Tweet
🎯 Mục tiêu
Xóa (flush) toàn bộ NAT translation sessions và/hoặc connection table trực tiếp từ giao diện Firepower Management Center (FMC).
🔹 1. Đăng nhập vào FMC
Truy cập:
https://<FMC_IP_or_Hostname>
→ Đăng nhập bằng tài khoản Admin hoặc tài khoản có quyền CLI (System Admin).
🔹 2. Mở công cụ CLI trong FMC
Vào menu:
System > Monitoring > Advanced Troubleshooting
Kéo xuống phần “Advanced CLI” hoặc “Threat Defense CLI”
Tại đây, bạn có thể chọn thiết bị FTD mà bạn muốn thao tác (nếu có nhiều FTD được quản lý bởi FMC).
🔹 3. Mở CLI cho thiết bị FTD
Trong phần “Advanced CLI”:
🔹 4. Xóa NAT session
Nhập lệnh:
> show xlate
(để xem có bao nhiêu NAT translations đang hoạt động)
Sau đó:
> clear xlate all
hoặc ngắn hơn:
> clear xlate
➡️ Tất cả NAT translations sẽ bị xóa.
Nếu bạn muốn kiểm tra lại:
> show xlate
Kết quả trống → nghĩa là bảng NAT translation đã được flush hoàn toàn.
🔹 5. (Tùy chọn) Xóa connection table
Nếu bạn vừa thay đổi ACL hoặc NAT, nên xóa luôn connection table:
> clear conn all
Kiểm tra lại:
> show conn count
🔹 6. (Tuỳ chọn) Dùng công cụ Packet Tracer để xác minh NAT mới
Sau khi xóa NAT, bạn có thể test ngay xem lưu lượng mới có match đúng NAT rule không.
Vào menu:
Devices > Device Management > Chọn thiết bị FTD > Troubleshoot > Packet Tracer
Nhập ví dụ:
Source IP: 10.10.10.5
Destination IP: 8.8.8.8
Protocol: TCP
Port: 443
Direction: inside -> outside
Nhấn Start
➡️ Kết quả sẽ cho biết NAT nào được áp dụng, có matching rule mới hay không.
🔹 7. (Nếu đang trong HA – Active/Standby)
Khi bạn dùng Active/Standby failover, thì:
FMC không tự động flush NAT trên cả hai node.
✅ Tóm tắt nhanh thao tác GUI
Xóa (flush) toàn bộ NAT translation sessions và/hoặc connection table trực tiếp từ giao diện Firepower Management Center (FMC).
🔹 1. Đăng nhập vào FMC
Truy cập:
https://<FMC_IP_or_Hostname>
→ Đăng nhập bằng tài khoản Admin hoặc tài khoản có quyền CLI (System Admin).
🔹 2. Mở công cụ CLI trong FMC
Vào menu:
System > Monitoring > Advanced Troubleshooting
Kéo xuống phần “Advanced CLI” hoặc “Threat Defense CLI”
Tại đây, bạn có thể chọn thiết bị FTD mà bạn muốn thao tác (nếu có nhiều FTD được quản lý bởi FMC).
🔹 3. Mở CLI cho thiết bị FTD
Trong phần “Advanced CLI”:
- Chọn device name (ví dụ: FPR2110-VNPT)
- Chọn tab “Threat Defense CLI”
- Nhấn Open CLI → FMC sẽ mở một cửa sổ CLI trực tiếp tới FTD, giống như bạn SSH vào.
🔹 4. Xóa NAT session
Nhập lệnh:
> show xlate
(để xem có bao nhiêu NAT translations đang hoạt động)
Sau đó:
> clear xlate all
hoặc ngắn hơn:
> clear xlate
➡️ Tất cả NAT translations sẽ bị xóa.
Nếu bạn muốn kiểm tra lại:
> show xlate
Kết quả trống → nghĩa là bảng NAT translation đã được flush hoàn toàn.
🔹 5. (Tùy chọn) Xóa connection table
Nếu bạn vừa thay đổi ACL hoặc NAT, nên xóa luôn connection table:
> clear conn all
Kiểm tra lại:
> show conn count
🔹 6. (Tuỳ chọn) Dùng công cụ Packet Tracer để xác minh NAT mới
Sau khi xóa NAT, bạn có thể test ngay xem lưu lượng mới có match đúng NAT rule không.
Vào menu:
Devices > Device Management > Chọn thiết bị FTD > Troubleshoot > Packet Tracer
Nhập ví dụ:
Source IP: 10.10.10.5
Destination IP: 8.8.8.8
Protocol: TCP
Port: 443
Direction: inside -> outside
Nhấn Start
➡️ Kết quả sẽ cho biết NAT nào được áp dụng, có matching rule mới hay không.
🔹 7. (Nếu đang trong HA – Active/Standby)
Khi bạn dùng Active/Standby failover, thì:
- Lệnh clear xlate hoặc clear conn chỉ tác động lên Active Unit.
- Nếu muốn đồng bộ tình trạng “sạch” ở cả hai bên, hãy:
- Vào FMC, chọn Standby unit
- Mở CLI tương tự
- Chạy lại clear xlate all
FMC không tự động flush NAT trên cả hai node.
✅ Tóm tắt nhanh thao tác GUI
| 1 | Vào System > Monitoring > Advanced Troubleshooting |
| 2 | Chọn Threat Defense CLI |
| 3 | Mở CLI cho thiết bị FTD |
| 4 | Gõ show xlate để xem NAT hiện tại |
| 5 | Gõ clear xlate all để xóa toàn bộ NAT |
| 6 | (Tùy chọn) clear conn all để xóa connection |
| 7 | Dùng Packet Tracer để test NAT mới |