소개
이 문서에서는 NetFlow 및 기타 기능이 인라인 쌍으로 투명 모드에서 FTD(Firepower Threat Defense)에서 작동하지 않는 이유와 이 문제를 해결하는 방법에 대해 설명하고 이를 이해하도록 도와줍니다.
기고자: Christian G. Herndez R., Cisco TAC 엔지니어
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
사용되는 구성 요소
이 문서의 정보는 아래 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
- Cisco FMC v6.3.0
- Cisco FTD v6.3.0
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 이해해야 합니다.
문제/장애:Transparent FTD가 인라인 쌍으로 작동하는지 확인하기 때문에 NetFlow 및 기타 기능이 지원되지 않습니다.
NetFlow가 Flex Config를 통해 시스템에 구성 및 구축되면 NetFlow는 구성된 컬렉터(flow-export 대상)에 대한 플로우를 생성하지 않습니다.
flow-export destination Management 10.1.2.3 2055
class-map inspection_default
match default-inspection-traffic
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
no tcp-inspection
policy-map type inspect ip-options UM_STATIC_IP_OPTIONS_MAP
parameters
eool action allow
nop action allow
router-alert action allow
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect rsh
inspect sqlnet
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect icmp
inspect icmp error
inspect ip-options UM_STATIC_IP_OPTIONS_MAP
class class-default
flow-export event-type flow-create destination 10.1.2.3
flow-export event-type flow-denied destination 10.1.2.3
flow-export event-type flow-teardown destination 10.1.2.3
flow-export event-type flow-update destination 10.1.2.3
!
service-policy global_policy global
아래 표와 같이 시스템이 인라인 쌍 모드로 설정된 경우 Lina Engine Checks가 특정 기능을 확인하기 때문에 FTD에서 이 동작이 예상된 것으로 확인됩니다.자세한 내용은 아래를 참조하십시오.
| FTD 인터페이스 모드 |
FTD 구축 모드 |
설명 |
트래픽 삭제 가능 |
| 라우팅됨 |
라우팅됨 |
완전한 LINA 엔진 및 Snort 엔진 검사 |
예 |
| 스위치드 |
투명 |
완전한 LINA 엔진 및 Snort 엔진 검사 |
예 |
| 인라인 쌍 |
라우팅 또는 투명 |
부분 LINA 엔진 및 전체 Snort 엔진 검사 |
예 |
| 탭과 인라인 쌍 |
라우팅 또는 투명 |
부분 LINA 엔진 및 전체 Snort 엔진 검사 |
아니요 |
| 수동 |
라우팅 또는 투명 |
부분 LINA 엔진 및 전체 Snort 엔진 검사 |
아니요 |
| 수동(ERSPAN) |
라우팅됨 |
부분 LINA 엔진 및 전체 Snort 엔진 검사 |
아니요 |
https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/200924-configuring-firepower-threat-defense-int.html
NetFlow는 FTD가 인라인 쌍 모드에서 작동할 때 지원되지 않는 것으로 확인된 기능입니다.
참고:FTD에서 지원하지 않는 특정 기능은 인라인 쌍 모드에서 작동할 때 현재 알 수 없습니다. 따라서 Cisco Firepower 엔지니어링 팀에 이 모드에서 지원되지 않는 알려진 기능을 확인하도록 Cisco Firepower 엔지니어링 팀에 요청하기 위해 개선 요청이 열렸습니다. CSCvo55596 DOC:인라인 집합에서 FTD가 지원되거나 지원되지 않는 기능을 설명하는 FMC 제한 섹션입니다.
해결 방법
이 문서에 설정이 지정되어 있고 NetFlow가 필요한 경우, 알려진 유일한 해결 방법은 FTD를 투명 모드로 전환하고 대신 BVI(Bridge Virtual Interface) 인터페이스를 설정하는 것입니다.이 해결 방법은 인라인 쌍 모드 구축을 위한 NetFlow 기능 기능을 포함하도록 열린 ENH를 기반으로 합니다.
CSCvo55574
ENH:FTD는 인라인 쌍 모드에서 구성된 동안 netflow 데이터를 수집할 수 없습니다.
관련 버그
CSCvo55574 ENH:FTD는 인라인 쌍 모드에서 구성된 동안 netflow 데이터를 수집할 수 없습니다.
CSCvo55585 문서:인라인 쌍 모드에서 구성할 경우 netflow 지원을 위한 FMC 제한 섹션입니다.
CSCvo55596 문서:인라인 집합에서 FTD가 지원되거나 지원되지 않는 기능을 설명하는 FMC 제한 섹션입니다.
피드백