Inleiding
Dit document beschrijft en helpt te begrijpen waarom NetFlow en andere functies niet zullen werken in een Firepower Threat Defense (FTD) in Transparent-modus met inline-paar en hoe u hieraan kunt werken.
Bijgedragen door Christian G. Hernandez R., Cisco TAC Engineer.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardwareversies:
- Cisco FMC v6.3.0
- Cisco FTD v6.3.0
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg er dan voor dat u de mogelijke impact van om het even welke opdracht begrijpt.
Probleem: NetFlow en andere functies worden niet ondersteund door de controle van de partiële LAN-motor als een Transparent FTD als inline-paar werkt.
Wanneer NetFlow via Flex Config op het systeem is geconfigureerd en wordt ingezet, genereert NetFlow geen stromen naar de geconfigureerde Collector (flow-export bestemming).
flow-export destination Management 10.1.2.3 2055
class-map inspection_default
match default-inspection-traffic
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
no tcp-inspection
policy-map type inspect ip-options UM_STATIC_IP_OPTIONS_MAP
parameters
eool action allow
nop action allow
router-alert action allow
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect rsh
inspect sqlnet
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect icmp
inspect icmp error
inspect ip-options UM_STATIC_IP_OPTIONS_MAP
class class-default
flow-export event-type flow-create destination 10.1.2.3
flow-export event-type flow-denied destination 10.1.2.3
flow-export event-type flow-teardown destination 10.1.2.3
flow-export event-type flow-update destination 10.1.2.3
!
service-policy global_policy global
Volgens de onderstaande tabel wordt bevestigd dat dit gedrag op de FTD te verwachten is als gevolg van beperkte LAN-motorcontroles op bepaalde functies wanneer het systeem in inline-paarmodus is ingesteld. Zie voor meer informatie hieronder:
| FTD-interfacemodus |
FTD-implementatiemodus |
Beschrijving |
Verkeer kan worden verlaagd |
| Routed |
Routed |
Controle van de volledige LINA-motor en de snijmotor |
Ja |
| switched |
Doorzichtig |
Controle van de volledige LINA-motor en de snijmotor |
Ja |
| Inline paar |
Routed of Transparent |
Gedeeltelijke LINA-motor- en volledige motorcontroles |
Ja |
| Inline paar met tap |
Routed of Transparent |
Gedeeltelijke LINA-motor- en volledige motorcontroles |
Nee |
| passief |
Routed of Transparent |
Gedeeltelijke LINA-motor- en volledige motorcontroles |
Nee |
| Passief (ERSPAN) |
Routed |
Gedeeltelijke LINA-motor- en volledige motorcontroles |
Nee |
https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/200924-configuring-firepower-threat-defense-int.html
NetFlow is een optie die niet ondersteund is wanneer de FTD in inline-paarmodus werkt.
Opmerking: De specifieke functies die niet door de FTD worden ondersteund wanneer deze in de modus "inline-paar" werkt, zijn op dit moment niet bekend. Daarom is het verbeteringsverzoek geopend om het Cisco Firepower engineering-team te vragen om te helpen de bekende niet-ondersteunde functies in deze modus te bevestigen: CSCvo5596 DOC: De sectie van de FMC-beperking die aangeeft welke functies worden ondersteund/niet ondersteund wanneer FTD in inline-set wordt geïnstalleerd.
Werken
Als uw instelling op de in dit document gespecificeerde manier is en NetFlow vereist, is de enige bekende tijdelijke oplossing om de FTD in Transparent-modus te verlaten en in plaats daarvan BVI (Bridge Virtual Interface)-interfaces in te stellen. Deze workround is gebaseerd op de ENH die is geopend om de NetFlow-functie in te sluiten voor inline-paarmodi:
CSCvo5574
ENH: FTD kan geen netflow-gegevens verzamelen terwijl deze in inline-paarmodus zijn geconfigureerd.
Verwante bellen
CSCvo5574 ENH: FTD kan geen netflow-gegevens verzamelen terwijl deze in inline-paarmodus zijn geconfigureerd.
CSCvo5585 DOC: De sectie van de FMC van de beperking voor netflow wanneer gevormd in de modus van het inline paar.
CSCvo5596 DOC: De sectie van de FMC-beperking die aangeeft welke functies worden ondersteund/niet ondersteund wanneer FTD in inline-set wordt geïnstalleerd.
Feedback