المقدمة
يوضح هذا المستند ويفهم سبب عدم عمل NetFlow والميزات الأخرى في "الدفاع عن تهديد الطاقة النارية (FTD)" في وضع شفاف مع زوج خطي، وكيفية العمل حول هذا الأمر.
ساهم فيها كريستيان جي. هيرنانديز آر.، مهندس مركز المساعدة الفنية من Cisco.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية أدناه:
- Cisco FMC v6.3.0
- Cisco FTD v6.3.0
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
المشكلة: لا يتم دعم NetFlow والميزات الأخرى بسبب التحقق الجزئي من محرك Lina إذا كان FTD شفاف يعمل كزوج خط داخلي.
بمجرد تكوين NetFlow ونشره على النظام من خلال Flex Config، لا يقوم NetFlow بإنشاء تدفقات إلى مجمع (وجهة تدفق-تصدير) تم تكوينها.
flow-export destination Management 10.1.2.3 2055
class-map inspection_default
match default-inspection-traffic
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
no tcp-inspection
policy-map type inspect ip-options UM_STATIC_IP_OPTIONS_MAP
parameters
eool action allow
nop action allow
router-alert action allow
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect rsh
inspect sqlnet
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect icmp
inspect icmp error
inspect ip-options UM_STATIC_IP_OPTIONS_MAP
class class-default
flow-export event-type flow-create destination 10.1.2.3
flow-export event-type flow-denied destination 10.1.2.3
flow-export event-type flow-teardown destination 10.1.2.3
flow-export event-type flow-update destination 10.1.2.3
!
service-policy global_policy global
وفقا للجدول أدناه، تم التأكد من توقع هذا السلوك في FTD بسبب عمليات التحقق المحدودة من محرك Lina لميزات معينة عند تعيين النظام في وضع زوج الصفوف. يمكنك الاطلاع على التفاصيل التالية:
| وضع واجهة FTD |
وضع نشر FTD |
الوصف |
يمكن إسقاط حركة المرور |
| مُوجه |
مُوجه |
فحوصات كاملة لمحرك LINA و Snort-engine |
نعم |
| محول |
شفاف |
فحوصات كاملة لمحرك LINA و Snort-engine |
نعم |
| زوج مضمن |
موجه أو شفاف |
فحص محرك LINA الجزئي ومحرك الشخر بالكامل |
نعم |
| زوج مضمن مع TAP |
موجه أو شفاف |
فحص محرك LINA الجزئي ومحرك الشخر بالكامل |
لا |
| سلبي |
موجه أو شفاف |
فحص محرك LINA الجزئي ومحرك الشخر بالكامل |
لا |
| خامل (ERSPAN) |
مُوجه |
فحص محرك LINA الجزئي ومحرك الشخر بالكامل |
لا |
https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/200924-configuring-firepower-threat-defense-int.html
NetFlow هي ميزة تم تأكيدها على أنها غير مدعومة عندما يعمل FTD في وضع زوج الصفوف.
ملاحظة: لا تعرف في هذا الوقت الميزات المحددة التي لا يدعمها FTD، عندما تعمل في وضع الزوج الداخلي، ولهذا السبب، تم فتح طلب التحسين لمطالبة فريق هندسة Cisco Firepower بالمساعدة في تأكيد الميزات المعروفة غير المدعومة في هذا الوضع: CSCvo55596 DOC: قسم تحديد FMC الذي يحدد الميزات المدعومة/غير المدعومة عند FTD في مجموعة الخطوط.
الحل
إذا كان إعدادك كما هو محدد على هذا المستند، ويتطلب NetFlow، فإن الحل البديل الوحيد المعروف هو ترك FTD في الوضع الشفاف وإعداد واجهات BVI (واجهة Bridge الظاهرية) بدلا من ذلك. يعتمد هذا الحل البديل على الوظيفة المفتوحة ل ENH لتضمين وظيفة ميزة NetFlow لعمليات نشر وضع زوج الصفوف:
CSCvo5574
ENH: يتعذر على FTD تجميع بيانات NetFlow أثناء تكوينها في وضع زوج الصفوف.
الأخطاء ذات الصلة
CSCvo5574 ENH: يتعذر على FTD تجميع بيانات NetFlow أثناء تكوينها في وضع زوج الصفوف.
CSCvo5585 مستند: قسم تحديد FMC لدعم NetFlow عند تكوينه في وضع زوج الخط.
CSCvo5596 مستند: قسم تحديد FMC يحدد الميزات التي يتم دعمها/غير المدعومة عند وجود FTD في مجموعة الأسطر.
التعليقات