Configurazione delle interfacce FDM in modalità coppia inline

Opzioni per il download

  • PDF     (3.2 MB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (3.1 MB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.0 MB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:17 gennaio 2025
ID documento:222704

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Questo documento descrive i set in linea per FDM aggiunti in Cisco Secure Firewall 7.4.1.

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • Concetti e configurazione di FDM
    • Si applica agli FTD sulle piattaforme serie 1000, 2100 e 3100 gestite da FDM

    Componenti usati

    Le informazioni di questo documento si basano su FDM 7.4.2.

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Premesse

    Un set inline fornisce un'interfaccia solo IPS. È possibile implementare interfacce solo IPS se si dispone di un firewall separato che protegge queste interfacce e non si desidera sovraccaricare le funzioni del firewall.

    Un set inline agisce come un urto in cavo, collegando due interfacce in modo da inserirle in una rete esistente. Questa funzione consente di installare il dispositivo in qualsiasi ambiente di rete senza configurare i dispositivi di rete adiacenti. Le interfacce inline ricevono tutto il traffico incondizionatamente, ma tutto il traffico ricevuto su queste interfacce viene ritrasmesso da un set inline a meno che non venga esplicitamente scartato.

    Linee guida e limitazioni

    • È possibile configurare i set inline solo su questi modelli di dispositivi: Firepower serie 1000, Firepower 2100, Secure Firewall 3100.

    • Tipi di interfaccia consentiti in un set inline: fisica, EtherChannel.

    • Non è possibile includere l'interfaccia di gestione in un set inline.

    • Non è possibile modificare gli attributi delle interfacce utilizzate in un insieme inline: nome, modalità, ID interfaccia, MTU, indirizzo IP.

    • Se si attiva la modalità maschiatura, l'opzione Snort Fail Open è disattivata.

    • I pacchetti echo BFD (Bidirectional Forwarding Detection) non sono consentiti tramite il dispositivo quando si utilizzano set inline. Se ci sono due dispositivi adiacenti su entrambi i lati del dispositivo che esegue BFD, il dispositivo scarta i pacchetti echo BFD perché hanno lo stesso indirizzo IP di origine e destinazione e sembrano essere parte di un attacco LAND.

    • Per i set inline e le interfacce passive, il dispositivo supporta fino a due intestazioni 802.1Q in un pacchetto (noto anche come supporto Q-in-Q).

      Nota: Le interfacce di tipo firewall non supportano Q-in-Q e supportano solo un'intestazione 802.1Q.

    • Le interfacce in un set inline non supportano routing, NAT, DHCP (server, client o relay), VPN, TCP Intercept, ispezione delle applicazioni o Netflow.

    Operazioni preliminari

    • Si consiglia di impostare STP PortFast per gli switch con abilitazione STP che si connettono alle interfacce in linea per la difesa dalle minacce.

    • Configurare le interfacce fisiche o EtherChannel che possono essere membri del set inline. È possibile configurare solo questi valori: Nome, duplex, velocità e modalità di routing (non selezionare passiva). Non configurare alcun tipo di indirizzamento, ovvero indirizzi IP manuali, DHCP o PoE.


    Dettagli modalità in linea

    • Questa funzione consente di utilizzare i set in linea. Ciò consente l'ispezione del traffico senza allocazione IP.
    • La modalità inline è disponibile per le interfacce fisiche, EtherChannel e le aree di sicurezza. 
    • La modalità in linea viene impostata automaticamente per le interfacce e EtherChannel quando vengono utilizzate in una coppia in linea.
    • La modalità in linea impedisce che vengano apportate modifiche alle interfacce e agli EtherChannel interessati finché non vengono rimossi dalla coppia in linea. 
    • Le interfacce in modalità in linea possono essere associate alle aree di protezione impostate sulla modalità in linea.

    Diagramma reticolare set inline


    Il traffico passa da Router1 a Router2 attraverso le interfacce A e B usando solo una connessione fisica.

    Network DiagramEsempio di rete

    Configura set inline

    • Dal dashboard FDM, passare alla scheda Interfacce.

    Interfaces Tabscheda Interfacce

    • Per abilitare le interfacce, fare clic su Icona Stato dell'interfaccia.

    Status IconIcona di stato

    Enable InterfaceAbilita interfaccia

    • Per modificare le interfacce, fare clic sull'icona Modifica (matita) relativa all'interfaccia.

    Edit InterfaceModifica interfaccia

    • Immettere il nome dell'interfaccia e selezionare la modalità come Instradato. Non configurare alcun indirizzo IP.

    Edit Physical InterfaceModifica interfaccia

    • Per creare una serie in linea, passare alla scheda Serie in linea.

    Create Inline SetCrea set inline

    Per aggiungere un set in linea, fare clic su Aggiungi (icona +).

    Add Inline SetAggiungi set inline

    • Impostare un nome per il set in linea.
    • Impostare l'MTU desiderata (facoltativo). Il valore predefinito è 1500, che è l'MTU minima supportata.
    • Nella sezione Coppie interfacce, selezionare le interfacce. Se sono necessarie più coppie, fare clic su Aggiungi un altro collegamento di coppia.

    Interface PairsCoppie di interfacce

    • Per configurare le impostazioni avanzate per il set in linea, passare alla scheda Avanzate.

    Advanced SettingsImpostazioni avanzate

    • Selezionare la Modalità come Inline. Se la modalità maschiatura è attivata, l'opzione Snort Fail Open è disattivata.

    Mode InlineModalità in linea

    • Snort Fail Open consente il passaggio di traffico nuovo ed esistente senza ispezione (abilitata) o perdita (disabilitata) quando il processo Snort è occupato o inattivo.
    • Selezionare le impostazioni Snort Fail Open desiderate.
    • È possibile impostare le opzioni Occupato e Giù su Nessuno, Uno o entrambi.

    Snort Fail OpenSnort Fail Open

    • L'opzione Propaga stato collegamento riduce automaticamente la seconda interfaccia nella coppia inline quando una delle interfacce diventa inattiva. Quando l'interfaccia di cui è stata eseguita la riattivazione è disponibile anche la seconda interfaccia.
    • Una volta impostati tutti gli elementi, fare clic su OK per salvare la configurazione.

    Propagate Link StatePropaga stato collegamento

    • Per aggiungere questo set in linea a un'area di sicurezza, selezionare Oggetti > Aree di sicurezza.
    • Fare clic su Add (Aggiungi) per creare una nuova area di sicurezza.

    Add Security ZoneAggiungi area di sicurezza

    • Impostare un Nome, selezionare la modalità come Inline e aggiungere le interfacce dell'Inline Set. Quindi fare clic su OK per salvare.

    Add InterfacesAggiungi interfacce

    • Passare alla scheda Distribuzione e distribuire le modifiche.

    Modifica o eliminazione di un set in linea


    Le azioni Modifica ed Elimina sono disponibili per i Set in linea.

    Actions of Inline SetAzioni di Inline Set

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    17-Jan-2025
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Sakthivel Thirupathy
      Tecnico di consulenza

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti