Configuración de interfaces Geneve en FTDv seguro

Actualizado:17 de octubre de 2023
ID del documento:221082

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo configurar la encapsulación Geneve para las interfaces de datos FTDv en AWS.

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Implementación de configuración de Secure Firepower Management Center
    • Firepower seguro Threat Defence Virtual implementado en AWS
    • Virtualización EC2 de instancia de AWS.

    La configuración de la encapsulación Geneve para Cisco Secure Firepower Threat Defense en AWS requiere la versión 7.1 o superior de FTD.

    También se requiere una licencia de nivel de rendimiento de FTDv20 o superior.

    Solo puede configurar una interfaz de origen de terminal de túnel virtual (VTEP) por dispositivo FTDv. El VTEP se define como un terminal de virtualización de red (NVE); la encapsulación Geneve para VTEP es el único NVE compatible de forma nativa en ese momento.

    Puede consultar esta documentación para implementar Threat Defence Virtual en AWS

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • Centro de administración de Firepower seguro - 7.3.0
    • Firepower Threat Defence seguro - 7.3.0
    • Instancia de AWS c5.2x grande (4 núcleos/8 GB)
    • Licencia de nivel de rendimiento: FTDv50

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Configurar

    Configurar licencia de nivel de rendimiento para FTDv

    Utilice un navegador compatible para acceder a la GUI de FMC:

    https://FMC_IP_Address

    Vaya a Devices > Device Management:

    Device ManagementGestión de dispositivos

    Seleccione el icono de edición del FTDv en cuestión:  EditEditar

    Haga clic en la pestaña Device y, a continuación, edite la configuración en el resumen License:

    Device LicenseLicencia del dispositivo

    Seleccione el FTDv20 (Core 4/8 GB) o superior en la lista desplegable Performance Tier. Para este ejemplo, se selecciona la licencia de nivel de rendimiento FTDv50, como se muestra en esta imagen:

    Choose Performance Tier License FTDv20 or GreaterElija Performance Tier License FTDv20 o superior

    A continuación, seleccione Guardar e Implementar la configuración en FTDv.

    Configuración de la interfaz de origen de VTEP

    Vaya a Devices > Device Management > Choose edit > VTEP y seleccione Enable NVE:
    Enable VNEActivar VNE

    Ahora, puede seleccionar Add VTEP:

    Add VTEPAgregar VTEP

    Ingrese el valor para el puerto de encapsulación dentro del rango especificado.

    warning-icon

    Advertencia: no se recomienda cambiar el puerto de Ginebra; AWS requiere un puerto de 6081.

    A continuación, puede Seleccionar la Interfaz de Origen VTEP.

    Outside Interface as VTEP Source InterfaceInterfaz Externa como Interfaz de Origen VTEP

    note-icon

    Nota: selecciónelo en la lista de interfaces físicas disponibles en el dispositivo. En caso de que el nombre de la interfaz no se muestre en la lista, puede validar si la interfaz deseada está habilitada y tiene un nombre configurado.

    caution-icon

    Precaución: FMC eleva automáticamente la MTU a 1806 bytes de la interfaz seleccionada en caso de que la MTU sea inferior a 1806 bytes.

    A Continuación, Haga Clic En Aceptar.

    note-icon

    Nota: FMC muestra que la trama Jumbo está activada:

    Jumbo Frame ChangedTrama Jumbo cambiada

    Seleccione Aceptar y Guardar.

    Configuración de la interfaz VNI

    Agregue una interfaz de interfaz de red virtual (VNI), asóciela a la interfaz de origen de VTEP y configure los parámetros básicos de la interfaz.

    Vaya a la pestaña Interfaces y haga clic en Add Interfaces.

    Add InterfacesAgregar interfaces

    Elija VNI Interface.

    Add VNI InterfaceAgregar interfaz VNI

    Especifique el nombre, la descripción y la ID de VNI de la interfaz (entre 1 y 10000).

    tip-icon

    Sugerencia: este ID es solo un identificador de interfaz interno.

    Marque Enable Proxy.

    Esta opción habilita el proxy de brazo único y permite que el tráfico salga de la misma interfaz en la que entró (tráfico de giro en U).

    warning-icon

    Advertencia: Si edita más tarde la interfaz, no podrá desactivar el proxy de brazo único. Para ello, debe eliminar la interfaz existente y crear una nueva interfaz VNI. Esta opción sólo está disponible para VTEP Geneve.

    Seleccione NVE Mapped to VTEP Interface. Esta interfaz se asocia a la interfaz de origen de VTEP.

    Add NVI InterfaceAgregar interfaz NVI

    Haga clic en Aceptar y Guardar.  Puede ver que la interfaz VNI se crea como se muestra en esta imagen: 

    VNI Interface is CreatedSe crea la interfaz VNI

    Por último, implemente la configuración de la interfaz.

    note-icon

    Nota: En este momento puede configurar los parámetros de la interfaz ruteada necesarios para su interfaz. Dirección IP de la interfaz, enrutamiento estático o dinámico para la interfaz VNI.

    Verificación

    Conexión a FTDv mediante SSH o consola:

    > system support diagnostic-cli
    Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
    Type help or '?' for a list of available commands.

    admin> enable
    Password:
    admin#

    Revise los detalles de la interfaz y el resumen de la interfaz VNI:

    admin# show ip
System IP Addresses:
Interface                Name                   IP address      Subnet mask     Method
Management0/0            diagnostic             10.0.0.61       255.255.255.0   DHCP
vni1                     VNI-Outside            1.2.3. 4         255.255.255.0   manual
Current IP Addresses:
Interface                Name                   IP address      Subnet mask     Method
Management0/0            diagnostic             10.0.0.61       255.255.255.0   DHCP
vni1                     VNI-Outside            1.2.3. 4         255.255.255.0   manual

    admin# show interface VNI summary
Interface vni1 "VNI-Outside", is up, line protocol is up
        VTEP-NVE 1
        Tag-switching: disabled
        MTU: 1500
        MAC: 0206.104e.ed0f
        proxy mode: single-arm
        IP address 1.2.3. 4, subnet mask 255.255.255.0
        Multicast group not configured

    Puede confirmar que la encapsulación geneve está habilitada como se muestra en este resultado de comando: 

    admin# show running-config nve
nve 1
 encapsulation geneve
 source-interface Outside

    Troubleshoot

    Verifique que la interfaz VNI y el protocolo y el estado de la interfaz de origen VTEP estén activos/activos. Como se muestra a continuación, interface TenGigabitEthernet0/0 y vni1 son up/up: 

    # show interface ip brief
Interface                  IP-Address      OK? Method Status                Protocol
Internal-Control0/0        127.0.1.1       YES unset  up                    up
Internal-Control0/1        unassigned      YES unset  up                    up
Internal-Data0/0           unassigned      YES unset  down                  up
Internal-Data0/0           unassigned      YES unset  up                    up
Internal-Data0/1           169.254.1.1     YES unset  up                    up
Internal-Data0/2           unassigned      YES unset  up                    up
Management0/0              10.0.0.61       YES DHCP   up                    up
TenGigabitEthernet0/0 unassigned YES unset up up
TenGigabitEthernet0/1      unassigned      YES unset  up                    up
vni1 1.2.3. 4 YES manual up up

    Asegúrese de que la interfaz vni de un solo brazo y la asociación vtep estén presentes como se muestra en este resultado:

    # show run interface vni 1
!
interface vni1
 proxy single-arm
 nameif VNI-Outside
 security-level 0
 ip address 1.2.3. 4 255.255.255.0
 vtep-nve 1

    Revise los contadores de interfaz para la interfaz VNI:

    # show interface VNI detail

    Consulte la Guía de configuración de Firepower Management Center para obtener información adicional.

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    2.0
    17-Oct-2023
    Se ha cambiado el título a: Configurar interfaces Geneve en FTDv seguro
    1.0
    11-Oct-2023
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Jesus Cabrera Medina
      Technical Consulting Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos