Rimozione o modifica della configurazione di NetFlow con Flexconfig
Introduzione
Questo documento descrive come rimuovere o modificare la configurazione NetFlow su Firepower Threat Defense (FTD) tramite Firepower Centro di gestione (CCP).
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- Conoscenza del CCP
- Conoscenza di FTD
- Conoscenza dei criteri FlexConfig
Componenti usati
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
- Versione FTD inferiore a 7.4
- Versione FMC inferiore a 7.4
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Nota: Nota importante per Firepower versioni 7.2.x: quando si configura NetFlow, è presente un ID bug Cisco CSCwh29167 noto dove l'oggetto Flex viene riordinato, con conseguente errore di distribuzione a causa della mancata configurazione della mappa di classe. Per risolvere questo problema, implementare la soluzione documentata nell'ID bug Cisco CSCwf99848 (duplicato dell'ID bug Cisco CSCwh29167 ).
Configurazione iniziale
access-list flow_export_acl extended permit ip any any
!
class-map flow_export_class
match access-list flow_export_acl
!
policy-map global_policy
class flow_export_class
flow-export event-type flow-create destination 192.168.1.5
flow-export event-type flow-denied destination 192.168.1.5
flow-export event-type flow-teardown destination 192.168.1.5
flow-export event-type flow-update destination 192.168.1.5
!
flow-export destination Inside 192.168.1.5 2055
Per la configurazione iniziale di queste configurazioni, vengono utilizzati gli oggetti Flex config riportati di seguito.
1. Oggetto testo di destinazione NetFlow
Oggetto testo destinazione NetFlow
2. ACL esteso con nome: flow_export_acl
ACL Flow Export
- Class-map e criteri del servizio utilizzati per applicare questa mappa di classe con la destinazione di esportazione del flusso
Mappa classi e criteri del servizio
4. Destinazione esportazione flusso
Destinazione esportazione flusso
5. Aggiunti quindi i due oggetti seguenti nel criterio di configurazione flessibile e distribuiti:
Criteri FlexConfig
Rimuovi configurazioni NetFlow
Passaggio 1: Eliminare gli oggetti flex dal criterio di flessibilità.
Elimina flexconfig esistente
Passaggio 2: distribuire il criterio. Dalla riga di comando, è possibile vedere che le configurazioni rimosse sono:
access-list flow_export_acl extended permit ip any any
!
class-map flow_export_class
match access-list flow_export_acl
!
policy-map global_policy
class flow_export_class
flow-export event-type flow-create destination 192.168.1.5
flow-export event-type flow-denied destination 192.168.1.5
flow-export event-type flow-teardown destination 192.168.1.5
flow-export event-type flow-update destination 192.168.1.5
considerando che, la configurazione che non viene rimossa è:
flow-export destination Inside 192.168.1.5 2055
Passaggio 3: per rimuovere questo elemento, è necessario creare un oggetto flessibile con il tipo 'prepend' e aggiungere la configurazione:
no flow-export destination Inside 192.168.1.5 2055
Elimina destinazione configurazione flessibile
Passaggio 4: in criteri flessibili chiamare l'oggetto di anteposizione appena creato nel passaggio 3 e distribuire il criterio.
Aggiungi in criteri di configurazione flessibile
Passaggio 5: eliminare l'oggetto anteposto dal criterio flessibile e distribuirlo di nuovo.
Eliminare l'oggetto anteposto
Tutta la configurazione correlata all'esportazione del flusso viene rimossa ora.
Modifica le configurazioni NetFlow esistenti
Passaggio 1: modificare l'oggetto Text creato per la destinazione NetFlow. Modificare i parametri obbligatori IP, Interface name o Port.
Esempio: abbiamo modificato IP e porta da (192.168.1.5, 2055) a (192.168.1.78, 2056)
Oggetto testo di destinazione NetFlow
Passaggio 2: distribuire il criterio. Le modifiche vengono visualizzate come previsto, ma insieme alla configurazione di destinazione Netflow precedente:
access-list flow_export_acl extended permit ip any any
!
class-map flow_export_class
match access-list flow_export_acl
!
policy-map global_policy
class flow_export_class
flow-export event-type flow-create destination 192.168.1.78
flow-export event-type flow-denied destination 192.168.1.78
flow-export event-type flow-teardown destination 192.168.1.78
flow-export event-type flow-update destination 192.168.1.78
!
flow-export destination Inside 192.168.1.78 2056
flow-export destination Inside 192.168.1.5 2055
Passaggio 3: Per rimuovere questo elemento, è necessario creare un oggetto flessibile con il tipo 'prepend' e aggiungere la configurazione:
no flow-export destination Inside 192.168.1.5 2055
Elimina destinazione netflow
Passaggio 4: in criteri flessibili chiamare l'oggetto di anteposizione appena creato nel passaggio 3 e distribuire il criterio.
Aggiungi a configurazione Flex di anteprima
Passaggio 5: eliminare l'oggetto anteposto dal criterio flessibile e distribuirlo di nuovo.
Eliminare la configurazione FlexConfig di anteprima
Modifica della configurazione relativa a NetFlow completata.
access-list flow_export_acl extended permit ip any any
!
flow-export destination Inside 192.168.1.78 2056
!
class-map flow_export_class
match access-list flow_export_acl
!
policy-map global_policy
class flow_export_class
flow-export event-type flow-create destination 192.168.1.78
flow-export event-type flow-denied destination 192.168.1.78
flow-export event-type flow-teardown destination 192.168.1.78
flow-export event-type flow-update destination 192.168.1.78
Documenti correlati
Cronologia delle revisioni
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
1.0 |
03-Oct-2024 |
Versione iniziale |
Feedback