Entfernen oder Ändern der NetFlow-Konfiguration mithilfe von Flexconfig
Einleitung
In diesem Dokument wird beschrieben, wie Sie die NetFlow-Konfiguration in Firepower Threat Defense (FTD) mit Firepower entfernen oder ändern. Management Center (FMC)
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
- Kenntnisse von FMC
- FTD-Kenntnisse
- Kenntnis der FlexConfig-Richtlinie
Verwendete Komponenten
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
- FTD-Version kleiner als 7.4
- FMC-Version kleiner als 7.4
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Hinweis: Wichtiger Hinweis für FirePOWER-Versionen 7.2.x: Bei der Konfiguration von NetFlow ist eine bekannte Cisco Bug-ID CSCwh29167 bekannt, bei der das Flex-Objekt neu angeordnet wird. Die Bereitstellung schlägt fehl, da die Klassenzuordnung nicht konfiguriert wird. Um dieses Problem zu beheben, implementieren Sie die Problemumgehung, die unter der Cisco Bug-ID CSCwf99848 (Duplikat der Cisco Bug-ID CSCwh29167) dokumentiert ist.
Erstkonfiguration
access-list flow_export_acl extended permit ip any any
!
class-map flow_export_class
match access-list flow_export_acl
!
policy-map global_policy
class flow_export_class
flow-export event-type flow-create destination 192.168.1.5
flow-export event-type flow-denied destination 192.168.1.5
flow-export event-type flow-teardown destination 192.168.1.5
flow-export event-type flow-update destination 192.168.1.5
!
flow-export destination Inside 192.168.1.5 2055
Zum Konfigurieren dieser Erstkonfigurationen werden folgende flexible Konfigurationsobjekte verwendet:
1. NetFlow-Zieltextobjekt
NetFlow-Ziel-Textobjekt
2. Erweiterte ACL mit dem Namen: flow_export_acl
Datenfluss-Export-ACL
- Klassenzuordnung und Servicerichtlinie, die zum Anwenden dieser Klassenzuordnung auf das Exportziel des Datenflusses verwendet werden
Klassenzuordnung und Servicerichtlinie
4. Flow-Exportziel
Exportziel für Datenfluss
5. Anschließend wurden diese beiden Objekte in der FlexConfig-Richtlinie hinzugefügt und bereitgestellt:
FlexConfig-Richtlinie
NetFlow-Konfigurationen entfernen
Schritt 1: Löschen Sie die Flex-Objekte aus der Flex-Richtlinie.
Vorhandene Flexconfig löschen
Schritt 2: Bereitstellen der Richtlinie. In der Befehlszeile werden folgende Konfigurationen entfernt:
access-list flow_export_acl extended permit ip any any
!
class-map flow_export_class
match access-list flow_export_acl
!
policy-map global_policy
class flow_export_class
flow-export event-type flow-create destination 192.168.1.5
flow-export event-type flow-denied destination 192.168.1.5
flow-export event-type flow-teardown destination 192.168.1.5
flow-export event-type flow-update destination 192.168.1.5
Eine Konfiguration, die nicht entfernt wird, ist
flow-export destination Inside 192.168.1.5 2055
Schritt 3: Um dies zu entfernen, müssen wir ein Flex-Objekt mit dem Typ 'prepend' erstellen und die Konfiguration hinzufügen:
no flow-export destination Inside 192.168.1.5 2055
Flexkonfigurationsziel löschen
Schritt 4: Rufen Sie unter "Flexible Policy" (Flexible Richtlinie) das neu erstellte Prepend-Objekt in Schritt 3 auf, und stellen Sie die Richtlinie bereit.
Fügen Sie dies unter "Flexible Konfigurationsrichtlinie" hinzu.
Schritt 5: Löschen Sie das vorangestellte Objekt aus der Flex-Richtlinie, und stellen Sie es erneut bereit.
Löschen des Prepend-Objekts
Alle Konfigurationen, die sich auf den Datenfluss und den Export beziehen, werden jetzt entfernt.
Vorhandene NetFlow-Konfigurationen ändern
Schritt 1: Bearbeiten Sie das für NetFlow-Ziel erstellte Textobjekt. Ändern Sie die erforderlichen Parameter IP, Schnittstellenname oder Port.
Beispiel: IP und Port wurden von (192.168.1.5, 2055) in (192.168.1.78, 2056) geändert.
NetFlow-Zieltextobjekt
Schritt 2: Bereitstellen der Richtlinie. Die Änderungen werden erwartungsgemäß angezeigt, jedoch zusammen mit der alten Netflow-Zielkonfiguration:
access-list flow_export_acl extended permit ip any any
!
class-map flow_export_class
match access-list flow_export_acl
!
policy-map global_policy
class flow_export_class
flow-export event-type flow-create destination 192.168.1.78
flow-export event-type flow-denied destination 192.168.1.78
flow-export event-type flow-teardown destination 192.168.1.78
flow-export event-type flow-update destination 192.168.1.78
!
flow-export destination Inside 192.168.1.78 2056
flow-export destination Inside 192.168.1.5 2055
Schritt 3: Um dies zu entfernen, müssen Sie ein Flex-Objekt mit dem Typ 'prepend' erstellen und die Konfiguration hinzufügen:
no flow-export destination Inside 192.168.1.5 2055
NetFlow-Ziel löschen
Schritt 4: Rufen Sie unter "Flexible Policy" (Flexible Richtlinie) das neu erstellte Prepend-Objekt in Schritt 3 auf, und stellen Sie die Richtlinie bereit.
Zu vorangestellter Flex Config hinzufügen
Schritt 5: Löschen Sie das vorangestellte Objekt aus der Flex-Richtlinie, und stellen Sie es erneut bereit.
Löschen Sie "FlexConfig voranstellen".
Die NetFlow-bezogene Konfiguration wurde erfolgreich geändert.
access-list flow_export_acl extended permit ip any any
!
flow-export destination Inside 192.168.1.78 2056
!
class-map flow_export_class
match access-list flow_export_acl
!
policy-map global_policy
class flow_export_class
flow-export event-type flow-create destination 192.168.1.78
flow-export event-type flow-denied destination 192.168.1.78
flow-export event-type flow-teardown destination 192.168.1.78
flow-export event-type flow-update destination 192.168.1.78
Verwandte Dokumente
Revisionsverlauf
| Überarbeitung | Veröffentlichungsdatum | Kommentare |
|---|---|---|
1.0 |
03-Oct-2024 |
Erstveröffentlichung |
FeedbackCisco kontaktieren
- Eine Supportanfrage öffnen
- (Erfordert einen Cisco Servicevertrag)