AnhTuIS
Moderator
Tìm Hiểu Các Lệnh CLI Cơ Bản và Nâng Cao trên Cisco FTD (Dành cho Troubleshoot)
- Cisco Firepower Threat Defense (FTD) là nền tảng firewall thế hệ mới dựa trên công nghệ LINA (ASA) kết hợp Snort. Khi cần xử lý sự cố, CLI là công cụ cực kỳ quan trọng để kiểm tra trạng thái, phân tích luồng gói tin và theo dõi hoạt động hệ thống. Bài viết này tổng hợp đầy đủ các chế độ CLI trên FTD và danh sách các lệnh thường dùng trong thực tế.Mục lục
I. Các Chế Độ CLI Trên Cisco FTD
- FTD không hoạt động như thiết bị ASA truyền thống. Tùy mục đích sử dụng, FTD cung cấp ba chế độ CLI khác nhau:1. FTD CLI (Regular Threat Defense CLI)
- Đây là CLI đầu tiên bạn thấy khi SSH hoặc console vào FTD.- Prompt: (User EXEC)
Mã:
>
- Chức năng:
- Quản lý mạng cơ bản
- Cấu hình manager (FMC/FDM)
- Các lệnh show hệ thống ở mức đơn giản
2. Diagnostic CLI (LINA CLI – tương tự ASA)
- Đây là CLI mạnh nhất phục vụ cho troubleshoot, dựa trên engine xử lý gói tin của ASA.- Cách vào:
Mã:
system support diagnostic-cli- Prompt:
Mã:
firepower>
Mã:
firepower#
- Chức năng:
- Kiểm tra NAT, route, ACL
- Kiểm tra conn/xlate
- packet-tracer
- packet capture
- debug nâng cao
3. Expert Mode (Linux Shell)
- Đây là shell Linux bên dưới FTD.- Cách vào:
Mã:
expert- Prompt:
Mã:
admin@hostname:~$
- Chức năng:
- Kiểm tra tài nguyên hệ thống
- Truy cập log nâng cao
- Kiểm tra tiến trình (Snort, sfprocess, lina,…)
II. Các Lệnh Cơ Bản trong FTD CLI
| Lệnh | Chức năng |
| show version | Xem version FTD, VDB, Snort |
| show interface ip brief | Xem trạng thái IP các interface |
| show route | Xem bảng định tuyến |
| show network | Kiểm tra cấu hình mạng cơ bản |
| show managers | Xem tình trạng kết nối FMC/FDM |
| show health | Tình trạng sức khỏe hệ thống |
| show running-config | Cấu hình hiện tại (ở mức FTD CLI) |
| show users | Xem người dùng đang đăng nhập |
III. Các Lệnh Troubleshoot trong Diagnostic CLI (LINA)
1. Kiểm tra kết nối & định tuyến
| Lệnh | Chức năng |
| ping <IP> | Kiểm tra ICMP |
| traceroute <IP> | Xác định đường đi gói tin |
| show conn | Bảng connection table hiện tại |
| show xlate | NAT/PAT translation table |
| show nat detail | Thống kê & cấu hình NAT |
2. Phân tích luồng gói tin (Packet Tracer)
- Mô phỏng cách FTD xử lý gói tin từng bước:
Mã:
packet-tracer input <interface> <protocol> <src_ip> <src_port> <dst_ip> <dst_port> detailVí dụ:
Mã:
packet-tracer input inside tcp 10.1.1.1 1000 8.8.8.8 80 detail- Dùng để xem gói tin bị drop ở giai đoạn: ACL, NAT, Route hay IPS.
3. Packet Capture (PCAP)
- Tạo ACL lọc lưu lượng:
Mã:
access-list CAP_ACL extended permit ip host 10.1.1.1 host 8.8.8.8- Tạo capture:
Mã:
capture CAP_INS interface inside access-list CAP_ACL
capture CAP_OUT interface outside access-list CAP_ACL- Xem kết quả:
Mã:
show capture CAP_INS- Xóa capture:
Mã:
no capture CAP_INS- Rất hữu ích khi muốn xem FTD có thực sự nhận hoặc gửi traffic hay không.
4. Debug & Monitor
| Lệnh | Chức năng |
| show cpu detail | Xem CPU chi tiết |
| show memory detail | Xem memory |
| show process cpu-hog | Tiến trình chiếm CPU |
| debug ... | Menu debug nâng cao (chỉ dùng khi cần) |
IV. Lệnh Nâng Cao trong Expert Mode (Linux Shell)
| Lệnh | Mục đích |
| sudo su | Chuyển root |
| top | Theo dõi tiến trình real-time |
| df -h | Kiểm tra dung lượng ổ đĩa |
| ls -lah /ngfw/var/log | Xem log hệ thống |
| pmtool status | Trạng thái tiến trình (Snort, lina,…) |
| pmtool restart <process> | Restart một tiến trình riêng lẻ |
- Lưu ý: Không restart linh tinh, có thể gây gián đoạn traffic.
V. Kết Luận
- Nắm vững các chế độ CLI trên FTD và sử dụng đúng các lệnh troubleshoot là chìa khóa để xử lý sự cố nhanh, chính xác và hiệu quả.Ba nhóm công cụ bạn phải nắm rõ:
- Diagnostic CLI (LINA) → Troubleshoot chính
- Packet Tracer → Mô phỏng luồng gói tin
- Packet Capture → Xác nhận traffic thực tế
Sửa lần cuối:
Bài viết liên quan
Bài viết mới