NetFlow et d'autres fonctionnalités ne sont pas prises en charge en raison d'une vérification partielle du moteur de liaison si un FTD transparent fonctionne comme une paire en ligne

Options de téléchargement

PDF (143.0 KB)
Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
ePub (97.4 KB)
Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
Mobi (Kindle) (85.5 KB)
Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils

Mis à jour:18 juillet 2019

ID du document:214487

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Contenu

Introduction

Conditions préalables

Conditions requises

Components Used

Problème : NetFlow et d'autres fonctionnalités ne sont pas prises en charge en raison d'une vérification partielle du moteur de liaison si un FTD transparent fonctionne comme une paire en ligne.

Solution de contournement

Bogues associés

Introduction

Ce document décrit et aide à comprendre pourquoi NetFlow et d'autres fonctionnalités ne fonctionneront pas dans un pare-feu FTD (Firepower Threat Defense) en mode transparent avec une paire en ligne, et comment contourner ce problème.

Contribué par Christian G. Hernandez R., ingénieur TAC Cisco.

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

Configuration de base de Cisco Firepower Management Center (FMC).
Configuration de base de Cisco FTD.
Configuration flexconfig de Cisco FMC.

Components Used

L’information fournie dans ce document est basée sur les versions logicielles et matérielles suivantes :

Cisco FMC v6.3.0
Cisco FTD v6.3.0

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Problème : NetFlow et d'autres fonctionnalités ne sont pas prises en charge en raison d'une vérification partielle du moteur de liaison si un FTD transparent fonctionne comme une paire en ligne.

Une fois NetFlow configuré et déployé sur le système via Flex Config, NetFlow ne génère pas de flux vers le collecteur (destination d'exportation de flux) configuré.

flow-export destination Management 10.1.2.3 2055

class-map inspection_default
match default-inspection-traffic
!
policy-map type inspect dns preset_dns_map
parameters
  message-length maximum client auto
  message-length maximum 512
  no tcp-inspection
policy-map type inspect ip-options UM_STATIC_IP_OPTIONS_MAP
parameters
  eool action allow
  nop action allow
  router-alert action allow
policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect rsh
  inspect sqlnet
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect icmp
  inspect icmp error
  inspect ip-options UM_STATIC_IP_OPTIONS_MAP
class class-default
  flow-export event-type flow-create destination 10.1.2.3
  flow-export event-type flow-denied destination 10.1.2.3
  flow-export event-type flow-teardown destination 10.1.2.3
  flow-export event-type flow-update destination 10.1.2.3
!
service-policy global_policy global

Selon le tableau ci-dessous, ce comportement est confirmé comme attendu sur le FTD en raison de vérifications limitées du moteur Lina pour certaines fonctionnalités lorsque le système est configuré en mode de paire en ligne. Voir les détails ci-dessous :

Mode d'interface FTD	Mode de déploiement FTD	Description	Le trafic peut être abandonné
Routé	Routé	Contrôles complets du moteur LINA et du moteur Snort	Oui
Commuté	Transparence	Contrôles complets du moteur LINA et du moteur Snort	Oui
Paire en ligne	Routé ou transparent	Contrôles partiels du moteur LINA et du moteur Snort complet	Oui
Paire en ligne avec bouton	Routé ou transparent	Contrôles partiels du moteur LINA et du moteur Snort complet	Non
Passif	Routé ou transparent	Contrôles partiels du moteur LINA et du moteur Snort complet	Non
Passif (ERSPAN)	Routé	Contrôles partiels du moteur LINA et du moteur Snort complet	Non

https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/200924-configuring-firepower-threat-defense-int.html

NetFlow est une fonctionnalité qui a été confirmée comme non prise en charge lorsque le FTD fonctionne en mode de paire inline.

Note: Les fonctionnalités spécifiques non prises en charge par le FTD, lorsqu'il fonctionne en mode de paire en ligne, sont inconnues pour le moment, pour cette raison, la demande d'amélioration a été ouverte pour demander à l'équipe d'ingénierie de Cisco Firepower d'aider à confirmer les fonctionnalités non prises en charge connues dans ce mode : CSCvo5596 DOC : Section relative à la limitation FMC indiquant quelles fonctionnalités sont prises en charge/non prises en charge lorsque FTD est en ligne.

Solution de contournement

Si votre configuration est telle que spécifiée dans ce document et nécessite NetFlow, la seule solution connue est de laisser le FTD en mode transparent et de configurer des interfaces BVI (Bridge Virtual Interface) à la place. Cette solution de contournement est basée sur l'ENH ouverte pour inclure la fonctionnalité NetFlow pour les déploiements en mode paire inline :

CSCvo55574 ENH : FTD n'a pas pu collecter les données netflow lors de leur configuration en mode de paire en ligne.

Bogues associés

CSCvo55574 ENH : FTD n'a pas pu collecter les données netflow lors de leur configuration en mode de paire en ligne.

CSCvo55585 DOC : Section de limitation FMC pour la prise en charge de netflow lorsqu'elle est configurée en mode de paire inline.

CSCvo55596 DOC : Section relative à la limitation FMC indiquant quelles fonctionnalités sont prises en charge/non prises en charge lorsque FTD est en ligne.

Contribution d’experts de Cisco

Christian G Hernandez R
Cisco TAC Engineer
Edited by Sergio Ceron
Cisco TAC Engineer

Ce document vous est-il utile?

Commentaires

Contacter Cisco

Ouvrir un dossier d’assistance
(Un contrat de service de Cisco est requis)

NetFlow et d'autres fonctionnalités ne sont pas prises en charge en raison d'une vérification partielle du moteur de liaison si un FTD transparent fonctionne comme une paire en ligne

Options de téléchargement

Langage exempt de préjugés

À propos de cette traduction

Contenu

Introduction

Conditions préalables

Conditions requises

Components Used

Problème : NetFlow et d'autres fonctionnalités ne sont pas prises en charge en raison d'une vérification partielle du moteur de liaison si un FTD transparent fonctionne comme une paire en ligne.

Solution de contournement

Bogues associés

Contribution d’experts de Cisco

Ce document vous est-il utile?

Contacter Cisco

Ce document s’applique à ces produits