Flexconfig를 사용하여 NetFlow 컨피그레이션 제거 또는 수정
소개
이 문서에서는 Firepower을 통해 FTD(Firepower Threat Defense)에서 NetFlow 컨피그레이션을 제거하거나 수정하는 방법에 대해 설명합니다 관리 센터(FMC).
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- FMC 지식
- FTD 지식
- FlexConfig 정책에 대한 지식
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
- FTD 버전 7.4 미만
- FMC 버전 7.4 미만
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
참고: Firepower 버전 7.2.x에 대한 중요 참고 사항: NetFlow를 구성할 때 Flex 객체가 재정렬되어 클래스 맵이 구성되지 않아 구축이 실패하는 알려진 Cisco 버그 ID CSCwh29167이 있습니다. 이 문제를 해결하려면 Cisco 버그 ID CSCwf99848(Cisco 버그 ID CSCwh29167의 중복)에 설명된 해결 방법을 구현하십시오.
초기 컨피그레이션
access-list flow_export_acl extended permit ip any any
!
class-map flow_export_class
match access-list flow_export_acl
!
policy-map global_policy
class flow_export_class
flow-export event-type flow-create destination 192.168.1.5
flow-export event-type flow-denied destination 192.168.1.5
flow-export event-type flow-teardown destination 192.168.1.5
flow-export event-type flow-update destination 192.168.1.5
!
flow-export destination Inside 192.168.1.5 2055
이러한 초기 컨피그레이션을 구성하는 데 사용되는 flex 컨피그레이션 객체는 다음과 같습니다.
1. Netflow 대상 텍스트 개체
Netflow 대상 텍스트 개체
2. 이름이 flow_export_acl인 확장 ACL
플로우 내보내기 ACL
- 흐름 내보내기 대상으로 이 클래스 맵을 적용하는 데 사용되는 클래스 맵 및 서비스 정책
클래스 맵 및 서비스 정책
4. 플로우 내보내기 대상
흐름 내보내기 대상
5. 그런 다음 flex config 정책에 다음 두 개체를 추가하고 배포했습니다.
FlexConfig 정책
NetFlow 컨피그레이션 제거
1단계: Flex 정책에서 Flex 객체를 삭제합니다.
기존 flexconfig 삭제
2단계: 정책을 구축합니다. 명령줄에서 제거된 컨피그레이션은 다음과 같습니다.
access-list flow_export_acl extended permit ip any any
!
class-map flow_export_class
match access-list flow_export_acl
!
policy-map global_policy
class flow_export_class
flow-export event-type flow-create destination 192.168.1.5
flow-export event-type flow-denied destination 192.168.1.5
flow-export event-type flow-teardown destination 192.168.1.5
flow-export event-type flow-update destination 192.168.1.5
반면, 제거되지 않은 컨피그레이션은 다음과 같습니다.
flow-export destination Inside 192.168.1.5 2055
3단계: 이를 제거하려면 유형이 'prepend'인 flex 객체를 만들고 컨피그레이션을 추가해야 합니다.
no flow-export destination Inside 192.168.1.5 2055
Flex 구성 대상 삭제
4단계: Flex Policy(플렉스 정책)에서 3단계에서 새로 생성한 접두사 객체를 호출하고 정책을 구축합니다.
Flex 구성 정책에 이 추가
5단계: Flex 정책에서 해당 접두사 객체를 삭제하고 다시 구축합니다.
앞에 오는 개체 삭제
이제 모든 흐름 내보내기 관련 컨피그레이션이 제거됩니다.
기존 NetFlow 컨피그레이션 수정
1단계: Netflow 대상에 대해 생성된 텍스트 객체를 편집합니다. 필요한 매개변수 IP, 인터페이스 이름 또는 포트를 변경합니다.
예: IP 및 포트를 (192.168.1.5, 2055)에서 (192.168.1.78, 2056)으로 변경했습니다.
Netflow 대상 텍스트 개체
2단계: 정책을 구축합니다. 변경 사항이 예상대로 반영되지만 이전 Netflow 대상 컨피그레이션과 함께 반영됩니다.
access-list flow_export_acl extended permit ip any any
!
class-map flow_export_class
match access-list flow_export_acl
!
policy-map global_policy
class flow_export_class
flow-export event-type flow-create destination 192.168.1.78
flow-export event-type flow-denied destination 192.168.1.78
flow-export event-type flow-teardown destination 192.168.1.78
flow-export event-type flow-update destination 192.168.1.78
!
flow-export destination Inside 192.168.1.78 2056
flow-export destination Inside 192.168.1.5 2055
3단계: 이를 제거하려면 유형이 'prepend'인 Flex 객체를 만들고 컨피그레이션을 추가해야 합니다.
no flow-export destination Inside 192.168.1.5 2055
Netflow 대상 삭제
4단계: Flex Policy(플렉스 정책)에서 3단계에서 새로 생성한 접두사 객체를 호출하고 정책을 구축합니다.
Prepend Flex 구성에 추가
5단계: Flex 정책에서 해당 접두사 객체를 삭제하고 다시 구축합니다.
Prepend FlexConfig 삭제
NetFlow 관련 구성을 수정했습니다.
access-list flow_export_acl extended permit ip any any
!
flow-export destination Inside 192.168.1.78 2056
!
class-map flow_export_class
match access-list flow_export_acl
!
policy-map global_policy
class flow_export_class
flow-export event-type flow-create destination 192.168.1.78
flow-export event-type flow-denied destination 192.168.1.78
flow-export event-type flow-teardown destination 192.168.1.78
flow-export event-type flow-update destination 192.168.1.78
관련 문서
개정 이력
| 개정 | 게시 날짜 | 의견 |
|---|---|---|
1.0 |
03-Oct-2024 |
최초 릴리스 |
피드백