De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
In dit document wordt de L2-switch op FP1010-apparaten beschreven. Het omvat met name het gedeelte Security Services Platform (SSP)/Firepower eXtensive Operating System (FXOS) van de implementatie. Bij de release 6.5 schakelt de Firepower 1010 (desktopmodel) in op de ingebouwde L2 hardware-switch. Dit helpt u extra hardware-switches te voorkomen en de kosten worden verlaagd.
Er zijn geen specifieke vereisten van toepassing op dit document.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg er dan voor dat u de mogelijke impact van om het even welke opdracht begrijpt.
Deze optie is slechts een versterking van bestaande interfaceondersteuning op FMC (Apparaatbeheer > Interfacepagina).
Fysieke interfaceweergave (L2 en L3)
Twee belangrijke factoren kunnen de pakketverwerking beïnvloeden:
1. Interface/poortmodus
2. Toepasselijk beleid
Een pakket kan een FP1010 op 3 verschillende manieren doorlopen:
1. Alleen verwerkt door de interne switch
2. Alleen doorgestuurd naar de applicatie (ASA/FTD) en alleen verwerkt door het datapath-proces
3. Verstuurd naar de aanvraag (FTD) en verwerkt door de datapath- en Snort-motor
De UI-voorbeelden zijn voor FMC, de CLI-voorbeelden zijn voor FTD. De meeste concepten zijn ook volledig van toepassing op een ASA.
Configuratie en werking
Belangrijkste punten
FTD-interfaceconfiguratie
interface Ethernet1/3 nameif NET203 cts manual propagate sgt preserve-untag policy static sgt disabled trusted security-level 0 ip address 10.10.203.2 255.255.255.0 ! interface Ethernet1/4 nameif NET204 cts manual propagate sgt preserve-untag policy static sgt disabled trusted security-level 0 ip address 10.10.204.2 255.255.255.0
FP1010 routepoortverificatie
Van FXOS CLI kunt u de fysieke interfacetellers controleren. Dit voorbeeld toont de ingress unicast- en egress unicast-loketten op de E1/3-poort:
FP1010(local-mgmt)# show portmanager counters ethernet 1 3 | egrep "stats.ing_unicastframes\|stats.egr_unicastframes" stats.ing_unicastframes = 3521254 stats.egr_unicastframes = 604939
FTD datapath Captures kan worden toegepast en pakketten kunnen worden gevolgd:
FP1010# show capture capture CAP203 type raw-data trace interface NET203 [Capturing - 185654 bytes]
Dit is een vangnet. Zoals verwacht wordt het pakket verzonden op basis van een ROUTE LOOKUP:
FP1010# show capture CAP203 packet-number 21 trace 21: 06:25:23.924848 10.10.203.3 > 10.10.204.3 icmp: echo request … Phase: 3 Type: ROUTE-LOOKUP Subtype: Resolve Egress Interface Result: ALLOW Config: Additional Information: found next-hop 10.10.204.3 using egress ifc NET204
Configuratie en werking
Belangrijkste punten
FTD-interfaceconfiguratie
interface Ethernet1/3 bridge-group 34 nameif NET203 cts manual propagate sgt preserve-untag policy static sgt disabled trusted security-level 0 ! interface Ethernet1/4 bridge-group 34 nameif NET204 cts manual propagate sgt preserve-untag policy static sgt disabled trusted security-level 0 ! interface BVI34 nameif NET34 security-level 0 ip address 10.10.203.1 255.255.255.0
FP1010 Bridge-Group poortverificatie
Deze opdracht toont de interfaceleden van BVI 34:
FP1010# show bridge-group 34 Interfaces: Ethernet1/3 Ethernet1/4 Management System IP Address: 10.10.203.1 255.255.255.0 Management Current IP Address: 10.10.203.1 255.255.255.0 Management IPv6 Global Unicast Address(es): N/A Static mac-address entries: 0 Dynamic mac-address entries: 13
Deze opdracht toont de ASA/FTD Data Content Adresseerbare Geheugen (CAM) tabel:
FP1010# show mac-address-table interface mac address type Age(min) bridge-group ------------------------------------------------------------------ NET203 0050.5685.43f1 dynamic 1 34 NET204 4c4e.35fc.fcd8 dynamic 3 34 NET203 0050.56b6.2304 dynamic 1 34 NET204 0017.dfd6.ec00 dynamic 1 34 NET203 0050.5685.4fda dynamic 1 34
Een pakketsporenfragment toont dat het pakket is doorgestuurd op basis van de MAC L2-favoriet van de bestemming:
FP1010# show cap CAP203 packet-number 1 trace 2 packets captured 1: 11:34:40.277619 10.10.203.3 > 10.10.203.4 icmp: echo request Phase: 1 Type: L2-EGRESS-IFC-LOOKUP Subtype: Destination MAC L2 Lookup Result: ALLOW Config: Additional Information: DestinationMAC lookup resulted in egress ifc NET204
In het geval van FTD kunnen FMC Connection-evenementen ook informatie verstrekken over de stroominspectie en de overloopbrug-groepsinterfaces:
Configuratie en werking
Belangrijkste punten
FTD-interfaceconfiguratie
Vanuit een CLI-standpunt ziet de configuratie er sterk uit als een L2-switch:
interface Ethernet1/3 switchport switchport access vlan 203 ! interface Ethernet1/4 switchport switchport access vlan 203
De uitdaging: ACL kan verkeer binnen VLAN niet filteren!
De oplossing: Beschermde poorten
Het principe is heel eenvoudig: 2 poorten die zijn geconfigureerd als beveiligd, kunnen niet met elkaar praten.
FMC UI in het geval van beschermde havens:
FTD-interfaceconfiguratie
De opdracht switchpoort die beveiligd is, wordt ingesteld onder de interface:
interface Ethernet1/3 switchport switchport access vlan 203 switchport protected ! interface Ethernet1/4 switchport switchport access vlan 203 switchport protected
FP1010 switchingverificatie
In dit voorbeeld worden er 1000 pakketten met een specifieke grootte (1100 bytes) verzonden:
router# ping 10.10.203.4 re 1000 timeout 0 size 1100
Gebruik deze opdracht om de ingangen en reling te controleren op eenastloketten van de transitinterfaces:
FP1010(local-mgmt)# show portmanager counters ethernet 1 3 | egrep "stats.ing_unicastframes\|stats.bytes_1024to1518_frames" stats.ing_unicastframes = 146760 stats.bytes_1024to1518_frames = 0 FP1010(local-mgmt)# show portmanager counters ethernet 1 4 | egrep "stats.egr_unicastframes\|stats.bytes_1024to1518_frames" stats.bytes_1024to1518_frames = 0 stats.egr_unicastframes = 140752 FP1010(local-mgmt)# show portmanager counters ethernet 1 3 | egrep "stats.ing_unicastframes\|stats.bytes_1024to1518_frames" stats.ing_unicastframes = 147760 <------------------ Ingress Counters got increased by 1000 stats.bytes_1024to1518_frames = 1000 <------------------ Ingress Counters got increased by 1000 FP1010(local-mgmt)# show portmanager counters ethernet 1 4 | egrep "stats.egr_unicastframes\|stats.bytes_1024to1518_frames" stats.bytes_1024to1518_frames = 0 <------------------ No egress increase stats.egr_unicastframes = 140752 <------------------ No egress increase
Deze opdracht toont de status Interne switch VLAN:
FP1010# show switch vlan VLAN Name Status Ports ---- -------------- --------- ---------------------- 1 - down 203 - up Ethernet1/3, Ethernet1/4
De status van een VLAN is UP zolang minimaal één poort is toegewezen aan het VLAN
Als een poort administratief wordt ingedrukt of de aangesloten poort op de switch is afgesloten/kabel is losgekoppeld en dit is de enige poort die aan VLAN is toegewezen, is de VLAN-status ook minder:
FP1010-2# show switch vlan VLAN Name Status Ports ---- -------------------------------- --------- ----------------------------- 1 - down 201 net201 down Ethernet1/1 <--- e1/1 was admin down 202 net202 down Ethernet1/2 <--- upstream switch port is admin down
Deze opdracht toont de CAM-tabel van de interne switch:
FP1010-2# show switch mac-address-table Legend: Age - entry expiration time in seconds Mac Address | VLAN | Type | Age | Port ------------------------------------------------------------- 4c4e.35fc.0033 | 0203 | dynamic | 282 | Et1/3 4c4e.35fc.4444 | 0203 | dynamic | 330 | Et1/4
De standaard verouderingstijd van de interne switch CAM-tabel is 5 min 30 seconden.
FP1010 bevat 2 CAM-tabellen:
Elk pakket/kader dat over FP1010 loopt wordt verwerkt door één enkele CAM-tabel (interne switch of FTD datapath) op basis van de poortmodus.
Voorzichtig: Verwar de in SwitchPort-modus gebruikte interne switch CAM-tabel van de show switch niet met de CAM-tabel met hoofdadres waarvoor een FTD-datapath wordt gebruikt in een overbrugde modus
Hoe switching: Extra dingen om te weten te komen
ASA/FTD datapath-blogs tonen geen informatie over HW-switched stromen:
FP1010# show log FP1010#
ASA/FTD datapath-verbindingstabel bevat geen HW-switched stromen:
FP1010# show conn 0 in use, 3 most used Inspect Snort: preserve-connection: 0 enabled, 0 in effect, 0 most enabled, 0 most in effect
Bovendien tonen de gebeurtenissen van de verbinding van FMC geen HW-switched stromen.
Configuratie en werking
Belangrijkste punten
FTD-interfaceconfiguratie
De configuratie is vergelijkbaar met een Layer 2 switch poort:
interface Ethernet1/3 switchport switchport trunk allowed vlan 203 switchport trunk native vlan 1 switchport mode trunk ! interface Ethernet1/5 switchport switchport access vlan 203
Configuratie en werking
Belangrijkste punten
FTD-interfaceconfiguratie
De configuratie is vergelijkbaar met een Switch virtuele interface (SVI):
interface Ethernet1/2 switchport switchport access vlan 203 interface Ethernet1/4 switchport switchport access vlan 204 ! interface Vlan203 nameif NET203 security-level 0 ip address 10.10.203.1 255.255.255.0 interface Vlan204 nameif NET204 security-level 0 ip address 10.10.204.1 255.255.255.0
Packet Processing voor interVLAN-verkeer
Dit is een spoor van een pakje dat door 2 verschillende VLAN’s overschrijdt:
FP1010# show capture CAP203 packet-number 1 trace | include Type Type: CAPTURE Type: ACCESS-LIST Type: ROUTE-LOOKUP Type: ACCESS-LIST Type: CONN-SETTINGS Type: NAT Type: IP-OPTIONS Type: INSPECT Type: INSPECT Type: CAPTURE Type: CAPTURE Type: CAPTURE Type: NAT Type: IP-OPTIONS Type: CAPTURE Type: FLOW-CREATION Type: EXTERNAL-INSPECT Type: SNORT Type: ROUTE-LOOKUP Type: ADJACENCY-LOOKUP Type: CAPTURE
De belangrijkste fasen in het pakketproces:
Configuratie en werking
Er zijn 2 hoofdopties om verkeer tussen VLAN’s te filteren:
Filter verkeer tussen VLAN met het gebruik van de "no-forward" opdracht
configuratie FMC UI:
Belangrijkste punten
FTD-interfaceconfiguratie
De CLI-configuratie in dit geval is:
interface Vlan203 no forward interface Vlan204 nameif NET203 security-level 0 ip address 10.10.203.1 255.255.255.0 ! interface Vlan204 nameif NET204 security-level 0 ip address 10.10.204.1 255.255.255.0
Als een pakje door de optie Geen voorwaartse voorziening wordt verbroken, wordt een ASA/FTD Data Syslog-bericht gegenereerd:
FP1010# show log Sep 10 2019 07:44:54: %FTD-5-509001: Connection attempt was prevented by "no forward" command: icmp src NET203:10.10.203.3 dst NET204:10.10.204.3 (type 8, code 0)
Vanuit het vervolgkeuzepunt Accelerated Security Path (ASP) wordt het beschouwd als een ACL-daling:
FP1010-2# show asp drop Frame drop: Flow is denied by configured rule (acl-drop) 1
Aangezien de druppel unidirectioneel is, kan Host-A (VLAN 203) geen verkeer naar Host-B (VLAN 204) initiëren, maar het tegenovergestelde is toegestaan:
Overweeg de volgende topologie:
In deze topologie:
In deze topologie zijn er twee belangrijke ontwerpopties:
Ontwerpoptie 1. Overbrugging
Belangrijkste punten
De belangrijkste punten van dit ontwerp zijn:
Vanuit het standpunt van FMC UI is de configuratie:
FTD-interfaceconfiguratie
In dit geval is de configuratie:
interface BVI1 nameif BG1 security-level 0 ip address 10.10.203.100 255.255.255.0 interface Ethernet1/1 no switchport bridge-group 1 nameif HOST1 interface Ethernet1/2 no switchport bridge-group 1 nameif HOST2 interface Ethernet1/3 no switchport bridge-group 1 nameif HOST3 interface Ethernet1/4 no switchport bridge-group 1 nameif HOST4
De verkeersstroom in dit scenario:
Ontwerpoptie 2. W-switching + overbrugging
Belangrijkste punten
De belangrijkste punten van dit ontwerp zijn:
FMC UI-configuratie:
FTD-interfaceconfiguratie
In dit geval is de configuratie:
interface Ethernet1/1 switchport switchport access vlan 203 interface Ethernet1/2 switchport switchport access vlan 203 interface Ethernet1/4 switchport switchport access vlan 204 ! interface Vlan203 bridge-group 1 nameif NET203 interface Vlan204 bridge-group 1 nameif NET204 ! interface BVI1 nameif BG1 ip address 10.10.203.100 255.255.255.0
Host-to-host communicatie vs host-to-GW communicatie:
Switching en hoge beschikbaarheid (HA)
Er zijn twee belangrijke problemen wanneer HW Switching is ingesteld in een HA-omgeving:
Ontwerpvereisten
Interactie met Spanning Tree Protocol (STP)
De FP1010 interne switch voert geen STP uit.
Neem dit scenario in overweging:
Op de Edge-Switch is de Root Port voor beide VLAN’s G2/1:
Edge-Switch# show spanning-tree root | i 300|301 VLAN0300 33068 0017.dfd6.ec00 4 2 20 15 Gi2/1 VLAN0301 33069 0017.dfd6.ec00 4 2 20 15 Gi2/1
Sluit een FP1010 aan op de edge switch en bevestig beide poorten in hetzelfde VLAN (HW-switching):
Het probleem
Edge-Switch# show spanning-tree root | in 300|301 VLAN0300 33068 0017.dfd6.ec00 4 2 20 15 Gi2/1 VLAN0301 33068 0017.dfd6.ec00 8 2 20 15 Gi3/22
Waarschuwing: Als u een L2-switch aansluit op FP1010, kunt u het STP-domein beïnvloeden
Dit wordt ook gedocumenteerd in de configuratie-handleiding van het FMC:
FMC REST API’s
Dit zijn de REST API(s) voor deze functieondersteuning:
/api/fmc_fig/v1/domein/ {domeinUID}/apparaten/apparaten/ {containerUID}/fysieke interfaces/ {objectID}
/api/fmc_fig/v1/domein/ {domeinUID}/apparaten/apparaten/ {containerUID}/vlaninterfaces/ {objectID}
Verzamel gegevens van FXOS (apparaat) - CLI
In het geval van FTD (SSH):
> connect fxos Cisco Firepower Extensible Operating System (FX-OS) Software TAC support: http://www.cisco.com/tac Copyright (c) 2009-2019, Cisco Systems, Inc. All rights reserved. ... FP1010-2# connect local-mgmt FP1010-2(local-mgmt)#
In het geval van FTD (console):
> connect fxos You came from FXOS Service Manager. Please enter 'exit' to go back. > exit FP1010-2# connect local-mgmt
FP1010-2(local-mgmt)#
Poortregisters definiëren alle interne switch- en poortfuncties.
In dit screenshot wordt het gedeelte "Port Control" van de havenregisters getoond en in het bijzonder het register dat voorschrijft wanneer het op de interface ontvangen getagde verkeer wordt getagd, moet worden weggegooid (1) of toegestaan (0). Hier is het volledige registratiegedeelte voor één poort:
FP1010-2# connect local-mgmt FP1010-2(local-mgmt)# show portmanager switch status ... ---Port Control 2 regAddr=8 data=2E80-- Jumbo Mode = 2 Mode: 0:1522 1:2048 2:10240 802.1q mode = 3 Mode: 0:Disable 1:Fallback 2:Check 3:Secure Discard Tagged = 1 Mode: 0:Allow Tagged 1:Discard Tagged Discard Untagged = 0 Mode: 0:Allow Untagged 1:Discard Untagged ARP Mirror = 0 Mode: 1:Enable 0:Disable Egress Monitor Source = 0 Mode: 1:Enable 0:Disable Ingress Monitor Source = 0 Mode: 1:Enable 0:Disable Port default QPri = 0
In dit screenshot kunt u de verschillende kadavers van de kaart voor de verschillende poortmodi zien:
U kunt als volgt een FPRM-bundel genereren en het uploaden naar een FTP-server:
FP1010(local-mgmt)# show tech-support fprm detail FP1010(local-mgmt)# copy workspace:///techsupport/20190913063603_FP1010-2_FPRM.tar.gz ftp://ftp@10.229.20.96
De FPRM bundel bevat een bestand dat tech_support_brief heet. Het tech_support_short bestand bevat een reeks showopdrachten. Eén daarvan is de status van switch van showportmanager:
Beperkingen van de implementatie voor 6.5 release
Limieten ten aanzien van de Switch
Functie |
Beschrijving |
Limiet |
Aantal VLAN-interfaces |
Totaal aantal VLAN-interfaces dat kan worden gemaakt |
60 |
Trunkmodus VLAN |
Maximum aantal VLAN’s toegestaan op een poort in hoofdmodus |
20 |
Native VLAN |
Maps zonder tag Het bereiken op een haven aan inheems VLAN gevormd op de haven |
1 |
Benoemde interfaces |
Omvat alle genoemde interfaces (interface VLAN, subinterface, poortkanaal, fysieke interface enz) |
60 |
Overige beperkingen