Geneve-interfaces in beveiligde FTDv configureren

Bijgewerkt:17 oktober 2023

Document-id:221082

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inhoud

Inleiding

Voorwaarden

Vereisten

Gebruikte componenten

Configureren

Licentie voor prestatielaag voor FTDv configureren

De VTEP-broninterface configureren

De VNI-interface configureren

Verifiëren

Problemen oplossen

Inleiding

Dit document beschrijft hoe de Geneve-insluiting voor FTDv-gegevensinterfaces in AWS moet worden geconfigureerd.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

Configuratie-implementatie van Secure Firepower Management Center
Secure Firepower Threat Defense virtueel geïmplementeerd in AWS
AWS voorbeeld EC2 virtualisatie.

Voor het configureren van Geneve Encapsulation voor Cisco Secure Firepower Threat Defense in AWS is FTD versie 7.1 of hoger vereist.

Er is ook een Performance Tier License van FTDv20 of hoger vereist.

U kunt slechts één VTEP-broninterface (Virtual Tunnel Endpoint) per FTDv-apparaat configureren. VTEP is gedefinieerd als een Network Virtualization Endpoint (NVE); Geneve Encapsulation for VTEP is op dat moment de enige native ondersteunde NVE.

U kunt naar deze documentatie verwijzen om Threat Defense Virtual op te zetten op AWS.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

Secure Firepower Management Center - 7.3.0
Secure Firepower Threat Defense - 7.3.0
AWS c5.2xlarge (4 core/8 GB), instantie
Prestatielaag licentie - FTDv50

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Configureren

Licentie voor prestatielaag voor FTDv configureren

Gebruik een ondersteunde browser om toegang te krijgen tot uw FMC GUI:

https://FMC_IP_Address

Navigeren naar Apparaten > Apparaatbeheer:

Device Management Apparaatbeheer

Selecteer het bewerkingspictogram voor de betreffende FTDv: Edit Bewerken

Klik op het tabblad Apparaat en bewerk vervolgens de configuratie in het overzicht van de licentie:

Device License Apparaatlicentie

Selecteer de FTDv20 (Core 4 / 8 GB) of hoger uit de vervolgkeuzelijst Prestatieniveau. In dit voorbeeld is FTDv50 Performance Tier License geselecteerd zoals in deze afbeelding:

Choose Performance Tier License FTDv20 or Greater Kies voor Performance Tier License FTDv20 of hoger

Selecteer vervolgens Opslaan en implementatie van de configuratie in FTDv.

De VTEP-broninterface configureren

Navigeer naar Apparaten > Apparaatbeheer > Kies bewerken > VTEP en selecteer NVE inschakelen:
Enable VNE VNE inschakelen

U kunt nu VTEP toevoegen selecteren:

Add VTEP VTEP toevoegen

Voer de waarde in voor de insluitingspoort binnen het opgegeven bereik.

Waarschuwing: u kunt de Genève-poort niet wijzigen; voor AWS is een poort 6081 vereist.

Vervolgens kunt u de VTEP Source Interface selecteren.

Outside Interface as VTEP Source Interface Externe interface als VTEP-broninterface

Opmerking: Selecteer uit de lijst met beschikbare fysieke interfaces op het apparaat. Als de interfacenaam niet in de lijst wordt weergegeven, kunt u valideren of de gewenste interface Ingeschakeld is en een naam geconfigureerd heeft.

Waarschuwing: FMC verhoogt de MTU automatisch tot 1806 bytes van de geselecteerde interface voor het geval dat MTU minder is dan 1806 bytes.

Klik vervolgens op OK.

Opmerking: FMC toont dat Jumbo Frame is ingeschakeld:

Jumbo Frame Changed Jumboframe gewijzigd

Selecteer OK en Opslaan.

De VNI-interface configureren

Voeg een Virtual Network Interface (VNI)-interface toe, koppel deze aan de VTEP-broninterface en configureer basisinterfaceparameters.

Navigeer naar het tabblad Interfaces en klik op Interfaces toevoegen.

Add Interfaces Interfaces toevoegen

Kies VNI-interface.

Add VNI Interface VNI-interface toevoegen

Specificeer de interface Naam, Beschrijving, en VNI ID (tussen 1 en 10000).

Tip: Deze ID is slechts een interne interface-ID.

Controleer Proxy inschakelen.

Deze optie maakt proxy met één arm mogelijk en laat verkeer toe om dezelfde interface te verlaten die het invoerde (U-turn verkeer).

Waarschuwing: als u de interface later bewerkt, kunt u proxy met één arm niet uitschakelen. Om dat te doen, moet u de bestaande interface verwijderen en een nieuwe VNI-interface maken. Deze optie is alleen beschikbaar voor een Geneve VTEP.

Selecteer NVE toegewezen aan VTEP Interface. Dit associeert deze interface met de VTEP-broninterface.

Add NVI Interface NVI-interface toevoegen

Klik op OK en Sla op. U kunt zien dat de VNI-interface is gemaakt zoals in deze afbeelding:

VNI Interface is Created De VNI-interface wordt gemaakt

Stel tot slot de interfaceconfiguratie in.

Opmerking: u kunt de routed interface-parameters die vereist zijn voor uw interface op dit punt configureren. IP-adres van interface, statische of dynamische routing voor VNI-interface.

Verifiëren

Verbinding maken met FTDv via SSH of console:

> system support diagnostic-cli
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.

admin> enable
Password:
admin#

Bekijk de interfacegegevens en de samenvatting van de VNI-interface:

admin# show ip
System IP Addresses:
Interface                Name                   IP address      Subnet mask     Method
Management0/0            diagnostic             10.0.0.61       255.255.255.0   DHCP
vni1                     VNI-Outside            1.2.3. 4         255.255.255.0   manual
Current IP Addresses:
Interface                Name                   IP address      Subnet mask     Method
Management0/0            diagnostic             10.0.0.61       255.255.255.0   DHCP
vni1                     VNI-Outside            1.2.3. 4         255.255.255.0   manual

admin# show interface VNI summary
Interface vni1 "VNI-Outside", is up, line protocol is up
        VTEP-NVE 1
        Tag-switching: disabled
        MTU: 1500
        MAC: 0206.104e.ed0f
        proxy mode: single-arm
        IP address 1.2.3. 4, subnet mask 255.255.255.0
        Multicast group not configured

U kunt bevestigen dat geneve-insluiting is ingeschakeld zoals in deze opdrachtoutput:

admin# show running-config nve
nve 1
 encapsulation geneve
 source-interface Outside

Problemen oplossen

Controleer of zowel de VNI-interface als het VTEP-broninterfaceprotocol en de status omhoog/omhoog staan. Zoals hieronder getoond, interface TenGigabitEthernet0/0 en vni1 omhoog/omhoog zijn:

# show interface ip brief
Interface                  IP-Address      OK? Method Status                Protocol
Internal-Control0/0        127.0.1.1       YES unset  up                    up
Internal-Control0/1        unassigned      YES unset  up                    up
Internal-Data0/0           unassigned      YES unset  down                  up
Internal-Data0/0           unassigned      YES unset  up                    up
Internal-Data0/1           169.254.1.1     YES unset  up                    up
Internal-Data0/2           unassigned      YES unset  up                    up
Management0/0              10.0.0.61       YES DHCP   up                    up
TenGigabitEthernet0/0 unassigned YES unset up up
TenGigabitEthernet0/1      unassigned      YES unset  up                    up
vni1 1.2.3. 4 YES manual up up

Zorg ervoor dat de vni interface single-arm en vtep associatie aanwezig zijn zoals in deze uitvoer wordt getoond:

# show run interface vni 1
!
interface vni1
 proxy single-arm
 nameif VNI-Outside
 security-level 0
 ip address 1.2.3. 4 255.255.255.0
 vtep-nve 1

Beoordeel interfacetellers voor VNI-interface:

# show interface VNI detail

Raadpleeg de configuratiehandleiding van Firepower Management Center voor meer informatie.

Revisiegeschiedenis

Revisie	Publicatiedatum	Opmerkingen
2.0	17-Oct-2023	Veranderde titel naar: Geneve-interfaces configureren in beveiligde FTDv
1.0	11-Oct-2023	Eerste vrijgave

Bijgedragen door Cisco-engineers

Jesus Cabrera Medina
Technisch adviseur-engineer

Geneve-interfaces in beveiligde FTDv configureren

Inclusief taalgebruik

Over deze vertaling

Inhoud

Inleiding

Voorwaarden

Vereisten

Gebruikte componenten

Configureren

Licentie voor prestatielaag voor FTDv configureren

De VTEP-broninterface configureren

De VNI-interface configureren

Verifiëren

Problemen oplossen

Revisiegeschiedenis

Bijgedragen door Cisco-engineers

Was dit document nuttig?

Contact Cisco

Dit document is van toepassing op deze producten