NetFlow und andere Funktionen werden aufgrund der teilweise Überprüfung der Lina Engine nicht unterstützt, ob eine transparente FTD als Inline-Paar funktioniert.

Download-Optionen

PDF (145.6 KB)
Mit Adobe Reader auf verschiedenen Geräten anzeigen
ePub (96.3 KB)
In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
Mobi (Kindle) (83.7 KB)
Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen

Aktualisiert:18. Juli 2019

Dokument-ID:214487

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Inhalt

Einführung

Voraussetzungen

Anforderungen

Verwendete Komponenten

Problem: NetFlow und andere Funktionen werden aufgrund der teilweise Überprüfung der Lina Engine nicht unterstützt, ob eine transparente FTD als Inline-Paar funktioniert.

Problemumgehung

Zugehörige Fehler

Einführung

Dieses Dokument beschreibt und erläutert, warum NetFlow und andere Funktionen in einer FirePOWER Threat Defense (FTD) im transparenten Modus mit Inline-Paaren nicht funktionieren, und wie dies umgangen werden kann.

Unterstützt von Christian G. Hernandez R., Cisco TAC-Engineer

Voraussetzungen

Anforderungen

Cisco empfiehlt, über Kenntnisse in folgenden Bereichen zu verfügen:

Grundlegende Konfiguration des Cisco FirePOWER Management Center (FMC).
Grundlegende Cisco FTD-Konfiguration.
Cisco FMC flexconfig-Konfiguration.

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf den folgenden Software- und Hardwareversionen:

Cisco FMC 6.3.0
Cisco FTD 6.3.0

Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.

Problem: NetFlow und andere Funktionen werden aufgrund der teilweise Überprüfung der Lina Engine nicht unterstützt, ob eine transparente FTD als Inline-Paar funktioniert.

Nach der Konfiguration und Bereitstellung von NetFlow über Flex Config auf dem System generiert NetFlow keine Datenflüsse an den Collector (Flow-Export-Ziel), der konfiguriert wurde.

flow-export destination Management 10.1.2.3 2055

class-map inspection_default
match default-inspection-traffic
!
policy-map type inspect dns preset_dns_map
parameters
  message-length maximum client auto
  message-length maximum 512
  no tcp-inspection
policy-map type inspect ip-options UM_STATIC_IP_OPTIONS_MAP
parameters
  eool action allow
  nop action allow
  router-alert action allow
policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect rsh
  inspect sqlnet
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect icmp
  inspect icmp error
  inspect ip-options UM_STATIC_IP_OPTIONS_MAP
class class-default
  flow-export event-type flow-create destination 10.1.2.3
  flow-export event-type flow-denied destination 10.1.2.3
  flow-export event-type flow-teardown destination 10.1.2.3
  flow-export event-type flow-update destination 10.1.2.3
!
service-policy global_policy global

Wie in der Tabelle unten gezeigt, wird dieses Verhalten für FTD aufgrund begrenzter Lina Engine-Prüfungen auf bestimmte Funktionen bestätigt, wenn das System im Inline-Pair-Modus eingestellt ist. Einzelheiten siehe unten:

FTD-Schnittstellenmodus	FTD-Bereitstellungsmodus	Beschreibung	Datenverkehr kann verworfen werden
Geroutet	Geroutet	Vollständige LINA-Engine- und Snort-Engine-Prüfungen	Ja
Switched	Transparent	Vollständige LINA-Engine- und Snort-Engine-Prüfungen	Ja
Inline-Paar	Geroutet oder transparent	Teilweise LINA-Engine- und vollständige Snort-Engine-Prüfungen	Ja
Inline-Paar mit Tasten	Geroutet oder transparent	Teilweise LINA-Engine- und vollständige Snort-Engine-Prüfungen	Nein
Passiv	Geroutet oder transparent	Teilweise LINA-Engine- und vollständige Snort-Engine-Prüfungen	Nein
Passiv (ERSPAN)	Geroutet	Teilweise LINA-Engine- und vollständige Snort-Engine-Prüfungen	Nein

https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/200924-configuring-firepower-threat-defense-int.html

NetFlow ist eine Funktion, die als nicht unterstützt bestätigt wurde, wenn die FTD im Inline-Pair-Modus arbeitet.

Hinweis: Die spezifischen Funktionen, die von der FTD nicht unterstützt werden, wenn sie im Inline-Pair-Modus ausgeführt werden, sind zu diesem Zeitpunkt noch nicht bekannt. Die Erweiterungsanfrage wurde deshalb geöffnet, um das Cisco FirePOWER-Technikerteam zu bitten, die bekannten nicht unterstützten Funktionen in diesem Modus zu bestätigen: CSCvo5596 DOC: FMC-Begrenzungsabschnitt mit Angabe, welche Funktionen unterstützt/nicht unterstützt werden, wenn FTD in Inline-Set eingesetzt wird.

Problemumgehung

Wenn Ihre Einrichtung wie in diesem Dokument beschrieben erfolgt und NetFlow erfordert, besteht die einzige bekannte Lösung darin, die FTD im transparenten Modus zu belassen und stattdessen BVI-Schnittstellen (Bridge Virtual Interface) einzurichten. Diese Problemumgehung basiert auf der geöffneten ENH, die die NetFlow-Funktion für Inline-Pair-Modusbereitstellungen umfasst:

CSCvo 55574 ENH: FTD kann bei der Konfiguration im Inline-Pair-Modus keine NetFlow-Daten sammeln.

Zugehörige Fehler

CSCvo 55574 ENH: FTD kann bei der Konfiguration im Inline-Pair-Modus keine NetFlow-Daten sammeln.

CSCvo5585 DOC: FMC-Begrenzungsabschnitt für NetFlow-Unterstützung bei Konfiguration im Inline-Pair-Modus.

CSCvo5596 DOC: FMC-Begrenzungsabschnitt mit Angabe, welche Funktionen unterstützt/nicht unterstützt werden, wenn FTD in Inline-Set eingesetzt wird.

Beiträge von Cisco Ingenieuren

Christian G Hernandez R
Cisco TAC-Techniker
Edited by Sergio Ceron
Cisco TAC-Techniker

War dieses Dokument hilfreich?

Feedback

Cisco kontaktieren

Eine Supportanfrage öffnen
(Erfordert einen Cisco Servicevertrag)

NetFlow und andere Funktionen werden aufgrund der teilweise Überprüfung der Lina Engine nicht unterstützt, ob eine transparente FTD als Inline-Paar funktioniert.

Download-Optionen

Inklusive Sprache

Informationen zu dieser Übersetzung

Inhalt

Einführung

Voraussetzungen

Anforderungen

Verwendete Komponenten

Problem: NetFlow und andere Funktionen werden aufgrund der teilweise Überprüfung der Lina Engine nicht unterstützt, ob eine transparente FTD als Inline-Paar funktioniert.

Problemumgehung

Zugehörige Fehler

Beiträge von Cisco Ingenieuren

War dieses Dokument hilfreich?

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.