервер:

>  захват трафика 

Выберите домен для захвата трафика:
  0 - br1
  1 - Маршрутизатор

Выбор?  1 

Укажите желаемые параметры tcpdump.
(или введите "?" для получения списка поддерживаемых опций)
Параметры:  -w capture.pcap host 192.168.101.1 
   CTRL + C <- для остановки захвата  
 
> копия файла 10.229.22.136 ftp / capture.pcap Введите пароль для [email protected]: Копирование capture.pcap Копирование выполнено успешно. >

Для получения дополнительных примеров захвата уровня Snort, которые включают различные фильтры захвата, проверьте этот документ:

https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/212474-working-with-firepower-threat-defense-f.html

Устранение неполадок

Случай 1. Нет TCP SYN на исходящем интерфейсе

Топология показана на изображении здесь:

Описание проблемы: HTTP не работает

Затронутый поток:

Src IP: 192.168.0.100

Dst IP: 10.10.1.100

Протокол: TCP 80

Анализ захвата

Включить захват на движке FTD LINA:

 firepower #  захват CAPI int INSIDE match ip host 192.168.0.100 host 10.10.1.100 
firepower #  захват CAPO int OUTSIDE match ip host 192.168.0.100 host 10.10.1.100
  

Захваты - Функциональный сценарий:

В качестве основы всегда очень полезно иметь захваты из функционального сценария.

Захват, сделанный на интерфейсе NGFW INSIDE, как показано на изображении:

Ключевые точки:

  1. TCP 3-стороннее рукопожатие.
  2. Двунаправленный обмен данными.
  3. Нет задержек между пакетами (в зависимости от разницы во времени между пакетами)
  4. MAC-адрес источника - это правильное нисходящее устройство.

Захват, сделанный на ВНЕШНЕМ интерфейсе NGFW, показан на изображении здесь:

Ключевые точки:

  1. Те же данные, что и в захвате CAPI.
  2. MAC-адрес назначения - это правильное восходящее устройство.

Захваты - нефункциональный сценарий

Из интерфейса командной строки устройства снимки выглядят следующим образом:

 огневая мощь #  показать захват 
захват интерфейса необработанных данных типа CAPI INSIDE  [захват - 484 байта] 
  сопоставить IP-хост 192.168.0.100 хост 10.10.1.100
захват интерфейса необработанных данных типа CAPO ВНЕШНИЙ  [захват - 0 байт] 
  сопоставить IP-хост 192.168.0.100 хост 10.10.1.100
 

Содержание CAPI:

 firepower #  показать захват CAPI 

6 пакетов захвачено

   1: 11:47:46.2 192.168.0.100.3171> 10.10.1.100.80:  S  1089825363: 1089825363 (0) win 8192 
   2: 11: 47: 47.161902 192.168.0.100.3172> 10.10.1.100.80:  S  3981048763: 3981048763 (0) win 8192 
   3: 11: 47: 49.
3 192.168.0.100.3171> 10.10.1.100.80:  S  1089825363: 1089825363 (0) win 8192 
   4: 11: 47: 50.162757 192.168.0.100.3172> 10.10.1.100.80:  S  3981048763: 3981048763 (0) win 8192 
   5: 11: 47: 55.0 192.168.0.100.3171> 10.10.1.100.80:  S  1089825363: 1089825363 (0) win 8192 
   6: 11: 47: 56.164710 192.168.0.100.3172> 10.10.1.100.80:  S  3981048763: 3981048763 (0) win 8192 
 
 огневая мощь #  показать захват CAPO 

  0 пакет захвачен 

Показано 0 пакетов
 

Это образ захвата CAPI в Wireshark:

Ключевые точки:

  1. Видны только пакеты TCP SYN (трехстороннее подтверждение TCP отсутствует).
  2. Невозможно установить 2 сеанса TCP (порт источника 3171 и 3172). Исходный клиент повторно отправляет пакеты TCP SYN. Эти повторно переданные пакеты идентифицируются Wireshark как повторные передачи TCP.
  3. Повторные передачи TCP происходят каждые ~ 3, затем 6 и т. Д. Секунд
  4. MAC-адрес источника получен от правильного нисходящего устройства.

На основании 2 снимков можно сделать вывод, что:

  • Пакет из определенного набора из 5 кортежей (src / dst IP, src / dst порт, протокол) поступает на межсетевой экран на ожидаемом интерфейсе (INSIDE).
  • Пакет не покидает межсетевой экран на ожидаемом интерфейсе (ВНЕШНИЙ ВИД).
Рекомендуемые действия

Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

Действие 1. Проверьте трассировку эмулируемого пакета.

Используйте средство отслеживания пакетов, чтобы увидеть, как пакет должен обрабатываться межсетевым экраном. В случае, если пакет отбрасывается политикой доступа брандмауэра, трассировка эмулированного пакета выглядит примерно так:

 firepower #  вход для отслеживания пакетов INSIDE tcp 192.168.0.100 11111 10.10.1.100 80 

Фаза 1
Тип: ЗАХВАТ
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
Список доступа MAC

Фаза 2
Тип: СПИСОК ДОСТУПА
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Неявное правило
Дополнительная информация:
Список доступа MAC

Фаза: 3
  Тип: МАРШРУТ-ПРОСМОТР
Подтип: Resolve Egress Interface 
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
найден следующий переход 192.168.2.72 с использованием исходящего сигнала  ifc OUTSIDE 

Фаза: 4
  Тип: СПИСОК ДОСТУПА 
Подтип: журнал
  Результат: DROP 
Конфиг:
группа доступа CSM_FW_ACL_ global
список доступа CSM_FW_ACL_ расширенный запретить IP любой любой идентификатор правила 268439946 журнал событий начало потока
список доступа CSM_FW_ACL_ идентификатор правила примечания 268439946: ПОЛИТИКА ДОСТУПА: FTD_Policy - По умолчанию
список доступа CSM_FW_ACL_ идентификатор правила примечания 268439946: ПРАВИЛО L4: ПРАВИЛО ДЕЙСТВИЯ ПО УМОЛЧАНИЮ
Дополнительная информация:

Результат:
интерфейс ввода: ВНУТРИ
вход-статус: вверх
вход-линия-статус: вверх
выходной интерфейс: ВНЕШНИЙ
статус вывода: вверх
статус строки вывода: вверх
Действие: падение
  Причина отбрасывания: (acl-drop) Поток запрещен настроенным правилом, местоположение отбрасывания: кадр 0x00005647a4f4b120 поток (NA) / NA
  

Действие 2.Проверьте следы живых пакетов.

Включите трассировку пакетов, чтобы проверить, как настоящие пакеты TCP SYN обрабатываются межсетевым экраном. По умолчанию отслеживаются только первые 50 входящих пакетов:

 огневая мощь #  захват трассировки CAPI  

Очистить буфер захвата:

 огневая мощь #  четкий захват / все  


В случае, если пакет отбрасывается политикой доступа брандмауэра, трассировка выглядит примерно так:

 firepower #  показать трассировку номера 1 пакета CAPI
 
6 пакетов захвачено

   1: 12:45:36.279740 192.168.0.100.3630> 10.10.1.100.80: S 2322685377: 2322685377 (0) win 8192 
Фаза 1
Тип: ЗАХВАТ
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
Список доступа MAC

Фаза 2
Тип: СПИСОК ДОСТУПА
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Неявное правило
Дополнительная информация:
Список доступа MAC

Фаза: 3
Тип: МАРШРУТ-ПРОСМОТР
Подтип: Разрешить исходящий интерфейс
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
найден следующий переход 192.168.2.72 с использованием исходящего сигнала  ifc OUTSIDE 

Фаза: 4
  Тип: СПИСОК ДОСТУПА 
Подтип: журнал
  Результат: DROP 
Конфиг:
группа доступа CSM_FW_ACL_ global
список доступа CSM_FW_ACL_ расширенный запретить IP любой любой идентификатор правила 268439946 журнал событий начало потока
список доступа CSM_FW_ACL_ идентификатор правила примечания 268439946: ПОЛИТИКА ДОСТУПА: FTD_Policy - По умолчанию
список доступа CSM_FW_ACL_ идентификатор правила примечания 268439946: ПРАВИЛО L4: ПРАВИЛО ДЕЙСТВИЯ ПО УМОЛЧАНИЮ
Дополнительная информация:

Результат:
интерфейс ввода: ВНУТРИ
вход-статус: вверх
вход-линия-статус: вверх
выходной интерфейс: ВНЕШНИЙ
статус вывода: вверх
статус строки вывода: вверх
Действие: падение
  Причина отбрасывания: (acl-drop) Поток запрещен настроенным правилом, местоположение отбрасывания: кадр 0x00005647a4f4b120 поток (NA) / NA 

Показан 1 пакет
 

Действие 3.Проверьте логи FTD Lina.

Чтобы настроить системный журнал на FTD через FMC, проверьте этот документ:

https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/200479-Configure-Logging-on-FTD-via-FMC.html

Настоятельно рекомендуется настроить внешний сервер системного журнала для журналов FTD Lina. Если удаленный сервер системного журнала не настроен, включите локальные буферные журналы на брандмауэре во время устранения неполадок. Конфигурация журнала, показанная в этом примере, является хорошей отправной точкой:

 firepower #  журнал показа пробега 
…
ведение журнала включить
отметка времени регистрации
размер буфера регистрации 1000000
логирование буферизованной информации
 


Установите пейджер терминала на 24 линии, чтобы управлять пейджером терминала:

 firepower #  терминал пейджер 24  


Очистить буфер захвата:

 firepower #  очистить буфер регистрации  

Протестируйте соединение и проверьте логи с помощью фильтра синтаксического анализатора.В этом примере пакеты отбрасываются политикой доступа брандмауэра:

 огневая мощь №  выставка каротаж | включает 10.10.1.100 
09 октября 2019 12:55:51:% FTD-4-106023: Запретить tcp src ВНУТРИ: 192.168.0.100/3696 dst ВНЕШНИЙ: 10.10.1.100/80 группой доступа "CSM_FW_ACL_" [0x97aa021a, 0x0]
09 октября 2019 12:55:51:% FTD-4-106023: Запретить tcp src ВНУТРИ: 192.168.0.100/3697 dst ВНЕШНИЙ: 10.10.1.100/80 группой доступа "CSM_FW_ACL_" [0x97aa021a, 0x0]
09 октября 2019 12:55:54:% FTD-4-106023: Запретить tcp src ВНУТРИ: 192.168.0.100 / 3696 dst ВНЕШНИЙ: 10.10.1.100/80 по группе доступа "CSM_FW_ACL_" [0x97aa021a, 0x0]
09 октября 2019 12:55:54:% FTD-4-106023: Запретить tcp src ВНУТРИ: 192.168.0.100/3697 dst ВНЕШНИЙ: 10.10.1.100/80 группой доступа "CSM_FW_ACL_" [0x97aa021a, 0x0]
 

Действие 4. Проверьте отбрасывание ASP межсетевого экрана.

Если вы подозреваете, что пакет отброшен брандмауэром, вы можете увидеть счетчики всех пакетов, отброшенных брандмауэром на программном уровне:

 firepower #  показать asp drop 

Падение кадра:
  Нет маршрута к хосту (нет маршрута) 234
  Поток запрещен настроенным правилом (acl-drop) 71

Последняя очистка: 07:51:52 UTC, 10 октября 2019 г., enable_15

Падение потока:

Последняя очистка: 07:51:52 UTC, 10 октября 2019 г., enable_15
 

Вы можете включить захват, чтобы увидеть все падения уровня программного обеспечения ASP:

 firepower #  захват типа ASP asp-drop all buffer 33554432 только заголовки  

Совет : Если вас не интересует содержимое пакета, вы можете захватывать только заголовки пакета (опция только заголовков).Это позволяет захватывать гораздо больше пакетов в буфер захвата. Кроме того, вы можете увеличить размер буфера захвата (по умолчанию 500 Кбайт) до 32 Мбайт (опция буфера). Наконец, начиная с FTD версии 6.3, опция размера файла позволяет вам конфигурировать файл захвата размером до 10 ГБ. В этом случае вы можете видеть только захваченное содержимое в формате pcap.

Чтобы проверить содержимое захвата, вы можете использовать фильтр, чтобы сузить область поиска:

 огневая мощь #  показать захват ASP | включить 10.10.1.100 
  18: 07: 51: 57.823672 192.168.0.100.12410> 10.10.1.100.80: S 1870382552: 1870382552 (0) win 8192 
  19: 07: 51: 58.074291 192.168.0.100.12411> 10.10.1.100.80: S 2006489005: 2006489005 (0) win 8192 
  26: 07: 52: 00.830370 192.168.0.100.12410> 10.10.1.100.80: S 1870382552: 1870382552 (0) win 8192 
  29: 07: 52: 01.080394 192.168.0.100.12411> 10.10.1.100.80: S 2006489005: 2006489005 (0) win 8192 
  45: 07: 52: 06.824282 192.168.0.100.12410> 10.10.1.100.80: S 1870382552: 1870382552 (0) win 8192 
  46: 07: 52: 07.074230 192.168.0.100.12411> 10.10.1.100.80: S 2006489005: 2006489005 (0) win 8192 
 

В этом случае, поскольку пакеты уже отслеживаются на уровне интерфейса, причина отбрасывания не упоминается в захвате ASP.Помните, что пакет можно отследить только в одном месте (входящий интерфейс или отбрасывание ASP). В этом случае рекомендуется выполнить несколько сбросов ASP и установить конкретную причину сброса ASP. Вот рекомендуемый подход:

1. Очистить текущие счетчики отбрасывания ASP:

 огневая мощь #  ясная гадюка  

2. Отправьте поток, который вы устраняете, через брандмауэр (запустите тест).

3. Еще раз проверьте счетчики сброса ASP и отметьте увеличившееся, например.грамм.

 firepower #  показать asp drop 
Падение кадра:
  Нет маршрута к хосту ( нет маршрута ) 234
  Поток запрещен настроенным правилом ( acl-drop ) 71
 


4. Включите захват ASP для определенных видимых отбрасываний:

 firepower #  захват ASP_NO_ROUTE тип asp-drop no-route 
firepower #  захват ASP_ACL_DROP тип asp-drop acl-drop
  

5.Отправьте поток, который вы устраняете, через брандмауэр (запустите тест).

6. Проверьте захваты ASP. В этом случае пакеты были отброшены из-за отсутствия маршрута:

 огневая мощь #  показать захват ASP_NO_ROUTE | включают 192.168.0.100. * 10.10.1.100 
  93: 07: 53: 52.381663 192.168.0.100.12417> 10.10.1.100.80: S 3451

5: 3451

5 (0) win 8192 95: 07: 53: 52.632337 192.168.0.100.12418> 10.10.1.100.80: S 16

448: 16

448 (0) win 8192 101: 07:53:55.375392 192.168.0.100.12417> 10.10.1.100.80: S 3451

5: 3451

5 (0) win 8192 102: 07: 53: 55.626386 192.168.0.100.12418> 10.10.1.100.80: S 16

448: 16

448 (0) win 8192 116: 07: 54: 01.376231 192.168.0.100.12417> 10.10.1.100.80: S 3451

5: 3451

5 (0) выигрыш 8192 117: 07: 54: 01.626310 192.168.0.100.12418> 10.10.1.100.80: S 16

448: 16

448 (0) win 8192

Действие 5.Проверьте таблицу соединений FTD Lina.

Могут быть случаи, когда вы ожидаете, что пакет будет исходить из интерфейса «X», но по каким-либо причинам он выходит за пределы интерфейса «Y». Определение выходного интерфейса межсетевого экрана основано на следующем порядке работы:

  1. Поиск установленного соединения
  2. Поиск преобразования сетевых адресов (NAT) - этап UN-NAT (NAT назначения) имеет приоритет над PBR и поиском маршрута.
  3. Маршрутизация на основе политик (PBR)
  4. Поиск в таблице маршрутизации

Для проверки таблицы соединений FTD:

 firepower #  показать conn 
2 используются, 4 наиболее часто используются
Осмотрите Snort:
        preserve-connection: 2 включено, 0 активно, 4 наиболее активно, 0 наиболее активно

TCP  DMZ  10.10.1.100:  80   INSIDE  192.168.0.100:  11694 , бездействие 0:00:01, байты 0, флаги  aA N1 
TCP  DMZ  10.10.1.100:80  INSIDE  192.168.0.100:  11693 , режим ожидания 0:00:01, байты 0, флаги  aA N1
  

Ключевые точки:

  • На основании флагов (Aa) соединение находится в зачаточном состоянии (полуоткрытое - межсетевой экран видел только TCP SYN).
  • В зависимости от портов источника / назначения входной интерфейс - ВНУТРЕННИЙ, а выходной интерфейс - DMZ.

Это можно визуализировать на изображении здесь:

Примечание : Поскольку все интерфейсы FTD имеют уровень безопасности 0, порядок интерфейсов в выходных данных show conn основан на номере интерфейса. В частности, интерфейс с более высоким vpif-num (номер интерфейса виртуальной платформы) выбирается как внутренний, а интерфейс с меньшим vpif-num выбирается как внешний. Вы можете увидеть значение vpif интерфейса с помощью команды show interface detail .Связанное усовершенствование, CSCvi15290 ENH: FTD должен показывать направленность соединения в выводе FTD 'show conn'

 огневая мощь №  показать детали интерфейса | i Номер интерфейса | Интерфейс [P | E]. * is up 
...
Интерфейс Ethernet1 / 2 "INSIDE", включен, протокол линии включен
        Номер интерфейса  19 
Интерфейс Ethernet1 / 3.202 "ВНЕШНИЙ", включен, протокол линии включен
        Номер интерфейса  20 
Интерфейс Ethernet1 / 3.203 "DMZ", включен, протокол линии включен
        Номер интерфейса  22  

Примечание : Начиная с версии программного обеспечения Firepower 6.5, выпуск 9.13.x ASA, выходные данные команд show conn long и show conn detail предоставляют информацию об инициаторе соединения и ответчике

.

Выход 1:

 firepower #  показать conn long 
...
TCP ВНЕШНИЙ: 192.168.2.200/80 (192.168.2.200/80) ВНУТРИ: 192.168.1.100/46050 (192.168.1.100/46050), флаги aA N1, простоя 3 секунды, время безотказной работы 6 секунд, таймаут 30 секунд, байты 0
    Инициатор: 192.168.1.100, Ответчик: 192.168.2.200 
  Идентификатор ключа поиска подключения: 228982375 

Выход 2:

 firepower #  показать деталь коннектора 
...
TCP ВНЕШНИЙ: 192.168.2.200/80 ВНУТРИ: 192.168.1.100/46050,
    флаги aA N1, простоя 4 с, время безотказной работы 11 с, тайм-аут 30 с, байты 0
    Инициатор: 192.168.1.100, Ответчик: 192.168.2.200 
  Идентификатор ключа поиска подключения: 228982375 

Кроме того, show conn long отображает IP-адреса с NAT в круглых скобках в случае преобразования сетевых адресов:

 firepower #  показать conn long 
...
TCP ВНЕШНИЙ: 192.168.2.222/80 (192.168.2.222/80) ВНУТРИ: 192.168.1.100/34792 ( 192.168.2.150 /34792), флаги aA N1, idle 0s, uptime 0s, timeout 30s, bytes 0, xlate id 0x2b5a8a4314c0
  Инициатор: 192.168.1.100, Ответчик: 192.168.2.222
  Идентификатор ключа поиска соединения: 262895
 

Действие 6. Проверьте кэш протокола разрешения адресов (ARP) межсетевого экрана.

Если межсетевой экран не может разрешить следующий переход, межсетевой экран автоматически отбрасывает исходный пакет (в данном случае TCP SYN) и непрерывно отправляет запросы ARP, пока не разрешит следующий переход.

Чтобы увидеть кеш ARP брандмауэра, используйте команду:

 firepower #  показать arp  

Дополнительно, чтобы проверить наличие неразрешенных хостов, вы можете использовать команду:

 firepower #  показать статистику arp 
        Количество записей ARP в ASA: 0

        Выпало блоков в ARP: 84
        Максимальное количество блоков в очереди: 3
        Блоки в очереди: 0
        Получено ARP-сообщений о конфликте интерфейсов: 0
        ARP-защита Отправлено бесплатных ARPS: 0
        Общее количество попыток ARP:  182 <указывает на возможную проблему для некоторых хостов 
        Неразрешенные хосты:  1   <это текущий статус 
        Максимальное количество неразрешенных хостов: 2
 

Если вы хотите дополнительно проверить работу ARP, вы можете включить захват, специфичный для ARP:

 firepower #  захват ARP-интерфейса Ethernet-типа ВНЕШНИЙ 
огневая мощь #  показать захват ARP 
...
   4: 07: 15: 16.877914 802.1Q vlan # 202 P0 arp  у кого есть 192.168.2.72 сказать 192.168.2.50 
   5: 07: 15: 18.020033 802.1Q vlan # 202 P0 arp у кого есть 192.168.2.72 сказать 192.168.2.50
 

В этих выходных данных межсетевой экран (192.168.2.50) пытается разрешить следующий переход (192.168.2.72), но нет ответа ARP

Выходные данные здесь показывают функциональный сценарий с правильным разрешением ARP:

 огневая мощь #  показать захват ARP 

2 пакета захвачены

   1: 07:17:19.495595 802.1Q vlan # 202 P0  arp у кого есть 192.168.2.72 скажите 192.168.2.50 
   2: 07: 17: 19.495946 802.1Q vlan # 202 P0  ответ arp 192.168.2.72 is-at 4c: 4e: 35: fc: fc: d8 
Показано 2 пакета
 
 firepower #  показать arp 
        ВНУТРИ 192.168.1.71 4c4e.35fc.fcd8 9
        ВНЕШНИЙ 192.168.2.72 4c4e.35fc.fcd8 9
 

В случае отсутствия записи ARP, трассировка активного пакета TCP SYN показывает:

 firepower #  показать трассировку номера пакета CAPI 1 

6 пакетов захвачено

   1: 07:03:43.270585  192.168.0.100.11997> 10.10.1.100.80 : S 4023707145: 4023707145 (0) win 8192 
Фаза 1
Тип: ЗАХВАТ
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
Список доступа MAC

Фаза 2
Тип: СПИСОК ДОСТУПА
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Неявное правило
Дополнительная информация:
Список доступа MAC

Фаза: 3
  Тип: МАРШРУТ-ПРОСМОТР 
Подтип: Разрешить исходящий интерфейс
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
  найден следующий переход 192.168.2.72 с использованием egress ifc OUTSIDE 
…
Фаза: 14
Тип: ПОТОК-СОЗДАНИЕ
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
Новый поток создан с идентификатором 4814, пакет отправлен следующему модулю
…
Фаза: 17
Тип: МАРШРУТ-ПРОСМОТР
Подтип: Разрешить исходящий интерфейс
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
  обнаружил следующий переход 192.168.2.72 с использованием исходящего ifc OUTSIDE 

Результат:
  интерфейс ввода: ВНУТРИ 
вход-статус: вверх
вход-линия-статус: вверх
  выходной интерфейс: ВНЕ 
статус вывода: вверх
статус строки вывода: вверх
  Действие: разрешить
  

Как видно из выходных данных, трассировка показывает действие : разрешить , даже если следующий прыжок недоступен и пакет автоматически отбрасывается межсетевым экраном! В этом случае необходимо также проверить средство отслеживания пакетов, поскольку оно обеспечивает более точный вывод:

 firepower #  вход для отслеживания пакетов INSIDE tcp 192.168.0.100 1111 10.10.1.100 80
 
Фаза 1
Тип: ЗАХВАТ
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
Список доступа MAC

Фаза 2
Тип: СПИСОК ДОСТУПА
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Неявное правило
Дополнительная информация:
Список доступа MAC

Фаза: 3
Тип: МАРШРУТ-ПРОСМОТР
Подтип: Разрешить исходящий интерфейс
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
найден следующий переход 192.168.2.72 с использованием egress ifc OUTSIDE
…

Фаза: 14
Тип: ПОТОК-СОЗДАНИЕ
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
Новый поток создан с идентификатором 4816, пакет отправлен следующему модулю
…
Фаза: 17
Тип: МАРШРУТ-ПРОСМОТР
Подтип: Разрешить исходящий интерфейс
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
найден следующий переход 192.168.2.72 с использованием egress ifc OUTSIDE

Результат:
интерфейс ввода: ВНУТРИ
вход-статус: вверх
вход-линия-статус: вверх
выходной интерфейс: ВНЕШНИЙ
статус вывода: вверх
статус строки вывода: вверх
Действие: падение
  Причина отбрасывания: (no-v4-смежность) Нет допустимой смежности V4, Расположение отбрасывания: кадр 0x00005647a4e86109 поток (NA) / NA
  

В последних версиях ASA / Firepower приведенное выше сообщение было оптимизировано до:

 Причина отбрасывания: (no-v4-смежность) Нет допустимой смежности V4.  Проверить таблицу ARP (показать arp) имеет запись для nexthop ., Место сброса: f 
Сводка возможных причин и рекомендуемых действий

Если вы видите только TCP SYN-пакет на входных интерфейсах, но не TCP SYN-пакет, отправленный из ожидаемого выходного интерфейса, возможны следующие причины:

Возможная причина

Рекомендуемые действия

Пакет отброшен политикой доступа межсетевого экрана.

  • Используйте трассировщик пакетов или захват с трассировкой , чтобы увидеть, как межсетевой экран обрабатывает пакет.
  • Проверьте журналы брандмауэра.
  • Проверьте, что брандмауэр отбрасывает ASP (покажите asp drop или захват типа asp-drop).
  • Проверить события подключения FMC. Это предполагает, что для правила включено ведение журнала.

Неправильный фильтр захвата.

  • Используйте трассировщик пакетов или захват с трассировкой , чтобы увидеть, есть ли трансляция NAT, которая изменяет исходный или целевой IP.В этом случае настройте фильтр захвата.
  • В выходных данных команды show conn long показаны IP-адреса с NAT.

Пакет отправляется на другой выходной интерфейс.

  • Используйте трассировщик пакетов или захват с трассировкой , чтобы увидеть, как межсетевой экран обрабатывает пакет. Помните порядок операций, касающихся определения выходного интерфейса, существующего соединения, UN-NAT, PBR и поиска в таблице маршрутизации.
  • Проверьте журналы брандмауэра.
  • Проверьте таблицу соединений брандмауэра ( show conn ).

Если пакет отправлен на неправильный интерфейс, потому что он соответствует существующему соединению, используйте команду clear conn address и укажите 5-кортеж соединения, которое вы хотите очистить.

Нет маршрута к месту назначения.

  • Используйте трассировщик пакетов или захват с трассировкой , чтобы увидеть, как межсетевой экран обрабатывает пакет.
  • Проверьте, что брандмауэр отбрасывает ASP (показать asp drop) на предмет no-route drop cause.

На исходящем интерфейсе нет записи ARP.

  • Проверьте кэш ARP брандмауэра ( покажите arp ).
  • Используйте трассировщик пакетов , чтобы проверить, есть ли допустимая смежность.

Выходной интерфейс не работает.

Проверьте выходные данные команды show interface iprief на брандмауэре и проверьте состояние интерфейса.

Случай 2. TCP SYN от клиента, TCP RST от сервера

На этом изображении показана топология:

Описание проблемы: HTTP не работает

Затронутый поток:

Src IP: 192.168.0.100

Dst IP: 10.10.1.100

Протокол: TCP 80

Анализ захвата

Включите захват на движке FTD LINA.

 firepower #  capture CAPI int INSIDE match ip host 192.168.0.100 хост 10.10.1.100 
firepower #  захват CAPO int OUTSIDE match ip host 192.168.0.100 host 10.10.1.100
  

Захваты - нефункциональный сценарий:

Из интерфейса командной строки устройства захваты выглядят следующим образом:

 огневая мощь #  показать захват 
захват интерфейса трассировки необработанных данных типа CAPI ВНУТРИ [захват -  834 байта ]
  сопоставить IP-хост 192.168.0.100 хост 10.10.1.100
захват интерфейса необработанных данных типа CAPO ВНЕШНИЙ [захват -  878 байт ]
  сопоставьте ip host 192.168.0.100 хост 10.10.1.100
 

Содержание CAPI:

 firepower #  показать захват CAPI 
   1: 05: 20: 36.654217 192.168.0.100.22195> 10.10.1.100.80:  S  1397289928: 1397289928 (0) win 8192 
   2: 05: 20: 36.

1 192.168.0.100.22196> 10.10.1.100.80: S 2171673258: 2171673258 (0) win 8192 3: 05: 20: 36.3 10.10.1.100.80> 192.168.0.100.22196: R 1850052503: 1850052503 (0) ack 2171673259 win 0 4: 05:20:37.414132 192.168.0.100.22196> 10.10.1.100.80: S 2171673258: 2171673258 (0) win 8192 5: 05: 20: 37.414803 10.10.1.100.80> 192.168.0.100.22196: R 31997177: 31997177 (0) ack 2171673259 win 0 6: 05: 20: 37.

3 192.168.0.100.22196> 10.10.1.100.80: S 2171673258: 2171673258 (0) win 8192 ...

Содержание CAPO:

 огневая мощь #  показать захват CAPO 
   1: 05:20:36.654507 802.1Q vlan # 202 P0 192.168.0.100.22195> 10.10.1.100.80:  S  2866789268: 2866789268 (0) win 8192 
   2: 05: 20: 36.8 802.1Q vlan # 202 P0 192.168.0.100.22196> 10.10.1.100.80:  S  4785344: 4785344 (0) win 8192 
   3: 05: 20: 36.7 802.1Q vlan # 202 P0 10.10.1.100.80> 192.168.0.100.22196:  R  0: 0 (0) ack 4785345 win 0
   4: 05: 20: 37.414269 802.1Q vlan # 202 P0 192.168.0.100.22196> 10.10.1.100.80:  S  4235354730: 4235354730 (0) win 8192 
   5: 05: 20: 37.414758 802.1Q vlan # 202 P0 10.10.1.100.80> 192.168.0.100.22196:  R  0: 0 (0) ack 4235354731 win 0
   6: 05: 20: 37.
    5 802.1Q vlan # 202 P0 192.168.0.100.22196> 10.10.1.100.80: S 4118617832: 4118617832 (0) win 8192

На этом изображении показан захват CAPI в Wireshark.

Ключевые точки:

  1. Источник отправляет пакет TCP SYN.
  2. Источнику отправляется TCP RST.
  3. Источник повторно передает пакеты TCP SYN.
  4. MAC-адреса верны (для входящих пакетов MAC-адрес источника принадлежит нисходящему маршрутизатору, MAC-адрес назначения принадлежит интерфейсу INSIDE межсетевого экрана).

На этом изображении показан захват CAPO в Wireshark:

Ключевые точки:

  1. Источник отправляет пакет TCP SYN.
  2. TCP RST поступает на ВНЕШНИЙ интерфейс.
  3. Источник повторно передает пакеты TCP SYN.
  4. MAC-адреса верны (для исходящих пакетов ВНЕШНИЙ межсетевой экран является MAC-адресом источника, восходящий маршрутизатор - MAC-адресом назначения).

На основании 2 снимков можно сделать вывод, что:

  • Трехстороннее установление связи TCP между клиентом и сервером не завершено
  • Имеется TCP RST, который поступает на выходной интерфейс межсетевого экрана.
  • Межсетевой экран «общается» с соответствующими устройствами восходящего и нисходящего потоков (на основе MAC-адресов)
Рекомендуемые действия

Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

Действие 1. Проверьте исходный MAC-адрес, который отправляет TCP RST.

Убедитесь, что MAC-адрес назначения в пакете TCP SYN совпадает с MAC-адресом источника в пакете TCP RST.

Эта проверка имеет целью подтвердить 2 вещи:

  • Убедитесь, что нет асимметричного потока.
  • Убедитесь, что MAC принадлежит ожидаемому восходящему устройству.

Действие 2. Сравните входящие и исходящие пакеты.

Визуально сравните 2 пакета в Wireshark, чтобы убедиться, что брандмауэр не изменяет / не повреждает пакеты.Выделены некоторые ожидаемые различия.

Ключевые точки:

  1. Временные метки разные. С другой стороны, разница должна быть небольшой и разумной. Это зависит от функций и проверок политики, применяемых к пакету, а также от нагрузки на устройство.
  2. Длина пакетов может отличаться, особенно если брандмауэр добавляет / удаляет заголовок dot1Q только с одной стороны.
  3. MAC-адреса разные.
  4. Заголовок dot1Q может быть на месте, если захват был сделан на подинтерфейсе.
  5. IP-адрес (а) будет другим, если к пакету применяется NAT или преобразование адресов порта (PAT).
  6. Порты источника или назначения различаются, если к пакету применяется NAT или PAT.
  7. Если вы отключите параметр Wireshark Relative Sequence Number , вы увидите, что порядковые номера TCP / номера подтверждения изменяются брандмауэром из-за рандомизации начального порядкового номера (ISN).
  8. Некоторые параметры TCP могут быть перезаписаны.Например, межсетевой экран по умолчанию изменяет максимальный размер сегмента TCP (MSS) на 1380, чтобы избежать фрагментации пакетов на пути передачи.

Действие 3. Сделайте снимок в пункте назначения.

Если возможно, сделайте снимок в самом пункте назначения. Если это невозможно, сделайте снимок как можно ближе к месту назначения. Цель здесь - проверить, кто отправляет TCP RST (целевой сервер или какое-то другое устройство на пути?).

Кейс 3.Трехстороннее подтверждение TCP + RST от одной конечной точки

На этом изображении показана топология:

Описание проблемы: HTTP не работает

Затронутый поток:

Src IP: 192.168.0.100

Dst IP: 10.10.1.100

Протокол: TCP 80

Анализ захвата

Включите захват на движке FTD LINA.

 firepower #  захват CAPI int INSIDE соответствует IP-хосту 192.168.0.100 хосту 10.10.1.100
  firepower #  capture CAPO int OUTSIDE match ip host 192.168.0.100 host 10.10.1.100
  

Захваты - нефункциональный сценарий:

Эта проблема может проявляться в захватах несколькими способами.

3.1 - Трехстороннее установление связи TCP + отложенный RST от клиента

И CAPI, и CAPO, перехваченные межсетевым экраном, содержат одни и те же пакеты, как показано на изображении.

Ключевые точки:

  1. Трехстороннее подтверждение TCP проходит через брандмауэр.
  2. Сервер повторно передает SYN / ACK.
  3. Клиент повторно передает ACK.
  4. Через ~ 20 секунд клиент отказывается и отправляет TCP RST.
Рекомендуемые действия

Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

Действие 1. Сделайте снимки как можно ближе к двум конечным точкам.

Записи брандмауэра показывают, что клиентский ACK не был обработан сервером. Это основано на следующих фактах:

  • Сервер повторно передает SYN / ACK.
  • Клиент повторно передает ACK.
  • Клиент отправляет TCP RST или FIN / ACK перед любыми данными.

Захват на сервере показывает проблему. Клиентский ACK из трехстороннего подтверждения TCP так и не поступил:

3.2 - Трехстороннее установление связи TCP + отложенный FIN / ACK от клиента + отложенный RST от сервера

И CAPI, и CAPO, перехваченные межсетевым экраном, содержат одни и те же пакеты, как показано на изображении.

Ключевые точки:

  1. Трехстороннее подтверждение TCP проходит через брандмауэр.
  2. Через ~ 5 секунд клиент отправляет FIN / ACK.
  3. Через ~ 20 секунд сервер отказывается и отправляет TCP RST.

На основании этого захвата можно сделать вывод, что, несмотря на трехстороннее установление связи TCP через брандмауэр, кажется, что оно никогда не завершается на одной конечной точке (повторные передачи указывают на это).

Рекомендуемые действия

То же, что и в случае 3.1

3.3 - Трехстороннее установление связи TCP + отложенный RST от клиента

И CAPI, и CAPO, перехваченные межсетевым экраном, содержат одни и те же пакеты, как показано на изображении.

Ключевые точки:

  1. Трехстороннее подтверждение TCP проходит через брандмауэр.
  2. Через ~ 20 секунд клиент отказывается и отправляет TCP RST.

На основании этих снимков можно сделать вывод, что:

  • Через 5-20 секунд одна конечная точка отказывается и решает разорвать соединение.
Рекомендуемые действия

То же, что и в случае 3.1

3.4 - Трехстороннее установление связи TCP + немедленное RST с сервера

Оба брандмауэра перехватывают эти пакеты, CAPI и CAPO содержат эти пакеты, как показано на изображении.

Ключевые точки:

  1. Трехстороннее подтверждение TCP проходит через брандмауэр.
  2. Через несколько миллисекунд после пакета ACK от сервера идет TCP RST.
Рекомендуемые действия

Действие: Делайте снимки как можно ближе к серверу.

Немедленное TCP RST от сервера может указывать на неисправный сервер или устройство на пути, которое отправляет TCP RST. Сделайте снимок на самом сервере и определите источник TCP RST.

Случай 4. TCP RST от клиента

На этом изображении показана топология:

Описание проблемы: HTTP не работает.

Затронутый поток:

Src IP: 192.168.0.100

Dst IP: 10.10.1.100

Протокол: TCP 80

Анализ захвата

Включить захват на движке FTD LINA.

 firepower #  захват CAPI int INSIDE соответствует IP-хосту 192.168.0.100 хосту 10.10.1.100 
firepower #  захват CAPO int OUTSIDE match ip host 192.168.0.100 host 10.10.1.100
  

Захваты - нефункциональный сценарий:

Это содержимое CAPI.

 firepower #  показать захват CAPI 

14 пакетов захвачено

   1: 12: 32: 22.860627 192.168.0.100.47078> 10.10.1.100.80: S 4098574664: 4098574664 (0) win 8192 
   2: 12: 32: 23.111307 192.168.0.100.47079> 10.10.1.100.80: S 2486945841: 2486945841 (0) win 8192 
   3: 12: 32: 23.112390 192.168.0.100.47079> 10.10.1.100.80: 3000518858 рэнд: 3000518858 (0) выигрыш 0
   4: 12: 32: 25.858109 192.168.0.100.47078> 10.10.1.100.80: S 4098574664: 4098574664 (0) win 8192 
   5: 12: 32: 25.868698 192.168.0.100.47078> 10.10.1.100.80: 1386249853 рэнд: 1386249853 (0) выигрыш 0
   6: 12: 32: 26.108118 192.168.0.100.47079> 10.10.1.100.80: S 2486945841: 2486945841 (0) win 8192 
   7: 12:32:26.109079 192.168.0.100.47079> 10.10.1.100.80: 3000518858 рэнд: 3000518858 (0) выигрыш 0
   8: 12: 32: 26.118295 192.168.0.100.47079> 10.10.1.100.80: 3000518858 рэнд: 3000518858 (0) выигрыш 0
   9: 12: 32: 31.859925 192.168.0.100.47078> 10.10.1.100.80: S 4098574664: 4098574664 (0) win 8192 
  10: 12: 32: 31.860902 192.168.0.100.47078> 10.10.1.100.80: 1386249853 рэнд: 1386249853 (0) выигрыш 0
  11: 12: 32: 31.875229 192.168.0.100.47078> 10.10.1.100.80: 1386249853 рэнд: 1386249853 (0) выигрыш 0
  12: 12:32:32.140632 192.168.0.100.47079> 10.10.1.100.80: 3000518858 рэнд: 3000518858 (0) выигрыш 0
  13: 12: 32: 32.159995 192.168.0.100.47079> 10.10.1.100.80: S 2486945841: 2486945841 (0) win 8192 
  14: 12: 32: 32.160956 192.168.0.100.47079> 10.10.1.100.80: 3000518858 рэнд: 3000518858 (0) выигрыш 0
Показано 14 пакетов
 

Это содержимое CAPO:

 огневая мощь #  показать захват CAPO 

Захвачено 11 пакетов

   1: 12: 32: 22.860780 802.1Q vlan # 202 P0 192.168.0.100.47078> 10.10.1.100.80: S 1386249852: 1386249852 (0) win 8192 
   2: 12: 32: 23.111429 802.1Q vlan # 202 P0 192.168.0.100.47079> 10.10.1.100.80: S 3000518857: 3000518857 (0) win 8192 
   3: 12: 32: 23.112405 802.1Q vlan # 202 P0 192.168.0.100.47079> 10.10.1.100.80: R 35140

: 35140

(0) выигрыш 0 4: 12: 32: 25.858125 802.1Q vlan # 202 P0 192.168.0.100.47078> 10.10.1.100.80: S 1386249852: 1386249852 (0) win 8192 5: 12:32:25.868729 802.1Q vlan # 202 P0 192.168.0.100.47078> 10.10.1.100.80: R 29688
: 29688
(0) выигрыш 0 6: 12: 32: 26.108240 802.1Q vlan # 202 P0 192.168.0.100.47079> 10.10.1.100.80: S 3822259745: 3822259745 (0) win 8192 7: 12: 32: 26.109094 802.1Q vlan # 202 P0 192.168.0.100.47079> 10.10.1.100.80: R 40865466: 40865466 (0) выигрыш 0 8: 12: 32: 31.860062 802.1Q vlan # 202 P0 192.168.0.100.47078> 10.10.1.100.80: S 42752: 42752 (0) win 8192 9: 12:32:31.860917 802.1Q vlan # 202 P0 192.168.0.100.47078> 10.10.1.100.80: R 1581733941: 1581733941 (0) выигрыш 0 10: 12: 32: 32.160102 802.1Q vlan # 202 P0 192.168.0.100.47079> 10.10.1.100.80: S 4284301197: 4284301197 (0) win 8192 11: 12: 32: 32.160971 802.1Q vlan # 202 P0 192.168.0.100.47079> 10.10.1.100.80: R 5028: 5028 (0) выигрыш 0 Показано 11 пакетов

Журналы брандмауэра показывают:

 огневая мощь №  счётчик | я 47741 
13 октября 2019 13:57:36:% FTD-6-302013: Построено входящее TCP-соединение 4869 для INSIDE: 192.168.0.100 / 47741 (192.168.0.100/47741) ВНЕШНИЙ: 10.10.1.100/80 (10.10.1.100/80)
13 октября 2019 13:57:36:% FTD-6-302014: Разрыв TCP-соединения 4869 для ВНУТРИ: 192.168.0.100/47741 на ВНЕШНИЙ: 10.10.1.100/80 продолжительность 0:00:00 байт 0  TCP Reset-O от ВНУТРИ 
13 октября 2019 13:57:39:% FTD-6-302013: Построено входящее TCP-соединение 4870 для ВНУТРИ: 192.168.0.100/47741 (192.168.0.100/47741) для ВНЕШНЕГО: 10.10.1.100/80 (10.10.1.100/80) )
13 октября 2019 13:57:39:% FTD-6-302014: Разрыв TCP-соединения 4870 для INSIDE: 192.168.0.100 / 47741 на ВНУТРИ: 10.10.1.100/80 продолжительность 0:00:00 байт 0  TCP Reset-O из ВНУТРИ 
13 октября 2019 13:57:45:% FTD-6-302013: Построено входящее TCP-соединение 4871 для ВНУТРИ: 192.168.0.100/47741 (192.168.0.100/47741) для ВНЕШНЕГО: 10.10.1.100/80 (10.10.1.100/80) )
13 октября 2019 13:57:45:% FTD-6-302014: Разрыв TCP-соединения 4871 для ВНУТРИ: 192.168.0.100/47741 для ВНЕШНЕГО: 10.10.1.100/80 продолжительность 0:00:00 байт 0 TCP Reset-O из ВНУТРИ
 

Эти журналы указывают на наличие TCP RST, поступающего на ВНУТРЕННИЙ интерфейс межсетевого экрана

Захват CAPI в Wireshark:

Следуйте первому потоку TCP, как показано на изображении.

В Wireshark перейдите к Edit> Preferences> Protocols> TCP и отмените выбор параметра Relative sequence numbers , как показано на изображении.

На этом изображении показано содержимое первого потока в захвате CAPI:

Ключевые точки:

  1. Клиент отправляет пакет TCP SYN.
  2. Клиент отправляет пакет TCP RST.
  3. Пакет TCP SYN имеет значение порядкового номера, равное 4098574664.

Тот же поток в захвате CAPO содержит:

Ключевые точки:

  1. Клиент отправляет пакет TCP SYN. Брандмауэр рандомизирует ISN.
  2. Клиент отправляет пакет TCP RST.

На основании двух отловов можно сделать вывод, что:

  • Нет трехстороннего установления связи TCP между клиентом и сервером.
  • Существует TCP RST, который исходит от клиента. Значение порядкового номера TCP RST в захвате CAPI - 1386249853.
Рекомендуемые действия

Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

Действие 1. Сделайте снимок на клиенте.

На основе захватов, собранных на межсетевом экране, есть явное указание на асимметричный поток. Это основано на том факте, что клиент отправляет TCP RST со значением 1386249853 (рандомизированный ISN):

Ключевые точки:

  1. Клиент отправляет пакет TCP SYN.Порядковый номер 4098574664 и такой же, как и на ВНУТРЕННЕМ интерфейсе межсетевого экрана (CAPI)
  2. .
  3. Имеется TCP SYN / ACK с номером ACK 1386249853 (что ожидается из-за рандомизации ISN). Этот пакет не был замечен в захватах брандмауэра
  4. Клиент отправляет TCP RST, поскольку он ожидал SYN / ACK со значением номера ACK 4098574665, но получил значение 1386249853

Это можно представить как:

Действие 2. Проверьте маршрутизацию между клиентом и межсетевым экраном.

Подтвердите, что:

  • MAC-адреса, отображаемые в захватах, являются ожидаемыми.
  • Убедитесь, что маршрутизация между межсетевым экраном и клиентом симметрична.

Существуют сценарии, в которых RST исходит от устройства, которое находится между брандмауэром и клиентом, в то время как во внутренней сети существует асимметричная маршрутизация. Типичный случай показан на изображении:

В этом случае захват имеет это содержимое. Обратите внимание на разницу между MAC-адресом источника пакета TCP SYN и MAC-адресом источника TCP RST и MAC-адресом назначения пакета TCP SYN / ACK:

 firepower #  показать захват CAPI деталь 
   1: 13:57:36.730217  4c4e.35fc.fcd8  00be.75f6.1dae 0x0800 Длина: 66
      192.168.0.100.47740> 10.10.1.100.80: S [tcp sum ok] 3045001876: 3045001876 (0) win 8192  (DF) (ttl 127, id 25661 )
   2: 13: 57: 36.981104 4c4e.35fc.fcd8 00be.75f6.1dae 0x0800 Длина: 66
      192.168.0.100.47741> 10.10.1.100.80: S [tcp sum ok] 38040: 38040 (0) win 8192  (DF) (ttl 127, id 25662 )
   3: 13: 57: 36.981776 00be.75f6.1dae  a023.9f92.2a4d  0x0800 Длина: 66
      10.10.1.100.80> 192.168.0.100.47741: S [tcp sum ok] 1304153587: 1304153587 (0) ack 38041 win 8192  (DF) (ttl 127, id 23339)
   4: 13: 57: 36.982126  a023.9f92.2a4d  00be.75f6.1dae 0x0800 Длина: 54
      192.168.0.100.47741> 10.10.1.100.80:  R  [tcp sum ok] 38041: 38041 (0) ack 1304153588 win 8192 (ttl 255, id 48501)
...
 

Случай 5. Медленная передача TCP (сценарий 1)

Описание проблемы:

Передача SFTP между хостами 10.11.4.171 и 10.77.19.11 медленные. Хотя минимальная пропускная способность (BW) между двумя хостами составляет 100 Мбит / с, скорость передачи не превышает 5 Мбит / с.

При этом скорость передачи между хостами 10.11.2.124 и 172.25.18.134 значительно выше.

Теория предыстории:

Максимальная скорость передачи для одного потока TCP определяется продуктом задержки полосы пропускания (BDP). Используемая формула показана на изображении:

Более подробную информацию о BDP можно найти здесь:

Сценарий 1.Медленная передача

На этом изображении показана топология:

Затронутый поток:

IP-адрес источника: 10.11.4.171

Dst IP: 10.77.19.11

Протокол: SFTP (FTP через SSH)

Анализ захвата

Включить захваты на движке FTD LINA:

 firepower #  Capture CAPI int INSIDE buffer 33554432 match ip host 10.11.4.171 host 10.77.19.11 
firepower #  захват CAPO int OUTSIDE buffer 33554432 match ip host 10.11.4.171 хост 10.77.19.11
  

Предупреждение : Захваты LINA на захватах FP1xxx и FP21xx влияют на скорость передачи трафика, проходящего через FTD. Не включайте перехваты LINA на платформах FP1xxx и FP21xxx при устранении проблем с производительностью (медленная передача через FTD). Вместо этого используйте SPAN или устройство HW Tap в дополнение к захватам на исходном и целевом хостах. Проблема задокументирована в CSCvo30697.

 firepower #  захват интерфейса трассировки необработанных данных типа CAPI внутри соответствует icmp любой любой 
ПРЕДУПРЕЖДЕНИЕ. Выполнение перехвата пакетов может отрицательно сказаться на производительности.
Рекомендуемые действия

Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

Расчет времени туда и обратно (RTT)

Сначала определите поток передачи и следуйте ему:

Измените представление Wireshark, чтобы отобразить секунды с момента предыдущего отображаемого пакета . Это упрощает расчет RTT:

RTT можно рассчитать, сложив значения времени между двумя пакетами обмена (один в направлении источника, а другой в направлении пункта назначения).В этом случае пакет № 2 показывает RTT между межсетевым экраном и устройством, которое отправило пакет SYN / ACK (сервер). Пакет № 3 показывает RTT между межсетевым экраном и устройством, отправившим пакет ACK (клиентом). Сложение двух чисел дает хорошую оценку сквозного RTT:

RTT ≈ 80 мс

Расчет размера окна TCP

Разверните пакет TCP, разверните заголовок TCP, выберите Расчетный размер окна и выберите Применить как столбец:

Проверьте столбец Расчетное значение размера окна , чтобы узнать, какое максимальное значение размера окна было во время сеанса TCP.Вы также можете выбрать имя столбца и отсортировать значения.

Если вы тестируете загрузку файла (сервер > клиент ), вы должны проверить значения, объявленные сервером. Максимальное значение размера окна, объявленное сервером, определяет максимальную скорость передачи.

В данном случае размер окна TCP составляет ≈ 50000 байт

На основе этих значений и с использованием формулы произведения на задержку полосы пропускания вы получаете максимальную теоретическую полосу пропускания, которая может быть достигнута в этих условиях: 50000 * 8/0.0 = 1 (без масштабирования окон). Это отрицательно сказывается на скорости передачи:

На этом этапе необходимо выполнить захват на сервере, подтвердить, что это тот, кто объявляет масштаб окна = 0, и перенастроить его (вам может потребоваться проверить документацию сервера, как это сделать).

Сценарий 2. Быстрая передача

Теперь рассмотрим хороший сценарий (быстрая передача через ту же сеть):

Топология:

Поток интересов:

Src IP: 10.11.2.124

Dst IP: 172.25.18.134

Протокол: SFTP (FTP через SSH)

Включить захват на движке FTD LINA

 firepower #  захват CAPI int INSIDE buffer 33554432 сопоставление IP-хоста 10.11.2.124 хост 172.25.18.134 
firepower #  захват CAPO int ВНЕШНИЙ буфер 33554432 соответствует IP-хосту 10.11.2.124 хосту 172.25.18.134
  

Расчет времени кругового обхода (RTT): В этом случае RTT составляет ≈ 300 мсек.

Расчет размера окна TCP: сервер объявляет коэффициент масштабирования окна TCP равный 7.

Размер окна TCP сервера ≈ 1600000 Байт:

На основе этих значений формула произведения на задержку полосы пропускания дает:

1600000 * 8 / 0,3 = максимальная теоретическая скорость передачи 43 Мбит / с

Случай 6. Медленная передача TCP (сценарий 2)

Описание проблемы: Передача (загрузка) файлов по FTP через брандмауэр происходит медленно.

На этом изображении показана топология:

Затронутый поток:

Src IP: 192.168.2.220

Dst IP: 192.168.1.220

Протокол: FTP

Анализ захвата

Включите захват на движке FTD LINA.

 firepower #  захват буфера необработанных данных типа CAPI 33554432 интерфейс INSIDE соответствие хоста tcp 192.168.2.220 хост 192.168.1.220 
firepower #  cap Буфер необработанных данных типа CAPO 33554432 интерфейс ВНЕШНЕЕ соответствие хоста tcp 192.168.2.220 хост 192.168.1.220
  

Выберите пакет FTP-DATA и следуйте каналу данных FTP при захвате FTD INSIDE (CAPI):

Содержимое потока FTP-DATA:

Содержимое захвата CAPO:

Ключевые точки:

  1. Имеются пакеты TCP Out-Of-Order (OOO).
  2. Произошла повторная передача TCP.
  3. Имеется индикация потери пакета (отброшенные пакеты).

Совет : Сохраните захваченные данные при переходе к Файл> Экспортировать указанные пакеты . Затем сохраните только диапазон пакетов Displayed

Рекомендуемые действия

Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

Действие 1. Определите место потери пакета.

В подобных случаях необходимо выполнять одновременный захват и использовать методологию «разделяй и властвуй» для определения сегмента (ов) сети, вызывающего потерю пакетов. С точки зрения межсетевого экрана существует 3 основных сценария:

  1. Потеря пакета вызвана самим межсетевым экраном.
  2. Потеря пакета вызвана нисходящим потоком к устройству межсетевого экрана (направление от сервера к клиенту).
  3. Потеря пакета вызвана восходящим потоком к устройству межсетевого экрана (направление от клиента к серверу).

Потеря пакетов, вызванная межсетевым экраном: Чтобы определить, вызвана ли потеря пакетов межсетевым экраном, необходимо сравнить входящий захват с исходящим захватом. Есть довольно много способов сравнить 2 разных снимка. В этом разделе показан один из способов решения этой задачи.

Процедура сравнения 2 захватов для определения потери пакетов

Шаг 1. Убедитесь, что 2 захвата содержат пакеты из одного временного окна. Это означает, что в одном захвате не должно быть пакетов, которые были захвачены до или после другого захвата.Есть несколько способов сделать это:

  • Проверьте значения IP-идентификатора (ID) первого и последнего пакета.
  • Проверить значения отметок времени первого и последнего пакета.

В этом примере вы можете видеть, что первые пакеты каждого захвата имеют одинаковые значения IP ID:

Если они не совпадают, то:

  1. Сравните временные метки первого пакета каждого захвата.
  2. Из захвата с последней отметкой времени получите фильтр, измените фильтр отметки времени с == на > = (первый пакет) и <= (последний пакет), например.г:

(frame.time> = "16 октября 2019 г. 16: 13: 43.2446") && (frame.time <= "16 октября 2019 г. 16: 20: 21.785130000")

3. Экспортируйте указанные пакеты в новый захват, выберите Файл> Экспортировать указанные пакеты и затем сохраните Отображаемые пакеты . На этом этапе оба захвата должны содержать пакеты, охватывающие одно и то же временное окно. Теперь вы можете начать сравнение двух снимков.

Шаг 2. Укажите, какое поле пакета используется для сравнения двух захватов.Пример полей, которые можно использовать:

  • IP-идентификация
  • Порядковый номер RTP
  • Порядковый номер ICMP

Создайте текстовую версию каждого захвата, содержащую поле для каждого пакета, указанного на шаге 1. Для этого оставьте только интересующий столбец, например если вы хотите сравнить пакеты на основе IP-идентификации, измените захват, как показано на изображении.

Результат:

Шаг 3.Создайте текстовую версию захвата ( File> Export Packet Dissections> As Plain Text ...), как показано на изображении:

Снимите флажок I nclude заголовков столбцов и Сведения о пакете Параметры , чтобы экспортировать только значения отображаемого поля, как показано на изображении:

Шаг 4. Отсортируйте пакеты в файлах. Для этого можно использовать команду Linux sort :

 #  сортировать CAPI_IDs> file1.отсортировано 
#  sort CAPO_IDs> file2.sorted
  


Шаг 5. Используйте инструмент сравнения текста (например, WinMerge) или команду Linux diff , чтобы найти различия между двумя захватами.

В этом случае захват CAPI и CAPO для трафика данных FTP идентичен. Это доказывает, что потеря пакетов не была вызвана межсетевым экраном.

Определить потерю пакетов в восходящем / нисходящем направлениях.

Ключевые точки:

1.Этот пакет является повторной передачей TCP. В частности, это пакет TCP SYN, отправляемый клиентом на сервер для данных FTP в пассивном режиме. Поскольку клиент повторно отправляет пакет, и вы можете видеть начальный SYN (пакет №1), пакет был потерян в восходящем направлении к межсетевому экрану.

В этом случае может быть даже вероятность того, что пакет SYN добрался до сервера, но пакет SYN / ACK был потерян на обратном пути:

2. Есть пакет от сервера, и Wireshark определил, что предыдущий сегмент не был замечен / захвачен.Поскольку незахваченный пакет был отправлен с сервера на клиент и не был замечен в захвате брандмауэра, это означает, что пакет был потерян между сервером и брандмауэром.

Это указывает на потерю пакетов между FTP-сервером и межсетевым экраном.

Действие 2. Сделайте дополнительные захваты.

Делайте дополнительные захваты вместе с захватами на конечных точках. Попробуйте применить метод «разделяй и властвуй», чтобы изолировать проблемный сегмент, вызывающий потерю пакетов.

Ключевые точки:

  1. Получатель (в данном случае FTP-клиент) отслеживает входящие порядковые номера TCP. Если он обнаруживает, что пакет был пропущен (ожидаемый порядковый номер был пропущен), он генерирует пакет ACK с ACK = «ожидаемый порядковый номер, который был пропущен». В этом примере Ack = 2224386800.
  2. Dup ACK запускает быструю повторную передачу TCP (повторная передача в течение 20 мс после получения дублированного ACK).

Что означают повторяющиеся ACK?

  • Несколько дублированных ACK, но нет фактических повторных передач, указывают на то, что более вероятно, что есть пакеты, которые прибывают не по порядку.
  • Дублирующиеся ACK, за которыми следуют фактические повторные передачи, указывают на то, что произошла некоторая потеря пакетов.

Действие 3. Рассчитайте время обработки межсетевым экраном транзитных пакетов.

Применить один и тот же захват на 2 разных интерфейсах:

 firepower #  буфер CAPI захвата 33554432 интерфейс INSIDE соответствие хоста tcp 192.168.2.220 хоста 192.168.1.220 
firepower #  захват интерфейса CAPI СНАРУЖИ  

Экспорт захвата, проверка разницы во времени между входящими и исходящими пакетами

Кейс 7.Проблема подключения TCP (повреждение пакета)

Описание проблемы:

Беспроводной клиент (192.168.21.193) пытается подключиться к целевому серверу (192.168.14.250 - HTTP), и существует 2 разных сценария:

  • Когда клиент подключается к точке доступа «A», HTTP-соединение не работает.
  • Когда клиент подключается к точке доступа «B», HTTP-соединение работает.

На этом изображении показана топология:

Затронутый поток:

Src IP: 192.168.21.193

Dst IP: 192.168.14.250

Протокол: TCP 80

Анализ захвата

Включить захваты на движке FTD LINA:

 firepower #  захват CAPI int INSIDE match ip host 192.168.21.193 host 192.168.14.250 
firepower #  захват CAPO int OUTSIDE match ip host 192.168.21.193 host 192.168.14.250
  

Захваты - Функциональный сценарий:

В качестве основы всегда очень полезно иметь захваты из рабочего сценария.

На этом изображении показан снимок, сделанный на интерфейсе NGFW INSIDE

.

На этом изображении показан снимок, сделанный на ВНЕШНЕМ интерфейсе NGFW.

Ключевые точки:

  1. 2 захвата почти идентичны (рассмотрим рандомизацию ISN).
  2. Нет признаков потери пакета.
  3. Пакеты без заказа (ООО)
  4. Имеется 3 запроса HTTP GET. Первый получает сообщение 404 «Не найдено», второй - 200 «ОК», а третий получает сообщение перенаправления 304 «Не изменено».

Захваты - Нерабочий сценарий:

Содержимое входящего захвата (CAPI).

Ключевые точки:

  1. Имеется трехстороннее подтверждение TCP.
  2. Есть повторные передачи TCP и признаки потери пакета.
  3. Существует пакет (TCP ACK), который Wireshark идентифицирует как Malformed .

На этом изображении показано содержимое исходящего захвата (CAPO).

Ключевые точки:

2 захвата почти идентичны (учтите рандомизацию ISN):

  1. Имеется трехстороннее подтверждение TCP.
  2. Есть повторные передачи TCP и признаки потери пакета.
  3. Существует пакет (TCP ACK), который Wireshark идентифицирует как Malformed .

Проверить неверно сформированный пакет:

Ключевые точки:

  1. Пакет идентифицирован как неверно сформированный программой Wireshark.
  2. Имеет длину 2 байта.
  3. Имеется полезная нагрузка TCP размером 2 байта.
  4. Полезная нагрузка - 4 дополнительных нуля (00 00).
Рекомендуемые действия

Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

Действие 1. Сделайте дополнительные перехваты, включая перехваты на конечных точках, и, если возможно, попробуйте применить метод «разделяй и властвуй», чтобы изолировать источник повреждения пакета, например

В этом случае 2 дополнительных байта были добавлены драйвером интерфейса коммутатора «A», и было решено заменить коммутатор, вызывающий повреждение.

Случай 8. Проблема с подключением UDP (отсутствующие пакеты)

Описание проблемы: сообщения системного журнала (UDP 514) не отображаются на целевом сервере системного журнала.

На этом изображении показана топология:

Затронутый поток:

Src IP: 192.168.1.81

Dst IP: 10.10.1.73

Протокол: UDP 514

Анализ захвата

Включить захваты на движке FTD LINA:

 firepower #  захват CAPI int INSIDE trace match udp host 192.168.1.81 host 10.10.1.73 eq 514 
firepower #  захват CAPO int OUTSIDE match udp host 192.168.1.81 host 10.10.1.73 eq 514
  

захватов FTD не показывают пакетов:

 огневая мощь #  показать захват 
захват интерфейса трассировки необработанных данных типа CAPI ВНУТРИ [захват - 0 байт]
  соответствовать хосту udp 192.168.1.81 хост 10.10.1.73 eq syslog
захват интерфейса необработанных данных типа CAPO СНАРУЖИ [захват - 0 байт]
  сопоставить хост udp 192.168.1.81 хост 10.10.1.73 eq syslog
 
Рекомендуемые действия

Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

Действие 1. Проверьте таблицу соединений FTD.

Чтобы проверить конкретное соединение, вы можете использовать следующий синтаксис:

 firepower #  показать адрес соединения 192.168.1.81 порт 514 
10 в использовании, 3627189 наиболее часто используемых
Осмотрите Snort:
        preserve-connection: 6 включено, 0 активно, 74 наиболее активно, 0 наиболее активно

UDP  ВНУТРИ  10.10.1.73: 514  INSIDE  192.168.1.81:514, idle 0:00:00, байты  480379697 , флаги -  o  N1
 

Ключевые точки:

  1. Входной и выходной интерфейсы одинаковы (разворот).
  2. Количество байтов имеет очень большое значение (~ 5 ГБ).
  3. Флаг «o» обозначает разгрузку потока (HW ускоренный поток). Это причина того, что захваты FTD не показывают никаких пакетов. Выгрузка потока поддерживается только на платформах 41xx и 93xx.В данном случае это устройство 41xx.

Действие 2. Сделайте снимки на уровне шасси.

Подключитесь к диспетчеру шасси Firepower и включите захват на входном интерфейсе (в данном случае E1 / 2) и интерфейсах объединительной платы (E1 / 9 и E1 / 10), как показано на изображении:

Через несколько секунд:

Совет : в Wireshark исключите пакеты с тегами VN, чтобы исключить дублирование пакетов на уровне физического интерфейса

Раньше:

После:

Ключевые точки:

  1. Фильтр отображения применяется для удаления дубликатов пакетов и отображения только системных журналов.
  2. Разница между пакетами находится на уровне микросекунд. Это указывает на очень высокую скорость передачи пакетов.
  3. Время жизни (TTL) постоянно уменьшается. Это указывает на пакетную петлю.

Действие 3. Используйте трассировщик пакетов.

Поскольку пакеты не проходят через механизм LINA брандмауэра, вы не можете выполнять трассировку в реальном времени (захват с трассировкой), но вы можете отслеживать эмулированный пакет с помощью средства отслеживания пакетов:

 firepower #  вход для трассировщика пакетов ВНУТРИ udp 10.10.1.73 514 192.168.1.81 514
 
Фаза 1
Тип: ЗАХВАТ
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
Список доступа MAC

Фаза 2
Тип: СПИСОК ДОСТУПА
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Неявное правило
Дополнительная информация:
Список доступа MAC

Фаза: 3
Тип: ПОТОК-ПРОСМОТР
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
  Найден поток с идентификатором 25350892 с использованием существующего потока 

Фаза: 4
Тип: SNORT
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
Snort Verdict: (перемотка вперед) перемотка вперед по этому потоку

Фаза: 5
Тип: МАРШРУТ-ПРОСМОТР
Подтип: Разрешить исходящий интерфейс
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
найден следующий переход 192.168.1.81 с использованием egress ifc INSIDE

Фаза: 6
Тип: ADJACENCY-LOOKUP
Подтип: следующий переход и смежность
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
смежность активна
MAC-адрес следующего перехода a023.9f92.2a4d попадает в 1 ссылку 1

Фаза: 7
Тип: ЗАХВАТ
Подтип:
Результат: РАЗРЕШИТЬ
Конфиг:
Дополнительная информация:
Список доступа MAC

Результат:
  интерфейс ввода: ВНУТРИ 
вход-статус: вверх
вход-линия-статус: вверх
 Выходной интерфейс : ВНУТРИ 
статус вывода: вверх
статус строки вывода: вверх
Действие: разрешить
 

Действие 4.Подтвердите маршрутизацию FTD.

Проверьте таблицу маршрутизации межсетевого экрана на наличие проблем с маршрутизацией:

 firepower #  показать маршрут 10.10.1.73 

Запись маршрутизации для 10.10.1.0 255.255.255.0
  Известен через "eigrp 1", расстояние 90, метрическая система 3072, тип внутренний
  Распространение через eigrp 1
  Последнее обновление от 192.168.2.72 на  OUTSIDE, 0:03:37 назад 
  Блоки дескриптора маршрутизации:
  * 192.168.2.72, из 192.168.2.72,  0:02:37 назад, через OUTSIDE 
      Метрика маршрута - 3072, доля трафика - 1.
      Общая задержка 20 микросекунд, минимальная пропускная способность 1000000 Кбит
      Надежность 255/255, минимальный MTU 1500 байт
      Загрузка 29/255, хмель 1
 

Ключевые точки:

  1. Маршрут указывает на правильный выходной интерфейс.
  2. Маршрут был изучен несколько минут назад (0:02:37).

Действие 5. Подтвердите время работы соединения.

Проверьте время работы соединения, чтобы узнать, когда оно было установлено:

 firepower #  показать адрес соединения 192.168.1.81 порт 514 деталь 
21 используется, 3627189 наиболее часто используется
Осмотрите Snort:
        preserve-connection: 19 включено, 0 активно, 74 наиболее активно, 0 наиболее активно
Флаги: A - ожидает ACK ответчика на SYN, a - ожидает ACK инициатора на SYN,
       b - TCP state-bypass или прибитый,
       C - CTIQBE media, c - кластер централизованный,
       D - DNS, d - дамп, E - внешнее обратное соединение, e - полураспределенное,
       F - инициатор FIN, f - ответчик FIN,
       G - группа, g - MGCP, H - H.323, h - H.225.0, I - данные инициатора,
       i - неполный, J - GTP, j - данные GTP, K - t3-ответ GTP
       k - тощий носитель, L - туннель без крышки, M - данные SMTP, m - носитель SIP
       N - проверено Snort (1 - сохранение соединения включено, 2 - сохранение соединения действует)
       n - GUP, O - данные респондента, o - выгружены,
       P - внутреннее заднее соединение, p - пассажирский поток
       q - данные SQL * Net, R - инициатор подтвердил FIN,
       R - UDP SUNRPC, r - ответчик подтвердил FIN,
       T - SIP, t - SIP переходный, U - вверх,
       V - сирота VPN, v - M3UA W - WAAS,
       w - резервная копия вторичного домена,
       X - проверяется сервисным модулем,
       x - на сеанс, Y - поток заглушки директора, y - поток заглушки резервного копирования,
       Z - Scansafe redirection, z - прямой поток пересылки

UDP ВНУТРИ: 10.10.1.73 / 514 ВНУТРИ: 192.168.1.81/514,
    флаги -oN1, простоя 0 с,  время безотказной работы 3 мин. 49 с. , тайм-аут 2 мин. с., байты 4801148711
 

Ключевой момент:

  1. Соединение было установлено ~ 4 минуты назад (это до установки маршрута EIGRP в таблице маршрутизации)

Действие 6. Удалите существующее соединение.

В этом случае пакеты соответствуют установленному соединению и направляются на неправильный выходной интерфейс, вызывая петлю. Это связано с порядком работы брандмауэра:

  1. Поиск установленного соединения (имеет приоритет над поиском в глобальной таблице маршрутизации).
  2. Поиск преобразования сетевых адресов (NAT) - этап UN-NAT (NAT назначения) имеет приоритет над PBR и поиском маршрута.
  3. Маршрутизация на основе политик (PBR)
  4. Поиск в глобальной таблице маршрутизации

Поскольку соединение никогда не истекает (клиент системного журнала непрерывно отправляет пакеты, в то время как тайм-аут простоя соединения UDP составляет 2 минуты), необходимо вручную очистить соединение:

 firepower #  очистить адрес соединения 10.10.1.73 адрес 192.168.1.81 протокол UDP порт 514 
1 соединение (а) удалено.


Убедитесь, что установлено новое соединение:

 firepower #  показать адрес соединения 192.168.1.81 детали порта 514 | б 10.10.1.73. * 192.168.1.81 
UDP  СНАРУЖИ : 10.10.1.73/514  ВНУТРИ : 192.168.1.81/514,
    флаги -oN1, простоя 1 мин. 15 сек., время безотказной работы 1 мин. 15 сек., тайм-аут 2 мин. 0 сек., байты 408
 

Действие 7. Настройте тайм-аут плавающего соединения.

Это правильное решение для решения проблемы и предотвращения неоптимальной маршрутизации, особенно для потоков UDP.Перейдите к устройствам > Настройки платформы> Таймауты и установите значение:

Более подробную информацию о тайм-ауте плавающего соединения можно найти в Справочнике команд:

https://www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/T-Z/cmdref4/t1.html#pgfId-1649892

Случай 9. Проблема подключения HTTPS (сценарий 1)

Описание проблемы: HTTPS-связь между клиентом 192.168.201.105 и сервером 192.168.202.101 невозможно установить

На этом изображении показана топология:

Затронутый поток:

Src IP: 192.168.201.111

Dst IP: 192.168.202.111

Протокол: TCP 443 (HTTPS)

Анализ захвата

Включить захваты на движке FTD LINA:

IP-адрес, используемый во ВНЕШНЕМ захвате, отличается из-за конфигурации преобразования порта в адрес.

 firepower #  capture CAPI int INSIDE match ip host 192.168.201.111 хост 192.168.202.111 
firepower #  захват CAPO int OUTSIDE соответствие IP-хост 192.168.202.11 хост 192.168.202.111
  


На этом изображении показан снимок, сделанный на интерфейсе NGFW INSIDE:

Ключевые точки:

  1. Имеется трехстороннее подтверждение TCP.
  2. Начало согласования SSL. Клиент отправляет сообщение Client Hello.
  3. Клиент получил TCP ACK.
  4. Клиенту отправлено TCP RST.

На этом изображении показан снимок, сделанный на интерфейсе NGFW OUTSIDE.

Ключевые точки:

  1. Имеется трехстороннее подтверждение TCP.
  2. Начало согласования SSL. Клиент отправляет сообщение Client Hello.
  3. Брандмауэр отправляет на сервер повторные передачи TCP.
  4. На сервер отправлено TCP RST.
Рекомендуемые действия

Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

Действие 1. Сделайте дополнительные снимки.

Захват, сделанный на сервере, показывает, что сервер получил TLS Client Hellos с поврежденной контрольной суммой TCP и молча отбрасывает их (нет TCP RST или любого другого пакета ответа для клиента):

Если собрать все вместе:

В этом случае, чтобы понять, что происходит, необходимо включить в Wireshark опцию Проверить контрольную сумму TCP, если возможно, . Перейдите к Edit> Preferences> Protocols> TCP , как показано на изображении.

В этом случае полезно расположить снимки рядом, чтобы получить полную картину:

Ключевые точки:

  1. Имеется трехстороннее подтверждение TCP. Идентификаторы IP такие же. Это означает, что брандмауэр не проксировал поток.
  2. Приветствие клиента TLS исходит от клиента с IP-идентификатором 12083. Пакет передается через прокси-сервер межсетевым экраном (в данном случае межсетевой экран был настроен с использованием политики расшифровки TLS), а IP-идентификатор изменен на 52534.Кроме того, контрольная сумма TCP пакета повреждена (из-за дефекта программного обеспечения, который позже был исправлен).
  3. Межсетевой экран находится в режиме TCP Proxy и отправляет ACK клиенту (подменяя сервер).

  4. Межсетевой экран не получает никаких пакетов TCP ACK от сервера и повторно передает приветственное сообщение клиента TLS. Это опять же из-за режима TCP Proxy, который активировал брандмауэр.
  5. Через ~ 30 секунд брандмауэр отказывается и отправляет клиенту TCP RST.
  6. Межсетевой экран отправляет серверу TCP RST.

Для справки:

Firepower TLS / SSL Обработка квитирования

Случай 10. Проблема подключения HTTPS (сценарий 2)

Описание проблемы: Ошибка регистрации лицензии FMC Smart.

На этом изображении показана топология:

Затронутый поток:

Src IP: 192.168.0.100

Dst: tools.cisco.com

Протокол: TCP 443 (HTTPS)

Анализ захвата

Включить захват в интерфейсе управления FMC:

Попробуйте зарегистрироваться еще раз.C захвачено 264 пакета <- CTRL-C 264 пакетов, полученных фильтром 0 пакетов отброшено ядром корень @ огневая мощь: / Том / главная / админ #


Соберите снимок из FMC ( System> Health> Monitor, выберите устройство и выберите Advanced Troubleshooting ), как показано на изображении:

На изображении показан захват FMC на Wireshark:

Совет : Чтобы проверить все новые захваченные сеансы TCP, используйте tcp.flags == 0x2 фильтр отображения в Wireshark. Это фильтрует все захваченные TCP SYN-пакеты.

Совет : примените в качестве столбца поле Server Name из сообщения SSL Client Hello.

Совет : примените этот фильтр отображения, чтобы видеть только сообщения Client Hello ssl.handshake.type == 1

Примечание : На момент написания этой статьи портал интеллектуального лицензирования (tools.cisco.com) использует эти IP-адреса: 72.163.4.38, 173.37.145.8

Следуйте одному из TCP-потоков ( Follow> TCP Stream) , как показано на изображении.

Ключевые точки:

  1. Имеется трехстороннее подтверждение TCP.
  2. Клиент (FMC) отправляет сообщение SSL Client Hello на портал Smart Licensing.
  3. Идентификатор сеанса SSL равен 0. Это означает, что сеанс не возобновлен.
  4. Целевой сервер отвечает сообщениями «Приветствие сервера», «Сертификат» и «Приветствие сервера выполнено».
  5. Клиент отправляет SSL Fatal Alert с жалобой на «Неизвестный ЦС».
  6. Клиент отправляет TCP RST, чтобы закрыть сеанс.
  7. Полная продолжительность TCP-сеанса (от установления до закрытия) составляла ~ 0,5 секунды.

Выберите Сертификат сервера и разверните поле эмитента , чтобы увидеть commonName. В этом случае Общее имя показывает устройство, которое выполняет функцию «Человек посередине» (MITM).

Это показано на этом изображении:

Рекомендуемые действия

Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

Действие 1. Сделайте дополнительные снимки.

Сделать снимки на транзитном брандмауэре:

CAPI показывает:

CAPO показывает:

Эти записи подтверждают, что транзитный межсетевой экран изменяет сертификат сервера (MITM)

Действие 2. Проверьте журналы устройства.

Вы можете получить комплект FMC TS, как описано в этом документе:

https://www.cisco.com/c/en/us/support/docs/security/sourcefire-defense-center/117663-technote-SourceFire-00.html

В этом случае файл /dir-archives/var-log/process_stdout.log показывает такие сообщения:

 SOUT: 10-23 05:45:14 2019-10-23 05:45:36 sla [10068]: * среда .967 UTC: CH-LIB-ERROR: ch_pf_curl_send_msg [494], 
не удалось выполнить, ошибка код 60, строка ошибки "Сертификат узла SSL или удаленный ключ SSH не в порядке" ...
SOUT: 10-23 05:45:14 2019-10-23 05:45:36 sla [10068]: * Ср. 967 UTC: CH-LIB-TRACE: ch_pf_curl_is_cert_issue [514],
проблема с сертификатом проверка, ret 60, url "https: // tools.cisco.com/its/

Рекомендуемое решение

Отключите MITM для определенного потока, чтобы FMC мог успешно зарегистрироваться в облаке Smart Licensing.

Случай 11. Проблема подключения IPv6

Описание проблемы: внутренние узлы (расположенные за ВНУТРЕННИМ интерфейсом межсетевого экрана) не могут взаимодействовать с внешними узлами (узлами, расположенными за ВНЕШНИМ интерфейсом межсетевого экрана).

На этом изображении показана топология:

Затронутый поток:

Src IP: fc00: 1: 1: 1 :: 100

Dst IP: fc00: 1: 1: 2 :: 2

Протокол: любой

Анализ захвата

Включить захват на движке FTD LINA.

 firepower #  захват CAPI int INSIDE match ip any6 any6 
огневая мощь #  захват CAPO int OUTSIDE match ip any6 any6
  

Захваты - нефункциональный сценарий

Эти записи были сделаны параллельно с тестом подключения ICMP с IP fc00: 1: 1: 1 :: 100 (внутренний маршрутизатор) на IP fc00: 1: 1: 2 :: 2 (восходящий маршрутизатор).

Захват на межсетевом экране ВНУТРИ интерфейс содержит:

Ключевые точки:

  1. Маршрутизатор отправляет сообщение IPv6 Neighbor Solicitation с запросом MAC-адреса восходящего устройства (IP fc00: 1: 1: 1 :: 1).
  2. Брандмауэр отвечает объявлением о соседстве IPv6.
  3. Маршрутизатор отправляет эхо-запрос ICMP.
  4. Межсетевой экран отправляет сообщение IPv6 Neighbor Solicitation с запросом MAC-адреса нисходящего устройства (fc00: 1: 1: 1 :: 100).
  5. Маршрутизатор отвечает объявлением о соседстве IPv6.
  6. Маршрутизатор отправляет дополнительные эхо-запросы IPv6 ICMP.

Запись на ВНЕШНИЙ интерфейс межсетевого экрана содержит:

Ключевые точки:

  1. Межсетевой экран отправляет сообщение IPv6 Neighbor Solicitation с запросом MAC-адреса восходящего устройства (IP fc00: 1: 1: 2 :: 2).
  2. Маршрутизатор отвечает объявлением о соседстве IPv6.
  3. Межсетевой экран отправляет эхо-запрос IPv6 ICMP.
  4. Устройство восходящего потока (маршрутизатор fc00: 1: 1: 2 :: 2) отправляет сообщение IPv6 Neighbor Solicitation с запросом MAC-адреса IPv6-адреса fc00: 1: 1: 1 :: 100.
  5. Межсетевой экран отправляет дополнительный эхо-запрос IPv6 ICMP.
  6. Маршрутизатор восходящего потока отправляет дополнительное сообщение запроса соседа IPv6 с запросом MAC-адреса IPv6-адреса fc00: 1: 1: 1 :: 100.

Пункт 4 очень интересный. Обычно восходящий маршрутизатор запрашивает MAC-адрес ВНЕШНЕГО интерфейса межсетевого экрана (fc00: 1: 1: 2 :: 2), но вместо этого он запрашивает fc00: 1: 1: 1 :: 100. Это признак неправильной конфигурации.

Рекомендуемые действия

Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

Действие 1. Проверьте таблицу соседей IPv6.

Таблица IPv6-соседей межсетевого экрана заполнена правильно.

 firepower #  показать соседа по ipv6 | я fc00 
fc00: 1: 1: 2 :: 2 58 4c4e.35fc.fcd8 СТАЛО ВНЕШНИЙ
fc00: 1: 1: 1 :: 100 58 4c4e.35fc.fcd8 СТАЛО ВНУТРИ
 

Действие 2. Проверьте конфигурацию IPv6.

Это конфигурация межсетевого экрана.

 firewall #  show run int e1 / 2 
!
интерфейс Ethernet1 / 2
 nameif ВНУТРИ
 cts руководство
  распространять sgt preserve-untag
  политика статическая sgt отключена доверенная
 уровень безопасности 0
 IP-адрес 192.168.0.1 255.255.255.0
 IPv6-адрес  fc00: 1: 1: 1 :: 1/64 
 ipv6 включить

firewall #  show run int e1 / 3.202 
!
интерфейс Ethernet1 / 3.202
 vlan 202
 nameif СНАРУЖИ
 cts руководство
  распространять sgt preserve-untag
  политика статическая sgt отключена доверенная
 уровень безопасности 0
 IP-адрес 192.168.103.96 255.255.255.0
 IPv6-адрес  fc00: 1: 1: 2 :: 1/64 
 ipv6 включить
 


Конфигурация восходящего устройства обнаруживает неправильную конфигурацию:

 Маршрутизатор № показывает интерфейс запуска g0 / 0.202 
!
интерфейс GigabitEthernet0 / 0.202
 инкапсуляция dot1Q 202
 VRF переадресация VRF202
 IP-адрес 192.168.2.72 255.255.255.0
 IPv6-адрес FC00: 1: 1: 2 :: 2 /48
  

Захваты - Функциональный сценарий

Изменение маски подсети (с / 48 на / 64) устранило проблему. Это запись CAPI в функциональном сценарии.

Ключевой момент:

  1. Маршрутизатор отправляет сообщение IPv6 Neighbor Solicitation с запросом MAC-адреса восходящего устройства (IP fc00: 1: 1: 1 :: 1).
  2. Брандмауэр отвечает объявлением о соседстве IPv6.
  3. Маршрутизатор отправляет эхо-запросы ICMP и получает эхо-ответы.

Состав CAPO:

Ключевые точки:

  1. Межсетевой экран отправляет сообщение IPv6 Neighbor Solicitation с запросом MAC-адреса восходящего устройства (IP fc00: 1: 1: 2 :: 2).
  2. Брандмауэр отвечает объявлением о соседстве IPv6.
  3. Межсетевой экран отправляет эхо-запрос ICMP.
  4. Маршрутизатор отправляет сообщение IPv6 Neighbor Solicitation с запросом MAC-адреса нисходящего устройства (IP fc00: 1: 1: 1 :: 1).
  5. Брандмауэр отвечает объявлением о соседстве IPv6.
  6. Межсетевой экран отправляет эхо-запросы ICMP и получает эхо-ответы.

Случай 12. Непостоянная проблема подключения (отравление ARP)

Описание проблемы: внутренние узлы (192.168.0.x / 24) периодически имеют проблемы с подключением к узлам в той же подсети

На этом изображении показана топология:

Затронутый поток:

Src IP: 192.168.0.x / 24

IP-адрес Dst: 192.168.0.x / 24

Протокол: любой

Кажется, что кеш ARP внутреннего хоста отравлен:

Анализ захвата

Включить захват на движке FTD LINA

Этот захват захватывает только пакеты ARP на интерфейсе INSIDE:

 firepower #  захват интерфейса CAPI_ARP INSIDE ethernet-type arp  

Захваты - нефункциональный сценарий:

Захват на межсетевом экране ВНУТРИ интерфейса содержит.

Ключевые точки:

  1. Межсетевой экран получает различные запросы ARP для IP-адресов в сети 192.168.0.x / 24
  2. Межсетевой экран отвечает на все из них (прокси-ARP) своим собственным MAC-адресом
Рекомендуемые действия

Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

Действие 1. Проверьте конфигурацию NAT.

В зависимости от конфигурации NAT бывают случаи, когда ключевое слово no-proxy-arp может предотвратить вышеуказанное поведение:

 firepower #  выставка нац 
nat (INSIDE, OUTSIDE) исходный статический NET_1.1.1.0 NET_2.2.2.0 назначения статический NET_192.168.0.0 NET_4.4.4.0  no-proxy-arp
  

Действие 2. Отключите функцию proxy-arp в интерфейсе межсетевого экрана.

Если ключевое слово «no-proxy-arp» не решает проблему, рассмотрите возможность отключения прокси-ARP на самом интерфейсе. В случае FTD на момент написания этой статьи вам нужно будет использовать FlexConfig и развернуть следующую команду (укажите соответствующее имя интерфейса).

 sysopt noproxyarp ВНУТРИ 

Корпус 13.Определите идентификаторы объектов SNMP (OID), которые вызывают сбои ЦП

Этот случай демонстрирует, как определенные идентификаторы SNMP OID для опроса памяти были определены как основная причина зависания ЦП (проблемы с производительностью) на основе анализа перехвата пакетов SNMP версии 3 (SNMPv3).

Описание проблемы: переполнение на интерфейсах данных постоянно увеличивается. Дальнейшее устранение неполадок показало, что есть также проблемы с ЦП (вызванные процессом SNMP), которые являются основной причиной переполнения интерфейса.

Следующим шагом в процессе устранения неполадок было определение основной причины перегрузки ЦП, вызванной процессом SNMP, и, в частности, сужение области действия проблемы до определения идентификаторов объектов SNMP (OID), которые при опросе потенциально могут привести к в свиньях ЦП.

В настоящее время механизм FTD LINA не предоставляет команду show для идентификаторов SNMP OID, которые опрашиваются в реальном времени. Список SNMP OID для опроса можно получить из инструмента мониторинга SNMP, однако в этом случае были следующие ограничивающие факторы:

  • Администратор FTD не имел доступа к инструменту мониторинга SNMP
  • SNMP версии 3 с аутентификацией и шифрованием данных для конфиденциальности был настроен на FTD
Анализ захвата

Поскольку администратор FTD имел учетные данные для аутентификации и шифрования данных SNMP версии 3, был предложен следующий план действий:

  1. Захват пакетов SNMP
  2. Сохраните записи и используйте настройки протокола Wireshark SNMP, чтобы указать учетные данные SNMP версии 3 для расшифровки пакетов SNMP версии 3.Расшифрованные записи используются для анализа и получения идентификаторов SNMP OID
  3. .

Настроить захват пакетов SNMP на интерфейсе, который используется в конфигурации хоста snmp-сервера:

 firepower #  show run snmp-server | включить хост 
управление хостом snmp-сервера 192.168.10.10 версия 3 netmonv3


firepower #  показать управление IP-адресами 
Системный IP-адрес:
Имя интерфейса IP-адрес Маска подсети Метод
Управление 0/0 192.168.5.254 255.255.255.0 КОНФИГУРАЦИЯ
Текущий IP-адрес:
Имя интерфейса IP-адрес Маска подсети Метод
Управление 0/0 192.168.5.254 255.255.255.0 КОНФИГУРАЦИЯ

firepower #  захват capsnmp интерфейс управления буфер 10000000 соответствие хоста udp 192.168.10.10 хост 192.168.5.254 eq snmp 

firepower #  показать захват capsnmp 

захватить тип capsnmp буфер необработанных данных 10000000 интерфейс вне интерфейса [захват -  9512  байта]
  соответствовать хосту udp 192.168.10.10 хост 192.168.5.254 eq snmp
 

Ключевые точки:

  1. Адреса / порты источника и назначения SNMP.
  2. PDU протокола SNMP не может быть декодирован, потому что PrivKey неизвестен Wireshark.
  3. Значение примитива encryptedPDU.
Рекомендуемые действия

Действия, перечисленные в этом разделе, направлены на дальнейшее сужение проблемы.

Действие 1. Расшифруйте записи SNMP.

Сохраните записи и отредактируйте предпочтения протокола Wireshark SNMP, указав учетные данные SNMP версии 3 для расшифровки пакетов.

 firepower #  копирование / захват pcap: tftp: 
Имя захвата источника [capsnmp]?

Адрес или имя удаленного хоста []? 192.168.10.253

Целевое имя файла [capsnmp]? capsnmp.pcap
  !!!!!!
64 пакета скопировано за 0,40 секунды
  

Откройте файл захвата в Wireshark, выберите пакет SNMP и перейдите к Protocol Preferences> Users Table , как показано на изображении:

В таблице «Пользователи SNMP» были указаны имя пользователя SNMP версии 3, модель аутентификации, пароль аутентификации, протокол конфиденциальности и пароль конфиденциальности (фактические учетные данные не показаны ниже):

После применения настроек пользователей SNMP Wireshark показал расшифрованные PDU SNMP:

Ключевые точки:

  1. Инструменты мониторинга SNMP использовали SNMP getBulkRequest для запроса и обхода родительского OID 1.3.6.1.4.1.9.9.221.1 и связанные с ним OID.
  2. FTD отвечал на каждый запрос getBulkRequest получением ответа, содержащим OID, относящиеся к 1.3.6.1.4.1.9.9.221.1.

Действие 2. Определите идентификаторы SNMP OID.

Навигатор объектов SNMP показал, что OID 1.3.6.1.4.1.9.9.221.1 принадлежит базе управляющей информации (MIB) с именем CISCO-ENHANCED-MEMPOOL-MIB , как показано на изображении:

Чтобы отобразить OID в удобочитаемом формате в Wireshark, выполните следующие действия:

  1. Загрузите MIB CISCO-ENHANCED-MEMPOOL-MIB и ее зависимости, как показано на изображении:

2.В Wireshark в окне Edit> Preferences> Name Resolution установлен флажок Enable OID Resolution . В окне SMI (пути MIB и PIB), укажите папку с загруженными MIB, а в SMI (модули MIB и PIB). CISCO-ENHANCED-MEMPOOL-MIB автоматически добавляется в список модулей:

3. После перезапуска Wireshark активируется разрешение OID:

На основе расшифрованных выходных данных файла захвата инструмент мониторинга SNMP периодически (с интервалом 10 секунд) опрашивал данные об использовании пулов памяти на FTD.Как объяснено в статье TechNote, опрос ASA SNMP для статистики, связанной с памятью, при опросе использования глобального общего пула (GSP) с использованием SNMP приводит к загрузке ЦП. В этом случае из захватов было ясно, что использование глобального общего пула периодически опрашивалось как часть примитива SNMP getBulkRequest.

Чтобы свести к минимуму нагрузку на ЦП, вызванную процессом SNMP, было рекомендовано выполнить шаги по снижению нагрузки на ЦП для SNMP, упомянутые в статье, и избегать опроса OID, связанных с GSP.Без опроса SNMP для идентификаторов OID, относящихся к GSP, не наблюдалось никаких перегрузок ЦП, вызванных процессом SNMP, и частота переполнений значительно снизилась.

Связанная информация

Моделирование внешнего режима с TCP / IP или последовательной связью - MATLAB и Simulink

ExtModeAddSuffixToVar
off , on
Включить архивирование данных: Добавить суффикс файла к переменной имена флажок Увеличение имен переменных для каждого увеличиваемого имени файла.
ExtModeArchiveDirName
символ вектор
Включить архивирование данных: Каталог текстовое поле Сохранение данных в указанной папке.
ExtModeArchiveFileName
символ вектор
Включить архивирование данных: Файл текстовое поле Сохранить данные в указанном файле.
ExtModeArchiveMode
символа вектор - выкл , авто , руководство
Включить архивирование данных: Включить архивирование флажок

Активировать функции автоматического архивирования данных.

Уточнять руководство , запустите set_param (gcs, 'ExtModeArchiveMode', 'руководство') .

Обратите внимание, что если вы укажете auto , ExtModeAutoIncOneShot установлен на по .

ExtModeArmWhenConnect
выкл. , вкл.
Внешний сигнал и запуск: Постановка на охрану при подключении к целевой флажок Активизируйте триггер, как только Simulink Программное обеспечение кодера подключается к цели.
ExtModeAutoIncOneShot
выкл , на
Включить архивирование данных: Файл приращения после однократной проверки box Сохранение новых буферов данных в инкрементных файлах.
ExtModeAutoUpdateStatusClock (только для платформ Windows)
выкл. , на
Недоступно Непрерывная загрузка и отображение целевого времени в состоянии окна модели бар.
ExtModeBatchMode
выкл. , на
Панель управления внешним режимом: Пакетная загрузка проверка box Разрешить или запретить загрузку параметров в пакетном режиме.
ExtModeChangesPending
выкл. , на
Недоступно Когда ExtModeBatchMode включен, указывает, параметры остаются в очереди параметров для загрузки в целевой объект.
ExtModeCommand
символ вектор - рука Плавающая , armWired , отменить плавающий , отменитьПроводной
  • рука Плавающий и отменить Плавающий являются эквивалентно установке и снятию флажка External Mode Control Panel>

  • armWired и cancelWired являются эквивалент кнопок внешней панели управления режимами Arm Триггер и Отмена триггера

Подайте команду внешнего режима целевому приложению.
ExtModeConnected
выкл. , вкл.
Панель управления внешним режимом: Подключение / отключение кнопка Указывает состояние соединения с целевым приложением.
ExtModeEnableFloating
выкл. , на
Панель управления внешним режимом: Включить загрузку данных проверить box Включение или отключение постановки на охрану и отмены триггеров при подключении установлен с плавающими прицелами.
ExtModeIncDirWhenArm
выкл. , вкл.
Включить архивирование данных: Увеличить каталог при срабатывании. флажок активирован Записывать файлы журнала в дополнительные папки каждый раз при включении триггера.
ExtModeLogAll
выкл. , вкл.
Внешний сигнал и запуск: Выбрать все check box Загрузить доступные сигналы от цели к хосту.
ExtModeParamChangesPending
выкл. , на
Недоступно Когда Simulink Программное обеспечение Coder подключено к цели и ExtModeBatchMode включен, указывает, включены ли параметры остаются в очереди параметров для загрузки в цель. Более эффективным чем ExtModeChangesPending , потому что он проверяет подключение к цель.
ExtModeSkipDownloadWhenConnect
выкл. , на
Недоступно Подключитесь к целевому приложению без загрузки параметров.
ExtModeTrigDelay
целое число ( 0 )
Внешний сигнал и запуск: Задержка текстовое поле Укажите время (выраженное в шагах базовой скорости), которое проходит между возникновение триггера и начало сбора данных.
ExtModeTrigDirection
930 72 символа вектор - восходящий , падающий , либо
Внешний сигнал и запуск: Направление меню Укажите направление, в котором должен распространяться сигнал при пересечении пороговое значение.
ExtModeTrigDuration
целое число ( 1000 )
Внешний сигнал и запуск: Продолжительность текст поле Укажите количество шагов базовой скорости, для которых внешний режим должен регистрировать данные после триггерного события.
ExtModeTrigDurationFloating
символ вектор - целое ( авто )
Панель управления внешним режимом: Продолжительность текстовое поле Укажите продолжительность для плавающих областей. Если авто указано значение ExtModeTrigDuration .
ExtModeTrigElement
символ вектор - целое , любой , последний
Внешний сигнал и запуск: Элемент текст поле Укажите элементы входного порта указанного блока триггера, которые могут вызвать срабатывание спускового крючка.
ExtModeTrigHoldOff
целое число ( 0 )
Внешний сигнал и запуск: Задержка текст поле Укажите шаги базовой скорости между завершением триггерного события и курок перевооружен.
ExtModeTrigLevel
целое ( 0 )
Внешний сигнал и запуск: Уровень текстового поля Укажите пороговое значение, которое должен пересечь сигнал запуска, чтобы запустить курок.
ExtModeTrigMode
символа вектор - нормальный , oneshot
Внешний сигнал и запуск: Mode menu Укажите, должен ли триггер автоматически перезаряжаться после каждого триггерного события или нужно ли собирать только один буфер данных каждый раз при срабатывании триггера. вооружен.
ExtModeTrigPort
930 72 символа вектор - целое ( 1 ), последний
Внешний сигнал и запуск: Порт Текстовое поле Укажите входной порт указанного блока запуска, для которого элементы могут вызвать срабатывание спускового крючка.
ExtModeTrigType
символа вектор - ручной , сигнал
Внешний сигнал и запуск: Источник меню Укажите, следует ли начинать регистрацию данных при активации триггера или указанный сигнал запуска удовлетворяет условиям запуска.
ExtModeUploadStatus
символа вектор - неактивный , активирован , выгрузка
Недоступно Возвращает статус механизма загрузки внешнего режима - неактивен, вооружен или загружает.
ExtModeWriteAllDataToWs
выкл. , вкл.
Включить архивирование данных: Записать промежуточные результаты в рабочее пространство флажок Записать промежуточные результаты в рабочее пространство.

Устранение неполадок при подключении к ядру СУБД SQL Server - SQL Server

  • 14 минут на чтение

В этой статье

Применимо к: SQL Server (все поддерживаемые версии)

В этой статье перечислены методы устранения неполадок, которые можно использовать, когда не удается подключиться к экземпляру ядра СУБД SQL Server на одном сервере.

Примечание

Для других сценариев см .:

Эти шаги не относятся к наиболее вероятным проблемам, которые вы, вероятно, уже пробовали. Эти шаги идут в порядке от самых основных проблем к более сложным. Эти шаги предполагают, что вы подключаетесь к экземпляру SQL Server с другого компьютера с помощью протокола TCP / IP, что является наиболее распространенной ситуацией.

Эти инструкции полезны при устранении ошибки « Connect to Server », которая может быть , номер ошибки: 11001 (или 53), уровень серьезности: 20, состояние: 0 .Ниже приведен пример сообщения об ошибке:

Ошибка, связанная с сетью или конкретным экземпляром, при установке соединения с SQL Server. Сервер не найден или не был доступен. Убедитесь, что имя экземпляра правильное и что SQL Server настроен на разрешение удаленных подключений.

(поставщик: поставщик именованных каналов, ошибка: 40 - не удалось открыть соединение с SQL Server) (Microsoft SQL Server, ошибка: 53)

(поставщик: поставщик TCP, ошибка: 0 - такой хост не известен.) (Microsoft SQL Server, ошибка: 11001)

Эта ошибка обычно означает, что клиент не может найти экземпляр SQL Server. Обычно это происходит, когда существует хотя бы одна из следующих проблем:

  • Имя компьютера, на котором размещен SQL Server
  • . Экземпляр
  • не разрешает правильный IP-адрес
  • Номер порта TCP указан неправильно

Не включено

Получить имя экземпляра из диспетчера конфигураций

На сервере, на котором размещен экземпляр SQL Server, проверьте имя экземпляра.Используйте диспетчер конфигурации SQL Server.

Configuration Manager автоматически устанавливается на компьютер при установке SQL Server. Инструкции по запуску Configuration Manager незначительно различаются в зависимости от версии SQL Server и Windows. Подробные сведения о версии см. В разделе Диспетчер конфигурации SQL Server.)

  1. Войдите на компьютер, на котором размещен экземпляр SQL Server.

  2. Запустите диспетчер конфигурации SQL Server.

  3. На левой панели выберите Службы SQL Server .

  4. На правой панели проверьте имя экземпляра ядра базы данных.

    • SQL-СЕРВЕР (MSSQLSERVER) обозначает экземпляр SQL Server по умолчанию. Имя экземпляра по умолчанию - <имя компьютера> .
    • SQL SERVER (<имя экземпляра>) обозначает именованный экземпляр SQL Server. Имя экземпляра имени: <имя компьютера> \ <имя экземпляра>

Проверить - экземпляр работает

Чтобы убедиться, что экземпляр запущен, в Configuration Manager посмотрите на символ у экземпляра SQL Server.

  • Зеленая стрелка указывает на то, что экземпляр запущен.
  • Красный квадрат указывает, что экземпляр остановлен.

Если экземпляр остановлен, щелкните его правой кнопкой мыши и выберите Запустить . Экземпляр сервера запускается, и индикатор становится зеленой стрелкой.

Проверить - служба обозревателя SQL Server работает

Для подключения к именованному экземпляру должна быть запущена служба обозревателя SQL Server. В Configuration Manager найдите службу обозревателя SQL Server и убедитесь, что она работает.Если не работает, запустите. Служба обозревателя SQL Server не требуется для экземпляров по умолчанию.

Экземпляр SQL Server по умолчанию не требует службы обозревателя SQL Server.

Тестирование локального соединения

Перед устранением проблемы с подключением с другого компьютера сначала проверьте свою способность подключаться из клиентского приложения, установленного локально на компьютере, на котором работает SQL Server. Локальное подключение позволяет избежать проблем с сетями и брандмауэрами.

В этой процедуре используется SQL Server Management Studio.Если у вас не установлена ​​среда Management Studio, см. Раздел Загрузка SQL Server Management Studio (SSMS). Если вы не можете установить Management Studio, вы можете проверить соединение с помощью утилиты sqlcmd.exe . sqlcmd.exe устанавливается вместе с компонентом Database Engine. Дополнительные сведения о sqlcmd.exe см. В служебной программе sqlcmd.)

  1. Войдите на компьютер, на котором установлен SQL Server, используя имя входа, имеющее разрешение на доступ к SQL Server. (Во время установки SQL Server требует, чтобы по крайней мере один логин был указан как администратор SQL Server.Если вы не знаете администратора, см. Подключение к SQL Server, когда системные администраторы заблокированы.)

  2. На начальной странице введите SQL Server Management Studio или в более старых версиях Windows в меню «Пуск» выберите Все программы , укажите Microsoft SQL Server , а затем щелкните SQL Server Management Studio .

  3. В диалоговом окне Подключиться к серверу в поле типа Сервер выберите Ядро СУБД .В поле Authentication выберите Windows Authentication . В поле Имя сервера введите один из следующих типов подключения:

    Подключение к Тип Пример
    Экземпляр по умолчанию <имя компьютера> ACCNT27
    Именованный экземпляр <имя компьютера \ имя экземпляра> ACCNT27 \ PAYROLL

    Примечание

    При подключении к SQL Server из клиентского приложения на том же компьютере используется протокол общей памяти.Общая память - это тип локального именованного канала, поэтому иногда возникают ошибки, касающиеся каналов.

    Если вы получили сообщение об ошибке на этом этапе, вам необходимо устранить его, прежде чем продолжить. Есть много возможных вещей, которые могут стать проблемой. Возможно, ваш логин не авторизован для подключения. Ваша база данных по умолчанию может отсутствовать.

    Примечание

    Некоторые сообщения об ошибках, которые намеренно передаются клиенту, не содержат достаточной информации для устранения проблемы. Это функция безопасности, позволяющая избежать предоставления злоумышленнику информации о SQL Server.Чтобы просмотреть полную информацию об ошибке, просмотрите журнал ошибок SQL Server. Подробности указаны там.

  4. Если вы получаете сообщение об ошибке 18456 Ошибка входа для пользователя , раздел электронной документации MSSQLSERVER_18456 содержит дополнительную информацию о кодах ошибок. А в блоге Аарона Бертрана есть обширный список кодов ошибок в разделе Устранение неполадок при ошибке 18456. Вы можете просмотреть журнал ошибок с помощью SSMS (если вы можете подключиться) в разделе «Управление» обозревателя объектов.В противном случае вы можете просмотреть журнал ошибок с помощью программы Windows Notepad. Местоположение по умолчанию зависит от вашей версии и может быть изменено во время установки. Расположение по умолчанию для SQL Server 2019 (15.x) - C: \ Program Files \ Microsoft SQL Server \ MSSQL15.MSSQLSERVER \ MSSQL \ Log \ ERRORLOG .

  5. Если вы можете подключиться с использованием общей памяти, протестируйте подключение с помощью TCP. Вы можете принудительно установить TCP-соединение, указав перед именем tcp: . Например:

    Подключение к: Тип: Пример:
    Экземпляр по умолчанию tcp: <имя компьютера> TCP: ACCNT27
    Именованный экземпляр tcp: <имя компьютера / имя экземпляра> tcp: ACCNT27 \ PAYROLL
  6. Если вы можете подключиться к общей памяти, но не к TCP, то вы должны исправить проблему TCP.Скорее всего, проблема в том, что TCP не включен. Чтобы включить TCP, см. Действия по включению протоколов выше.

  7. Если ваша цель - подключиться с учетной записью, отличной от учетной записи администратора, как только вы сможете подключиться как администратор, попробуйте подключение еще раз, используя имя входа для проверки подлинности Windows или имя входа для проверки подлинности SQL Server, которое использует клиентское приложение.

Получить IP-адрес сервера

Получите IP-адрес компьютера, на котором размещен экземпляр SQL Server.

  1. В меню «Пуск» выберите Выполнить . В окне Выполнить введите cmd , а затем нажмите ОК .
  2. В окне командной строки введите ipconfig и нажмите клавишу ВВОД. Запишите адрес IPv4 и адрес IPv6 .

SQL Server может подключаться по протоколу IP версии 4 или IP версии 6. Ваша сеть может разрешить одно или то и другое. Большинство людей начинают с поиска неисправностей в адресе IPv4 .Это короче и легче набирать.

Получить TCP-порт экземпляра SQL Server

В большинстве случаев вы подключаетесь к ядру СУБД с другого компьютера по протоколу TCP.

  1. Используя SQL Server Management Studio на компьютере, на котором запущен SQL Server, подключитесь к экземпляру SQL Server. В обозревателе объектов разверните Management , разверните Журналы SQL Server , а затем дважды щелкните текущий журнал.
  2. В средстве просмотра журнала нажмите кнопку Фильтр на панели инструментов.В поле Сообщение содержит текст введите , сервер прослушивает , щелкните Применить фильтр , а затем щелкните ОК .
  3. Должно быть указано сообщение, подобное Сервер прослушивает ['any' 1433] .

Это сообщение указывает, что этот экземпляр SQL Server прослушивает все IP-адреса на этом компьютере (для IP версии 4) и прослушивает TCP-порт 1433 (TCP-порт 1433 обычно является портом, используемым компонентом Database Engine или сервером). экземпляр SQL Server по умолчанию.Только один экземпляр SQL Server может использовать порт, поэтому, если установлено несколько экземпляров SQL Server, некоторые экземпляры должны использовать другие номера портов.) Запишите номер порта, используемый экземпляром SQL Server, который вы пытаетесь для подключения.

Примечание

Вероятно, указан IP-адрес 127.0.0.1 . Он называется адресом адаптера обратной связи. Только процессы на одном компьютере могут использовать его для подключения. Это может быть полезно для устранения неполадок, но вы не можете использовать его для подключения с другого компьютера.

Включить протоколы

В некоторых установках SQL Server подключение к ядру СУБД с другого компьютера невозможно, если администратор не использует Configuration Manager для его включения. Чтобы разрешить соединения с другого компьютера:

  1. Откройте диспетчер конфигурации SQL Server, как описано ранее.
  2. Используя Configuration Manager, на левой панели разверните Сетевая конфигурация SQL Server , а затем выберите экземпляр SQL Server, к которому вы хотите подключиться.На правой панели перечислены доступные протоколы подключения. Общая память обычно включена. Его можно использовать только с одного компьютера, поэтому в большинстве установок общая память остается включенной. Для подключения к SQL Server с другого компьютера обычно используется TCP / IP. Если TCP / IP не включен, щелкните правой кнопкой мыши TCP / IP , а затем щелкните Включить .
  3. Если вы изменили включенный параметр для любого протокола, перезапустите компонент Database Engine. На левой панели выберите Службы SQL Server .На правой панели щелкните правой кнопкой мыши экземпляр компонента Database Engine и выберите Перезапустить .

Тестирование подключения TCP / IP

Для подключения к SQL Server с помощью TCP / IP требуется, чтобы Windows могла установить соединение. Используйте инструмент ping для проверки TCP.

  1. В меню «Пуск» выберите Выполнить . В окне Выполнить введите cmd , а затем нажмите ОК .

  2. В окне командной строки введите ping , а затем IP-адрес компьютера, на котором работает SQL Server.Например:

    • IPv4: пинг 192.168.1.101
    • IPv6: эхо-запрос fe80 :: d51d: 5ab5: 6f09: 8f48% 11
  3. Если ваша сеть настроена правильно, ping возвращает ответ от , за которым следует некоторая дополнительная информация. Если ping возвращает Целевой хост недоступен или Истекло время ожидания запроса , то TCP / IP настроен неправильно. Ошибки на этом этапе могут указывать на проблему с клиентским компьютером, серверным компьютером или что-то в сети, например маршрутизатор.Чтобы устранить неполадки в сети, см. Расширенное устранение неполадок TCP / IP.

  4. Затем, если проверка связи с использованием IP-адреса прошла успешно, проверьте, можно ли разрешить имя компьютера в адрес TCP / IP. На клиентском компьютере в окне командной строки введите ping , а затем имя компьютера, на котором работает SQL Server. Например, ping newofficepc .

  5. Если ping на IP-адрес прошел успешно, но ping на компьютер возвращает Destination host unreachable or Request timed out , возможно, на клиентском компьютере кэширована старая (устаревшая) информация о разрешении имен.Введите ipconfig / flushdns , чтобы очистить кеш DNS (динамическое разрешение имен). Затем снова пропингуйте компьютер по имени. При пустом кэше DNS клиентский компьютер проверяет наличие самой последней информации об IP-адресе серверного компьютера.

  6. Если ваша сеть настроена правильно, ping возвращает ответ от , за которым следует некоторая дополнительная информация. Если вы можете успешно проверить связь с сервером по IP-адресу, но получите сообщение об ошибке, например Целевой хост недоступен. или Истекло время ожидания запроса. при проверке связи по имени компьютера разрешение имен настроено неправильно. (Дополнительные сведения см. В упомянутой ранее статье 2006 г. Как устранить основные проблемы TCP / IP.) Успешное разрешение имени не требуется для подключения к SQL Server, но если имя компьютера не может быть преобразовано в IP-адрес, тогда соединения должны быть выполнены с указанием IP-адреса. Разрешение имени может быть исправлено позже.

Открыть порт в брандмауэре

По умолчанию брандмауэр Windows включен и блокирует соединения с другим компьютером.Чтобы подключиться с помощью TCP / IP с другого компьютера, на компьютере с SQL Server необходимо настроить брандмауэр, чтобы разрешить подключения к порту TCP, используемому компонентом Database Engine. Экземпляр по умолчанию по умолчанию прослушивает TCP-порт 1433. Если вы присвоили экземплярам имена или изменили порт экземпляра по умолчанию, TCP-порт SQL Server может прослушивать другой порт. См. Раздел Получение TCP-порта экземпляра SQL Server.

Если вы подключаетесь к именованному экземпляру или порту, отличному от TCP-порта 1433, вы также должны открыть UDP-порт 1434 для службы браузера SQL Server.Пошаговые инструкции по открытию порта в брандмауэре Windows см. В разделе Настройка брандмауэра Windows для доступа к ядру СУБД.

Проверить соединение

Как только вы сможете подключиться с помощью TCP на том же компьютере, самое время попробовать подключиться с клиентского компьютера. Теоретически вы можете использовать любое клиентское приложение, но, чтобы избежать дополнительных сложностей, установите на клиенте инструменты управления SQL Server и попробуйте использовать SQL Server Management Studio.

  1. На клиентском компьютере с помощью SQL Server Management Studio попытайтесь подключиться, используя IP-адрес и номер порта TCP в формате IP-адрес номер порта запятой.Например, 192.168.1.101,1433 . Если это соединение не удается, возможно, у вас одна из следующих проблем:

  2. После того, как вы сможете подключиться, используя IP-адрес и номер порта, попытайтесь подключиться, используя IP-адрес без номера порта. Для экземпляра по умолчанию просто используйте IP-адрес. Для именованного экземпляра используйте IP-адрес и имя экземпляра в формате IP-адрес обратная косая черта имя экземпляра, например 192.168.1.101 \ <имя экземпляра> Если это не сработает, возможно, у вас есть одна из следующих проблем. :

    • Если вы подключаетесь к экземпляру по умолчанию, возможно, он прослушивает порт, отличный от TCP-порта 1433, и клиент не пытается подключиться к правильному номеру порта.
    • Если вы подключаетесь к именованному экземпляру, номер порта не возвращается клиенту.

    Обе эти проблемы связаны со службой обозревателя SQL Server, которая предоставляет номер порта клиенту. Решения:

    • Запустить службу обозревателя SQL Server. См. Инструкции по запуску браузера в диспетчере конфигурации SQL Server.
    • Служба обозревателя SQL Server заблокирована брандмауэром. Откройте UDP-порт 1434 в брандмауэре.Вернитесь в раздел Открыть порт в брандмауэре. Убедитесь, что вы открываете порт UDP, а не порт TCP.
    • Информация о UDP-порте 1434 заблокирована маршрутизатором. Связь UDP (протокол пользовательских дейтаграмм) не предназначена для прохождения через маршрутизаторы. Это предохраняет сеть от заполнения низкоприоритетным трафиком. Вы можете настроить маршрутизатор для пересылки UDP-трафика или всегда указывать номер порта при подключении.
    • Если на клиентском компьютере используется Windows 7 или Windows Server 2008 (или более поздняя операционная система), трафик UDP может быть сброшен клиентской операционной системой, поскольку ответ от сервера возвращается с IP-адреса, отличного от запрошенного. .Это функция безопасности, блокирующая «неплотное сопоставление источников». Дополнительные сведения см. В разделе Несколько IP-адресов серверов раздела электронной документации Устранение неполадок: Истекло время ожидания. Это статья из SQL Server 2008 R2, но принципы по-прежнему применяются. Вы можете настроить клиент для использования правильного IP-адреса или всегда указывать номер порта при подключении.
  3. После того, как вы сможете подключиться, используя IP-адрес (или IP-адрес и имя экземпляра для именованного экземпляра), попытайтесь подключиться, используя имя компьютера (или имя компьютера и имя экземпляра для именованного экземпляра).Введите tcp: перед именем компьютера, чтобы установить TCP / IP-соединение. Например, для экземпляра по умолчанию на компьютере с именем ACCNT27 используйте tcp: ACCNT27 Для именованного экземпляра с именем PAYROLL на этом компьютере используйте tcp: ACCNT27 \ PAYROLL Если вы можете подключиться, используя IP-адрес, но Если вы не используете имя компьютера, то у вас проблема с разрешением имени. Вернитесь к разделу Тестирование соединения TCP / IP , раздел 4.

  4. После того, как вы сможете подключиться, используя имя компьютера с принудительной установкой TCP, попробуйте подключиться с использованием имени компьютера, но не принудительно.Например, для экземпляра по умолчанию используйте только имя компьютера, такое как CCNT27 Для именованного экземпляра используйте имя компьютера и имя экземпляра, например ACCNT27 \ PAYROLL Если вы можете подключиться при принудительном использовании TCP, но не без принудительного TCP, тогда клиент, вероятно, использует другой протокол (например, именованные каналы).

    1. На клиентском компьютере с помощью диспетчера конфигурации SQL Server на левой панели разверните Собственный клиент SQL версия Конфигурация , а затем выберите Клиентские протоколы .
    2. Убедитесь, что на правой панели включен TCP / IP. Если TCP / IP отключен, щелкните правой кнопкой мыши TCP / IP , а затем щелкните Включить .
    3. Убедитесь, что порядок протоколов для TCP / IP меньше, чем для именованных каналов (или VIA в более старых версиях). Обычно следует оставлять общую память в порядке 1, а TCP / IP - в порядке 2. Общая память используется только тогда, когда клиент и SQL Server работают на одном компьютере. Все включенные протоколы проверяются по порядку, пока один из них не будет успешным, за исключением того, что общая память пропускается, когда соединение не с тем же компьютером.

Total Control Products

НОВИНКА! - Подвеска с листовой рессорой для мини-ванны

Значительно больший клиренс для очень больших комбинаций шин и колес. Перемещенные амортизаторы и пружины в сочетании с дополнительным зазором для мини-ванны позволяют увеличить зазор между шинами на 2-3 / 4 дюйма с каждой стороны автомобиля.


НОВИНКА! - Подвеска G-Link Mini-Tub

Mini-Tub g-Link еще больше расширяет диапазон применения нашей серии подвески g-Link, добавляя современные конструкции для путешествий со значительно большими шинами и колесами.

  • Подходит для Мустангов 1964-1970 годов
  • Добавляет зазор 2-3 / 4 дюйма с каждой стороны
  • Сильнее, чем направляющие рамы OEM

НОВИНКА! - Система зажимов для приварной рамы

Зажим переднего подрамника

Total Control Products представляет собой высокоэффективную подвеску с прямой установкой, разработанную для Mustang 1964-1970 гг. И Cougars , с приваренным на заводе подрамником с двойным А-образным рычагом G-Machine и поперечиной с реечной передачей .

  • Подходит для Coyote, LS и Ford V8s
  • Сильнее, чем направляющие рамы OEM
  • Пять различных вариантов подвески

Заготовка - Алюминиевая вентиляционная канистра

Наша высококачественная система вентиляционных баллонов из алюминиевых заготовок для бензобаков, задних частей и трансмиссий включает в себя набор монтажных кронштейнов и комплектов шлангов для большей гибкости при установке.


'71-73 Комплекты стойки и шестерни для Mustang / Cougar

Наша запатентованная линейка высокоэффективных зубчатых реек и шестерен с центральным отбором обеспечивает правильную геометрию и уровень прямого прямого рулевого управления это невозможно с адаптированными OEM-устройствами.


Регулируемые опоры двигателя

Независимо от того, решаете ли вы проблемы с выхлопом или зазором трансмиссии или изменяете положение двигателя для улучшения распределения веса на вашем Mustang, Cougar или Falcon, новый набор регулируемых опор двигателя малого блока от Total Control Products может быть именно тем, что вы ищете .


Поперечина трансмиссии нестандартной установки

При изменении положения трансмиссии или замене не заводской трансмиссии комплект приварной поперечины трансмиссии является правильной деталью для работы.



Панели удаления ударной опоры

Освободите место в моторном отсеке с помощью съемных панелей башни амортизатора TCP.Панели изготовлены из прочной стали 14-го калибра и предварительно просверлены для экономии времени при установке.


Builder Колесные баки

Профессиональное решение для использования на уличных или гоночных автомобилях, сборные ванны имеют ширину 21 дюйм и диаметр 34 дюйма. Торцевые крышки имеют угол с радиусом 1 дюйм со смещенной кромкой для облегчения сборки и выравнивания внешней поверхности заподлицо.




Балочная система Панара

Идеальное дополнение к подвеске с листовыми рессорами, система штанги Панара TCP включает в себя регулируемую геометрию центра крена и стабилизатор поперечной устойчивости со скользящими звеньями, добавляя функции настройки подвески и значительно улучшая управляемость.



Системы подвески на листовой рессоре

Выбор подвески с высокими эксплуатационными характеристиками, от улучшенных стандартных компонентов до гусеничных моментных рычагов и систем с усиленной поперечной балкой.

Следующее предупреждение по предложению 65 штата Калифорния относится ко всем продуктам Total Control, продаваемым Chassisworks.