المقدمة
يوضح هذا المستند كيفية تكوين عملية كبسلة GenEve لواجهات بيانات FTDv في AWS.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- نشر تكوين مركز إدارة Firepower الآمن
- برنامج الدفاع الظاهري الآمن ضد تهديد FirePOWER الذي تم نشره في AWS
- المحاكاة الظاهرية لمثيل AWS EC2.
يتطلب تكوين تضمين GenEve للدفاع الآمن عن تهديد الطاقة النارية من Cisco في AWS، الإصدار 7.1 من FTD أو أحدث.
يلزم أيضا ترخيص طبقة الأداء للإصدار FTDv20 أو إصدار أحدث.
يمكنك تكوين واجهة مصدر واحدة فقط لنقطة نهاية النفق الظاهري (VTEP) لكل جهاز FTDv. يتم تعريف VTEP كنقطة نهاية للمحاكاة الافتراضية للشبكة (NVE)، وتعد عملية كبسلة GenEve ل VTEP هي وحدة NVE المدعومة بطبيعتها الوحيدة في ذلك الوقت.
يمكنك الرجوع إلى هذه الوثائق لنشر خدمة الحماية الظاهرية للتهديدات على AWS.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- مركز إدارة FirePOWER الآمن - 7.3.0
- الدفاع الآمن ضد تهديد FirePOWER - 7.3.0
- مثيل AWS C5. 2xlarge (4 core/8 جيجابايت)
- ترخيص طبقة الأداء - FTDv50
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
التكوين
تكوين ترخيص طبقة الأداء ل FTDv
إستخدام مستعرض مدعوم للوصول إلى واجهة المستخدم الرسومية (GUI) الخاصة بوحدة التحكم FMC:
https://FMC_IP_Address
انتقل إلى الأجهزة > إدارة الأجهزة:
إدارة الأجهزة
حدد أيقونة تحرير لبرنامج FTDv المعني: تحرير
انقر فوق علامة التبويب الجهاز، ثم قم بتحرير التكوين في ملخص الترخيص:
ترخيص الجهاز
حدد الإصدار FTDv20 (Core 4 / 8 جيجابايت) أو إصدار أحدث من القائمة المنسدلة طبقة الأداء. بالنسبة لهذا المثال، يتم تحديد ترخيص طبقة الأداء FTDv50 كما هو موضح في هذه الصورة:
أختر ترخيص طبقة الأداء FTDv20 أو أحدث
بعد ذلك، حدد حفظ التكوين ونشره إلى FTDv.
تكوين واجهة مصدر VTEP
انتقل إلى الأجهزة > إدارة الأجهزة > أختر تحرير>VTEP وحدد تمكين NVE:
تمكين VNE
الآن، أنت يستطيع حددت يضيف VTEP:
أضفت VTEP
أدخل قيمة منفذ التضمين داخل النطاق المحدد.
تحذير: لا يوصى بتغيير منفذ Geneve؛ يتطلب AWS منفذ 6081.
بعد ذلك، أنت يستطيع حددت ال VTEP مصدر قارن.
الواجهة الخارجية كواجهة مصدر VTEP
ملاحظة: حدد من قائمة الواجهات المادية المتوفرة الموجودة على الجهاز. في حالة عدم عرض اسم الواجهة في القائمة، يمكنك التحقق مما إذا كانت الواجهة المطلوبة ممكنة وبها اسم تم تكوينه.
تحذير: ترفع FMC تلقائيا MTU إلى 1806 بايت من الواجهة المحددة في حالة ما إذا كانت MTU أقل من 1806 بايت.
بعد ذلك، انقر فوق موافق.
ملاحظة: FMC تظهر أن إطار Jumbo ممكن:
تم تغيير الإطار كبير الحجم
حدد موافق وحفظ.
تكوين واجهة VNI
إضافة واجهة شبكة ظاهرية (VNI)، وإقرانها بواجهة مصدر VTEP، وتكوين معلمات الواجهة الأساسية.
انتقل إلى علامة التبويب الواجهات وانقر فوق إضافة الواجهات.
إضافة واجهات
أخترت VNI قارن.
إضافة واجهة VNI
حدد اسم الواجهة والوصف ومعرف VNI (بين 1 و 10000).
تلميح: هذا المعرف هو معرف واجهة داخلي فقط.
تحقق من تمكين الوكيل.
يتيح هذا الخيار الوكيل أحادي الذراع، ويسمح لحركة المرور بالخروج من نفس الواجهة التي أدخلتها (حركة مرور الدوران u).
تحذير: إذا قمت لاحقا بتحرير الواجهة، لا يمكنك تعطيل الوكيل ذو الذراع الواحد. للقيام بذلك، يلزمك حذف الواجهة الموجودة وإنشاء واجهة VNI جديدة. هذا خيار يتوفر فقط ل Geneve VTEP.
حدد NVE معين إلى واجهة VTEP. يربط هذا قارن مع ال VTEP مصدر قارن.
إضافة واجهة NVI
طقطقة ok وحفظ. أنت يستطيع رأيت VNI خلقت قارن كما هو موضح في هذه الصورة:
تم إنشاء واجهة VNI
أخيرا، قم بنشر تكوين الواجهة.
ملاحظة: يمكنك تكوين معلمات الواجهة الموجهة المطلوبة للواجهة عند هذه النقطة. عنوان IP للواجهة، التوجيه الثابت أو الديناميكي لواجهة الشبكة المحلية الظاهرية (VNI).
التحقق من الصحة
الاتصال ب FTDv عبر SSH أو وحدة التحكم:
> system support diagnostic-cli
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
admin> enable
Password:
admin#
مراجعة تفاصيل الواجهة وملخص واجهة الشبكة الخاصة الظاهرية (VNI):
admin# show ip
System IP Addresses:
Interface Name IP address Subnet mask Method
Management0/0 diagnostic 10.0.0.61 255.255.255.0 DHCP
vni1 VNI-Outside 1.2.3. 4 255.255.255.0 manual
Current IP Addresses:
Interface Name IP address Subnet mask Method
Management0/0 diagnostic 10.0.0.61 255.255.255.0 DHCP
vni1 VNI-Outside 1.2.3. 4 255.255.255.0 manual
admin# show interface VNI summary
Interface vni1 "VNI-Outside", is up, line protocol is up
VTEP-NVE 1
Tag-switching: disabled
MTU: 1500
MAC: 0206.104e.ed0f
proxy mode: single-arm
IP address 1.2.3. 4, subnet mask 255.255.255.0
Multicast group not configured
يمكنك تأكيد تمكين عملية كبسلة جنيف كما هو موضح في إخراج الأمر هذا:
admin# show running-config nve
nve 1
encapsulation geneve
source-interface Outside
استكشاف الأخطاء وإصلاحها
تحقق من أن واجهة VNI وبروتوكول واجهة مصدر VTEP وحالتهما هما up/up. كما هو موضح بعد ذلك، الواجهة TenGigabitEthernet0/0
و vni1
لأعلى/لأعلى:
# show interface ip brief
Interface IP-Address OK? Method Status Protocol
Internal-Control0/0 127.0.1.1 YES unset up up
Internal-Control0/1 unassigned YES unset up up
Internal-Data0/0 unassigned YES unset down up
Internal-Data0/0 unassigned YES unset up up
Internal-Data0/1 169.254.1.1 YES unset up up
Internal-Data0/2 unassigned YES unset up up
Management0/0 10.0.0.61 YES DHCP up up
TenGigabitEthernet0/0 unassigned YES unset up up
TenGigabitEthernet0/1 unassigned YES unset up up
vni1 1.2.3. 4 YES manual up up
تأكد من وجود اقتران واجهة البنية الأساسية الظاهرية (VNI) أحادي الذراع واقتران VTEP كما هو موضح في هذا الإخراج:
# show run interface vni 1
!
interface vni1
proxy single-arm
nameif VNI-Outside
security-level 0
ip address 1.2.3. 4 255.255.255.0
vtep-nve 1
مراجعة عدادات الواجهة لواجهة VNI:
# show interface VNI detail
راجع دليل تكوين مركز إدارة Firepower للحصول على مزيد من المعلومات.