配置安全防火墙3100 FDM 7.7.0硬件旁路

下载选项

PDF (2.9 MB)
在各种设备上使用 Adobe Reader 查看
ePub (2.6 MB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (2.2 MB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2025 年 4 月 23 日

文档 ID:222969

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文档介绍如何在Firepower设备管理器(FDM)托管安全防火墙7.7.0中为内联集配置硬件旁路。

先决条件

要求

Cisco 建议您了解以下主题：

内联集
安全防火墙3100系列
Firepower设备管理器图形用户界面(GUI)

使用的组件

本文档中的信息基于以下软件和硬件版本：

运行v7.7.0的思科安全防火墙3100。
思科安全防火墙设备管理器v7.7.0。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

内联集功能在7.4.1中添加到FDM。内联集在L2网络上启用检测，无需路由：在内联对模式下配置FTD接口

与此版本之前的版本相比

Secure Firewall 7.0 Bypass Feature 安全防火墙7.0旁路功能

新特性

硬件检测旁路可确保停电期间流量继续在内联接口对之间流动。
此功能用于在软件或硬件出现故障时保持网络连接。
硬件旁路现在可用于FDM 3100系列平台的内联集。

注意:Firepower管理中心配置指南

部署方案

此功能如何应用于生产设置？
- 内联集用于IPS（或IDS）使用案例。
- 无需路由配置即可启用流量检查。如果设备通过硬件旁路发生故障，则允许流量。
.实用示例：
- 快速轻松地在任何地方设置第2层网络检查 — 无需第3层。
- 对于完全隔离的网络（无Internet访问）至关重要。
- 用于独立防火墙的深度数据包检测的透明内联插入 — 现有生产第2层架构。

基础知识：支持的平台，许可

软件和硬件版本

软件和硬件

注意：3100系列和硬件旁路的信息

支持的其他方面

Licensing and Compatibility 许可和兼容性

功能说明和演练

功能功能说明

内联集网络图

内联集网络图

流量仅使用物理连接通过接口A和B从Router 1流到Router 2。
FDM内联集数据包处理流程图：

Flow Diagram 流程图

内联集：
- 物理接口和EtherChannel支持内联集。
硬件旁路：
- 具有硬件旁路的内联集在预先确定的物理接口对上受支持：
  以太网1和2
  以太网2和3
  以太网4和5
  以太网5和6

接口支持：
- 属于内联对的接口：
  必须命名。
  不受任何限制P、DHCP或PPPoE配置。
  不得处于被动模式。
  不能是管理接口。
  一次只能用于一个内联对。

内联模式详细信息
- 内联模式可用于物理接口、EtherChannel和安全区域。
- 当接口和EtherChannel用于内联对时，它们会自动设置内联模式。
- 内联模式可防止对相关接口和EtherChannel进行更改，直到将它们从内联对中删除。
- 处于内联模式的接口可以与设置为内联模式的安全区域相关联。

内联模式GUI
- Edit Interface对话框反映接口或EtherChannel处于内联模式。
- 当接口处于内联模式时，不允许对其进行更改。Edit Physical Interface（或Edit EtherChannel）对话框为只读。
  
  在GUI中编辑界面

升级、导入/导出、备份/恢复、部署
- 升级影响
  用户可以升级FDM，不受任何限制。
  从早期版本升级时，现有内联集对象已配置为其旁路字段设置为Disabled。
- 导入/导出影响
  内联集对象被导入和导出。
- 备份/恢复
  内联集对象在备份/还原期间进行处理。
- 部署
  对象正常部署。
  已实施特定错误。

配置

网络图

Network Diagram 网络图

Inline Set Creation Flow 内联集创建流程

配置

本节介绍在FDM上配置硬件旁路的步骤

第1步：编辑接口。

登录到FDM和n导航到 接口管理。
在FDM控制面板中，单击接口卡。

选择界面
编辑内联集中使用的接口。
要编辑接口，请点击接口的编辑（铅笔）图标。

编辑接口
编辑物理接口：
1.命名接口。
2.选择路由模式。
3.删除任何IP配置。

配置参数

注意：在将接口添加到内联对后，模式会自动更改为Inline。

步骤 2：创建内联集。

导航到Device > Interfaces > Inline sets选项卡。

导航到“内联集”选项卡
添加新的内联集。
单击+图标或创建内联集按钮。

Create Inline Set 创建内联集

配置基本设置。
1. 设置名称。
2. 设置所需的MTU（可选）。默认值为1500，这是支持的最低MTU。
3. 选择硬件Bypass（详细信息在下一部分中提供）。为Bypass添加了一个新的下拉菜单。
4. 在Interface Pairs部分中，选择interfaces。
5. 已命名的接口可供选择。如果需要更多线对，请单击Add another pair链接.
  
  配置设置

硬件旁路

功能和限制

硬件旁路可确保停电期间流量继续在内联接口对之间流动。此功能可用于在软件或硬件出现故障时保持网络连接。
只有内联集支持硬件旁路端口。
高可用性模式不支持硬件旁路。
硬件旁路模式：
- DISABLED — 在支持的接口上禁用旁路。不支持的接口的默认模式。
- STANDBY — 在备用状态下，接口保持正常运行直到发生触发事件。
- BYPASS FORCE — 手动强制接口对进行旁路检查。
  
  注意：有关FTD接口类型和硬件旁路的信息

Snort失效开放与硬件旁路

硬件旁路功能允许流量在硬件故障期间流动，包括完全断电和某些有限软件故障。
触发Snort Fail Open的软件故障不会触发硬件旁路。

硬件旁路触发器

在以下情况下可触发硬件旁路：

应用程序崩溃
应用程序重启
设备崩溃
设备重新启动或升级
设备功率损耗
手动触发器

要查看哪些接口支持硬件旁路，请执行以下操作：

在FDM GUI中，如果选择旁路：
- 支持该功能的接口是可选的。
- 不支持的接口呈灰色显示。
- 对于此示例，Ethernet1/3在此图中呈灰色显示：
  
  验证硬件旁路支持

步骤 3：配置内联集高级设置。

导航到Device > Interfaces > Inline sets选项卡，或编辑已创建的内联集。
转到高级选项卡。
- “高级”选项卡允许您配置内联集的选项设置。
- 单击 Advanced 选项卡。
  
  配置内联集
- 模式
  - 轻触：设置为内联分路模式，如果启用分路模式，则禁用Snort Fail Open。
  - 内联
    
    选择模式
- Snort失效开放设置。
  - 选择所需的Snort Fail Open设置。
  - 无，一个或两个。可以设置忙碌和关闭选项。
  - 当Snort进程繁忙或关闭时，Snort失效开放允许新的和现有的流量通过而不检查（启用）或丢弃（禁用）。
    
    Snort失效开放并传播链路状态
  - 传播链路状态。
    - 当其中一个接口关闭时，传播链路状态会自动关闭内联对中的第二个接口。当被关闭的接口恢复正常时，第二个接口也会自动恢复正常。
  - 单击OK创建内联集。

第4步：应用于安全区域（可选）。

从顶部导航栏导航至对象。
从左侧导航中选择Security Zones:
- 单击+以添加安全区域。
  
  添加安全区域
  配置安全区域（可选）
  1. 将安全区命名为。
  2. 选择Inline模式。
    安全区域和接口需要具有相同的模式。
  3. 选择Interfaces，这是内联集的一部分。
  4. Click OK.
    
    配置安全区域

注意：对于接口，在将接口添加到内联对后，模式自动更改为Inline。

步骤 4：部署

导航到Deployment选项卡并部署。

部署更改

编辑和删除内联集。
- 导航到Device > Interfaces > Inline sets选项卡。
- Edit和Delete按钮可用于内联集。

Edit and Delete Inline Sets 编辑和删除内联集

FDM设备REST API

REST API终端

GET :/devices/default/inlinesets
获取所有现有内联集的列表。
GET :/devices/default/inlinesets/{objID}
按特定内联集对象的ID获取该对象。
POST:/devices/default/inlinesets
创建新的内联集。
PUT:/devices/default/inlinesets/{objID}
按其ID更新现有内联集对象。
删除：/devices/default/inlinesets/{objID}
按其ID删除现有内联集对象。
GET :/operational/interfaceinfo/{objID}
获取所有InterfaceInfoentities的列表。
为了支持硬件旁路，InterfaceInfo API中添加了一个新字段。

接口信息REST API模型

添加了一个新的字段bypassInterfacePeerIdto以帮助硬件旁路集成。
此字段表示当前接口的硬件旁路接口对的ID。
价值:
- 空 — 接口不支持旁路。
- ID — 接口支持旁路。

Interface Info REST API 接口信息REST API

接口信息REST API示例

接口信息REST API示例。
- 不支持硬件旁路功能的接口(Ethernet 1/4)。
- 支持硬件旁路的接口对（Ethernet2/1和Ethernet 2/2）。

Interface Info REST API Example 接口信息REST API示例

注意：由于大小不同，这是完整调用中的代码段。

内联集REST API模型

内联集模型包括：
- 类型
- 名称
- 分路模式
- MTU
- 传播链路状态
- 失效开放Snort忙
- 旁路值：已禁用、备用、BYPASS_FORCE

Inline Set REST API 内联集REST API

内联集REST API示例

基本内联集示例：
- 一个内联对
- 旁路备用

Inline Set REST API Example 内联集REST API示例

注意：对于其他旁路模式，请将STANDBY替换为DISABLED或BYPASS_FORCE。

配置和部署内联集

1.获取接口ID（有关负载示例，请参阅API资源管理器）。

GET/devices/default/interfaces
2.创建内联集（有关负载示例，请参阅API资源管理器）。

POST/devices/default/inlinesets
3.创建安全区域（有关负载示例，请参阅API资源管理器）（可选）。
POST/对象/安全区域
4.部署到设备（有关负载示例，请参阅API资源管理器）。
后期/运营/部署

使用硬件旁路配置和部署内联集

1.获取接口ID和有关硬件旁路接口对的信息（有关负载示例，请参阅API资源管理器）。
GET/operational/interfaceinfo/{objId}
2.创建内联集（有关负载示例，请参阅API资源管理器）。
POST/devices/default/inlinesets
3.创建安全区域（有关负载示例，请参阅API资源管理器）（可选）。
POST/对象/安全区域
4.部署到设备（有关负载示例，请参阅API资源管理器）。
后期/运营/部署

编辑内联集

1.获取接口ID（有关负载示例，请参阅API资源管理器）。
GET/devices/default/interfaces
2.获取内联集。
GET/devices/default/inlinesets
3.编辑内联集（有关负载示例，请参阅API资源管理器）。
PUT/devices/default/inlinesets/{objId}
4.部署到设备（有关负载示例，请参阅API资源管理器）。
后期/运营/部署

验证

> show running-config inline-set

inline-set test_inline_0
    interface-pair test2 test1
inline-set test_inline_1
    hardware-bypass standby
    interface-pair test27 test28
inline-set test_inline_2
    hardware-bypass bypass
    interface-pair test26 test25

> show inline-set

 Inline-set test_inline_0
   Mtuis 1600 bytes
   Fail-open for snort down is off
   Fail-open for snort busy is off
   Tap mode is off
   Propagate-link-state option is off
   hardware-bypass mode is disabled
   Interface-Pair[1]:
     Interface: Ethernet1/3 "test1"
       Current-Status: DOWN
     Interface: Ethernet1/4 "test2"
       Current-Status: DOWN
     Bridge Group ID: 519

> show inline-set

Inline-set test_inline_1
Mtuis 1500 bytes
Fail-open for snort down is off
Fail-open for snort busy is off
Tap mode is off
Propagate-link-state option is off
hardware-bypass mode is standby
Interface-Pair[1]:
Interface: Ethernet2/7 "test27"
Current-Status: DOWN
Interface: Ethernet2/8 "test28"
Current-Status: DOWN
Bridge Group ID: 618

> show inline-set

Inline-set test_inline_1
Mtuis 1500 bytes
Fail-open for snort down is off
Fail-open for snort busy is off
Tap mode is off
Propagate-link-state option is off
hardware-bypass mode is bypass
Interface-Pair[1]:
Interface: Ethernet2/6 "test26"
Current-Status: DOWN
Interface: Ethernet2/5 "test25"
Current-Status: DOWN
Bridge Group ID: 610

> show interface

...
Interface Ethernet1/7 "", is admin down, line protocol is down
Hardware is EtherSVI, BW 1000 Mbps, DLY 10 usec
Available but not configured via nameif

...
Interface Ethernet2/7 "", is admin down, line protocol is down
Hardware is EtherSVI, BW 1000 Mbps, DLY 10 usec
Hardware bypass is supported with interface Ethernet2/8
Available but not configured via nameif

...
Interface Ethernet2/8 "", is admin down, line protocol is down
Hardware is EtherSVI, BW 1000 Mbps, DLY 10 usec
Hardware bypass is supported with interface Ethernet2/7
Available but not configured via nameif

故障排除

命令

show running-config inline-set
show inline-set
show interface
系统支持跟踪

内联集 — 创建时的验证

GUI上会显示每个字段的错误。
- 必须填写名称。
- MTU大小必须至少为1500。
- 必须选择对中的两个接口。

MTU Size MTU 大小

硬件旁路 — 创建时验证

当旁路启用时，GUI上将显示每个字段的新错误：
- 所有接口都必须支持旁路。
  - 错误显示不受支持的接口。
- 所有接口对必须使用预先确定的接口对。
  - 错误消息提及可用的旁路接口对。

GUI Validation GUI验证

注意：第一对(Ethernet2/1-Ethernet2/2)有效。

REST API响应显示错误

错误在REST API响应中显示。
- 此处，MTU值无效。

REST API Validation REST API验证

此版本的实施限制

内联集：仅适用于物理接口和EtherChannel。
带硬件旁路的内联集：仅适用于物理接口，需要网络模块。

内联接口上不支持的防火墙功能

DHCP 服务器
DHCP 中继
DHCP 客户端
TCP 拦截
路由
NAT
VPN
应用
检查
服务质量
Netflow

从CLI验证日志

日志记录.
- 日志位于/ngfw/var/log/cisco/ngfw-onbox.log。
- 搜索内联集。
- 在日志中发现的可能错误示例：
  - 两个接口不支持旁路。
  - 两个接口不是有效的旁路对。

root@FPR-3110-Pair:/home/admin# cd /ngfw/var/log/cisco/

root@FPR-3110-Pair:/ngfw/var/1og/cisco# cat ngfw-onbox.log | grep "InlineSet"

2024-08-28 12:35:00 ajp-nio-8009-exec-1: ERROR InlineSetValidator: 548 - Invalid

interface pair for Bypass. Interface Ethernet2/4 can be paired with Ethernet2/3.

2024-08-28 12:35:00 ajp-nio-8009-exec-1: ERROR InlineSetValidator:548 - Invalid

interface pair for Bypass. Interface Ethernet2/5 can be paired with Ethernet2/6.

2024-08-28 12:35:00 ajp-nio-8009-exec-1: ERROR InlineSetValidator:541 - Bypass

is not available for Interface Ethernet1/3.

2024-08-28 12:35:00 ajp-nio-8009-exec-1: ERROR InlineSetValidator:541 - Bypass

is not available for Interface

检验来自GUI的流量。
- 事件在GUI上显示。
- 此处可以监控流量的正确性。
- 导航到Monitoring > System。

FDM Monitoring FDM监控

从CLI验证流量的正确性。

> system support trace
Enable firewall-engine-debug too? [n]:
Please specify an IP protocol: ICMP
Please specify a client IP address: 
Please specify a server IP address: 
Monitoring packet tracer debug messages



[ packets show up here ]

常见问题解答

问:FDM上的内联集是否支持HA?
答：不支持无旁路的内联集。
不支持带旁路的内联集。
问:内联集对上的生成树BPDU是否被阻止？
A：不，它们不会被阻止。
问:3100是否支持FTW卡？
A：是，自3100系列随7.1/9.17推出以来，一直支持FTW网络模块。从7.7.0开始，硬件旁路可用。
问:对于3100 FTW卡，是否支持FMC上禁用、备用、旁路强制等旁路模式？
A：从7.7.0开始，3100台设备上的硬件旁路开始提供FTW卡。
问:在流量在端口通道上也是非对称的情况下，是否支持带有端口通道的内联集？
A：不会对PortChannel配置的速度执行任何验证，只要FTD支持，就必须支持它。
问:如果Snort无法进行检测，是否支持failopen?
A：请参阅Firepower管理中心配置指南中有关此设置的文档。