Configuration des interfaces FDM en mode Paire en ligne

Options de téléchargement

  • PDF     (3.2 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
Mis à jour:17 janvier 2025
ID du document:222704

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit les jeux en ligne pour FDM ajoutés dans Cisco Secure Firewall 7.4.1.

    Conditions préalables

    Exigences

    Cisco recommande de posséder des connaissances sur ces sujets :

    • Concepts et configuration de FDM
    • S'applique aux FTD sur les plates-formes des gammes 1000, 2100 et 3100 gérées par FDM

    Composants utilisés

    Les informations de ce document sont basées sur FDM 7.4.2.

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Informations générales

    Un ensemble en ligne fournit une interface IPS uniquement. Vous pouvez mettre en oeuvre des interfaces IPS uniquement si vous disposez d'un pare-feu distinct protégeant ces interfaces et que vous ne souhaitez pas la surcharge des fonctions de pare-feu.

    Un ensemble en ligne agit comme une bosse sur le fil, en reliant deux interfaces pour les insérer dans un réseau existant. Cette fonction permet d'installer le périphérique dans n'importe quel environnement réseau sans avoir à configurer des périphériques réseau adjacents. Les interfaces en ligne reçoivent tout le trafic de manière inconditionnelle, mais tout le trafic reçu sur ces interfaces est retransmis à partir d'un ensemble en ligne sauf s'il est explicitement abandonné.

    Directives et restrictions

    • Vous pouvez configurer des jeux en ligne sur ces modèles de périphériques uniquement : Gamme Firepower 1000, Firepower 2100, Pare-feu sécurisé 3100.

    • Types d'interface autorisés dans un ensemble en ligne : physique, EtherChannel.

    • Vous ne pouvez pas inclure l'interface de gestion dans un jeu en ligne.

    • Vous ne pouvez pas modifier les attributs des interfaces utilisées dans un jeu en ligne : nom, mode, ID d'interface, MTU, adresse IP.

    • Si vous activez le mode Tap, l'option Snort Fail Open est désactivée.

    • Les paquets d'écho BFD (Bidirectional Forwarding Detection) ne sont pas autorisés à traverser le périphérique lors de l'utilisation d'ensembles en ligne. S'il y a deux voisins de part et d'autre du périphérique exécutant BFD, le périphérique abandonne les paquets d'écho BFD car ils ont les mêmes adresses IP source et de destination et semblent faire partie d'une attaque LAND.

    • Pour les ensembles en ligne et les interfaces passives, le périphérique prend en charge jusqu'à deux en-têtes 802.1Q dans un paquet (également appelé prise en charge Q-in-Q).

      Remarque : Les interfaces de type pare-feu ne prennent pas en charge Q-in-Q et ne prennent en charge qu'un en-tête 802.1Q.

    • Les interfaces d'un ensemble en ligne ne prennent pas en charge le routage, la NAT, le protocole DHCP (serveur, client ou relais), le VPN, l'interception TCP, l'inspection d'application ou Netflow.

    Avant de commencer

    • Il est recommandé de configurer STP PortFast pour les commutateurs compatibles STP qui se connectent aux interfaces de paire en ligne de défense contre les menaces.

    • Configurez les interfaces physiques ou EtherChannel qui peuvent être membres de l'ensemble en ligne. Vous ne pouvez configurer que ces valeurs : Nom, duplex, vitesse et mode routé (ne sélectionnez pas passif). Ne configurez aucun type d'adressage, c'est-à-dire des adresses IP manuelles, DHCP ou PPPoE.


    Détails du mode en ligne

    • Cette fonction vous permet d'utiliser des jeux en ligne. Cela permet l'inspection du trafic sans allocation IP.
    • Le mode en ligne est disponible pour les interfaces physiques, les EtherChannels et les zones de sécurité. 
    • Le mode en ligne est automatiquement défini pour les interfaces et les EtherChannels lorsqu'ils sont utilisés dans une paire en ligne.
    • Le mode en ligne empêche les modifications apportées aux interfaces et aux EtherChannels concernés jusqu'à ce qu'ils soient supprimés de la paire en ligne. 
    • Les interfaces qui sont en mode Inline peuvent être associées à des zones de sécurité définies en mode Inline.

    Diagramme de réseau à définition en ligne


    Le trafic circule de Router1 vers Router2 via les interfaces A et B en utilisant uniquement une connexion physique.

    Network DiagramDiagramme du réseau

    Configurer le jeu en ligne

    • Dans le tableau de bord FDM, accédez à Interfaces card.

    Interfaces TabOnglet Interface

    • Pour activer les interfaces, cliquez sur l'icône Status de l'interface.

    Status IconIcône d'état

    Enable InterfaceActiver l'interface

    • Pour modifier les interfaces, cliquez sur l'icône Edit (crayon) pour l'interface.

    Edit InterfaceModifier l'interface

    • Saisissez le nom de l'interface et sélectionnez le mode Routed. Ne configurez aucune adresse IP.

    Edit Physical InterfaceModifier l'interface

    • Pour créer un jeu en ligne, accédez à l'onglet Jeux en ligne.

    Create Inline SetCréer un jeu en ligne

    Pour ajouter un jeu en ligne, cliquez sur Ajouter (icône +).

    Add Inline SetAjouter un jeu en ligne

    • Définissez un nom pour l'ensemble en ligne.
    • Définissez le MTU souhaité (facultatif). La valeur par défaut est 1500, ce qui correspond au MTU minimum pris en charge.
    • Dans la section Interface Pairs, sélectionnez les interfaces. Si d'autres paires sont nécessaires, cliquez sur le lien Ajouter une autre paire.

    Interface PairsPaires d'interfaces

    • Pour configurer les paramètres avancés de l'ensemble en ligne, accédez à l'onglet Avancé.

    Advanced SettingsParamètres avancés

    • Sélectionnez le mode comme Inline. Si le mode Tap est activé, l'option Échec du renversement ouvert est désactivée.

    Mode InlineMode en ligne

    • Snort Fail Open permet au trafic nouveau et existant de passer sans inspection (activé) ou abandon (désactivé) lorsque le processus Snort est occupé ou arrêté.
    • Sélectionnez les paramètres Snort Fail Open souhaités.
    • Aucune, une ou les deux options Occupé et Arrêté peuvent être définies.

    Snort Fail OpenSnort Fail Open

    • L'option Propagate Link State désactive automatiquement la deuxième interface de la paire en ligne lorsque l'une des interfaces est désactivée. Lorsque l’interface désactivée redémarre, la deuxième interface redémarre également automatiquement.
    • Une fois que tout est défini, cliquez sur Ok pour enregistrer la configuration.

    Propagate Link StatePropager l'état des liaisons

    • Pour ajouter cet ensemble en ligne à une zone de sécurité, accédez à Objets > Zones de sécurité.
    • Cliquez sur Add pour créer une nouvelle zone de sécurité.

    Add Security ZoneAjouter une zone de sécurité

    • Définissez un nom, sélectionnez le mode Inline et ajoutez les interfaces de l'ensemble Inline. Cliquez ensuite sur OK pour enregistrer.

    Add InterfacesAjouter des interfaces

    • Accédez à l'onglet Déploiement et Déployez les modifications.

    Modifier ou supprimer un jeu en ligne


    Les actions Modifier et Supprimer sont disponibles pour les jeux en ligne.

    Actions of Inline SetActions du jeu en ligne

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    17-Jan-2025
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Sakthivel Thirupathy
      Ingénieur-conseil technique

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits