Configuración de la omisión del hardware de Secure Firewall 3100 FDM 7.7.0

Introducción

Este documento describe cómo configurar la omisión de hardware para conjuntos en línea en Firepower Device Manager (FDM) administrado por Secure Firewall 7.7.0.

Prerequisites

Requirements

Cisco recomienda que tenga conocimiento sobre estos temas:

• Conjuntos en línea
• Secure Firewall serie 3100
• Interfaz gráfica de usuario (GUI) de Firepower Device Manager

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• Cisco Secure Firewall 3100 con la versión 7.7.0.
• Cisco Secure Firewall Device Manager v7.7.0.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Antecedentes

La función Conjuntos en línea se agregó a FDM en 7.4.1. Los Conjuntos en línea permiten la inspección en una red L2 sin necesidad de ruteo: Configuración de interfaces FTD en modo de par en línea

Comparación con versiones anteriores a esta versión

Función de omisión de Secure Firewall 7.0

Qué hay de nuevo

• La omisión de inspección de hardware garantiza que el tráfico continúe fluyendo entre un par de interfaces en línea durante una interrupción en el suministro eléctrico.
• Esta función se utiliza para mantener la conectividad de red en caso de fallos de software o hardware.
• El desvío de hardware ya está disponible para los conjuntos en línea de las plataformas de la serie FDM 3100.

Nota: Guía De Configuración De Firepower Management Center

Escenarios de implementación

• ¿Cómo encajaría esta función en una configuración de producción?
  • Los conjuntos en línea se utilizan para un caso práctico de IPS (o IDS).
  • Permite la inspección del tráfico sin necesidad de configuraciones de routing. Permite el flujo de tráfico si la unidad falla mediante la derivación de hardware.
• .Ejemplos prácticos:
  • Configure la inspección de red de capa 2 en cualquier lugar de una manera rápida y sencilla, sin necesidad de la capa 3.
  • Crítico para redes totalmente aisladas: sin acceso a Internet.
  • Inserción en línea transparente para una inspección profunda de paquetes para un firewall independiente: arquitectura de capa 2 de producción existente.

Conceptos básicos: Plataformas admitidas, licencias

Versiones de software y hardware

Software y hardware

Nota: Información sobre la serie 3100 y la derivación de hardware

Otros aspectos de la asistencia

Licencias y compatibilidad

Descripción de características y tutorial

Descripción de la función funcional

• Diagrama de red de conjunto lineal

Diagrama de red de conjunto lineal

• El tráfico fluye del Router 1 al Router 2, a través de las Interfaces A y B, utilizando solamente una conexión física.
• Diagrama de flujo de procesamiento de paquetes de conjuntos en línea de FDM:

Diagrama de flujo

• Conjuntos en línea:
  • Los conjuntos en línea son compatibles con interfaces físicas y EtherChannels.
    
    
• Omisión de hardware:
  • Los Conjuntos en Línea con Omisión de Hardware son soportados en Pares de Interfaz Física Predeterminados:
     Ethernet 1 y 2
     Ethernet 2 y 3
     Ethernet 4 y 5
     Ethernet 5 y 6
    
    

• Compatibilidad con interfaz:
  • Interfaces que forman parte de un Par lineal:
      Debe ser nombrado.
      Libérese de cualquier yoP, DHCP o PPPoE.
      No debe estar en modo pasivo.
      No debe ser una interfaz de administración.
      Sólo se debe utilizar en un par en línea a la vez.

• Detalles del modo en línea
  • El modo en línea está disponible para interfaces físicas, EtherChannels y zonas de seguridad.
  • El modo en línea se establece automáticamente para las interfaces y los EtherChannels cuando se utilizan en un par en línea.
  • El modo en línea evita que se realicen cambios en las interfaces y los EtherChannels involucrados hasta que se eliminen del par en línea.
  • Las interfaces que están en modo en línea se pueden asociar a las zonas de seguridad establecidas en modo en línea.

• GUI en modo lineal
  • El cuadro de diálogo Editar interfaz refleja que la interfaz o EtherChannel está en modo En línea.
  • No se permiten cambios en las interfaces cuando están en modo en línea. El diálogo Editar interfaz física (o Editar EtherChannel) es de sólo lectura.
    
    Editar interfaz en GUI

• Actualizar, Importar/Exportar, Realizar Copia De Seguridad/Restaurar, Implementar
  • Implicaciones de actualización
      El usuario puede actualizar FDM sin ninguna restricción.
      Al actualizar desde una versión anterior, los objetos de conjunto en línea existentes se configuran con su campo de omisión establecido en Desactivado.
  • Implicaciones de importación/exportación
      Los objetos del conjunto en línea se importan y exportan.
  • Copia de seguridad/Restauración
      Los objetos del conjunto en línea se gestionan durante la copia de seguridad/restauración.
  • Implementación
      Los objetos se despliegan normalmente.
      Se implementaron errores específicos.
    

Configurar

Diagrama de la red

Diagrama de la red

Flujo de Creación de Juego en Línea

Configuraciones

En esta sección se describen los pasos para configurar la omisión de hardware en FDM

Paso 1: Editar interfaces.

• Inicie sesión en FDM y ennavegue hasta Gestión de interfaces.
  
• En el panel de FDM, haga clic en la tarjeta Interfaces.
  
  Seleccionar interfaz
• Edite las interfaces utilizadas en el conjunto en línea.
• Para Editar interfaces, haga clic en el icono editar (lápiz) para la interfaz.
  
  Editar interfaz
  
• Editar interfaz física:
    1. Asigne un nombre a la interfaz.
    2. Seleccione Modo enrutado.
    3. Elimine cualquier configuración IP.
  
  Configurar parámetros
  

  Nota: El modo se cambia automáticamente a En línea después de agregar la interfaz en un Par en línea.

Paso 2: Cree un conjunto en línea.

• Vaya a la pestaña Device > Interfaces > Inline sets.
  
  Vaya A La Pestaña Conjuntos En Línea
  
  
• Agregue un nuevo conjunto en línea.
• Haga clic en el icono + o en el botón Crear conjunto en línea.

Crear conjunto en línea

.

• Configure los parámetros básicos.
  1. Establezca un Nombre.
  2. Establezca la MTU deseada (opcional). El valor predeterminado es 1500, que es la MTU mínima admitida.
  3. Seleccione hardware Bypass (Detalles disponibles en la siguiente sección). Se agregó un nuevo menú desplegable para Bypass.
  4. En la sección Pares de Interfaz, seleccione interfaces.
  5. Las interfaces con nombre están disponibles para seleccionarlas. Si se requieren más pares, haga clic en el enlace Agregar otro par.
     
     
     Configuración de parámetros
     

Omisión de hardware

Capacidades y limitaciones

• La omisión del hardware garantiza que el tráfico continúe fluyendo entre un par de interfaces en línea durante una interrupción en el suministro eléctrico. Esta función se puede utilizar para mantener la conectividad de red en caso de fallos de software o hardware.
• Los puertos de omisión de hardware sólo se admiten para conjuntos en línea.
• El modo de alta disponibilidad NO admite la omisión de hardware.
• Modos de omisión de hardware:
  • DISABLED (DESACTIVADO): desactiva el desvío en las interfaces admitidas. Modo predeterminado para interfaces no admitidas.
  • STANDBY: En el estado de espera, las interfaces permanecen en funcionamiento normal hasta que se produce un evento desencadenante.
  • FUERZA DE DESVÍO: Fuerza manualmente al par de interfaces a omitir la inspección.
    
    
    

    Nota: Información sobre los tipos de interfaz FTD y la omisión de hardware

Fallo de apertura de Snort frente a omisión de hardware 

• La funcionalidad de omisión de hardware permite que el tráfico fluya durante un fallo de hardware, incluida una interrupción completa del suministro eléctrico y ciertos fallos de software limitados.
• Un fallo de software que active la función Snort Fail Open no activa una omisión de hardware.

Desencadenadores de omisión de hardware

El desvío de hardware se puede activar en los siguientes escenarios:

• Bloqueo de aplicación
• Reinicio de aplicación
• Desperfecto del dispositivo
• Reinicio o actualización del dispositivo
• Pérdida de energía del dispositivo
• Disparador manual

Para ver qué interfaces admiten la omisión de hardware:

• En la GUI de FDM, si se selecciona Omitir:
  • Las interfaces que lo soportan son seleccionables.
  • Las interfaces que no son compatibles aparecen atenuadas.
  • En este ejemplo, Ethernet1/3 aparece atenuado en esta figura:
    
    Verificar compatibilidad con omisión de hardware

Paso 3: Configure los conjuntos en línea Advanced Setting.

• Vaya a la pestaña Device > Interfaces > Inline sets o edite un conjunto de líneas ya creado.
• Vaya a la pestaña Advanced.
  • La ficha Opciones avanzadas permite configurar las opciones de Conjuntos en línea.
  • Haga clic en la ficha Advanced (Opciones avanzadas).
    
    Configurar conjunto en línea
  • Modo
    • Toque: Establece el modo de pulsación en línea; si el modo de pulsación está activado, la opción Snort Fail Open (Fallo al abrir) está desactivada.
    • En línea
      
      Seleccionar modo

  • Configuración de fallo al abrir Snort.

    • Seleccione la configuración Snort Fail Open deseada.
    • Ninguna, una o ambas. Se pueden establecer las opciones Ocupado y Descendente.
    • Snort Fail Open permite que el tráfico nuevo y existente pase sin inspección (activado) o se descarte (desactivado) cuando el proceso Snort está ocupado o inactivo.
      
      Apertura fallida de Snort y estado de link de propagación

    • Propagar el estado del link.

      • Propagate Link State desactiva automáticamente la segunda interfaz en el par Inline cuando una de las interfaces deja de funcionar. Cuando la interfaz desactivada vuelve a activarse, la segunda interfaz también vuelve a activarse automáticamente.

    •  Haga clic en Aceptar para crear el conjunto en línea.

 Paso 4: Aplicar a una zona de seguridad (opcional).

1. En la barra de navegación superior, desplácese hasta Objetos.
2. Elija Security Zones en la barra de navegación izquierda:
   • Haga clic en + para agregar una zona de seguridad.
     
     Agregar una zona de seguridad
     Configurar la zona de seguridad (opcional)
     1. Asigne un nombre a la zona de seguridad.
     2. Seleccione Inline Mode .
        Las zonas de seguridad y las interfaces deben tener el mismo modo.
     3. Seleccione Interfaces que forman parte del conjunto en línea.
     4. Click OK.
        
        Configurar zona de seguridad

Nota: Para las interfaces, el modo cambia automáticamente a En línea después de agregar la interfaz en un Par en línea.

Paso 4: Implementación

• Vaya a la pestaña Implementación e implemente.
  
  Implementar cambios

• Editar y eliminar conjuntos en línea.
  • Vaya a la pestaña Device > Interfaces > Inline sets.
  • Los botones Editar y Eliminar están disponibles para conjuntos en línea.
    
    

Edición y eliminación de conjuntos en línea

API REST de dispositivos FDM

Terminales API REST

• GET: /devices/default/inlinesets
   Obtener una lista de todos los conjuntos en línea existentes.
• GET :/devices/default/inlinesets/{objID}
   Capturar un objeto de conjunto en línea específico por su ID.
• POST: /devices/default/inlinesets
   Cree un nuevo conjunto en línea.
• PUT: /devices/default/inlinesets/{objID}
   Actualizar el objeto de conjunto en línea existente por su ID.
• DELETE :/devices/default/inlinesets/{objID}
   Elimine el objeto de conjunto en línea existente por su ID.
• GET :/operational/interfaceinfo/{objID}
   Obtener una lista de todas las interfaces de información.
• Para admitir la omisión de hardware, se agregó un nuevo campo a la API InterfaceInfo.
  
  

Información de interfaz Modelos API REST

• Se agregó un nuevo campo bypassInterfacePeerId para ayudar a la integración de la omisión de hardware.
• Este campo representa el ID del par de interfaces de omisión de hardware para la interfaz actual.
• Valores:
  • Nulo: la interfaz no admite el desvío.
  • ID: la interfaz admite la derivación.

API REST de información de interfaz

Ejemplo de API REST de Información de Interfaz

• Ejemplo de API REST de información de interfaz.
  • Interfaz sin compatibilidad con omisión de hardware (Ethernet 1/4).
  • Par de interfaces con compatibilidad con omisión de hardware (Ethernet2/1 y Ethernet 2/2).

Ejemplo de API REST de Información de Interfaz

Nota: Este es un fragmento de la llamada completa, debido al tamaño.

Modelo de API REST de conjunto en línea

• El modelo de conjunto en línea consta de:
  • Tipo
  • Nombre
  • Toque Modo
  • MTU (unidad de transmisión básica)
  • Propagar estado de link
  • Fallo al abrir Snort ocupado
  • Omitir valores: DISABLED, STANDBY, BYPASS_FORCE

API REST de conjunto en línea

Ejemplo de API REST de conjunto lineal

• Ejemplos de conjuntos en línea básicos con:
  • Un par en línea
  • Omitir espera

Ejemplo de API REST de conjunto lineal

Nota: Para otros modos de bypass, sustituya STANDBY por DISABLED o BYPASS_FORCE.

Configuración e implementación de un conjunto en línea

1.Obtener ID de interfaz (consulte el Explorador de API para ver ejemplos de carga).

   GET/devices/default/interfaces
2.Crear conjunto en línea (consulte el Explorador de API para ver ejemplos de carga).

   POST/devices/default/inlinesets
3.Crear zona de seguridad (consulte el Explorador de API para ver ejemplos de carga) (opcional).
  Zonas de seguridad/objetos/POST
4.Implemente en el dispositivo (consulte el Explorador de API para ver ejemplos de carga útil).
    POST/operacional/implementación

Configuración e implementación de un conjunto en línea con omisión de hardware

1.Obtener ID de interfaz e información sobre pares de interfaz de omisión de hardware (consulte el Explorador de API para ver ejemplos de carga).
 GET/operational/interfaceinfo/{objId}
2.Crear conjunto en línea (consulte el Explorador de API para ver ejemplos de carga).
   POST/devices/default/inlinesets
3.Crear zona de seguridad (consulte el Explorador de API para ver ejemplos de carga) (opcional).
   Zonas de seguridad/objetos/POST
4.Implemente en el dispositivo (consulte el Explorador de API para ver ejemplos de carga útil).
   POST/operacional/implementación

Editar un conjunto en línea

1. Obtener ID de interfaz (consulte el Explorador de API para ver ejemplos de carga).
  GET/devices/default/interfaces
2. Obtener conjuntos en línea.
   GET/devices/default/inlinesets
3. Edite el juego en línea (consulte el Explorador de API para ver ejemplos de carga útil).
    PUT/devices/default/inlinesets/{objId}
4. Implemente en el dispositivo (consulte el Explorador de API para ver ejemplos de carga útil).
    POST/operacional/implementación

Verificación

> show running-config inline-set

inline-set test_inline_0
    interface-pair test2 test1
inline-set test_inline_1
    hardware-bypass standby
    interface-pair test27 test28
inline-set test_inline_2
    hardware-bypass bypass
    interface-pair test26 test25

> show inline-set

 Inline-set test_inline_0
   Mtuis 1600 bytes
   Fail-open for snort down is off
   Fail-open for snort busy is off
   Tap mode is off
   Propagate-link-state option is off
   hardware-bypass mode is disabled
   Interface-Pair[1]:
     Interface: Ethernet1/3 "test1"
       Current-Status: DOWN
     Interface: Ethernet1/4 "test2"
       Current-Status: DOWN
     Bridge Group ID: 519

> show inline-set

Inline-set test_inline_1
Mtuis 1500 bytes
Fail-open for snort down is off
Fail-open for snort busy is off
Tap mode is off
Propagate-link-state option is off
hardware-bypass mode is standby
Interface-Pair[1]:
Interface: Ethernet2/7 "test27"
Current-Status: DOWN
Interface: Ethernet2/8 "test28"
Current-Status: DOWN
Bridge Group ID: 618

> show inline-set

Inline-set test_inline_1
Mtuis 1500 bytes
Fail-open for snort down is off
Fail-open for snort busy is off
Tap mode is off
Propagate-link-state option is off
hardware-bypass mode is bypass
Interface-Pair[1]:
Interface: Ethernet2/6 "test26"
Current-Status: DOWN
Interface: Ethernet2/5 "test25"
Current-Status: DOWN
Bridge Group ID: 610

> show interface

...
Interface Ethernet1/7 "", is admin down, line protocol is down
Hardware is EtherSVI, BW 1000 Mbps, DLY 10 usec
Available but not configured via nameif

...
Interface Ethernet2/7 "", is admin down, line protocol is down
Hardware is EtherSVI, BW 1000 Mbps, DLY 10 usec
Hardware bypass is supported with interface Ethernet2/8
Available but not configured via nameif

...
Interface Ethernet2/8 "", is admin down, line protocol is down
Hardware is EtherSVI, BW 1000 Mbps, DLY 10 usec
Hardware bypass is supported with interface Ethernet2/7
Available but not configured via nameif

Troubleshoot

Comandos

•  show running-config inline-set
•  show inline-set
• show interface
• seguimiento de soporte del sistema

Conjunto en línea: validaciones al crear

• Los errores se presentan en la GUI para cada uno de los campos.
  • El nombre debe rellenarse.
  • El tamaño de MTU debe ser al menos de 1500.
  • Ambas interfaces de un par deben seleccionarse.

Talla de la MTU

Omisión de hardware: validación al crear

• Se presentan nuevos errores en la GUI para cada uno de los campos, cuando se habilita el bypass:
  • Todas las interfaces deben admitir Bypass.
    • El error muestra interfaces no admitidas.
  • Todos los pares deben utilizar el par de interfaz predeterminado.
    • El mensaje de error menciona los pares de interfaz de omisión disponibles.

Validación de GUI

Nota: El primer par (Ethernet2/1-Ethernet2/2) es válido.

Respuesta de API REST que muestra errores

• Los errores se presentan en la respuesta de la API REST.
  • Aquí, el valor de MTU no es válido.

Validación de API REST

Limitaciones de la implementación de esta versión

• Conjuntos en línea: Sólo funciona con interfaces físicas y EtherChannel.
• Conjuntos en línea con omisión de hardware: Sólo funciona con interfaces físicas y requiere un módulo de red.
  
  

Funciones de firewall no admitidas en interfaces lineales

• Servidor DHCP
• Relé DHCP
• DHCP Client
• Intercepción TCP
• Ruteo
• NAT
• VPN
• Aplicación
• inspección
• QoS
• Netflow

Verificar registros desde CLI

•  Registro.

  • Los registros se pueden encontrar en /ngfw/var/log/cisco/ngfw-onbox.log.

  • Busque Conjunto en línea.

  • Ejemplo de posibles errores encontrados en los registros:

    • Dos interfaces no admiten bypass.

    • Dos interfaces no son un par de bypass válido.

root@FPR-3110-Pair:/home/admin# cd /ngfw/var/log/cisco/

root@FPR-3110-Pair:/ngfw/var/1og/cisco# cat ngfw-onbox.log | grep "InlineSet"

2024-08-28 12:35:00 ajp-nio-8009-exec-1: ERROR InlineSetValidator: 548 - Invalid

interface pair for Bypass. Interface Ethernet2/4 can be paired with Ethernet2/3.

2024-08-28 12:35:00 ajp-nio-8009-exec-1: ERROR InlineSetValidator:548 - Invalid

interface pair for Bypass. Interface Ethernet2/5 can be paired with Ethernet2/6.

2024-08-28 12:35:00 ajp-nio-8009-exec-1: ERROR InlineSetValidator:541 - Bypass

is not available for Interface Ethernet1/3.

2024-08-28 12:35:00 ajp-nio-8009-exec-1: ERROR InlineSetValidator:541 - Bypass

is not available for Interface

• Verifique el tráfico desde la GUI.
  • Los eventos se presentan en la GUI.
  • Aquí se puede supervisar la exactitud del flujo de tráfico.
  • Vaya a Supervisión > Sistema.

Supervisión de FDM

• Verifique la corrección del tráfico desde CLI.

> system support trace
Enable firewall-engine-debug too? [n]:
Please specify an IP protocol: ICMP
Please specify a client IP address: 
Please specify a server IP address: 
Monitoring packet tracer debug messages



[ packets show up here ]

Preguntas más Frecuentes

A: ¿Se admite HA con conjuntos en línea en FDM?
R: Se admiten conjuntos en línea sin bypass.
  NO se admiten conjuntos en línea con bypass.
A: ¿Están bloqueadas las BPDU del árbol de expansión en el par de conjuntos en línea?
R: No, no están bloqueados.
A: ¿Son compatibles las tarjetas FTW en 3100?
R: Sí, los Netmods FTW han sido compatibles desde que se introdujo la serie 3100 con 7.1/9.17. La omisión de hardware está disponible a partir de 7.7.0.
A: Para las tarjetas 3100 FTW, ¿se admiten los modos de bypass de inhabilitado, en espera, bypass-force como en FMC o no?
R: El desvío de hardware está disponible a partir de la versión 7.7.0 en los dispositivos 3100 con tarjetas FTW.
A: ¿Se soportan los conjuntos en línea con canales de puerto donde el tráfico es asimétrico a través de los canales de puerto también?
R: No se realiza ninguna validación en la velocidad configurada de PortChannel, por lo que, mientras el FTD lo admita, debe admitirse.
A: En caso de que Snort falle para la inspección, ¿se admite failopen?
R: Consulte la documentación de esta configuración en la Guía de configuración de Firepower Management Center.

Información Relacionada

• Configuración de interfaces FTD en modo de par en línea
• Guía De Configuración De Firepower Management Center, Versión 6.3
• Guía de instalación de hardware de Cisco Secure Firewall serie 3100
• Hoja de datos de Cisco Secure Firewall serie 3100