O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.
A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este documento descreve como configurar o desvio de hardware para conjuntos em linha no Firepower Device Manager (FDM) gerenciado pelo Secure Firewall 7.7.0.
A Cisco recomenda que você tenha conhecimento destes tópicos:
As informações neste documento são baseadas nestas versões de software e hardware:
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
O recurso Conjuntos em Linha foi adicionado ao FDM na versão 7.4.1. Os Conjuntos em Linha permitem a inspeção em uma rede L2 sem a necessidade de roteamento: Configurar interfaces FTD no modo de par em linha
Comparando com anterior a esta versão
Recurso de desvio do Secure Firewall 7.0
O que há de novo
Cenários de implantação
Versões de software e hardware
Software e hardware
Outros aspectos do suporte
Licenciamento e compatibilidade
Descrição do recurso funcional
Diagrama de rede de configuração in-line
Diagrama de fluxo
Diagrama de Rede
Fluxo de Criação de Conjunto Embutido
Esta seção descreve as etapas para configurar o Desvio de Hardware no FDM
Etapa 1: Editar interfaces.
Note: O modo é alterado automaticamente para Inline depois que a interface é adicionada em um par em linha.
Passo 2: Crie um conjunto embutido.
Criar Conjunto Embutido
.
Recursos e limitações
Snort Fail Open vs Hardware Bypass (Falha ao abrir vs. desvio de hardware)
Disparadores de desvio de hardware
O desvio de hardware pode ser acionado nos seguintes cenários:
Para ver quais interfaces suportam desvio de hardware:
Passo 3: Definir configurações embutidas Advanced Setting.
Snort Fail Open Settings (Configurações de abertura com falha de Snort).
Propagate Link State (Propagar estado do link).
Clique em OK para criar o conjunto embutido.
Etapa 4: Aplicar a uma zona de segurança (opcional).
Note: Para interfaces, o modo mudou automaticamente para Inline depois que a interface é adicionada em um par em linha.
Passo 4: Implantar
Editar e Excluir Conjuntos Embutidos
Pontos de Extremidade da API REST
Modelos de API REST de Informações de Interface
API REST de Informações de Interface
Exemplo de API REST de Informações de Interface
Exemplo de API REST de Informações de Interface
Note: Este é um trecho da chamada completa, devido ao tamanho.
Modelo de APIs REST de Conjunto Embutido
API REST de conjunto embutido
Exemplo de API REST de conjunto embutido
Exemplo de API REST de conjunto embutido
Note: Para outros modos de desvio, substitua STANDBY por DISABLED ou BYPASS_FORCE.
Configurar e implantar um conjunto em linha
1.Obtenha IDs de interface (consulte o Explorador de API para obter exemplos de payload).
GET/devices/default/interfaces
2.Crie um Conjunto Embutido (consulte o Explorador de API para obter exemplos de payload).
POST/dispositivos/padrão/inlinesets
3.Crie uma zona de segurança (consulte o Explorador de API para obter exemplos de payload) (opcional).
POST/object/securityzones
4.Implante no dispositivo (consulte o API Explorer para obter exemplos de payload).
POST/operacional/implantação
Configurar e implantar um conjunto em linha com desvio de hardware
1.Obtenha IDs de interface e informações sobre pares de interface de desvio de hardware (consulte o Explorador de API para obter exemplos de payload).
GET/operational/interfaceinfo/{objId}
2.Crie um Conjunto Embutido (consulte o Explorador de API para obter exemplos de payload).
POST/dispositivos/padrão/inlinesets
3.Crie uma zona de segurança (consulte o Explorador de API para obter exemplos de payload) (opcional).
POST/object/securityzones
4.Implante no dispositivo (consulte o API Explorer para obter exemplos de payload).
POST/operacional/implantação
Editar um Conjunto Embutido
1. Obtenha IDs de interface (consulte o Explorador de API para obter exemplos de payload).
GET/devices/default/interfaces
2. Obter Conjuntos em Linha.
GET/devices/default/inlinesets
3. Edite o Conjunto Embutido (consulte o Explorador de API para obter exemplos de payload).
PUT/devices/default/inlinesets/{objId}
4. Implantar no dispositivo (consulte o API Explorer para obter exemplos de carga útil).
POST/operacional/implantação
> show running-config inline-set
inline-set test_inline_0
interface-pair test2 test1
inline-set test_inline_1
hardware-bypass standby
interface-pair test27 test28
inline-set test_inline_2
hardware-bypass bypass
interface-pair test26 test25
> show inline-set
Inline-set test_inline_0
Mtuis 1600 bytes
Fail-open for snort down is off
Fail-open for snort busy is off
Tap mode is off
Propagate-link-state option is off
hardware-bypass mode is disabled
Interface-Pair[1]:
Interface: Ethernet1/3 "test1"
Current-Status: DOWN
Interface: Ethernet1/4 "test2"
Current-Status: DOWN
Bridge Group ID: 519
> show inline-set
Inline-set test_inline_1
Mtuis 1500 bytes
Fail-open for snort down is off
Fail-open for snort busy is off
Tap mode is off
Propagate-link-state option is off
hardware-bypass mode is standby
Interface-Pair[1]:
Interface: Ethernet2/7 "test27"
Current-Status: DOWN
Interface: Ethernet2/8 "test28"
Current-Status: DOWN
Bridge Group ID: 618
> show inline-set
Inline-set test_inline_1
Mtuis 1500 bytes
Fail-open for snort down is off
Fail-open for snort busy is off
Tap mode is off
Propagate-link-state option is off
hardware-bypass mode is bypass
Interface-Pair[1]:
Interface: Ethernet2/6 "test26"
Current-Status: DOWN
Interface: Ethernet2/5 "test25"
Current-Status: DOWN
Bridge Group ID: 610
> show interface
...
Interface Ethernet1/7 "", is admin down, line protocol is down
Hardware is EtherSVI, BW 1000 Mbps, DLY 10 usec
Available but not configured via nameif
...
Interface Ethernet2/7 "", is admin down, line protocol is down
Hardware is EtherSVI, BW 1000 Mbps, DLY 10 usec
Hardware bypass is supported with interface Ethernet2/8
Available but not configured via nameif
...
Interface Ethernet2/8 "", is admin down, line protocol is down
Hardware is EtherSVI, BW 1000 Mbps, DLY 10 usec
Hardware bypass is supported with interface Ethernet2/7
Available but not configured via nameif
Tamanho da MTU
Validação da GUI
Note: O primeiro par (Ethernet2/1-Ethernet2/2) é válido.
A resposta da API REST mostra erros
Validação da API REST
Verificar logs do CLI
Os registros podem ser encontrados em /ngfw/var/log/cisco/ngfw-onbox.log.
Procurar Conjunto Embutido.
Exemplo de possíveis erros encontrados nos logs:
Duas interfaces não suportam desvio.
Duas interfaces não são um par de bypass válido.
root@FPR-3110-Pair:/home/admin# cd /ngfw/var/log/cisco/
root@FPR-3110-Pair:/ngfw/var/1og/cisco# cat ngfw-onbox.log | grep "InlineSet"
2024-08-28 12:35:00 ajp-nio-8009-exec-1: ERROR InlineSetValidator: 548 - Invalid
interface pair for Bypass. Interface Ethernet2/4 can be paired with Ethernet2/3.
2024-08-28 12:35:00 ajp-nio-8009-exec-1: ERROR InlineSetValidator:548 - Invalid
interface pair for Bypass. Interface Ethernet2/5 can be paired with Ethernet2/6.
2024-08-28 12:35:00 ajp-nio-8009-exec-1: ERROR InlineSetValidator:541 - Bypass
is not available for Interface Ethernet1/3.
2024-08-28 12:35:00 ajp-nio-8009-exec-1: ERROR InlineSetValidator:541 - Bypass
is not available for Interface
Monitoramento do FDM
> system support trace
Enable firewall-engine-debug too? [n]:
Please specify an IP protocol: ICMP
Please specify a client IP address:
Please specify a server IP address:
Monitoring packet tracer debug messages
[ packets show up here ]
P: O HA é compatível com conjuntos embutidos no FDM?
R: Conjuntos embutidos sem desvio são suportados.
NÃO há suporte para Conjuntos Embutidos com Ignorar.
P: As BPDUs de spanning-tree estão bloqueadas no par de conjunto em linha?
R: Não, eles não estão bloqueados.
P: As placas FTW são suportadas no 3100?
R: Sim, os netmods FTW são suportados desde que a série 3100 foi introduzida com 7.1/9.17. O desvio de hardware está disponível a partir da 7.7.0.
P: Para placas 3100 FTW, os modos de desvio de Desativado, Standby, Bypass-Force, como no FMC, são suportados ou não?
R: O desvio de hardware está disponível a partir da versão 7.7.0 em 3.100 dispositivos com placas FTW.
P: Conjuntos em linha com canais de porta são suportados onde o tráfego é assimétrico através dos canais de porta também?
R: Nenhuma validação é realizada na velocidade configurada do PortChannel, portanto, desde que o FTD ofereça suporte a ele, ele deverá ser aceito.
P: Caso o Snort falhe na inspeção, o failopen é suportado?
R: Consulte a documentação sobre essa configuração no Guia de configuração do Firepower Management Center.
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
23-Apr-2025
|
Versão inicial |