概要
このドキュメントでは、NetFlowやその他の機能が、インラインペアを備えたトランスペアレントモードのFirepower Threat Defense(FTD)で動作しない理由とその回避策について説明し、理解するのに役立ちます。
著者:Cisco TACエンジニア、Christian G. Hernandez R.
前提条件
要件
次の項目に関する知識があることが推奨されます。
使用するコンポーネント
この文書の情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- Cisco FMC v6.3.0
- Cisco FTD v6.3.0
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
問題:NetFlowおよびその他の機能は、Partial Lina Engine(LLINA)によりサポートされていません。トランスペアレントFTDがインラインペアとして機能するかどうかを確認してください。
Flex Configを使用してNetFlowを設定してシステムに導入すると、NetFlowは設定されたコレクタ(フローエクスポートの宛先)へのフローを生成しません。
flow-export destination Management 10.1.2.3 2055
class-map inspection_default
match default-inspection-traffic
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
no tcp-inspection
policy-map type inspect ip-options UM_STATIC_IP_OPTIONS_MAP
parameters
eool action allow
nop action allow
router-alert action allow
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect rsh
inspect sqlnet
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect icmp
inspect icmp error
inspect ip-options UM_STATIC_IP_OPTIONS_MAP
class class-default
flow-export event-type flow-create destination 10.1.2.3
flow-export event-type flow-denied destination 10.1.2.3
flow-export event-type flow-teardown destination 10.1.2.3
flow-export event-type flow-update destination 10.1.2.3
!
service-policy global_policy global
次の表に示すように、システムがインラインペアモードに設定されている場合に、特定の機能をチェックするLina Engineの制限により、FTDでこの動作が期待されていることが確認されています。詳細については、次を参照してください。
FTD インターフェイス モード |
FTD 展開モード |
説明 |
トラフィックのドロップの可否 |
Routed |
Routed |
完全なLINAエンジンおよびSnortエンジンのチェック |
Yes |
交換された |
トランスペアレント |
完全なLINAエンジンおよびSnortエンジンのチェック |
Yes |
インライン ペア |
ルーテッドまたはトランスペアレント |
LINAエンジンと完全なSnortエンジンチェックの一部 |
Yes |
タップ付きインライン ペア |
ルーテッドまたはトランスペアレント |
LINAエンジンと完全なSnortエンジンチェックの一部 |
No |
Passive |
ルーテッドまたはトランスペアレント |
LINAエンジンと完全なSnortエンジンチェックの一部 |
No |
パッシブ(ERSPAN) |
Routed |
LINAエンジンと完全なSnortエンジンチェックの一部 |
No |
https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/200924-configuring-firepower-threat-defense-int.html
NetFlowは、FTDがインラインペアモードで動作している場合に、サポート対象外として確認された機能です。
注:FTDがインラインペアモードで動作している場合、FTDでサポートされていない特定の機能は現時点では不明です。このため、Cisco Firepowerエンジニアリングチームに、このモードでサポートされていない既知の機能の確認を依頼する拡張要求が開かれました。インラインセットのFTDでサポートされる機能とサポートされない機能について説明したFMC制限のセクション。
回避策
このドキュメントで指定されている設定でNetFlowが必要な場合、唯一の既知の回避策は、FTDを透過モードのままにして、代わりにBVI(ブリッジ仮想インターフェイス)インターフェイスを設定することです。この回避策は、インラインペアモード展開用のNetFlow機能を含めるために開かれたENHに基づいています。
CSCvo55574
ENH:FTDは、インラインペアモードで設定されている間はnetflowデータを収集できません。
関連バグ
CSCvo55574 ENH:FTDは、インラインペアモードで設定されている間はnetflowデータを収集できません。
CSCvo55585 DOC:インラインペアモードで設定されている場合のnetflowサポートのFMC制限のセクション。
CSCvo55596 DOC:インラインセットのFTDでサポートされる機能とサポートされない機能について説明したFMC制限のセクション。