Configuración de interfaces de FDM en modo de par en línea

Opciones de descarga

  • PDF     (3.2 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (3.1 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.0 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:17 de enero de 2025
ID del documento:222704

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe los conjuntos en línea para FDM agregados en Cisco Secure Firewall 7.4.1.

    Prerequisites

    Requirements

    Cisco recomienda tener conocimientos de estos temas:

    • Conceptos y configuración de FDM
    • Se aplica a FTD en las plataformas de las series 1000, 2100 y 3100 administradas por FDM

    Componentes Utilizados

    La información de este documento se basa en FDM 7.4.2.

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Antecedentes

    Un conjunto en línea proporciona una interfaz de sólo IPS. Puede implementar interfaces sólo IPS si dispone de un firewall independiente que las proteja y no desea la sobrecarga de las funciones de firewall.

    Un conjunto en línea actúa como una protuberancia en el cable, enlazando dos interfaces para acoplarse en una ranura en una red existente. Esta función permite instalar el dispositivo en cualquier entorno de red sin la configuración de dispositivos de red adyacentes. Las interfaces en línea reciben todo el tráfico incondicionalmente, pero todo el tráfico recibido en estas interfaces se retransmite fuera de un conjunto en línea a menos que se descarte explícitamente.

    Directrices y limitaciones

    • Solo puede configurar conjuntos en línea en estos modelos de dispositivos: Firepower serie 1000, Firepower serie 2100, Secure Firewall 3100.

    • Tipos de interfaz permitidos en un conjunto en línea: físico, EtherChannel.

    • No puede incluir la interfaz de administración en un conjunto en línea.

    • No puede cambiar los atributos de las interfaces utilizadas en un conjunto en línea: nombre, modo, ID de interfaz, MTU, dirección IP.

    • Si activa el modo de toque, la opción Snort Fail Open (Fallo al abrir) estará desactivada.

    • Los paquetes de eco de detección de reenvío bidireccional (BFD) no se permiten a través del dispositivo cuando se utilizan conjuntos en línea. Si hay dos vecinos en cada lado del dispositivo que ejecuta BFD, el dispositivo descarta paquetes de eco BFD porque tienen la misma dirección IP de origen y de destino y parecen ser parte de un ataque LAND.

    • Para conjuntos en línea e interfaces pasivas, el dispositivo admite hasta dos encabezados 802.1Q en un paquete (también conocido como compatibilidad Q-in-Q).

      Nota: Las interfaces de tipo firewall no admiten Q-in-Q y solo admiten un encabezado 802.1Q.

    • Las interfaces de un conjunto en línea no admiten routing, NAT, DHCP (servidor, cliente o relé), VPN, intercepción TCP, inspección de aplicaciones o Netflow.

    Antes de comenzar

    • Se recomienda configurar STP PortFast para los switches habilitados para STP que se conectan a las interfaces de par en línea de defensa contra amenazas.

    • Configure las interfaces físicas o EtherChannel que pueden ser miembros del conjunto en línea. Solo puede configurar estos valores: Nombre, dúplex, velocidad y modo enrutado (no seleccione pasivo). No configure ningún tipo de direccionamiento, es decir, direcciones IP manuales, DHCP o PoE.


    Detalles del modo en línea

    • Esta función permite utilizar conjuntos en línea. Esto permite la inspección del tráfico sin asignación de IP.
    • El modo en línea está disponible para interfaces físicas, EtherChannels y zonas de seguridad. 
    • El modo en línea se establece automáticamente para las interfaces y los EtherChannels cuando se utilizan en un par en línea.
    • El modo en línea evita que se realicen cambios en las interfaces y los EtherChannels involucrados hasta que se eliminen del par en línea. 
    • Las interfaces que están en modo en línea se pueden asociar a las zonas de seguridad establecidas en modo en línea.

    Diagrama de red de conjunto lineal


    El tráfico fluye desde el Router1 al Router2 a través de las interfaces A y B utilizando solamente una conexión física.

    Network DiagramDiagrama de la red

    Configurar conjunto en línea

    • Desde el panel de FDM, navegue hasta la tarjeta Interfaces.

    Interfaces TabFicha Interfaces

    • Para activar las interfaces, haga clic en el icono Status de la interfaz.

    Status IconIcono de estado

    Enable InterfaceActivar interfaz

    • Para Editar interfaces, haga clic en el icono Editar (lápiz) para la interfaz.

    Edit InterfaceEditar interfaz

    • Introduzca el nombre de la interfaz y seleccione el modo como enrutado. No configure ninguna dirección IP.

    Edit Physical InterfaceEditar interfaz

    • Para crear un conjunto en línea, desplácese a la pestaña Conjuntos en línea.

    Create Inline SetCrear conjunto en línea

    Para agregar un conjunto en línea, haga clic en Agregar (icono +).

    Add Inline SetAgregar conjunto en línea

    • Establezca un nombre para el conjunto en línea.
    • Configure la MTU deseada (opcional) . El valor predeterminado es 1500, que es la MTU mínima admitida.
    • En la sección Interface Pairs, seleccione las interfaces. Si se requieren más pares, haga clic en el enlace Agregar otro par.

    Interface PairsPares de interfaz

    • Para configurar los parámetros avanzados del conjunto en línea, vaya a la ficha Advanced.

    Advanced SettingsConfiguración avanzada

    • Seleccione el Modo como En línea. Si está activado el modo de toque, la opción Snort Fail Open (Fallo al abrir) está desactivada.

    Mode InlineModo en línea

    • Snort Fail Open permite que el tráfico nuevo y existente pase sin inspección (activado) o se descarte (desactivado) cuando el proceso Snort está ocupado o inactivo.
    • Seleccione la configuración deseada de Snort Fail Open.
    • No se puede establecer ninguna de las opciones Busy y Down o ninguna de ellas.

    Snort Fail OpenError al abrir Snort

    • La opción Propagate Link State (Propagar estado de link) desactiva automáticamente la segunda interfaz en el par lineal cuando una de las interfaces deja de funcionar. Cuando la interfaz desactivada vuelve a activarse, la segunda interfaz también vuelve a activarse automáticamente.
    • Una vez que todo esté configurado, haga clic en Aceptar para guardar la configuración.

    Propagate Link StatePropagar estado de link

    • Para agregar este conjunto en línea a una zona de seguridad, navegue hasta Objetos > Zonas de seguridad.
    • Haga clic en Agregar para crear una nueva zona de seguridad.

    Add Security ZoneAgregar zona de seguridad

    • Establezca un Nombre, seleccione el modo como Inline y agregue las interfaces del conjunto Inline. A continuación, haga clic en Aceptar para guardar.

    Add InterfacesAgregar interfaces

    • Vaya a la pestaña Implementación e Implemente los cambios.

    Modificación o eliminación de un conjunto en línea


    Las acciones Editar (Edit) y Borrar (Delete) están disponibles para los conjuntos en línea.

    Actions of Inline SetAcciones del conjunto en línea

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    17-Jan-2025
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Sakthivel Thirupathy
      Technical Consulting Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos