Re: Re:ftd如何在CTL中添加静态路由并配置优先级？ - 第2页

heartdrunk · ‎06-09-2022

我的ftd 无法连接到fmc 因为路由原因，现在需要添加静态路由并且配置优先级高于ospf

Translator · ‎06-27-2022

FTD的管理流量是否通过FTD-B? 如果回答是“是”，则建议先执行Packet Tracer，而不是现在的任何规则。其中一个具有FMC源和FTD管理IP目的地，目标端口为tcp/8305。然后，在反向方向，FTD mgmt IP到FMC，目标端口为tcp/8305。

如果您正在寻求技术支持，我建议联系您当地的思科合作伙伴，或者如果您能够直接提交TAC案例，您可以这样做。

heartdrunk · ‎07-07-2022

麻烦看一下我下面回复的数据

Translator · ‎07-07-2022

请阅读我的最后一篇文章，并提供所需信息

heartdrunk · ‎07-07-2022

root@ASCHZXS-12F-JF-A02-CISCO-FMC-01:/Volume/home/admin# telnet 172.17.2.10 8305
Trying 172.17.2.10...
Connected to 172.17.2.10.
Escape character is '^]'.
^C
^CConnection closed by foreign host.
root@ASCHZXS-12F-JF-A02-CISCO-FMC-01:/Volume/home/admin# telnet 172.17.2.11 8305
Trying 172.17.2.11...
telnet: connect to address 172.17.2.11: Connection refused
root@ASCHZXS-12F-JF-A02-CISCO-FMC-01:/Volume/home/admin#

172.17.2.10 是我目前无法管理的FTD_A

172.17.2.11 是我目前可以管理的FTD_B

以下是FTD-A 请求FMC（172.16.1.31）8305

root@ASCHZXS-12F-JF-A02-FW-2110-01:/home/admin# telnet 172.16.1.31 8305
Trying 172.16.1.31...
Connected to 172.16.1.31.
Escape character is '^]'.
^C^C^CConnection closed by foreign host.
root@ASCHZXS-12F-JF-A02-FW-2110-01:/home/admin#

heartdrunk · ‎06-26-2022

root@ASCHZXS-12F-JF-A02-CISCO-FMC-01:/Volume/home/admin# ping 172.16.2.251
PING 172.16.2.251 (172.16.2.251) 56(84) bytes of data.
64 bytes from 172.16.2.251: icmp_req=1 ttl=63 time=0.266 ms
64 bytes from 172.16.2.251: icmp_req=2 ttl=63 time=0.236 ms
^C
--- 172.16.2.251 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1032ms
rtt min/avg/max/mdev = 0.236/0.251/0.266/0.015 ms
root@ASCHZXS-12F-JF-A02-CISCO-FMC-01:/Volume/home/admin# ping 172.17.2.10
PING 172.17.2.10 (172.17.2.10) 56(84) bytes of data.
64 bytes from 172.17.2.10: icmp_req=1 ttl=60 time=7.89 ms
64 bytes from 172.17.2.10: icmp_req=2 ttl=60 time=7.90 ms
64 bytes from 172.17.2.10: icmp_req=3 ttl=60 time=7.93 ms
^C
--- 172.17.2.10 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 7.891/7.907/7.932/0.104 ms
root@ASCHZXS-12F-JF-A02-CISCO-FMC-01:/Volume/home/admin# ping 172.17.2.11
PING 172.17.2.11 (172.17.2.11) 56(84) bytes of data.
64 bytes from 172.17.2.11: icmp_req=1 ttl=60 time=8.18 ms
64 bytes from 172.17.2.11: icmp_req=2 ttl=60 time=8.08 ms
64 bytes from 172.17.2.11: icmp_req=3 ttl=60 time=7.91 ms
^C
--- 172.17.2.11 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 7.916/8.062/8.183/0.110 ms

我已经尝试在fmc ping FTD 三台都可达但是唯独172.17.2.10显示已禁用。

FMC 172.16.1.31FTD-B 172.17.2.11FTD-SX 172.16.2.251FTD-A 172.17.2.10

Translator · ‎07-07-2022

FTD设备从其管理端口到达FMC。可能是FTD-A未配置正确的网关？在FTD的>模式下使用命令“show network”可以检查。如果网关正确，它是否可能与FTD设备和FMC之间的某个防火墙相关？如果您有防火墙，该防火墙应允许FTD与端口8305/tcp上的FMC之间的FTD流量（即双向）从FTD到FMC，反之亦然。

heartdrunk · ‎07-07-2022

如何使用命令，在无法被FMC控制的FTD上添加一条 any any 策略

Translator · ‎07-08-2022

您需要确定管理流量在FMC和FTD之间采用的路由。

两个FTD是否在HA对中？

管理流量是否通过FTD上的数据接口路由，但存在问题？

或者，流量是否正通过其他没有问题的FTD路由？

您能否从172.17.3.254 ping FTD到172.17.2.10（管理流量使用的网关）？

您可以使用我之前发布的命令添加ACL条目，只需将配置从路由更改为访问列表。如果这解决了问题，则在部署之前，您需要在FMC中添加正确的访问规则，否则配置将被覆盖。

heartdrunk · ‎07-08-2022

1.我在我的核心交换机上使用网关去ping ftd-A 或FMC 都是可以的
Ping -a 172.17.3.254 172.17.2.10

Ping -a 172.17.3.254 172.16.1.31

2.强制刷新HA状态是否会导致设备重启等影响。
如何在FTD CLI 上手动刷新检测HA状态是否可用。

FTD-A
ping system 172.16.1.31 （FMC）正常
FTD-B
ping system 172.16.1.31 （FMC）正常

FTD-A （主要、无法被管理的FTD）
ping tcp 172.16.1.31 8305 无响应

FTD-B （备用、活动）
ping tcp 172.16.1.31 8305 无响应

在FMC （172.16.1.31）ping FTD-A -B （172.17.2.10、172.17.2.11）都可以正常返回。

在FMC 追踪路由到FTD-A （198.18.1.x 是异地办公点之间的云联网）
追踪FTD-B 相同返回
root@ASCHZXS-12F-JF-A02-CISCO-FMC-01:/Volume/home/admin# traceroute 172.17.2.10
traceroute to 172.17.2.10 (172.17.2.10), 30 hops max, 60 byte packets
1 172.16.1.254 (172.16.1.254) 4.343 ms 4.434 ms 4.517 ms
2 198.18.1.6 (198.18.1.6) 4.600 ms 4.888 ms 4.888 ms
3 198.18.1.10 (198.18.1.10) 12.494 ms 12.221 ms 8.420 ms
4 198.18.1.9 (198.18.1.9) 20.827 ms 21.201 ms 13.168 ms
5 * * *
6 * * *
7 * * *
8 * * *
9 * * *
10 * * *
11 * * *
12 * * *
13 * * *
14 * * *
15 * * *
16 * * *
17 * * *
18 * * *
19 * * *
20 * * *
21 * * *
22 * * *
23 * * *
24 * * *
25 * * *
26 * * *
27 * * *
28 * * *
29 * * *
30 * * *
root@ASCHZXS-12F-JF-A02-CISCO-FMC-01:/Volume/home/admin#

Translator · ‎07-08-2022

172.16.1.254似乎不知道如何返回FTD-A IP地址？请分享您的L1/L3拓扑图以供查看。

heartdrunk · ‎07-10-2022

heartdrunk · ‎07-13-2022

在FMC上telnet 8305测试

FTD-B（可以管理的备用活动） 172.17.2.11 8305

root@ASCHZXS-12F-JF-A02-CISCO-FMC-01:/Volume/home/admin# telnet 172.17.2.11 8305
Trying 172.17.2.11...
telnet: connect to address 172.17.2.11: Connection refused

FTD-A（无法管理的主要非活动） 172.17.2.10 8305
root@ASCHZXS-12F-JF-A02-CISCO-FMC-01:/Volume/home/admin# telnet 172.17.2.10 8305
Trying 172.17.2.10...
Connected to 172.17.2.10.
Escape character is '^]'.

<XIAOSHAN-Core-CS6730>ping -a 172.16.1.254 172.17.2.10
PING 172.17.2.10: 56 data bytes, press CTRL_C to break
Reply from 172.17.2.10: bytes=56 Sequence=1 ttl=61 time=7 ms
Reply from 172.17.2.10: bytes=56 Sequence=2 ttl=61 time=7 ms
Reply from 172.17.2.10: bytes=56 Sequence=3 ttl=61 time=7 ms
Reply from 172.17.2.10: bytes=56 Sequence=4 ttl=61 time=7 ms
Reply from 172.17.2.10: bytes=56 Sequence=5 ttl=61 time=7 ms

--- 172.17.2.10 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 7/7/7 ms

在172.16.1.254（网关）ping FTD-A -B

<XIAOSHAN-Core-CS6730>ping -a 172.16.1.254 172.17.2.11
PING 172.17.2.11: 56 data bytes, press CTRL_C to break
Reply from 172.17.2.11: bytes=56 Sequence=1 ttl=61 time=7 ms
Reply from 172.17.2.11: bytes=56 Sequence=2 ttl=61 time=7 ms
Reply from 172.17.2.11: bytes=56 Sequence=3 ttl=61 time=7 ms
Reply from 172.17.2.11: bytes=56 Sequence=4 ttl=61 time=7 ms
Reply from 172.17.2.11: bytes=56 Sequence=5 ttl=61 time=7 ms

--- 172.17.2.11 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 7/7/7 ms

heartdrunk · ‎07-10-2022

FMC 处于中间区域站点ESXI，网关在杭州核心。

杭州核心配置

dis ip routing-table 172.17.2.10
Route Flags: R - relay, D - download to fib, T - to vpn-instance
------------------------------------------------------------------------------
Routing Table : Public
Summary Count : 1
Destination/Mask Proto Pre Cost Flags NextHop Interface

172.17.2.0/23 Static 1 0 RD 198.18.1.6 XGigabitEthernet0/0/1

�

dis ip routing-table 172.16.1.31
Route Flags: R - relay, D - download to fib, T - to vpn-instance
------------------------------------------------------------------------------
Routing Table : Public
Summary Count : 1
Destination/Mask Proto Pre Cost Flags NextHop Interface

172.16.1.0/24 Direct 0 0 D 172.16.1.254 Vlanif100

�
interface Vlanif100
description SERVER
ip address 172.16.1.254 255.255.255.0
#
return
[XIAOSHAN-Core-CS6730-Vlanif100]�

------------------------------------------------------------------------------------------------------------------------------------------------------------------

[SHAOXIN-Core-CS7706-1]int Vlanif 2
[SHAOXIN-Core-CS7706-1-Vlanif2]dis th
#
interface Vlanif2
description OA
ip address 172.17.3.252 255.255.254.0
ip address 192.168.168.252 255.255.255.0 sub
vrrp vrid 2 virtual-ip 172.17.3.254
vrrp vrid 2 priority 120
vrrp vrid 168 virtual-ip 192.168.168.1
dhcp select relay
dhcp relay server-ip 172.17.1.10
dhcp relay server-ip 172.17.1.20
#
return

[SHAOXIN-Core-CS7706-1]dis ip routing-table 172.17.2.10
Route Flags: R - relay, D - download to fib, T - to vpn-instance
------------------------------------------------------------------------------
Routing Table : Public
Summary Count : 1
Destination/Mask Proto Pre Cost Flags NextHop Interface

172.17.2.0/23 Direct 0 0 D 172.17.3.252 Vlanif2

[SHAOXIN-Core-CS7706-1]�

[SHAOXIN-Core-CS7706-1]dis ip routing-table 172.16.1.31
Route Flags: R - relay, D - download to fib, T - to vpn-instance
------------------------------------------------------------------------------
Routing Table : Public
Summary Count : 1
Destination/Mask Proto Pre Cost Flags NextHop Interface

172.16.1.0/24 Static 1 0 RD 198.18.1.10 GigabitEthernet4/0/10

[SHAOXIN-Core-CS7706-1]�

heartdrunk · ‎07-11-2022

@Translator

Translator · ‎07-22-2022

由于您能从FMC ping通两个FTD，因此通信就存在。是否更换过FTD或FMC?这就是问题的原因吗？

您能否在FTD-A上运行命令“sftunnel-status”。这在>提示符下完成

您可能还想尝试在FTD-A上重新启动sftunnel

>专家
admin@FTD:~$苏多苏
密码：
root@FTD:/# manage_procs.pl
*****************配置实用程序***************
1重新配置相关器
2重新配置和刷新相关器
3重新启动Comm。通道
4更新路由
5重置所有路由
6验证网络
0退出
*************************************************************************

选择选项3

ftd 如何在ctl 添加静态路由 并且配置配置优先级

ftd 如何在ctl 添加静态路由并且配置配置优先级