概要
この資料に記述され、NetFlow およびその他の機能がインライン ペアの透過モードの Firepower Threat Defense (FTD)でなぜはたらかない、これをか回避する方法を理解を助け。
クリスチャン G.ヘルナンデス R.によって貢献される、Cisco TAC エンジニア。
前提条件
要件
次の項目に関する知識が推奨されます。
使用するコンポーネント
この文書の情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- Cisco FMC v6.3.0
- Cisco FTD v6.3.0
本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。 対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。
問題: 透過的な FTD がインライン ペアとしてはたらく場合 NetFlow およびその他の機能は部分的なリーナ エンジン チェックがサポートされなかった原因ではないです。
NetFlow が屈曲構成によるシステムで設定され、展開されれば、NetFlow は設定される収集装置(フロー エクスポート 宛先)へのフローを生成しません。
flow-export destination Management 10.1.2.3 2055
class-map inspection_default
match default-inspection-traffic
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
no tcp-inspection
policy-map type inspect ip-options UM_STATIC_IP_OPTIONS_MAP
parameters
eool action allow
nop action allow
router-alert action allow
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect rsh
inspect sqlnet
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect icmp
inspect icmp error
inspect ip-options UM_STATIC_IP_OPTIONS_MAP
class class-default
flow-export event-type flow-create destination 10.1.2.3
flow-export event-type flow-denied destination 10.1.2.3
flow-export event-type flow-teardown destination 10.1.2.3
flow-export event-type flow-update destination 10.1.2.3
!
service-policy global_policy global
下記の表によって、この動作はシステムがインライン ペア モードで設定 されるときエンジンがある特定の機能があるように確認する FTD 当然の限られたリーナで予想されるために確認されます。 下記のように詳細を参照して下さい:
FTD インターフェイス モード |
FTD 展開モード |
説明 |
トラフィックのドロップの可否 |
ルータ経由 |
ルータ経由 |
完全なリーナ エンジンおよび Snort エンジン チェック |
Yes |
交換された |
トランスペアレント |
完全なリーナ エンジンおよび Snort エンジン チェック |
Yes |
インライン ペア |
ルーテッドまたはトランスペアレント |
部分的なリーナ エンジンおよび完全な Snort エンジン チェック |
はい |
タップ付きインライン ペア |
ルーテッドまたはトランスペアレント |
部分的なリーナ エンジンおよび完全な Snort エンジン チェック |
なし |
パッシブ |
ルーテッドまたはトランスペアレント |
部分的なリーナ エンジンおよび完全な Snort エンジン チェック |
なし |
パッシブ(ERSPAN) |
ルータ経由 |
部分的なリーナ エンジンおよび完全な Snort エンジン チェック |
なし |
https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/200924-configuring-firepower-threat-defense-int.html
NetFlow は FTD がインライン ペア モードではたらくときサポートされていないように確認された機能です。
注: インライン ペア モードではたらくとき、FTD によってサポートされない仕様機能はこの時に不明、これのために、機能拡張要求開きました Cisco Firepower エンジニア チームにこのモードの既知 サポートされていない機能の確認を助けるために頼むようにです: CSCvo55596 DOCS: FMC 制限 セクションどんな機能が/サポートされていない時インライン設定 されるかの FTD サポートされるか示すこと。
回避策
セットアップがこの資料で規定 されるようにあり、NetFlow を必要とすれば、唯一の既知の回避策は透過モードに FTD を残すことであり、セットアップ BVI (Bridge Virtual Interface)は代りにインターフェイスします。 この回避策はインライン ペア モード配備のための NetFlow フィーチャ 機能性を含むために開く ENH に基づいています:
CSCvo55574
ENH: インライン ペア モードで設定されている間 NetFlowデータを収集することが不可能な FTD。
関連バグ
CSCvo55574 ENH: インライン ペア モードで設定されている間 NetFlowデータを収集することが不可能な FTD。
CSCvo55585 DOCS: インライン ペア モードで設定された場合 NetFlow サポートのための FMC 制限 セクション。
CSCvo55596 DOCS: FMC 制限 セクションどんな機能が/サポートされていない時インライン設定 されるかの FTD サポートされるか示すこと。