Configurar interfaces FTD no modo de par em linha

Opções de download

  • PDF     (1.2 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (1.0 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (971.3 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:16 de dezembro de 2020
ID do documento:200924

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve a configuração, a verificação e a operação de uma interface de par em linha em um dispositivo Firepower Threat Defense (FTD).

    Pré-requisitos

    Requisitos

    Não há requisitos específicos para este documento.

      

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • FTD Firepower 4150 (códigos 6.1.0.x e 6.3.x)
    • Firepower Management Center (FMC) (códigos 6.1.0.x e 6.3.x)

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Produtos Relacionados

    Este documento também pode ser usado com as seguintes versões de hardware e software:

    • ASA5506-X, ASA5506W-X, ASA5506H-X, ASA5508-X, ASA5516-X
    • ASA5512-X, ASA5515-X, ASA5525-X, ASA5545-X, ASA5555-X
    • FPR2100, FPR4100, FPR9300
    • VMware (ESXi), Amazon Web Services (AWS), Kernel-based Virtual Machine (KVM)
    • Código de software FTD 6.2.x ou posterior

    Informações de Apoio

    O FTD é uma imagem de software unificada que consiste em dois mecanismos principais:

    • Mecanismo LINA
    • Mecanismo Snort

    Esta figura mostra como os dois mecanismos interagem:

    Configuration GUI

    • Um pacote é inserido na interface de entrada e tratado pelo mecanismo LINA
    • Se exigido pela política do FTD, o pacote será inspecionado pelo mecanismo Snort
    • O mecanismo Snort retorna um veredito para o pacote
    • O mecanismo LINA descarta ou encaminha o pacote de acordo com a conclusão do Snort

    O FTD fornece dois modos de implantação e seis modos de interface, como mostrado na imagem:

    Network Topology

    Observação: você pode combinar modos de interface em um único dispositivo FTD.

    Aqui está uma visão geral de alto nível dos vários modos de implantação e interface do FTD:

    modo de interface FTD

    Modo de Implantação de FTD

    Descrição

    O tráfego pode ser descartado

    Roteado

    Roteado

    Verificações completas dos motores LINA e Snort

    Yes

    Comutado

    Transparente

    Verificações completas dos motores LINA e Snort

    Yes

    Par em linha

    Roteado ou transparente

    Verificações parciais do motor LINA e do motor Snort completo

    Yes

    Par em linha com torneira

    Roteado ou transparente

    Verificações parciais do motor LINA e do motor Snort completo

    No

    Passivo

    Roteado ou transparente

    Verificações parciais do motor LINA e do motor Snort completo

    No

    Passivo (ERSPAN)

    Roteado

    Verificações parciais do motor LINA e do motor Snort completo

    No

    Configurar a interface de par em linha no FTD

    Diagrama de Rede

    Network Topology

    Requisitos

    Configure as interfaces físicas e1/6 e e1/8 no modo de par em linha conforme estes requisitos:

    Interface e1/6 e1/8
    Nome INTERNA EXTERNA
    Zona de segurança INSIDE_ZONE OUTSIDE_ZONE
    Nome do Conjunto Embutido Par em linha-1
    MTU de configuração in-line 1500
    FailSafe Habilitado
    Propagar Estado do Link Habilitado

    Solução

    Etapa 1. Para configurar as interfaces individuais, navegue até Devices > Device Management, selecione o dispositivo apropriado e selecione Edit como mostrado na imagem.

    Configuration GUI


    Em seguida, especifique Name e Tick Enabled para a interface como mostrado na imagem.

    Configuration GUI

    Observação: o nome é o nome da interface.

    Da mesma forma para a interface Ethernet1/8. O resultado final é como mostrado na imagem.

    Configuration GUI


    Etapa 2. Configure o par em linha.


    Navegue até Conjuntos embutidos > Adicionar conjunto embutido conforme mostrado na imagem.

    Configuration GUI

    Etapa 3. Defina as configurações gerais de acordo com os requisitos, conforme mostrado na imagem.

    Configuration GUI

    Observação: o Failsafe permite que o tráfego passe pelo par em linha sem ser inspecionado caso os buffers de interface estejam cheios (geralmente vistos quando o dispositivo está sobrecarregado ou o mecanismo Snort está sobrecarregado). O tamanho do buffer da interface é alocado dinamicamente.

    Etapa 4. Ative a opção Propagate Link State nas Configurações avançadas, conforme mostrado na imagem.

    Configuration GUI

    A propagação de estado de link desativa automaticamente a segunda interface no par de interface embutida quando uma das interfaces no conjunto embutido é desativada.

    Etapa 5. Salve as alterações e Implante.

    Verificar

    Use esta seção para confirmar se a sua configuração funciona corretamente.

    Verifique a configuração de Par em linha a partir da CLI do FTD.



    Solução

    Inicie a sessão na CLI do FTD e verifique a configuração do par em linha:

    > show inline-set

    Inline-set Inline-Pair-1
      Mtu is 1500 bytes
      Failsafe mode is on/activated
      Failsecure mode is off
      Tap mode is off
      Propagate-link-state option is on
      hardware-bypass mode is disabled
      Interface-Pair[1]:
        Interface: Ethernet1/6 "INSIDE"
          Current-Status: UP
        Interface: Ethernet1/8 "OUTSIDE"
          Current-Status: UP
        Bridge Group ID: 509
    >

    Observação: o ID do grupo de bridge é um valor diferente de 0. Se o modo de toque estiver ativado, será 0

    Informações de interface e nome:

    > show nameif
    Interface                Name                     Security
    Ethernet1/6              INSIDE                     0
    Ethernet1/7              diagnostic                 0
    Ethernet1/8              OUTSIDE                    0
    >


    Verifique o status da interface:

    > show interface ip brief
    Interface                  IP-Address      OK? Method Status                Protocol
    Internal-Data0/0           unassigned      YES unset  up                    up
    Internal-Data0/1           unassigned      YES unset  up                    up
    Internal-Data0/2           169.254.1.1     YES unset  up                    up
    Ethernet1/6                unassigned      YES unset  up                    up
    Ethernet1/7                unassigned      YES unset  up                    up
    Ethernet1/8                unassigned      YES unset  up                    up

    Verifique as informações da interface física:

    > show interface e1/6
    Interface Ethernet1/6 "INSIDE", is up, line protocol is up
      Hardware is EtherSVI, BW 1000 Mbps, DLY 1000 usec
            MAC address 5897.bdb9.770e, MTU 1500
            IPS Interface-Mode: inline, Inline-Set: Inline-Pair-1
            IP address unassigned
      Traffic Statistics for "INSIDE":
            468 packets input, 47627 bytes
            12 packets output, 4750 bytes
            1 packets dropped
          1 minute input rate 0 pkts/sec,  200 bytes/sec
          1 minute output rate 0 pkts/sec,  7 bytes/sec
          1 minute drop rate, 0 pkts/sec
          5 minute input rate 0 pkts/sec,  96 bytes/sec
          5 minute output rate 0 pkts/sec,  8 bytes/sec
          5 minute drop rate, 0 pkts/sec
    > show interface e1/8
    Interface Ethernet1/8 "OUTSIDE", is up, line protocol is up
      Hardware is EtherSVI, BW 1000 Mbps, DLY 1000 usec
            MAC address 5897.bdb9.774d, MTU 1500
            IPS Interface-Mode: inline, Inline-Set: Inline-Pair-1
            IP address unassigned
      Traffic Statistics for "OUTSIDE":
            12 packets input, 4486 bytes
            470 packets output, 54089 bytes
            0 packets dropped
          1 minute input rate 0 pkts/sec,  7 bytes/sec
          1 minute output rate 0 pkts/sec,  212 bytes/sec
          1 minute drop rate, 0 pkts/sec
          5 minute input rate 0 pkts/sec,  7 bytes/sec
          5 minute output rate 0 pkts/sec,  106 bytes/sec
          5 minute drop rate, 0 pkts/sec
    >




    Verificar a Operação da Interface de Par em Linha FTD

    Esta seção aborda estas verificações para verificar a operação de Par em Linha:

    • Verificação 1. Com o uso do packet-tracer
    • Verificação 2. Habilite a captura com rastreamento e envie um pacote de sincronização/confirmação (SYN/ACK) TCP através do Par em Linha
    • Verificação 3. Monitorar o tráfego de FTD com o uso de depuração do mecanismo de firewall
    • Verificação 4. Verificar a funcionalidade da Propagação de Link-State
    • Verificação 5. Configurar a conversão de endereço de rede estática (NAT)


    Solução

    Visão geral da arquitetura

    Quando 2 interfaces FTD operam no modo de par em linha, um pacote é tratado conforme mostrado na imagem.

    Network Topology

    Observação: somente interfaces físicas podem ser membros de um conjunto de pares em linha

    Teoria básica

    • Ao configurar um par em linha 2, as interfaces físicas são interligadas internamente
    • Muito semelhante ao sistema de prevenção de intrusão (IPS) em linha clássico
    • Disponível nos modos de implantação roteada ou transparente
    • A maioria dos recursos do mecanismo LINA (NAT, roteamento, etc.) não está disponível para fluxos que passam por um par em linha
    • O tráfego de trânsito pode ser descartado
    • Algumas verificações do mecanismo LINA são aplicadas junto com verificações completas do mecanismo Snort

    O último ponto pode ser visualizado como mostrado na imagem:

    Network Topology

    Verificação 1. Com o uso do Packet Tracer


    A saída do packet-tracer que emula um pacote que atravessa o par em linha com os pontos importantes destacados:

    > packet-tracer input INSIDE tcp 192.168.201.50 1111 192.168.202.50 80

    Phase: 1
    Type: ACCESS-LIST
    Subtype:
    Result: ALLOW
    Config:
    Implicit Rule
    Additional Information:
    MAC Access list

    Phase: 2
    Type: NGIPS-MODE
    Subtype: ngips-mode
    Result: ALLOW
    Config:
    Additional Information:
    The flow ingressed an interface configured for NGIPS mode and NGIPS services is be applied

    Phase: 3
    Type: ACCESS-LIST
    Subtype: log
    Result: ALLOW
    Config:
    access-group CSM_FW_ACL_ global
    access-list CSM_FW_ACL_ advanced permit ip any any rule-id 268438528
    access-list CSM_FW_ACL_ remark rule-id 268438528: ACCESS POLICY: FTD4100 - Default/1
    access-list CSM_FW_ACL_ remark rule-id 268438528: L4 RULE: DEFAULT ACTION RULE
    Additional Information:
     This packet is sent to snort for additional processing where a verdict is reached

    Phase: 4
    Type: NGIPS-EGRESS-INTERFACE-LOOKUP
    Subtype: Resolve Egress Interface
    Result: ALLOW
    Config:
    Additional Information:
    Ingress interface INSIDE is in NGIPS inline mode.
    Egress interface OUTSIDE is determined by inline-set configuration

    Phase: 5
    Type: FLOW-CREATION
    Subtype:
    Result: ALLOW
    Config:
    Additional Information:
    New flow created with id 106, packet dispatched to next module

    Result:
    input-interface: INSIDE
    input-status: up
    input-line-status: up
    Action: allow

    >

    Verificação 2. Enviar pacotes TCP SYN/ACK através do par em linha


    Você pode gerar pacotes TCP SYN/ACK com o uso de um pacote que cria utilitários como o Scapy. Esta sintaxe gera 3 pacotes com sinalizadores SYN/ACK ativados:

    root@KALI:~# scapy
INFO: Can't import python gnuplot wrapper . Won't be able to plot.
WARNING: No route found for IPv6 destination :: (no default route?)
Welcome to Scapy (2.2.0)
>>> conf.iface='eth0'
>>> packet = IP(dst="192.168.201.60")/TCP(flags="SA",dport=80)
>>> syn_ack=[]
>>> for i in range(0,3): # Send 3 packets
...  syn_ack.extend(packet)
...
>>> send(syn_ack)

    Habilite esta captura na CLI FTD e envie alguns pacotes TCP SYN/ACK:

    > capture CAPI interface INSIDE trace match ip host 192.168.201.60 any
    > capture CAPO interface OUTSIDE match ip host 192.168.201.60 any
    >

    Depois de enviar os pacotes pelo FTD, você poderá ver uma conexão que foi criada:

    > show conn detail
    1 in use, 34 most used
    Flags: A - awaiting responder ACK to SYN, a - awaiting initiator ACK to SYN,
           b - TCP state-bypass or nailed,
           C - CTIQBE media, c - cluster centralized,
           D - DNS, d - dump, E - outside back connection, e - semi-distributed,
           F - initiator FIN, f - responder FIN,
           G - group, g - MGCP, H - H.323, h - H.225.0, I - initiator data,
           i - incomplete, J - GTP, j - GTP data, K - GTP t3-response
           k - Skinny media, M - SMTP data, m - SIP media, N - inspected by Snort, n - GUP
           O - responder data, P - inside back connection,
           q - SQL*Net data, R - initiator acknowledged FIN,
           R - UDP SUNRPC, r - responder acknowledged FIN,
           T - SIP, t - SIP transient, U - up,
           V - VPN orphan, v - M3UA W - WAAS,
           w - secondary domain backup,
           X - inspected by service module,
           x - per session, Y - director stub flow, y - backup stub flow,
           Z - Scansafe redirection, z - forwarding stub flow

    TCP Inline-Pair-1:OUTSIDE(OUTSIDE): 192.168.201.60/80 Inline-Pair-1:INSIDE(INSIDE): 192.168.201.50/20,
        flags b N, idle 13s, uptime 13s, timeout 1h0m, bytes 0

    >

    Observação: flag b - Um ASA clássico descartaria um pacote SYN/ACK não solicitado, a menos que o desvio de estado TCP fosse ativado. Uma interface FTD no modo de Par em Linha processa uma conexão TCP em um modo de desvio de estado TCP e não descarta pacotes TCP que não pertencem às conexões que já existem.

    Observação: flag N - O pacote é inspecionado pelo mecanismo Snort do FTD.

    As capturas provam isso, já que você pode ver os 3 pacotes que passam pelo FTD:

    > show capture CAPI

    3 packets captured

       1: 15:27:54.327146       192.168.201.50.20 > 192.168.201.60.80: S 0:0(0) ack 0 win 8192
       2: 15:27:54.330000       192.168.201.50.20 > 192.168.201.60.80: S 0:0(0) ack 0 win 8192
       3: 15:27:54.332517       192.168.201.50.20 > 192.168.201.60.80: S 0:0(0) ack 0 win 8192
    3 packets shown
    >

    3 pacotes saem do dispositivo FTD:

    > show capture CAPO

    3 packets captured

       1: 15:27:54.327299       192.168.201.50.20 > 192.168.201.60.80: S 0:0(0) ack 0 win 8192
       2: 15:27:54.330030       192.168.201.50.20 > 192.168.201.60.80: S 0:0(0) ack 0 win 8192
       3: 15:27:54.332548       192.168.201.50.20 > 192.168.201.60.80: S 0:0(0) ack 0 win 8192
    3 packets shown
    >


    Com o Rastreamento do primeiro pacote de captura, são reveladas algumas informações adicionais, como o veredito do mecanismo Snort:

    > show capture CAPI packet-number 1 trace

3 packets captured

   1: 15:27:54.327146       192.168.201.50.20 > 192.168.201.60.80: S 0:0(0) ack 0 win 8192
Phase: 1
Type: CAPTURE
Subtype:
Result: ALLOW
Config:
Additional Information:
MAC Access list

Phase: 2
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list

Phase: 3
Type: NGIPS-MODE
Subtype: ngips-mode
Result: ALLOW
Config:
Additional Information:
The flow ingressed an interface configured for NGIPS mode and NGIPS services is applied

Phase: 4
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group CSM_FW_ACL_ global
access-list CSM_FW_ACL_ advanced permit ip any any rule-id 268438528
access-list CSM_FW_ACL_ remark rule-id 268438528: ACCESS POLICY: FTD4100 - Default/1
access-list CSM_FW_ACL_ remark rule-id 268438528: L4 RULE: DEFAULT ACTION RULE
Additional Information:
 This packet is sent to snort for additional processing where a verdict is reached

Phase: 5
Type: NGIPS-EGRESS-INTERFACE-LOOKUP
Subtype: Resolve Egress Interface
Result: ALLOW
Config:
Additional Information:
Ingress interface INSIDE is in NGIPS inline mode.
Egress interface OUTSIDE is determined by inline-set configuration

Phase: 6
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 282, packet dispatched to next module

Phase: 7
Type: EXTERNAL-INSPECT
Subtype:
Result: ALLOW
Config:
Additional Information:
Application: 'SNORT Inspect'

Phase: 8
Type: SNORT
Subtype:
Result: ALLOW
Config:
Additional Information:
Snort Verdict: (pass-packet) allow this packet

Phase: 9
Type: CAPTURE
Subtype:
Result: ALLOW
Config:
Additional Information:
MAC Access list

Result:
input-interface: OUTSIDE
input-status: up
input-line-status: up
Action: allow


1 packet shown
>



    Com o Rastreamento do segundo pacote capturado, mostra que o pacote corresponde a uma conexão atual, de modo que ele ignora a verificação da ACL, mas ainda é inspecionado pelo mecanismo Snort:

    > show capture CAPI packet-number 2 trace

3 packets captured

   2: 15:27:54.330000       192.168.201.50.20 > 192.168.201.60.80: S 0:0(0) ack 0 win 8192
Phase: 1
Type: CAPTURE
Subtype:
Result: ALLOW
Config:
Additional Information:
MAC Access list

Phase: 2
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list

Phase: 3
Type: FLOW-LOOKUP
Subtype:ing
Result: ALLOW
Config:
Additional Information:
Found flow with id 282, using current flow

Phase: 4
Type: EXTERNAL-INSPECT
Subtype:
Result: ALLOW
Config:
Additional Information:
Application: 'SNORT Inspect'

Phase: 5
Type: SNORT
Subtype:
Result: ALLOW
Config:
Additional Information:
Snort Verdict: (pass-packet) allow this packet

Phase: 6
Type: CAPTURE
Subtype:
Result: ALLOW
Config:
Additional Information:
MAC Access list

Result:
input-interface: OUTSIDE
input-status: up
input-line-status: up
Action: allow


1 packet shown
>

    Verificação 3. Depuração Do Mecanismo De Firewall Para Tráfego Permitido

    A depuração do mecanismo de firewall é executada em componentes específicos do Mecanismo de Snort do FTD, como a Política de Controle de Acesso, conforme mostrado na imagem:

    Network Topology

    Quando você envia os pacotes TCP SYN/ACK através do par em linha, você pode ver na saída da depuração:

    > system support firewall-engine-debug

    Please specify an IP protocol: tcp
    Please specify a client IP address:
    Please specify a client port:
    Please specify a server IP address: 192.168.201.60
    Please specify a server port: 80
    Monitoring firewall engine debug messages

    192.168.201.60-80 > 192.168.201.50-20 6 AS 4 I 12 New session
    192.168.201.60-80 > 192.168.201.50-20 6 AS 4 I 12 using HW or preset rule order 3, id 268438528 action Allow and prefilter rule 0
    192.168.201.60-80 > 192.168.201.50-20 6 AS 4 I 12 allow action
    192.168.201.60-80 > 192.168.201.50-20 6 AS 4 I 12 Deleting session

    Verificação 4. Verificar a Propagação de Link-State

    Ative o log de buffer no FTD e desligue a porta do switch conectada à interface e1/6. Na CLI do FTD, você deve ver que ambas as interfaces ficaram inativas:

    > show interface ip brief
    Interface                  IP-Address      OK? Method Status                Protocol
    Internal-Data0/0           unassigned      YES unset  up                    up
    Internal-Data0/1           unassigned      YES unset  up                    up
    Internal-Data0/2           169.254.1.1     YES unset  up                    up
    Ethernet1/6                unassigned      YES unset  down                  down
    Ethernet1/7                unassigned      YES unset  up                    up
    Ethernet1/8                unassigned      YES unset  administratively down up
    >


    Os registros de FTD mostram:

    > show log

    Jan 03 2017 15:53:19: %ASA-4-411002: Line protocol on Interface Ethernet1/6, changed state to down
    Jan 03 2017 15:53:19: %ASA-4-411004: Interface OUTSIDE, changed state to administratively down
    Jan 03 2017 15:53:19: %ASA-4-411004: Interface Ethernet1/8, changed state to administratively down
    Jan 03 2017 15:53:19: %ASA-4-812005: Link-State-Propagation activated on inline-pair due to failure of interface Ethernet1/6(INSIDE) bringing down pair interface Ethernet1/8(OUTSIDE)
    >

    O status do conjunto em linha mostra o estado dos 2 membros da interface:

    > show inline-set

    Inline-set Inline-Pair-1
      Mtu is 1500 bytes
      Failsafe mode is on/activated
      Failsecure mode is off
      Tap mode is off
     Propagate-link-state option is on
      hardware-bypass mode is disabled
      Interface-Pair[1]:
        Interface: Ethernet1/6 "INSIDE"
          Current-Status: Down(Propagate-Link-State-Activated)
        Interface: Ethernet1/8 "OUTSIDE"
          Current-Status: Down(Down-By-Propagate-Link-State)
        Bridge Group ID: 509
    >

    Observe a diferença no status das 2 interfaces:

    > show interface e1/6
    Interface Ethernet1/6 "INSIDE", is down, line protocol is down
      Hardware is EtherSVI, BW 1000 Mbps, DLY 1000 usec
            MAC address 5897.bdb9.770e, MTU 1500
            IPS Interface-Mode: inline, Inline-Set: Inline-Pair-1
            Propagate-Link-State-Activated
            IP address unassigned
      Traffic Statistics for "INSIDE":
            3393 packets input, 234923 bytes
            120 packets output, 49174 bytes
            1 packets dropped
          1 minute input rate 0 pkts/sec,  0 bytes/sec
          1 minute output rate 0 pkts/sec,  0 bytes/sec
          1 minute drop rate, 0 pkts/sec
          5 minute input rate 0 pkts/sec,  6 bytes/sec
          5 minute output rate 0 pkts/sec,  3 bytes/sec
          5 minute drop rate, 0 pkts/sec
    >

    E para a interface Ethernet1/8:

    > show interface e1/8
    Interface Ethernet1/8 "OUTSIDE", is administratively down, line protocol is up
      Hardware is EtherSVI, BW 1000 Mbps, DLY 1000 usec
            MAC address 5897.bdb9.774d, MTU 1500
            IPS Interface-Mode: inline, Inline-Set: Inline-Pair-1
            Down-By-Propagate-Link-State
            IP address unassigned
      Traffic Statistics for "OUTSIDE":
            120 packets input, 46664 bytes
            3391 packets output, 298455 bytes
            0 packets dropped
          1 minute input rate 0 pkts/sec,  0 bytes/sec
          1 minute output rate 0 pkts/sec,  0 bytes/sec
          1 minute drop rate, 0 pkts/sec
          5 minute input rate 0 pkts/sec,  3 bytes/sec
          5 minute output rate 0 pkts/sec,  8 bytes/sec
          5 minute drop rate, 0 pkts/sec
    >

    Depois de reativar a porta do switch, os registros de FTD mostram:

    > show log
    ...
    Jan 03 2017 15:59:35: %ASA-4-411001: Line protocol on Interface Ethernet1/6, changed state to up
    Jan 03 2017 15:59:35: %ASA-4-411003: Interface Ethernet1/8, changed state to administratively up
    Jan 03 2017 15:59:35: %ASA-4-411003: Interface OUTSIDE, changed state to administratively up
    Jan 03 2017 15:59:35: %ASA-4-812006: Link-State-Propagation de-activated on inline-pair due to recovery of interface Ethernet1/6(INSIDE) bringing up pair interface Ethernet1/8(OUTSIDE)
    >

    Verificação 5. Configurar o NAT estático

    Solução

    O NAT não é suportado para interfaces que operam nos modos inline, inline tap ou passivo:

    https://www.cisco.com/c/en/us/td/docs/security/firepower/601/configuration/guide/fpmc-config-guide-v601/Network_Address_Translation__NAT__for_Threat_Defense.html

    Bloquear pacote no modo de interface de par em linha

    Crie uma regra de bloqueio, envie o tráfego pelo par em linha FTD e observe o comportamento como mostrado na imagem.

    Configuration GUI

    Solução

    Ative a captura com trace e envie os pacotes SYN/ACK através do par em linha FTD. O tráfego está bloqueado:

    > show capture
capture CAPI type raw-data trace interface INSIDE [Capturing - 210 bytes]
  match ip host 192.168.201.60 any
capture CAPO type raw-data interface OUTSIDE [Capturing - 0 bytes]
  match ip host 192.168.201.60 any

    Com o rastreamento, um pacote revela:

    > show capture CAPI packet-number 1 trace

    3 packets captured

       1: 16:12:55.785085       192.168.201.50.20 > 192.168.201.60.80: S 0:0(0) ack 0 win 8192
    Phase: 1
    Type: CAPTURE
    Subtype:
    Result: ALLOW
    Config:
    Additional Information:
    MAC Access list

    Phase: 2
    Type: ACCESS-LIST
    Subtype:
    Result: ALLOW
    Config:
    Implicit Rule
    Additional Information:
    MAC Access list

    Phase: 3
    Type: NGIPS-MODE
    Subtype: ngips-mode
    Result: ALLOW
    Config:
    Additional Information:
    The flow ingressed an interface configured for NGIPS mode and NGIPS services is applied

    Phase: 4
    Type: ACCESS-LIST
    Subtype: log
    Result: DROP
    Config:
    access-group CSM_FW_ACL_ global
    access-list CSM_FW_ACL_ advanced deny ip 192.168.201.0 255.255.255.0 any rule-id 268441600 event-log flow-start
    access-list CSM_FW_ACL_ remark rule-id 268441600: ACCESS POLICY: FTD4100 - Mandatory/1
    access-list CSM_FW_ACL_ remark rule-id 268441600: L4 RULE: Rule 1
    Additional Information:

    Result:
    input-interface: INSIDE
    input-status: up
    input-line-status: up
    Action: drop
    Drop-reason: (acl-drop) Flow is denied by configured rule


    1 packet shown

    Neste rastreamento, pode-se ver que o pacote foi descartado pelo mecanismo LINA do FTD e não foi encaminhado para o mecanismo Snort do FTD.

    Configurar O Modo De Par Em Linha Com Toque

    Ative o modo Tap no Par em linha.



    Solução

    Navegue até Devices > Device Management > Inline Sets > Edit Inline Set > Advanced e habilite Tap Mode como mostrado na imagem.

    Configuration GUI



    Verificação

    > show inline-set

Inline-set Inline-Pair-1
  Mtu is 1500 bytes
  Failsafe mode is on/activated
  Failsecure mode is off
  Tap mode is on
  Propagate-link-state option is on
  hardware-bypass mode is disabled
  Interface-Pair[1]:
    Interface: Ethernet1/6 "INSIDE"
      Current-Status: UP
    Interface: Ethernet1/8 "OUTSIDE"
      Current-Status: UP
    Bridge Group ID: 0
>

    Verificar o par em linha FTD com a operação da interface de torneira

    Teoria básica

    • Ao configurar um par em linha com o toque 2, as interfaces físicas são interligadas internamente
    • Ele está disponível nos modos de implantação roteada ou transparente
    • A maioria dos recursos do mecanismo LINA (NAT, roteamento, etc.) não está disponível para fluxos que passam pelo par em linha
    • O tráfego real não pode ser descartado
    • Algumas verificações do mecanismo LINA são aplicadas junto com verificações completas do mecanismo Snort para uma cópia do tráfego real

    O último ponto é como mostrado na imagem:

    Network Topology




    O par em linha com modo de toque não descarta o tráfego de trânsito. Com o rastreamento de um pacote, ele confirma isso:

    > show capture CAPI packet-number 2 trace

3 packets captured

   2: 13:34:30.685084       192.168.201.50.20 > 192.168.201.60.80: S 0:0(0) win 8192
Phase: 1
Type: CAPTURE
Subtype:
Result: ALLOW
Config:
Additional Information:
MAC Access list

Phase: 2
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list

Phase: 3
Type: NGIPS-MODE
Subtype: ngips-mode
Result: ALLOW
Config:
Additional Information:
The flow ingressed an interface configured for NGIPS mode and NGIPS services is applied

Phase: 4
Type: ACCESS-LIST
Subtype: log
Result: WOULD HAVE DROPPED
Config:
access-group CSM_FW_ACL_ global
access-list CSM_FW_ACL_ advanced deny ip 192.168.201.0 255.255.255.0 any rule-id 268441600 event-log flow-start
access-list CSM_FW_ACL_ remark rule-id 268441600: ACCESS POLICY: FTD4100 - Mandatory/1
access-list CSM_FW_ACL_ remark rule-id 268441600: L4 RULE: Rule 1
Additional Information:

Result:
input-interface: INSIDE
input-status: up
input-line-status: up
Action: Access-list would have dropped, but packet forwarded due to inline-tap


1 packet shown
    >




    Par em linha e Etherchannel

    Você pode configurar o par em linha com o etherchannel de duas maneiras:

    1. Etherchannel terminado em FTD
    2. O Etherchannel passa pelo FTD (requer o código FXOS 2.3.1.3 e posterior)

    Etherchannel terminado em FTD

    Network Topology

    Etherchannels no SW-A:

    SW-A# show etherchannel summary | i Po33|Po55
33     Po33(SU)        LACP      Gi3/11(P)
35     Po35(SU)        LACP      Gi2/33(P)

    Etherchannels no SW-B:

    SW-B# show etherchannel summary | i Po33|Po55
33     Po33(SU)        LACP        Gi1/0/3(P)
55     Po55(SU)        LACP        Gi1/0/4(P)

    O tráfego é encaminhado por meio do FTD Ativo com base no aprendizado do endereço MAC:

    SW-B# show mac address-table address 0017.dfd6.ec00
          Mac Address Table
-------------------------------------------

Vlan    Mac Address       Type        Ports
----    -----------       --------    -----
 201    0017.dfd6.ec00    DYNAMIC     Po33
Total Mac Addresses for this criterion: 1

    O conjunto em linha no FTD:

    FTD# show inline-set

Inline-set SET1
  Mtu is 1500 bytes
  Fail-open for snort down is on
  Fail-open for snort busy is off
  Tap mode is off
  Propagate-link-state option is off
  hardware-bypass mode is disabled
  Interface-Pair[1]:
    Interface: Port-channel3 "INSIDE"
      Current-Status: UP
    Interface: Port-channel5 "OUTSIDE"
      Current-Status: UP
    Bridge Group ID: 775

    Observação: no caso de um evento de failover de FTD, a interrupção de tráfego depende principalmente do tempo que leva para os switches aprenderem o endereço MAC do peer remoto.

    Etherchannel através do FTD

    Network Topology

    Etherchannels no SW-A:

    SW-A# show etherchannel summary | i Po33|Po55
    33     Po33(SU)        LACP      Gi3/11(P)
    55     Po55(SD)        LACP      Gi3/7(I)

    Os pacotes de LACP através do FTD de Standby são bloqueados:

    FTD# capture ASP type asp-drop fo-standby
FTD# show capture ASP | i 0180.c200.0002
  29: 15:28:32.658123       a0f8.4991.ba03 0180.c200.0002 0x8809 Length: 124
  70: 15:28:47.248262       f0f7.556a.11e2 0180.c200.0002 0x8809 Length: 124

    Etherchannels no SW-B:

    SW-B# show etherchannel summary | i Po33|Po55
    33     Po33(SU)        LACP        Gi1/0/3(P)
    55     Po55(SD)        LACP        Gi1/0/4(s)

    O tráfego é encaminhado por meio do FTD Ativo com base no aprendizado do endereço MAC:

    SW-B# show mac address-table address 0017.dfd6.ec00
          Mac Address Table
-------------------------------------------

Vlan    Mac Address       Type        Ports
----    -----------       --------    -----
 201    0017.dfd6.ec00    DYNAMIC     Po33
Total Mac Addresses for this criterion: 1

    O conjunto em linha no FTD:

    FTD# show inline-set

    Inline-set SET1
      Mtu is 1500 bytes
      Fail-open for snort down is on
      Fail-open for snort busy is off
      Tap mode is off
      Propagate-link-state option is off
      hardware-bypass mode is disabled
      Interface-Pair[1]:
        Interface: Ethernet1/3 "INSIDE"
          Current-Status: UP
        Interface: Ethernet1/5 "OUTSIDE"
          Current-Status: UP
        Bridge Group ID: 519

    Cuidado: neste cenário, no caso de um evento de failover de FTD, o tempo de convergência depende principalmente da negociação do LACP do Etherchannel e o tempo que leva para a interrupção pode ser bem maior. Caso o modo Etherchannel esteja ON (sem LACP), o tempo de convergência depende da aprendizagem do endereço MAC.

    Troubleshooting

    No momento, não há informações específicas disponíveis para esta configuração.

    Comparação: Par em linha vs Par em linha com torneira

    Par em linha

    Par em linha com Tap

    show inline-set

    > show inline-set

    Par em linha de conjunto interno-1
      Mtu tem 1500 bytes
      O modo à prova de falhas está ativado/ativado
      O modo Failsecure está desativado
      O modo de toque está desativado
      A opção Propagate-link-state está ativada
      o modo de desvio de hardware está desativado
      Par de interfaces[1]:
        Interface: Ethernet1/6 "INSIDE"
          Status atual: ATIVADO
        Interface: Ethernet1/8 "EXTERNA"
          Status atual: ATIVADO
        ID do grupo de bridge: 509
    >

    > show inline-set

    Par em linha de conjunto interno-1
      Mtu tem 1500 bytes
      O modo à prova de falhas está ativado/ativado
      O modo Failsecure está desativado
      O modo de toque está ativado
      A opção Propagate-link-state está ativada
      o modo de desvio de hardware está desativado
      Par de interfaces[1]:
        Interface: Ethernet1/6 "INSIDE"
          Status atual: ATIVADO
        Interface: Ethernet1/8 "EXTERNA"
          Status atual: ATIVADO
        ID do grupo de bridge: 0

    >

    show interface

    > show interface e1/6
    A interface Ethernet1/6 "INSIDE" está ativa, o protocolo de linha está ativo
      O hardware é EtherSVI, BW 1000 Mbps, DLY 1000 usec
            Endereço MAC 5897.bdb9.770e, MTU 1500
            Modo de interface IPS: em linha, conjunto em linha: par em linha-1
            Endereço IP não atribuído
      Estatísticas de tráfego para "INSIDE":
            Entrada de 3957 pacotes, 264913 bytes
            Saída de 144 pacotes, 58664 bytes
            4 pacotes descartados
          Taxa de entrada de 1 minuto 0 pacotes/s, 26 bytes/s
          Taxa de saída de 1 minuto 0 pacotes/s, 7 bytes/s
          Taxa de queda de 1 minuto, 0 pacotes/s
          Taxa de entrada de 5 minutos: 0 pacotes/s, 28 bytes/s
          Taxa de saída de 5 minutos 0 pacotes/s, 9 bytes/s
          Taxa de queda de 5 minutos, 0 pacotes/s
    > show interface e1/8
    A interface Ethernet1/8 "EXTERNA", está ativa, o protocolo de linha está ativo
      O hardware é EtherSVI, BW 1000 Mbps, DLY 1000 usec
            Endereço MAC 5897.bdb9.774d, MTU 1500
            Modo de interface IPS: em linha, conjunto em linha: par em linha-1
            Endereço IP não atribuído
      Estatísticas de tráfego para "EXTERNO":
            Entrada de 144 pacotes, 55634 bytes
            Saída de 3954 pacotes, 339987 bytes
            0 pacotes descartados
          Taxa de entrada de 1 minuto 0 pacotes/s, 7 bytes/s
          Taxa de saída de 1 minuto 0 pacotes/s, 37 bytes/s
          Taxa de queda de 1 minuto, 0 pacotes/s
          Taxa de entrada de 5 minutos 0 pacotes/s, 8 bytes/s
          Taxa de saída de 5 minutos 0 pacotes/s, 39 bytes/s
          Taxa de queda de 5 minutos, 0 pacotes/s
    >

    > show interface e1/6
    A interface Ethernet1/6 "INSIDE" está ativa, o protocolo de linha está ativo
      O hardware é EtherSVI, BW 1000 Mbps, DLY 1000 usec
            Endereço MAC 5897.bdb9.770e, MTU 1500
            IPS Interface-Mode: inline-tap, Inline-Set: Inline-Pair-1
            Endereço IP não atribuído
      Estatísticas de tráfego para "INSIDE":
            entrada de 24 pacotes, 1378 bytes
            0 saída de pacotes, 0 bytes
            24 pacotes descartados
          Taxa de entrada de 1 minuto 0 pacotes/s, 0 bytes/s
          Taxa de saída de 1 minuto 0 pacotes/s, 0 bytes/s
          Taxa de queda de 1 minuto, 0 pacotes/s
          Taxa de entrada de 5 minutos 0 pacotes/s, 0 bytes/s
          Taxa de saída de 5 minutos 0 pacotes/s, 0 bytes/s
          Taxa de queda de 5 minutos, 0 pacotes/s
    > show interface e1/8
    A interface Ethernet1/8 "EXTERNA", está ativa, o protocolo de linha está ativo
      O hardware é EtherSVI, BW 1000 Mbps, DLY 1000 usec
            Endereço MAC 5897.bdb9.774d, MTU 1500
            IPS Interface-Mode: inline-tap, Inline-Set: Inline-Pair-1
            Endereço IP não atribuído
      Estatísticas de tráfego para "EXTERNO":
            1 entrada de pacotes, 441 bytes
            0 saída de pacotes, 0 bytes
            1 pacote descartado
          Taxa de entrada de 1 minuto 0 pacotes/s, 0 bytes/s
          Taxa de saída de 1 minuto 0 pacotes/s, 0 bytes/s
          Taxa de queda de 1 minuto, 0 pacotes/s
          Taxa de entrada de 5 minutos 0 pacotes/s, 0 bytes/s
          Taxa de saída de 5 minutos 0 pacotes/s, 0 bytes/s
          Taxa de queda de 5 minutos, 0 pacotes/s
    >

    Para lidar com pacotes com regra de bloqueio

    > show capture CAPI packet-number 1 trace

    3 pacotes capturados

       1: 16:12:55.785085 192.168.201.50.20 > 192.168.201.60.80: S 0:0(0) ack 0 win 8192
    Fase: 1
    Tipo: CAPTURE
    Subtipo:
    Resultado: ALLOW
    Config:
    Informações adicionais:
    Lista de Acesso MAC

    Fase: 2
    Tipo: ACCESS-LIST
    Subtipo:
    Resultado: ALLOW
    Config:
    Regra Implícita
    Informações adicionais:
    Lista de Acesso MAC

    Fase: 3
    Tipo: NGIPS-MODE
    Subtipo: ngips-mode
    Resultado: ALLOW
    Config:
    Informações adicionais:
    O fluxo entrou em uma interface configurada para o modo NGIPS e os serviços NGIPS são aplicados

    Fase: 4
    Tipo: ACCESS-LIST
    Subtipo: log
    Resultado: DROP
    Config:
    access-group CSM_FW_ACL_ global
    access-list CSM_FW_ACL_ advanced deny ip 192.168.201.0 255.255.255.0 any rule-id 268441600 event-log flow-start
    access-list CSM_FW_ACL_ remark rule-id 268441600: ACCESS POLICY: FTD4100 - Obrigatório/1
    access-list CSM_FW_ACL_ remark rule-id 268441600: L4 RULE: Rule 1
    Informações adicionais:

    Resultado:
    interface de entrada: INSIDE
    input-status: ativado
    input-line-status: ativado
    Ação: descartar
    Motivo do descarte: (acl-drop) Fluxo negado pela regra configurada


    1 pacote mostrado
    >

    > show capture CAPI packet-number 1 trace

    3 pacotes capturados

       1: 16:56:02.631437 192.168.201.50.20 > 192.168.201.60.80: S 0:0(0) ganha 8192
    Fase: 1
    Tipo: CAPTURE
    Subtipo:
    Resultado: ALLOW
    Config:
    Informações adicionais:
    Lista de Acesso MAC

    Fase: 2
    Tipo: ACCESS-LIST
    Subtipo:
    Resultado: ALLOW
    Config:
    Regra Implícita
    Informações adicionais:
    Lista de Acesso MAC

    Fase: 3
    Tipo: NGIPS-MODE
    Subtipo: ngips-mode
    Resultado: ALLOW
    Config:
    Informações adicionais:
    O fluxo entrou em uma interface configurada para o modo NGIPS e os serviços NGIPS são aplicados

    Fase: 4
    Tipo: ACCESS-LIST
    Subtipo: log
    Resultado: TERIA CAÍDO
    Config:
    access-group CSM_FW_ACL_ global
    access-list CSM_FW_ACL_ advanced deny ip 192.168.201.0 255.255.255.0 any rule-id 268441600 event-log flow-start
    access-list CSM_FW_ACL_ remark rule-id 268441600: ACCESS POLICY: FTD4100 - Obrigatório/1
    access-list CSM_FW_ACL_ remark rule-id 268441600: L4 RULE: Rule 1
    Informações adicionais:

    Resultado:
    interface de entrada: INSIDE
    input-status: ativado
    input-line-status: ativado
    Ação: A lista de acesso teria sido descartada, mas o pacote foi encaminhado devido ao toque em linha


    1 pacote mostrado
    >

    Summary

    • Quando você usa o modo Par em linha, o pacote passa principalmente pelo mecanismo Snort FTD
    • As conexões TCP são tratadas em um modo de desvio de estado TCP
    • Do ponto de vista do mecanismo LINA do FTD, uma política de ACL é aplicada
    • Quando o modo de par em linha estiver em uso, os pacotes podem ser bloqueados, pois são processados em linha
    • Quando o modo de toque está ativado, uma cópia do pacote é inspecionada e descartada internamente enquanto o tráfego real passa pelo FTD sem modificações

    Informações Relacionadas

    Histórico de revisões

    Revisão Data de publicação Comentários
    2.0
    28-Apr-2023
    Recertificação
    1.0
    18-Oct-2017
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Mikis Zafeiroudis
      Engenheiro do Cisco TAC
    • Dinkar Sharma
      Engenheiro do Cisco TAC

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos