Einleitung
In diesem Dokument wird beschrieben, wie die Geneve-Kapselung für FTDv-Datenschnittstellen in AWS konfiguriert wird.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
- Sichere Bereitstellung der FirePOWER Management Center-Konfiguration
- Sichere FirePOWER Threat Defense Virtual in AWS bereitgestellt
- AWS Instanz EC2 Virtualisierung.
Für die Konfiguration von Geneve Encapsulation für Cisco Secure Firepower Threat Defense in AWS ist FTD 7.1 oder höher erforderlich.
Performance-Tier-Lizenz von FTDv20 oder höher ist ebenfalls erforderlich.
Sie können pro FTDv-Gerät nur eine VTEP-Quellschnittstelle (Virtual Tunnel Endpoint) konfigurieren. Die VTEP wird als Network Virtualization Endpoint (NVE) definiert; Geneve Encapsulation for VTEP ist die einzige native NVE, die zu diesem Zeitpunkt unterstützt wird.
In dieser Dokumentation finden Sie Informationen zur Bereitstellung der Threat Defense Virtual auf AWS.
Verwendete Komponenten
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
- Secure FirePOWER Management Center - 7.3.0
- Sicherer Schutz vor Firepower - 7.3.0
- AWS c5.2xlarge (4 Core/8 GB)-Instanz
- Performance-Tier-Lizenz - FTDv50
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Konfigurieren
Performance-Tier-Lizenz für FTDv konfigurieren
Verwenden Sie einen unterstützten Browser, um auf Ihre FMC-GUI zuzugreifen:
https://FMC_IP_Address
Navigieren Sie zu Geräte > Geräteverwaltung:
Gerätemanagement
Wählen Sie das Bearbeitungssymbol für die betreffende FTDv: Bearbeiten
Klicken Sie auf die Registerkarte Gerät, und bearbeiten Sie die Konfiguration in der Lizenzübersicht:
Gerätelizenz
Wählen Sie FTDv20 (Core 4/8 GB) oder höher aus der Dropdown-Liste Performance Tier (Leistungsstufe) aus. Für dieses Beispiel wird FTDv50 Performance Tier License ausgewählt, wie in der folgenden Abbildung dargestellt:
Performance-Tier-Lizenz FTDv20 oder höher auswählen
Wählen Sie anschließend Speichern und Bereitstellen der Konfiguration für FTDv.
Konfigurieren der VTEP-Quellschnittstelle
Navigieren Sie zu Devices > Device Management > Choose edit > VTEP, und wählen Sie Enable NVE:
VNE aktivieren
Jetzt können Sie Add VTEP (VTEP hinzufügen) auswählen:
VTEP hinzufügen
Geben Sie den Wert für den Kapselungsport innerhalb des angegebenen Bereichs ein.
Warnung: Es wird nicht empfohlen, den Geneve-Port zu ändern. AWS erfordert einen Port 6081.
Als Nächstes können Sie die VTEP-Quellschnittstelle auswählen.
Externe Schnittstelle als VTEP-Quellschnittstelle
Hinweis: Wählen Sie eine der verfügbaren physischen Schnittstellen auf dem Gerät aus. Falls der Schnittstellenname nicht in der Liste angezeigt wird, können Sie überprüfen, ob die gewünschte Schnittstelle aktiviert ist und ein Name konfiguriert wurde.
Achtung: FMC erhöht die MTU automatisch auf 1806 Byte der ausgewählten Schnittstelle, falls die MTU niedriger als 1806 Byte ist.
Klicken Sie anschließend auf OK.
Hinweis: FMC zeigt an, dass Jumbo Frame aktiviert ist:
Jumbo-Frame geändert
Wählen Sie OK und Speichern aus.
Konfigurieren der VNI-Schnittstelle
Fügen Sie eine Virtual Network Interface (VNI)-Schnittstelle hinzu, ordnen Sie diese der VTEP-Quellschnittstelle zu, und konfigurieren Sie die grundlegenden Schnittstellenparameter.
Navigieren Sie zur Registerkarte Interfaces (Schnittstellen), und klicken Sie auf Add Interfaces (Schnittstellen hinzufügen).
Schnittstellen hinzufügen
Wählen Sie VNI Interface aus.
VNI-Schnittstelle hinzufügen
Geben Sie den Schnittstellennamen, die Beschreibung und die VNI-ID an (zwischen 1 und 10000).
Tipp: Diese ID ist nur eine interne Schnittstellenkennung.
Aktivieren Sie Proxy aktivieren.
Mit dieser Option wird ein Single-Arm-Proxy aktiviert, und der Datenverkehr kann über dieselbe Schnittstelle geleitet werden, die er eingegeben hat (umgekehrter Datenverkehr).
Warnung: Wenn Sie die Schnittstelle später bearbeiten, können Sie den einarmigen Proxy nicht deaktivieren. Dazu müssen Sie die vorhandene Schnittstelle löschen und eine neue VNI-Schnittstelle erstellen. Diese Option ist nur für eine Geneve VTEP verfügbar.
Wählen Sie NVE Mapped to VTEP Interface aus. Dadurch wird diese Schnittstelle der VTEP-Quellschnittstelle zugeordnet.
NVI-Schnittstelle hinzufügen
Klicken Sie auf OK und Speichern. Sie können sehen, dass die VNI-Schnittstelle wie in der folgenden Abbildung dargestellt erstellt wurde:
VNI-Schnittstelle wurde erstellt
Stellen Sie abschließend die Schnittstellenkonfiguration bereit.
Hinweis: Sie können zu diesem Zeitpunkt die für Ihre Schnittstelle erforderlichen Parameter für die geroutete Schnittstelle konfigurieren. Schnittstellen-IP-Adresse, statisches oder dynamisches Routing für die VNI-Schnittstelle.
Überprüfung
Verbindung mit FTDv über SSH oder Konsole:
> system support diagnostic-cli
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
admin> enable
Password:
admin#
Überprüfen Sie die Schnittstellendetails und die VNI-Schnittstellenübersicht:
admin# show ip
System IP Addresses:
Interface Name IP address Subnet mask Method
Management0/0 diagnostic 10.0.0.61 255.255.255.0 DHCP
vni1 VNI-Outside 1.2.3. 4 255.255.255.0 manual
Current IP Addresses:
Interface Name IP address Subnet mask Method
Management0/0 diagnostic 10.0.0.61 255.255.255.0 DHCP
vni1 VNI-Outside 1.2.3. 4 255.255.255.0 manual
admin# show interface VNI summary
Interface vni1 "VNI-Outside", is up, line protocol is up
VTEP-NVE 1
Tag-switching: disabled
MTU: 1500
MAC: 0206.104e.ed0f
proxy mode: single-arm
IP address 1.2.3. 4, subnet mask 255.255.255.0
Multicast group not configured
Sie können bestätigen, dass Geneve-Kapselung aktiviert ist, wie in der folgenden Befehlsausgabe gezeigt:
admin# show running-config nve
nve 1
encapsulation geneve
source-interface Outside
Fehlerbehebung
Überprüfen Sie, ob sowohl die VNI-Schnittstelle als auch das VTEP-Quell-Schnittstellenprotokoll aktiv/aktiv sind. Wie weiter unten gezeigt, Schnittstelle TenGigabitEthernet0/0
und vni1
sind aktiv/aktiv:
# show interface ip brief
Interface IP-Address OK? Method Status Protocol
Internal-Control0/0 127.0.1.1 YES unset up up
Internal-Control0/1 unassigned YES unset up up
Internal-Data0/0 unassigned YES unset down up
Internal-Data0/0 unassigned YES unset up up
Internal-Data0/1 169.254.1.1 YES unset up up
Internal-Data0/2 unassigned YES unset up up
Management0/0 10.0.0.61 YES DHCP up up
TenGigabitEthernet0/0 unassigned YES unset up up
TenGigabitEthernet0/1 unassigned YES unset up up
vni1 1.2.3. 4 YES manual up up
Stellen Sie sicher, dass die VNI-Schnittstelle für einen Arm und die VTEP-Zuordnung vorhanden sind, wie in dieser Ausgabe gezeigt:
# show run interface vni 1
!
interface vni1
proxy single-arm
nameif VNI-Outside
security-level 0
ip address 1.2.3. 4 255.255.255.0
vtep-nve 1
Überprüfen Sie die Schnittstellenzähler für die VNI-Schnittstelle:
# show interface VNI detail
Weitere Informationen finden Sie im Konfigurationsleitfaden für FirePOWER Management Center.