NetFlow e altre funzionalità non sono supportati a causa della verifica parziale del motore di linea se un FTD trasparente funziona come coppia inline

Opzioni per il download

  • PDF     (174.7 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (94.2 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (81.4 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:18 luglio 2019
ID documento:214487

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Questo documento descrive e spiega perché NetFlow e altre funzionalità non funzionano in Firepower Threat Defense (FTD) in modalità trasparente con coppia inline e come risolvere il problema.

    Contributo di Christian G. Hernandez R., Cisco TAC Engineer.

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • Configurazione di base di Cisco Firepower Management Center (FMC).

    • Configurazione di base Cisco FTD.
    • Configurazione della configurazione flessibile di Cisco FMC.

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

    • Cisco FMC v6.3.0
    • Cisco FTD v6.3.0

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Problema: NetFlow e altre funzioni non sono supportati a causa della verifica parziale del motore di linea se un FTD trasparente funziona come coppia inline.

    Una volta che NetFlow è stato configurato e distribuito sul sistema tramite Flex Config, NetFlow non genera flussi al collector (destinazione di esportazione del flusso) configurato.

    flow-export destination Management 10.1.2.3 2055

class-map inspection_default
match default-inspection-traffic
!
policy-map type inspect dns preset_dns_map
parameters
  message-length maximum client auto
  message-length maximum 512
  no tcp-inspection
policy-map type inspect ip-options UM_STATIC_IP_OPTIONS_MAP
parameters
  eool action allow
  nop action allow
  router-alert action allow
policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect rsh
  inspect sqlnet
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect icmp
  inspect icmp error
  inspect ip-options UM_STATIC_IP_OPTIONS_MAP
class class-default
  flow-export event-type flow-create destination 10.1.2.3
  flow-export event-type flow-denied destination 10.1.2.3
  flow-export event-type flow-teardown destination 10.1.2.3
  flow-export event-type flow-update destination 10.1.2.3
!
service-policy global_policy global

    Come indicato nella tabella seguente, questo comportamento è confermato nel FTD a causa dei limitati controlli del motore Lina per alcune funzionalità quando il sistema è impostato in modalità coppia inline. Vedere i dettagli seguenti:

    Modalità interfaccia FTD

    Modalità di distribuzione FTD

    Descrizione

    Il traffico può essere interrotto

    Stesura

    Stesura

    Controlli completi dei motori LINA e Snort

    Commutato

    Trasparente

    Controlli completi dei motori LINA e Snort

    Coppia inline

    Routed o Transparent

    Controlli parziali del motore LINA e completi del motore Snort

    Coppia inline con tap

    Routed o Transparent

    Controlli parziali del motore LINA e completi del motore Snort

    No

    Passivo

    Routed o Transparent

    Controlli parziali del motore LINA e completi del motore Snort

    No

    Passivo (ERSPAN)

    Stesura

    Controlli parziali del motore LINA e completi del motore Snort

    No

    https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/200924-configuring-firepower-threat-defense-int.html

    NetFlow è una funzionalità di cui è stato confermato che non è supportata quando il FTD funziona in modalità inline-pair.

    Nota: Le funzionalità specifiche non supportate dal FTD, quando funziona in modalità coppia inline, sono sconosciute al momento. Per questo motivo, è stata aperta la richiesta di miglioramento per chiedere al team di progettazione di Cisco Firepower di confermare le funzionalità note non supportate in questa modalità: CSCvo5596 DOC: Sezione di limitazione FMC in cui sono indicate le funzionalità supportate/non supportate quando FTD è impostato in linea.

    Soluzione alternativa

    Se la configurazione è quella specificata in questo documento e richiede NetFlow, l'unica soluzione nota è lasciare l'FTD in modalità trasparente e configurare invece le interfacce BVI (Bridge Virtual Interface). Questa soluzione si basa sull'interfaccia ENH aperta per includere la funzionalità NetFlow per le distribuzioni in modalità inline-pair:

    CSCvo5574      ENH: FTD non è in grado di raccogliere i dati netflow durante la configurazione in modalità coppia inline.

    Bug correlati

    CSCvo5574     ENH: FTD non è in grado di raccogliere i dati netflow durante la configurazione in modalità coppia inline.

    CSCvo5585     DOC.: Sezione di limitazione FMC per il supporto netflow quando configurato in modalità inline-pair.

    CSCvo5596     DOC.: Sezione di limitazione FMC in cui sono indicate le funzionalità supportate/non supportate quando FTD è impostato in linea.

    TAC Authored

    Contributo dei tecnici Cisco

    • Christian G Hernandez R
      Cisco TAC Engineer
    • Edited by Sergio Ceron
      Cisco TAC Engineer

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti