简介
本文档介绍如何在Firepower设备管理器(FDM)托管安全防火墙7.7.0中为内联集配置硬件旁路。
先决条件
要求
Cisco 建议您了解以下主题:
- 内联集
- 安全防火墙3100系列
- Firepower设备管理器图形用户界面(GUI)
使用的组件
本文档中的信息基于以下软件和硬件版本:
- 运行v7.7.0的思科安全防火墙3100。
- 思科安全防火墙设备管理器v7.7.0。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
内联集功能在7.4.1中添加到FDM。内联集在L2网络上启用检测,无需路由:在内联对模式下配置FTD接口
与此版本之前的版本相比
安全防火墙7.0旁路功能
新特性
- 硬件检测旁路可确保停电期间流量继续在内联接口对之间流动。
- 此功能用于在软件或硬件出现故障时保持网络连接。
- 硬件旁路现在可用于FDM 3100系列平台的内联集。
部署方案
- 此功能如何应用于生产设置?
- 内联集用于IPS(或IDS)使用案例。
- 无需路由配置即可启用流量检查。如果设备通过硬件旁路发生故障,则允许流量。
- .实用示例:
- 快速轻松地在任何地方设置第2层网络检查 — 无需第3层。
- 对于完全隔离的网络(无Internet访问)至关重要。
- 用于独立防火墙的深度数据包检测的透明内联插入 — 现有生产第2层架构。
基础知识:支持的平台,许可
软件和硬件版本
软件和硬件
支持的其他方面
许可和兼容性
功能说明和演练
功能功能说明
内联集网络图
- 流量仅使用物理连接通过接口A和B从Router 1流到Router 2。
- FDM内联集数据包处理流程图:
流程图
- 内联集:
- 硬件旁路:
- 具有硬件旁路的内联集在预先确定的物理接口对上受支持:
以太网1和2
以太网2和3
以太网4和5
以太网5和6
- 接口支持:
- 属于内联对的接口:
必须命名。
不受任何限制P、DHCP或PPPoE配置。
不得处于被动模式。
不能是管理接口。
一次只能用于一个内联对。
- 内联模式详细信息
- 内联模式可用于物理接口、EtherChannel和安全区域。
- 当接口和EtherChannel用于内联对时,它们会自动设置内联模式。
- 内联模式可防止对相关接口和EtherChannel进行更改,直到将它们从内联对中删除。
- 处于内联模式的接口可以与设置为内联模式的安全区域相关联。
- 内联模式GUI
- Edit Interface对话框反映接口或EtherChannel处于内联模式。
- 当接口处于内联模式时,不允许对其进行更改。Edit Physical Interface(或Edit EtherChannel)对话框为只读。
在GUI中编辑界面
- 升级、导入/导出、备份/恢复、部署
- 升级影响
用户可以升级FDM,不受任何限制。
从早期版本升级时,现有内联集对象已配置为其旁路字段设置为Disabled。
- 导入/导出影响
内联集对象被导入和导出。
- 备份/恢复
内联集对象在备份/还原期间进行处理。
- 部署
对象正常部署。
已实施特定错误。
配置
网络图
网络图
内联集创建流程
配置
本节介绍在FDM上配置硬件旁路的步骤
第1步:编辑接口。
步骤 2:创建内联集。
- 导航到Device > Interfaces > Inline sets选项卡。
导航到“内联集”选项卡
- 添加新的内联集。
- 单击+图标或创建内联集按钮。
创建内联集
.
- 配置基本设置。
- 设置名称。
- 设置所需的MTU(可选)。 默认值为1500,这是支持的最低MTU。
- 选择硬件Bypass(详细信息在下一部分中提供)。为Bypass添加了一个新的下拉菜单。
- 在Interface Pairs部分中,选择interfaces。
- 已命名的接口可供选择。如果需要更多线对,请单击Add another pair链接.
配置设置
硬件旁路
功能和限制
- 硬件旁路可确保停电期间流量继续在内联接口对之间流动。此功能可用于在软件或硬件出现故障时保持网络连接。
- 只有内联集支持硬件旁路端口。
- 高可用性模式不支持硬件旁路。
- 硬件旁路模式:
- DISABLED — 在支持的接口上禁用旁路。不支持的接口的默认模式。
- STANDBY — 在备用状态下,接口保持正常运行直到发生触发事件。
- BYPASS FORCE — 手动强制接口对进行旁路检查。
Snort失效开放与硬件旁路
- 硬件旁路功能允许流量在硬件故障期间流动,包括完全断电和某些有限软件故障。
- 触发Snort Fail Open的软件故障不会触发硬件旁路。
硬件旁路触发器
在以下情况下可触发硬件旁路:
- 应用程序崩溃
- 应用程序重启
- 设备崩溃
- 设备重新启动或升级
- 设备功率损耗
- 手动触发器
要查看哪些接口支持硬件旁路,请执行以下操作:
- 在FDM GUI中,如果选择旁路:
- 支持该功能的接口是可选的。
- 不支持的接口呈灰色显示。
- 对于此示例,Ethernet1/3在此图中呈灰色显示:
验证硬件旁路支持
步骤 3:配置内联集高级设置。
- 导航到Device > Interfaces > Inline sets选项卡,或编辑已创建的内联集。
- 转到高级选项卡。
- “高级”选项卡允许您配置内联集的选项设置。
- 单击 Advanced 选项卡。
配置内联集
- 模式
- 轻触:设置为内联分路模式,如果启用分路模式,则禁用Snort Fail Open。
- 内联
选择模式
-
Snort失效开放设置。
- 选择所需的Snort Fail Open设置。
- 无,一个或两个。可以设置忙碌和关闭选项。
- 当Snort进程繁忙或关闭时,Snort失效开放允许新的和现有的流量通过而不检查(启用)或丢弃(禁用)。
Snort失效开放并传播链路状态
-
传播链路状态。
- 当其中一个接口关闭时,传播链路状态会自动关闭内联对中的第二个接口。当被关闭的接口恢复正常时,第二个接口也会自动恢复正常。
-
单击OK创建内联集。
第4步:应用于安全区域(可选)。
- 从顶部导航栏导航至对象。
- 从左侧导航中选择Security Zones:
- 单击+以添加安全区域。
添加安全区域
配置安全区域(可选)
- 将安全区命名为。
- 选择Inline模式。
安全区域和接口需要具有相同的模式。
- 选择Interfaces,这是内联集的一部分。
- Click OK.
配置安全区域
注意:对于接口,在将接口添加到内联对后,模式自动更改为Inline。
步骤 4:部署
- 导航到Deployment选项卡并部署。
部署更改
- 编辑和删除内联集。
- 导航到Device > Interfaces > Inline sets选项卡。
- Edit和Delete按钮可用于内联集。
编辑和删除内联集
FDM设备REST API
REST API终端
- GET :/devices/default/inlinesets
获取所有现有内联集的列表。
- GET :/devices/default/inlinesets/{objID}
按特定内联集对象的ID获取该对象。
- POST:/devices/default/inlinesets
创建新的内联集。
- PUT:/devices/default/inlinesets/{objID}
按其ID更新现有内联集对象。
- 删除:/devices/default/inlinesets/{objID}
按其ID删除现有内联集对象。
- GET :/operational/interfaceinfo/{objID}
获取所有InterfaceInfoentities的列表。
- 为了支持硬件旁路,InterfaceInfo API中添加了一个新字段。
接口信息REST API模型
- 添加了一个新的字段bypassInterfacePeerIdto以帮助硬件旁路集成。
- 此字段表示当前接口的硬件旁路接口对的ID。
- 价值:
- 空 — 接口不支持旁路。
- ID — 接口支持旁路。
接口信息REST API
接口信息REST API示例
- 接口信息REST API示例。
- 不支持硬件旁路功能的接口(Ethernet 1/4)。
- 支持硬件旁路的接口对(Ethernet2/1和Ethernet 2/2)。
接口信息REST API示例
内联集REST API模型
- 内联集模型包括:
- 类型
- 名称
- 分路模式
- MTU
- 传播链路状态
- 失效开放Snort忙
- 旁路值:已禁用、备用、BYPASS_FORCE
内联集REST API
内联集REST API示例
内联集REST API示例
注意:对于其他旁路模式,请将STANDBY替换为DISABLED或BYPASS_FORCE。
配置和部署内联集
1.获取接口ID(有关负载示例,请参阅API资源管理器)。
GET/devices/default/interfaces
2.创建内联集(有关负载示例,请参阅API资源管理器)。
POST/devices/default/inlinesets
3.创建安全区域(有关负载示例,请参阅API资源管理器)(可选)。
POST/对象/安全区域
4.部署到设备(有关负载示例,请参阅API资源管理器)。
后期/运营/部署
使用硬件旁路配置和部署内联集
1.获取接口ID和有关硬件旁路接口对的信息(有关负载示例,请参阅API资源管理器)。
GET/operational/interfaceinfo/{objId}
2.创建内联集(有关负载示例,请参阅API资源管理器)。
POST/devices/default/inlinesets
3.创建安全区域(有关负载示例,请参阅API资源管理器)(可选)。
POST/对象/安全区域
4.部署到设备(有关负载示例,请参阅API资源管理器)。
后期/运营/部署
编辑内联集
1.获取接口ID(有关负载示例,请参阅API资源管理器)。
GET/devices/default/interfaces
2.获取内联集。
GET/devices/default/inlinesets
3.编辑内联集(有关负载示例,请参阅API资源管理器)。
PUT/devices/default/inlinesets/{objId}
4.部署到设备(有关负载示例,请参阅API资源管理器)。
后期/运营/部署
验证
> show running-config inline-set
inline-set test_inline_0
interface-pair test2 test1
inline-set test_inline_1
hardware-bypass standby
interface-pair test27 test28
inline-set test_inline_2
hardware-bypass bypass
interface-pair test26 test25
> show inline-set
Inline-set test_inline_0
Mtuis 1600 bytes
Fail-open for snort down is off
Fail-open for snort busy is off
Tap mode is off
Propagate-link-state option is off
hardware-bypass mode is disabled
Interface-Pair[1]:
Interface: Ethernet1/3 "test1"
Current-Status: DOWN
Interface: Ethernet1/4 "test2"
Current-Status: DOWN
Bridge Group ID: 519
> show inline-set
Inline-set test_inline_1
Mtuis 1500 bytes
Fail-open for snort down is off
Fail-open for snort busy is off
Tap mode is off
Propagate-link-state option is off
hardware-bypass mode is standby
Interface-Pair[1]:
Interface: Ethernet2/7 "test27"
Current-Status: DOWN
Interface: Ethernet2/8 "test28"
Current-Status: DOWN
Bridge Group ID: 618
> show inline-set
Inline-set test_inline_1
Mtuis 1500 bytes
Fail-open for snort down is off
Fail-open for snort busy is off
Tap mode is off
Propagate-link-state option is off
hardware-bypass mode is bypass
Interface-Pair[1]:
Interface: Ethernet2/6 "test26"
Current-Status: DOWN
Interface: Ethernet2/5 "test25"
Current-Status: DOWN
Bridge Group ID: 610
> show interface
...
Interface Ethernet1/7 "", is admin down, line protocol is down
Hardware is EtherSVI, BW 1000 Mbps, DLY 10 usec
Available but not configured via nameif
...
Interface Ethernet2/7 "", is admin down, line protocol is down
Hardware is EtherSVI, BW 1000 Mbps, DLY 10 usec
Hardware bypass is supported with interface Ethernet2/8
Available but not configured via nameif
...
Interface Ethernet2/8 "", is admin down, line protocol is down
Hardware is EtherSVI, BW 1000 Mbps, DLY 10 usec
Hardware bypass is supported with interface Ethernet2/7
Available but not configured via nameif
故障排除
命令
- show running-config inline-set
- show inline-set
- show interface
- 系统支持跟踪
内联集 — 创建时的验证
- GUI上会显示每个字段的错误。
- 必须填写名称。
- MTU大小必须至少为1500。
- 必须选择对中的两个接口。
MTU 大小
硬件旁路 — 创建时验证
- 当旁路启用时,GUI上将显示每个字段的新错误:
- 所有接口都必须支持旁路。
- 所有接口对必须使用预先确定的接口对。
GUI验证
注意:第一对(Ethernet2/1-Ethernet2/2)有效。
REST API响应显示错误
REST API验证
此版本的实施限制
- 内联集:仅适用于物理接口和EtherChannel。
- 带硬件旁路的内联集:仅适用于物理接口,需要网络模块。
内联接口上不支持的防火墙功能
- DHCP 服务器
- DHCP 中继
- DHCP 客户端
- TCP 拦截
- 路由
- NAT
- VPN
- 应用
- 检查
- 服务质量
- Netflow
从CLI验证日志
root@FPR-3110-Pair:/home/admin# cd /ngfw/var/log/cisco/
root@FPR-3110-Pair:/ngfw/var/1og/cisco# cat ngfw-onbox.log | grep "InlineSet"
2024-08-28 12:35:00 ajp-nio-8009-exec-1: ERROR InlineSetValidator: 548 - Invalid
interface pair for Bypass. Interface Ethernet2/4 can be paired with Ethernet2/3.
2024-08-28 12:35:00 ajp-nio-8009-exec-1: ERROR InlineSetValidator:548 - Invalid
interface pair for Bypass. Interface Ethernet2/5 can be paired with Ethernet2/6.
2024-08-28 12:35:00 ajp-nio-8009-exec-1: ERROR InlineSetValidator:541 - Bypass
is not available for Interface Ethernet1/3.
2024-08-28 12:35:00 ajp-nio-8009-exec-1: ERROR InlineSetValidator:541 - Bypass
is not available for Interface
- 检验来自GUI的流量。
- 事件在GUI上显示。
- 此处可以监控流量的正确性。
- 导航到Monitoring > System。
FDM监控
> system support trace
Enable firewall-engine-debug too? [n]:
Please specify an IP protocol: ICMP
Please specify a client IP address:
Please specify a server IP address:
Monitoring packet tracer debug messages
[ packets show up here ]
常见问题解答
问:FDM上的内联集是否支持HA?
答:不支持无旁路的内联集。
不支持带旁路的内联集。
问:内联集对上的生成树BPDU是否被阻止?
A:不,它们不会被阻止。
问:3100是否支持FTW卡?
A:是,自3100系列随7.1/9.17推出以来,一直支持FTW网络模块。从7.7.0开始,硬件旁路可用。
问:对于3100 FTW卡,是否支持FMC上禁用、备用、旁路强制等旁路模式?
A:从7.7.0开始,3100台设备上的硬件旁路开始提供FTW卡。
问:在流量在端口通道上也是非对称的情况下,是否支持带有端口通道的内联集?
A:不会对PortChannel配置的速度执行任何验证,只要FTD支持,就必须支持它。
问:如果Snort无法进行检测,是否支持failopen?
A:请参阅Firepower管理中心配置指南中有关此设置的文档。
相关信息