보안 FTDv에서 일반 인터페이스 구성
소개
이 문서에서는 AWS에서 FTDv 데이터 인터페이스에 대해 Geneve 캡슐화를 구성하는 방법에 대해 설명합니다.
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- 보안 Firepower 관리 센터 구성 배포
- AWS에 배포된 보안 Firepower 위협 방어 가상
- AWS 인스턴스 EC2 가상화.
AWS에서 Cisco Secure Firepower Threat Defense를 위한 Geneve 캡슐화를 구성하려면 FTD 버전 7.1 이상이 필요합니다.
FTDv20 이상의 성능 계층 라이센스도 필요합니다.
FTDv 디바이스당 하나의 VTEP(Virtual Tunnel Endpoint) 소스 인터페이스만 구성할 수 있습니다. VTEP는 NVE(Network Virtualization Endpoint)로 정의되며, VTEP에 대한 Geneve 캡슐화는 현재 기본적으로 지원되는 유일한 NVE입니다.
이 설명서를 참조하여 AWS에 Threat Defense Virtual을 구축할 수 있습니다.
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
- Secure Firepower Management Center - 7.3.0
- 보안 Firepower 위협 방어 - 7.3.0
- AWS c5.2xlarge(4코어/8GB) 인스턴스
- 성능 계층 라이센스 - FTDv50
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
구성
FTDv용 성능 계층 라이센스 구성
지원되는 브라우저를 사용하여 FMC GUI에 액세스합니다.
https://FMC_IP_AddressDevices(디바이스) > Device Management(디바이스 관리)로 이동합니다.
장치 관리
문제의 FTDv에 대한 수정 아이콘을 선택합니다. 
편집
Device(디바이스) 탭을 클릭한 다음 License(라이센스) 요약에서 컨피그레이션을 수정합니다.
디바이스 라이센스
Performance Tier 드롭다운 목록에서 FTDv20(Core 4/8GB) 이상을 선택합니다. 이 예에서는 다음 이미지에 표시된 대로 FTDv50 성능 계층 라이센스가 선택됩니다.
Performance Tier License FTDv20 이상 선택
그런 다음 Save(저장)를 선택하고 FTDv에 컨피그레이션을 구축합니다.
VTEP 소스 인터페이스 구성
Devices(디바이스) > Device Management(디바이스 관리) > Choose edit(편집) > VTEP(VTEP)로 이동하고 Enable NVE(NVE 활성화)를 선택합니다.
VNE 사용
이제 Add VTEP(VTEP 추가)를 선택할 수 있습니다.
VTEP 추가
지정된 범위 내에서 캡슐화 포트 값을 입력합니다.
경고: Geneve 포트를 변경하는 것은 권장되지 않습니다. AWS에는 6081의 포트가 필요합니다.
그런 다음 VTEP 소스 인터페이스를 선택할 수 있습니다.
VTEP 소스 인터페이스로서의 외부 인터페이스
참고: 디바이스에 있는 사용 가능한 물리적 인터페이스 목록에서 선택합니다. 인터페이스 이름이 목록에 표시되지 않는 경우 원하는 인터페이스가 Enabled(활성화됨)이고 Name(이름)이 구성되어 있는지 여부를 확인할 수 있습니다.
주의: MTU가 1806바이트보다 작은 경우 FMC는 자동으로 MTU를 선택한 인터페이스의 1806바이트로 올립니다.
그런 다음 확인을 클릭합니다.
참고: FMC에서는 점보 프레임이 활성화되어 있음을 보여줍니다.
점보 프레임 변경됨
확인 및 저장을 선택합니다.
VNI 인터페이스 구성
VNI(Virtual Network Interface) 인터페이스를 추가하고, 이를 VTEP 소스 인터페이스와 연결하고, 기본 인터페이스 매개변수를 구성합니다.
Interfaces(인터페이스) 탭으로 이동하고 Add Interfaces(인터페이스 추가)를 클릭합니다.
인터페이스 추가
VNI Interface를 선택합니다.
VNI 인터페이스 추가
인터페이스 Name, Description, VNI ID(1~10000)를 지정합니다.
팁: 이 ID는 내부 인터페이스 식별자일 뿐입니다.
Enable Proxy(프록시 활성화)를 선택합니다.
이 옵션은 단일 암 프록시를 활성화하고 트래픽이 입력한 것과 동일한 인터페이스(U-turn 트래픽)를 종료할 수 있도록 합니다.
경고: 나중에 인터페이스를 수정할 경우 단일 암 프록시를 비활성화할 수 없습니다. 이를 위해서는 기존 인터페이스를 삭제하고 새로운 VNI 인터페이스를 생성해야 한다. 이 옵션은 Geneve VTEP에만 사용할 수 있습니다.
VTEP 인터페이스에 매핑된 NVE를 선택합니다. 이렇게 하면 이 인터페이스가 VTEP 소스 인터페이스와 연결됩니다.
NVI 인터페이스 추가
OK(확인) 및 Save(저장)를 클릭합니다. 이 이미지에 표시된 대로 VNI 인터페이스가 생성된 것을 확인할 수 있습니다.
VNI 인터페이스가 생성됨
마지막으로 인터페이스 컨피그레이션을 구축합니다.
참고: 이 시점에서 인터페이스에 필요한 라우티드 인터페이스 매개변수를 구성할 수 있습니다. 인터페이스 IP 주소, VNI 인터페이스에 대한 정적 또는 동적 라우팅.
다음을 확인합니다.
SSH 또는 콘솔을 통해 FTDv에 연결:
> system support diagnostic-cli
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
admin> enable
Password:
admin#
인터페이스 세부사항 및 VNI 인터페이스 요약을 검토합니다.
admin# show ip System IP Addresses: Interface Name IP address Subnet mask Method Management0/0 diagnostic 10.0.0.61 255.255.255.0 DHCP vni1 VNI-Outside 1.2.3. 4 255.255.255.0 manual Current IP Addresses: Interface Name IP address Subnet mask Method Management0/0 diagnostic 10.0.0.61 255.255.255.0 DHCP vni1 VNI-Outside 1.2.3. 4 255.255.255.0 manualadmin# show interface VNI summary Interface vni1 "VNI-Outside", is up, line protocol is up VTEP-NVE 1 Tag-switching: disabled MTU: 1500 MAC: 0206.104e.ed0f proxy mode: single-arm IP address 1.2.3. 4, subnet mask 255.255.255.0 Multicast group not configured
이 명령 출력에 표시된 대로 일반 캡슐화가 활성화되었는지 확인할 수 있습니다.
admin# show running-config nve
nve 1
encapsulation geneve
source-interface Outside문제 해결
VNI 인터페이스와 VTEP 소스 인터페이스 프로토콜 및 상태가 모두 up/up인지 확인합니다. 다음 그림과 같이, TenGigabitEthernet0/0 및 vni1 작동/작동 중:
# show interface ip brief
Interface IP-Address OK? Method Status Protocol
Internal-Control0/0 127.0.1.1 YES unset up up
Internal-Control0/1 unassigned YES unset up up
Internal-Data0/0 unassigned YES unset down up
Internal-Data0/0 unassigned YES unset up up
Internal-Data0/1 169.254.1.1 YES unset up up
Internal-Data0/2 unassigned YES unset up up
Management0/0 10.0.0.61 YES DHCP up up
TenGigabitEthernet0/0 unassigned YES unset up up
TenGigabitEthernet0/1 unassigned YES unset up up
vni1 1.2.3. 4 YES manual up up이 출력에 표시된 대로 vni 인터페이스 단일 암(single-arm) 및 vtep 연결이 있는지 확인합니다.
# show run interface vni 1
!
interface vni1
proxy single-arm
nameif VNI-Outside
security-level 0
ip address 1.2.3. 4 255.255.255.0
vtep-nve 1VNI 인터페이스에 대한 인터페이스 카운터를 검토합니다.
# show interface VNI detail
자세한 내용은 Firepower Management Center 컨피그레이션 가이드를 참조하십시오.
개정 이력
| 개정 | 게시 날짜 | 의견 |
|---|---|---|
2.0 |
17-Oct-2023 |
제목 변경: Secure FTDv에서 Geneve 인터페이스 구성 |
1.0 |
11-Oct-2023 |
최초 릴리스 |
피드백