Secure FTDvでのGeneveインターフェイスの設定

はじめに

このドキュメントでは、AWSでFTDvデータインターフェイスのGeneveカプセル化を設定する方法について説明します。

前提条件

要件

次の項目に関する知識があることが推奨されます。

• セキュアなFirepower管理センターの設定の導入
• AWSにデプロイされた安全なFirepower脅威対策の仮想
• AWSインスタンスEC2仮想化。

AWSでCisco Secure Firepower Threat DefenseのGeneveカプセル化を設定するには、FTDバージョン7.1以降が必要です。

FTDv20以上のPerformance Tierライセンスも必要です。

FTDvデバイスごとに設定できる仮想トンネルエンドポイント(VTEP)送信元インターフェイスは1つだけです。VTEPはNetwork Virtualization Endpoint(NVE)として定義されています。VTEPのGeneveカプセル化は、現時点で唯一ネイティブにサポートされているNVEです。

このドキュメントを参照して、Deploy the Threat Defense Virtual on AWSを実行できます。 

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• セキュアFirepower管理センター – 7.3.0
• セキュアFirepower脅威対策 – 7.3.0
• AWS c5.2xlarge （4コア/8 GB ）インスタンス
• パフォーマンス階層ライセンス：FTDv50

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

設定

FTDv用のPerformance Tierライセンスの設定

サポートされているブラウザを使用してFMC GUIにアクセスします。

https://FMC_IP_Address

Devices > Device Managementの順に移動します。

デバイス管理

問題のFTDvの編集アイコンを選択します。  編集

Deviceタブをクリックし、Licenseの要約で設定を編集します。

デバイスライセンス

Performance Tierドロップダウンリストから、FTDv20(Core 4 / 8 GB)以上を選択します。この例では、次の図に示すように、FTDv50パフォーマンス層ライセンスが選択されています。

Performance Tier License FTDv20以上を選択します。

次に、Saveを選択し、FTDvに設定をDeployします。

VTEP送信元インターフェイスの設定

Devices > Device Management > Choose edit > VTEPの順に移動し、Enable NVEを選択します。
VNEの有効化

ここで、Add VTEPを選択できます。

VTEPの追加

指定した範囲内のカプセル化ポートの値を入力します。

次に、VTEP送信元インターフェイスを選択できます。

VTEP送信元インターフェイスとしての外部インターフェイス

次に、OKをクリックします。

ジャンボフレームが変更されました

OKを選択し、Saveを選択します。

VNIインターフェイスの設定

仮想ネットワークインターフェイス(VNI)インターフェイスを追加し、VTEP送信元インターフェイスに関連付け、基本的なインターフェイスパラメータを設定します。

Interfacesタブに移動し、Add Interfacesをクリックします。

インターフェイスの追加

VNI Interfaceを選択します。

VNIインターフェイスの追加

インターフェイスName、Description、およびVNI ID(1 ～ 10000)を指定します。

Enable Proxyにチェックマークを付けます。

このオプションを使用すると、シングルアームプロキシが有効になり、トラフィックは入力したインターフェイスから出ることができます（Uターンのトラフィック）。

NVE Mapped to VTEP Interfaceを選択します。これにより、このインターフェイスがVTEP送信元インターフェイスに関連付けられます。

NVIインターフェイスの追加

OK、Saveの順にクリックします。  次の図に示すように、VNIインターフェイスが作成されます。 

VNIインターフェイスの作成

最後に、インターフェイス設定を展開します。

確認

SSHまたはコンソールを介してFTDvに接続します。

> system support diagnostic-cli
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.

admin> enable
Password:
admin#

インターフェイスの詳細とVNIインターフェイスの概要を確認します。

admin# show ip
System IP Addresses:
Interface                Name                   IP address      Subnet mask     Method
Management0/0            diagnostic             10.0.0.61       255.255.255.0   DHCP
vni1                     VNI-Outside            1.2.3. 4         255.255.255.0   manual
Current IP Addresses:
Interface                Name                   IP address      Subnet mask     Method
Management0/0            diagnostic             10.0.0.61       255.255.255.0   DHCP
vni1                     VNI-Outside            1.2.3. 4         255.255.255.0   manual

admin# show interface VNI summary
Interface vni1 "VNI-Outside", is up, line protocol is up
        VTEP-NVE 1
        Tag-switching: disabled
        MTU: 1500
        MAC: 0206.104e.ed0f
        proxy mode: single-arm
        IP address 1.2.3. 4, subnet mask 255.255.255.0
        Multicast group not configured

次のコマンド出力に示すように、geneveカプセル化が有効になっていることを確認できます。 

admin# show running-config nve
nve 1
 encapsulation geneve
 source-interface Outside

トラブルシュート

VNIインターフェイスとVTEP送信元インターフェイスプロトコルの両方とステータスがup/upであることを確認します。次に示すように、 TenGigabitEthernet0/0 と vni1 アップ/アップ：

# show interface ip brief
Interface                  IP-Address      OK? Method Status                Protocol
Internal-Control0/0        127.0.1.1       YES unset  up                    up
Internal-Control0/1        unassigned      YES unset  up                    up
Internal-Data0/0           unassigned      YES unset  down                  up
Internal-Data0/0           unassigned      YES unset  up                    up
Internal-Data0/1           169.254.1.1     YES unset  up                    up
Internal-Data0/2           unassigned      YES unset  up                    up
Management0/0              10.0.0.61       YES DHCP   up                    up
TenGigabitEthernet0/0 unassigned YES unset up up
TenGigabitEthernet0/1      unassigned      YES unset  up                    up
vni1 1.2.3. 4 YES manual up up

次の出力に示すように、vniインターフェイスシングルアームとvtepアソシエーションが存在することを確認します。

# show run interface vni 1
!
interface vni1
 proxy single-arm
 nameif VNI-Outside
 security-level 0
 ip address 1.2.3. 4 255.255.255.0
 vtep-nve 1

VNIインターフェイスのインターフェイスカウンタを確認します。

# show interface VNI detail

詳細については、『Firepower Management Centerコンフィギュレーションガイド』を参照してください。