تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.
ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).
يوضح هذا المستند كيفية تكوين تجاوز الأجهزة للمجموعات المضمنة في FirePOWER Device Manager (FDM) الذي تتم إدارته بواسطة جدار الحماية الآمن 7.7.0.
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
تمت إضافة ميزة "المجموعات المضمنة" إلى FDM في 7.4.1. تتيح المجموعات المضمنة الفحص على شبكة L2 دون الحاجة إلى التوجيه: تكوين واجهات FTD في وضع زوج الخط
التباين قبل هذا الإصدار
ميزة تجاوز جدار الحماية الآمن 7.0
ما الجديد
ملاحظة: دليل تكوين مركز إدارة Firepower
سيناريوهات النشر
إصدارات البرامج والأجهزة
البرامج والأجهزة
جوانب الدعم الأخرى
الترخيص والتوافق
وصف الميزة الوظيفية
الرسم التخطيطي لشبكة المجموعة المضمنة
الرسم التخطيطي للتدفق
الرسم التخطيطي للشبكة
تدفق إنشاء مجموعة في السطر
يصف هذا القسم خطوات تكوين تجاوز الأجهزة على FDM
الخطوة 1: تحرير الواجهات.
ملاحظة: يتغير الوضع تلقائيا إلى داخل السطر بعد إضافة الواجهة في زوج خطي.
الخطوة 2: إنشاء مجموعة في السطر.
إنشاء مجموعة في السطر
.
القدرات والحدود
فشل فتح الشخير مقابل تجاوز الأجهزة
مشغلات تجاوز الأجهزة
يمكن تشغيل تجاوز الأجهزة في السيناريوهات التالية:
لمعرفة الواجهات التي تدعم تجاوز الأجهزة:
الخطوة 3: تكوين الإعداد المتقدم لمجموعات الأسطر الداخلية.
إعدادات فتح فشل Snort.
نشر حالة الارتباط.
انقر فوق موافق لإنشاء مجموعة الأسطر الداخلية.
الخطوة 4: تطبيق على منطقة أمان (إختياري).
ملاحظة: للواجهات، تغير الوضع تلقائيا إلى داخل السطر بعد إضافة الواجهة في زوج خطي.
الخطوة 4: النشر
تحرير وحذف مجموعات الأسطر الداخلية
نقاط نهاية REST API
نماذج واجهة REST API لمعلومات الواجهة
واجهة REST API لمعلومات الواجهة
مثال REST API لمعلومات الواجهة
مثال REST API لمعلومات الواجهة
ملاحظة: هذه قصاصة من المكالمة الكاملة، بسبب الحجم.
نموذج واجهة برمجة تطبيقات REST لمجموعة مضمنة
REST API للمجموعة المضمنة
مثال واجهة برمجة تطبيقات REST لمجموعة مضمنة
مثال واجهة برمجة تطبيقات REST لمجموعة مضمنة
ملاحظة: بالنسبة لأوضاع الالتفافية الأخرى، استبدل الاستعداد إما معطل أو Bypass_Force.
تكوين مجموعة أسطر داخلية ونشرها
1.الحصول على معرفات الواجهة (راجع API Explorer للحصول على أمثلة الحمولة).
الحصول/الأجهزة/الإعداد الافتراضي/الواجهات
2.إنشاء مجموعة أسطر داخلية (راجع API Explorer للحصول على أمثلة الحمولة).
مادة النشر/الأجهزة/القيم الافتراضية/العناصر الداخلية
3.Create Security Zone (راجع API Explorer للحصول على أمثلة الحمولة) (إختياري).
مناطق ترحيل/كائن/أمان
4.النشر على الجهاز (راجع مستكشف واجهة برمجة التطبيقات للحصول على أمثلة للحمولة).
مرحلة ما بعد التشغيل/النشر
تكوين مجموعة مضمنة ونشرها باستخدام تجاوز الأجهزة
1.الحصول على معرفات الواجهة ومعلومات حول أزواج واجهة تجاوز الأجهزة (راجع مستكشف واجهة برمجة التطبيقات للحصول على أمثلة الحمولة).
GET/OPERATIONAL/INTERFACESinfo/{objId}
2.إنشاء مجموعة أسطر داخلية (راجع API Explorer للحصول على أمثلة الحمولة).
مادة النشر/الأجهزة/القيم الافتراضية/العناصر الداخلية
3.Create Security Zone (راجع API Explorer للحصول على أمثلة الحمولة) (إختياري).
مناطق ترحيل/كائن/أمان
4.النشر على الجهاز (راجع مستكشف واجهة برمجة التطبيقات للحصول على أمثلة للحمولة).
مرحلة ما بعد التشغيل/النشر
تحرير مجموعة في السطر
1. الحصول على معرفات الواجهة (راجع مستكشف واجهة برمجة التطبيقات للحصول على أمثلة للحمولة).
الحصول/الأجهزة/الإعداد الافتراضي/الواجهات
2. الحصول على مجموعات في السطر.
الحصول/الأجهزة/الإعداد الافتراضي/العناصر الداخلية
3. قم بتحرير المجموعة المضمنة (راجع مستكشف واجهة برمجة التطبيقات للحصول على أمثلة للحمولة).
PUT/الأجهزة/default/inlinesets/{objId}
4. النشر على الجهاز (راجع مستكشف واجهة برمجة التطبيقات للحصول على أمثلة للحمولة).
مرحلة ما بعد التشغيل/النشر
> show running-config inline-set
inline-set test_inline_0
interface-pair test2 test1
inline-set test_inline_1
hardware-bypass standby
interface-pair test27 test28
inline-set test_inline_2
hardware-bypass bypass
interface-pair test26 test25
> show inline-set
Inline-set test_inline_0
Mtuis 1600 bytes
Fail-open for snort down is off
Fail-open for snort busy is off
Tap mode is off
Propagate-link-state option is off
hardware-bypass mode is disabled
Interface-Pair[1]:
Interface: Ethernet1/3 "test1"
Current-Status: DOWN
Interface: Ethernet1/4 "test2"
Current-Status: DOWN
Bridge Group ID: 519
> show inline-set
Inline-set test_inline_1
Mtuis 1500 bytes
Fail-open for snort down is off
Fail-open for snort busy is off
Tap mode is off
Propagate-link-state option is off
hardware-bypass mode is standby
Interface-Pair[1]:
Interface: Ethernet2/7 "test27"
Current-Status: DOWN
Interface: Ethernet2/8 "test28"
Current-Status: DOWN
Bridge Group ID: 618
> show inline-set
Inline-set test_inline_1
Mtuis 1500 bytes
Fail-open for snort down is off
Fail-open for snort busy is off
Tap mode is off
Propagate-link-state option is off
hardware-bypass mode is bypass
Interface-Pair[1]:
Interface: Ethernet2/6 "test26"
Current-Status: DOWN
Interface: Ethernet2/5 "test25"
Current-Status: DOWN
Bridge Group ID: 610
> show interface
...
Interface Ethernet1/7 "", is admin down, line protocol is down
Hardware is EtherSVI, BW 1000 Mbps, DLY 10 usec
Available but not configured via nameif
...
Interface Ethernet2/7 "", is admin down, line protocol is down
Hardware is EtherSVI, BW 1000 Mbps, DLY 10 usec
Hardware bypass is supported with interface Ethernet2/8
Available but not configured via nameif
...
Interface Ethernet2/8 "", is admin down, line protocol is down
Hardware is EtherSVI, BW 1000 Mbps, DLY 10 usec
Hardware bypass is supported with interface Ethernet2/7
Available but not configured via nameif
حجم MTU
التحقق من واجهة المستخدم الرسومية (GUI)
ملاحظة: الزوج الأول (Ethernet2/1-Ethernet2/2) صالح.
تظهر إستجابة REST API الأخطاء
التحقق من صحة REST API
التحقق من السجلات من CLI
يمكن العثور على السجلات في /ngfw/var/log/cisco/ngfw-onbox.log.
البحث عن مجموعة أسطر مضمنة.
مثال للأخطاء المحتملة التي تم العثور عليها في السجلات:
لا تدعم واجهتان التجاوز.
واجهتان ليسا زوج تجاوز صالح.
root@FPR-3110-Pair:/home/admin# cd /ngfw/var/log/cisco/
root@FPR-3110-Pair:/ngfw/var/1og/cisco# cat ngfw-onbox.log | grep "InlineSet"
2024-08-28 12:35:00 ajp-nio-8009-exec-1: ERROR InlineSetValidator: 548 - Invalid
interface pair for Bypass. Interface Ethernet2/4 can be paired with Ethernet2/3.
2024-08-28 12:35:00 ajp-nio-8009-exec-1: ERROR InlineSetValidator:548 - Invalid
interface pair for Bypass. Interface Ethernet2/5 can be paired with Ethernet2/6.
2024-08-28 12:35:00 ajp-nio-8009-exec-1: ERROR InlineSetValidator:541 - Bypass
is not available for Interface Ethernet1/3.
2024-08-28 12:35:00 ajp-nio-8009-exec-1: ERROR InlineSetValidator:541 - Bypass
is not available for Interface
مراقبة FDM
> system support trace
Enable firewall-engine-debug too? [n]:
Please specify an IP protocol: ICMP
Please specify a client IP address:
Please specify a server IP address:
Monitoring packet tracer debug messages
[ packets show up here ]
س: هل تم دعم HA بمجموعات داخلية على FDM؟
أ: المجموعات داخل السطر بدون تجاوز مدعومة.
المجموعات الموجودة في السطر مع التجاوز غير معتمدة.
س: هل تم حظر وحدات بيانات بروتوكول الجسر (BPDUs) للشجرة المتفرعة على زوج مجموعة الخطوط الداخلية؟
ج: كلا، فهي ليست محجوبة.
س: هل تم دعم بطاقات FTW في 3100؟
ج: نعم، لقد تم دعم أجهزة FTW الشبكية منذ إدخال السلسلة 3100 في الإصدار 7.1/9.17. وتتوفر إمكانية تجاوز الأجهزة بدءا من الإصدار 7.7.0.
س: بالنسبة لبطاقات 3100 FTW، هل توجد أوضاع تجاوز معطلة أو وضع الاستعداد أو القوة الالتفافية كما هو الحال في FMC المدعومة أم لا؟
ج: تتوفر إمكانية تجاوز الأجهزة بدءا من 7. 7.0 على 3100 جهاز باستخدام بطاقات FTW.
س: هل يتم دعم المجموعات الداخلية مع قنوات المنفذ حيث تكون حركة مرور البيانات غير متماثلة عبر قنوات المنفذ أيضا؟
ج: لا يتم إجراء أي تحقق من الصحة على السرعة التي تم تكوينها ل PortChannel، طالما أن FTD يدعمها، فيجب دعمها.
س: في حالة فشل برنامج Snort في الفحص، هل يتم دعم برنامج FailedOpen؟
ج: الرجاء الاطلاع على الوثائق المتعلقة بهذا الإعداد في دليل تكوين مركز إدارة Firepower.
المراجعة | تاريخ النشر | التعليقات |
---|---|---|
1.0 |
23-Apr-2025
|
الإصدار الأولي |