El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe cómo configurar la omisión de hardware para conjuntos en línea en Firepower Device Manager (FDM) administrado por Secure Firewall 7.7.0.
Cisco recomienda que tenga conocimiento sobre estos temas:
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
La función Conjuntos en línea se agregó a FDM en 7.4.1. Los Conjuntos en línea permiten la inspección en una red L2 sin necesidad de ruteo: Configuración de interfaces FTD en modo de par en línea
Comparación con versiones anteriores a esta versión
Función de omisión de Secure Firewall 7.0
Qué hay de nuevo
Escenarios de implementación
Versiones de software y hardware
Software y hardware
Otros aspectos de la asistencia
Licencias y compatibilidad
Descripción de la función funcional
Diagrama de red de conjunto lineal
Diagrama de flujo
Diagrama de la red
Flujo de Creación de Juego en Línea
En esta sección se describen los pasos para configurar la omisión de hardware en FDM
Paso 1: Editar interfaces.
Nota: El modo se cambia automáticamente a En línea después de agregar la interfaz en un Par en línea.
Paso 2: Cree un conjunto en línea.
Crear conjunto en línea
.
Capacidades y limitaciones
Fallo de apertura de Snort frente a omisión de hardware
Desencadenadores de omisión de hardware
El desvío de hardware se puede activar en los siguientes escenarios:
Para ver qué interfaces admiten la omisión de hardware:
Paso 3: Configure los conjuntos en línea Advanced Setting.
Configuración de fallo al abrir Snort.
Propagar el estado del link.
Haga clic en Aceptar para crear el conjunto en línea.
Paso 4: Aplicar a una zona de seguridad (opcional).
Nota: Para las interfaces, el modo cambia automáticamente a En línea después de agregar la interfaz en un Par en línea.
Paso 4: Implementación
Edición y eliminación de conjuntos en línea
Terminales API REST
Información de interfaz Modelos API REST
API REST de información de interfaz
Ejemplo de API REST de Información de Interfaz
Ejemplo de API REST de Información de Interfaz
Nota: Este es un fragmento de la llamada completa, debido al tamaño.
Modelo de API REST de conjunto en línea
API REST de conjunto en línea
Ejemplo de API REST de conjunto lineal
Ejemplo de API REST de conjunto lineal
Nota: Para otros modos de bypass, sustituya STANDBY por DISABLED o BYPASS_FORCE.
Configuración e implementación de un conjunto en línea
1.Obtener ID de interfaz (consulte el Explorador de API para ver ejemplos de carga).
GET/devices/default/interfaces
2.Crear conjunto en línea (consulte el Explorador de API para ver ejemplos de carga).
POST/devices/default/inlinesets
3.Crear zona de seguridad (consulte el Explorador de API para ver ejemplos de carga) (opcional).
Zonas de seguridad/objetos/POST
4.Implemente en el dispositivo (consulte el Explorador de API para ver ejemplos de carga útil).
POST/operacional/implementación
Configuración e implementación de un conjunto en línea con omisión de hardware
1.Obtener ID de interfaz e información sobre pares de interfaz de omisión de hardware (consulte el Explorador de API para ver ejemplos de carga).
GET/operational/interfaceinfo/{objId}
2.Crear conjunto en línea (consulte el Explorador de API para ver ejemplos de carga).
POST/devices/default/inlinesets
3.Crear zona de seguridad (consulte el Explorador de API para ver ejemplos de carga) (opcional).
Zonas de seguridad/objetos/POST
4.Implemente en el dispositivo (consulte el Explorador de API para ver ejemplos de carga útil).
POST/operacional/implementación
Editar un conjunto en línea
1. Obtener ID de interfaz (consulte el Explorador de API para ver ejemplos de carga).
GET/devices/default/interfaces
2. Obtener conjuntos en línea.
GET/devices/default/inlinesets
3. Edite el juego en línea (consulte el Explorador de API para ver ejemplos de carga útil).
PUT/devices/default/inlinesets/{objId}
4. Implemente en el dispositivo (consulte el Explorador de API para ver ejemplos de carga útil).
POST/operacional/implementación
> show running-config inline-set
inline-set test_inline_0
interface-pair test2 test1
inline-set test_inline_1
hardware-bypass standby
interface-pair test27 test28
inline-set test_inline_2
hardware-bypass bypass
interface-pair test26 test25
> show inline-set
Inline-set test_inline_0
Mtuis 1600 bytes
Fail-open for snort down is off
Fail-open for snort busy is off
Tap mode is off
Propagate-link-state option is off
hardware-bypass mode is disabled
Interface-Pair[1]:
Interface: Ethernet1/3 "test1"
Current-Status: DOWN
Interface: Ethernet1/4 "test2"
Current-Status: DOWN
Bridge Group ID: 519
> show inline-set
Inline-set test_inline_1
Mtuis 1500 bytes
Fail-open for snort down is off
Fail-open for snort busy is off
Tap mode is off
Propagate-link-state option is off
hardware-bypass mode is standby
Interface-Pair[1]:
Interface: Ethernet2/7 "test27"
Current-Status: DOWN
Interface: Ethernet2/8 "test28"
Current-Status: DOWN
Bridge Group ID: 618
> show inline-set
Inline-set test_inline_1
Mtuis 1500 bytes
Fail-open for snort down is off
Fail-open for snort busy is off
Tap mode is off
Propagate-link-state option is off
hardware-bypass mode is bypass
Interface-Pair[1]:
Interface: Ethernet2/6 "test26"
Current-Status: DOWN
Interface: Ethernet2/5 "test25"
Current-Status: DOWN
Bridge Group ID: 610
> show interface
...
Interface Ethernet1/7 "", is admin down, line protocol is down
Hardware is EtherSVI, BW 1000 Mbps, DLY 10 usec
Available but not configured via nameif
...
Interface Ethernet2/7 "", is admin down, line protocol is down
Hardware is EtherSVI, BW 1000 Mbps, DLY 10 usec
Hardware bypass is supported with interface Ethernet2/8
Available but not configured via nameif
...
Interface Ethernet2/8 "", is admin down, line protocol is down
Hardware is EtherSVI, BW 1000 Mbps, DLY 10 usec
Hardware bypass is supported with interface Ethernet2/7
Available but not configured via nameif
Talla de la MTU
Validación de GUI
Nota: El primer par (Ethernet2/1-Ethernet2/2) es válido.
Respuesta de API REST que muestra errores
Validación de API REST
Verificar registros desde CLI
Los registros se pueden encontrar en /ngfw/var/log/cisco/ngfw-onbox.log.
Busque Conjunto en línea.
Ejemplo de posibles errores encontrados en los registros:
Dos interfaces no admiten bypass.
Dos interfaces no son un par de bypass válido.
root@FPR-3110-Pair:/home/admin# cd /ngfw/var/log/cisco/
root@FPR-3110-Pair:/ngfw/var/1og/cisco# cat ngfw-onbox.log | grep "InlineSet"
2024-08-28 12:35:00 ajp-nio-8009-exec-1: ERROR InlineSetValidator: 548 - Invalid
interface pair for Bypass. Interface Ethernet2/4 can be paired with Ethernet2/3.
2024-08-28 12:35:00 ajp-nio-8009-exec-1: ERROR InlineSetValidator:548 - Invalid
interface pair for Bypass. Interface Ethernet2/5 can be paired with Ethernet2/6.
2024-08-28 12:35:00 ajp-nio-8009-exec-1: ERROR InlineSetValidator:541 - Bypass
is not available for Interface Ethernet1/3.
2024-08-28 12:35:00 ajp-nio-8009-exec-1: ERROR InlineSetValidator:541 - Bypass
is not available for Interface
Supervisión de FDM
> system support trace
Enable firewall-engine-debug too? [n]:
Please specify an IP protocol: ICMP
Please specify a client IP address:
Please specify a server IP address:
Monitoring packet tracer debug messages
[ packets show up here ]
A: ¿Se admite HA con conjuntos en línea en FDM?
R: Se admiten conjuntos en línea sin bypass.
NO se admiten conjuntos en línea con bypass.
A: ¿Están bloqueadas las BPDU del árbol de expansión en el par de conjuntos en línea?
R: No, no están bloqueados.
A: ¿Son compatibles las tarjetas FTW en 3100?
R: Sí, los Netmods FTW han sido compatibles desde que se introdujo la serie 3100 con 7.1/9.17. La omisión de hardware está disponible a partir de 7.7.0.
A: Para las tarjetas 3100 FTW, ¿se admiten los modos de bypass de inhabilitado, en espera, bypass-force como en FMC o no?
R: El desvío de hardware está disponible a partir de la versión 7.7.0 en los dispositivos 3100 con tarjetas FTW.
A: ¿Se soportan los conjuntos en línea con canales de puerto donde el tráfico es asimétrico a través de los canales de puerto también?
R: No se realiza ninguna validación en la velocidad configurada de PortChannel, por lo que, mientras el FTD lo admita, debe admitirse.
A: En caso de que Snort falle para la inspección, ¿se admite failopen?
R: Consulte la documentación de esta configuración en la Guía de configuración de Firepower Management Center.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
23-Apr-2025
|
Versión inicial |