La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.
Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).
In questo documento viene descritto come configurare il bypass hardware per i set inline in Firepower Device Manager (FDM) gestito con Secure Firewall 7.7.0.
Cisco raccomanda la conoscenza dei seguenti argomenti:
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
La funzionalità Set in linea è stata aggiunta a FDM nella versione 7.4.1. I set in linea consentono l'ispezione su una rete L2 senza la necessità di instradamento: Configurazione delle interfacce FTD in modalità Inline-Pair
Contrasto rispetto a questa release
Funzione Bypass Secure Firewall 7.0
Novità
Scenari di distribuzione
Versioni software e hardware
Software e hardware
Altri aspetti del supporto
Licenze e compatibilità
Descrizione funzionalità funzionale
Diagramma reticolare set inline
Diagramma di flusso
Esempio di rete
Flusso di creazione serie in linea
In questa sezione vengono descritti i passaggi per configurare il bypass hardware in FDM
Passaggio 1: modificare le interfacce.
Nota: La modalità viene automaticamente modificata in Inline dopo l'aggiunta dell'interfaccia in una coppia inline.
Passaggio 2: Creare un gruppo inline.
Crea set inline
.
Funzionalità e limitazioni
Snort Fail Open e bypass hardware
Trigger bypass hardware
Il bypass hardware può essere attivato nei seguenti scenari:
Per visualizzare le interfacce che supportano la funzione di bypass hardware:
Passaggio 3: Configurare le impostazioni in linea Impostazioni avanzate.
Impostazioni di apertura Snort Fail.
Propaga stato collegamento.
Fate clic su OK per creare l'insieme inline.
Passaggio 4: Applicare a un'area di sicurezza (facoltativo).
Nota: Per le interfacce, la modalità passa automaticamente a Inline dopo l'aggiunta dell'interfaccia in una coppia inline.
Passaggio 4: Implementazione
Modifica ed elimina set inline
Endpoint API REST
Informazioni sull'interfaccia - Modelli API REST
API REST Informazioni interfaccia
Esempio di API REST di informazioni sull'interfaccia
Esempio di API REST di informazioni sull'interfaccia
Nota: Frammento della chiamata completa, a causa delle dimensioni.
Modello Inline Set REST API
API REST set inline
Esempio di API REST Set inline
Esempio di API REST Set inline
Nota: Per le altre modalità di bypass, sostituire STANDBY con DISABLED o BYPASS_FORCE.
Configurare e distribuire un set in linea
1. Ottenere gli ID di interfaccia (vedere API Explorer per gli esempi di payload).
GET/devices/default/interfaces
2.Create Inline Set (vedere API Explorer per esempi di payload).
POST/dispositivi/predefiniti/set inline
3.Create Security Zone (vedere API Explorer per gli esempi di payload) (facoltativo).
POST/oggetto/zone di sicurezza
4.Distribuire sul dispositivo (per gli esempi di payload, vedere API Explorer).
POST/operativo/installazione
Configurazione e distribuzione di un set inline con bypass hardware
1. Ottenere gli ID di interfaccia e le informazioni sulle coppie di interfacce di bypass hardware (vedere API Explorer per esempi di payload).
GET/operating/interfaceinfo/{objId}
2.Create Inline Set (vedere API Explorer per esempi di payload).
POST/dispositivi/predefiniti/set inline
3.Create Security Zone (vedere API Explorer per gli esempi di payload) (facoltativo).
POST/oggetto/zone di sicurezza
4.Distribuire sul dispositivo (per gli esempi di payload, vedere API Explorer).
POST/operativo/installazione
Modifica di un set in linea
1. Ottenere gli ID di interfaccia (vedere gli esempi di payload in Esplora API).
GET/devices/default/interfaces
2. Ottieni set inline.
GET/devices/default/inlinesets
3. Modificare il set inline (vedere API Explorer per esempi di payload).
PUT/devices/default/inlinesets/{objId}
4. Distribuire sul dispositivo (per esempi sul payload, vedere Esplora API).
POST/operativo/installazione
> show running-config inline-set
inline-set test_inline_0
interface-pair test2 test1
inline-set test_inline_1
hardware-bypass standby
interface-pair test27 test28
inline-set test_inline_2
hardware-bypass bypass
interface-pair test26 test25
> show inline-set
Inline-set test_inline_0
Mtuis 1600 bytes
Fail-open for snort down is off
Fail-open for snort busy is off
Tap mode is off
Propagate-link-state option is off
hardware-bypass mode is disabled
Interface-Pair[1]:
Interface: Ethernet1/3 "test1"
Current-Status: DOWN
Interface: Ethernet1/4 "test2"
Current-Status: DOWN
Bridge Group ID: 519
> show inline-set
Inline-set test_inline_1
Mtuis 1500 bytes
Fail-open for snort down is off
Fail-open for snort busy is off
Tap mode is off
Propagate-link-state option is off
hardware-bypass mode is standby
Interface-Pair[1]:
Interface: Ethernet2/7 "test27"
Current-Status: DOWN
Interface: Ethernet2/8 "test28"
Current-Status: DOWN
Bridge Group ID: 618
> show inline-set
Inline-set test_inline_1
Mtuis 1500 bytes
Fail-open for snort down is off
Fail-open for snort busy is off
Tap mode is off
Propagate-link-state option is off
hardware-bypass mode is bypass
Interface-Pair[1]:
Interface: Ethernet2/6 "test26"
Current-Status: DOWN
Interface: Ethernet2/5 "test25"
Current-Status: DOWN
Bridge Group ID: 610
> show interface
...
Interface Ethernet1/7 "", is admin down, line protocol is down
Hardware is EtherSVI, BW 1000 Mbps, DLY 10 usec
Available but not configured via nameif
...
Interface Ethernet2/7 "", is admin down, line protocol is down
Hardware is EtherSVI, BW 1000 Mbps, DLY 10 usec
Hardware bypass is supported with interface Ethernet2/8
Available but not configured via nameif
...
Interface Ethernet2/8 "", is admin down, line protocol is down
Hardware is EtherSVI, BW 1000 Mbps, DLY 10 usec
Hardware bypass is supported with interface Ethernet2/7
Available but not configured via nameif
Dimensioni MTU
Convalida GUI
Nota: La prima coppia (Ethernet2/1-Ethernet2/2) è valida.
La risposta dell'API REST mostra gli errori
Convalida API REST
Verifica dei log dalla CLI
I registri sono disponibili in /ngfw/var/log/cisco/ngfw-onbox.log.
Cerca set inline.
Esempio di possibili errori rilevati nei registri:
Due interfacce non supportano il bypass.
Due interfacce non sono una coppia di bypass valida.
root@FPR-3110-Pair:/home/admin# cd /ngfw/var/log/cisco/
root@FPR-3110-Pair:/ngfw/var/1og/cisco# cat ngfw-onbox.log | grep "InlineSet"
2024-08-28 12:35:00 ajp-nio-8009-exec-1: ERROR InlineSetValidator: 548 - Invalid
interface pair for Bypass. Interface Ethernet2/4 can be paired with Ethernet2/3.
2024-08-28 12:35:00 ajp-nio-8009-exec-1: ERROR InlineSetValidator:548 - Invalid
interface pair for Bypass. Interface Ethernet2/5 can be paired with Ethernet2/6.
2024-08-28 12:35:00 ajp-nio-8009-exec-1: ERROR InlineSetValidator:541 - Bypass
is not available for Interface Ethernet1/3.
2024-08-28 12:35:00 ajp-nio-8009-exec-1: ERROR InlineSetValidator:541 - Bypass
is not available for Interface
Monitoraggio FDM
> system support trace
Enable firewall-engine-debug too? [n]:
Please specify an IP protocol: ICMP
Please specify a client IP address:
Please specify a server IP address:
Monitoring packet tracer debug messages
[ packets show up here ]
Q: Ha è supportato con i set inline su FDM?
R: Sono supportati i set inline senza bypass.
I set inline con bypass NON sono supportati.
Q: Le BPDU Spanning-Tree sono bloccate sulla coppia inline-set?
A: No, non sono bloccati.
Q: Le schede FTW sono supportate in 3100?
A: Sì, le netmod FTW sono supportate da quando la serie 3100 è stata introdotta con 7.1/9.17. La funzione di bypass hardware è disponibile a partire dalla versione 7.7.0.
Q: Per le schede 3100 FTW, le modalità Bypass di Disabled, Standby, Bypass-Force come su FMC sono supportate o meno?
A: Il bypass hardware è disponibile a partire dalla versione 7.7.0 sui dispositivi 3100 con schede FTW.
Q: Sono supportati gli Inline-Set con canali porte dove il traffico è asimmetrico anche attraverso i canali porte?
A: Non viene eseguita alcuna convalida sulla velocità configurata PortChannel, a condizione che sia supportata dall'FTD.
Q: Nel caso in cui lo snort non riesca a eseguire l'ispezione, failopen è supportato?
A: Consultare la documentazione relativa a questa impostazione nella Guida alla configurazione di Firepower Management Center.
Revisione | Data di pubblicazione | Commenti |
---|---|---|
1.0 |
23-Apr-2025
|
Versione iniziale |