FDM-interfaces in inline-paarmodus configureren

Downloadopties

  • PDF     (3.2 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (3.1 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.0 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:17 januari 2025
Document-id:222704

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft de Inline Sets voor FDM die is toegevoegd in Cisco Secure Firewall 7.4.1.

    Voorwaarden

    Vereisten

    Cisco raadt u aan kennis van deze onderwerpen te hebben:

    • FDM-concepten en -configuratie
    • Is van toepassing op FTD's op de 1000, 2100 en 3100 Series platforms die worden beheerd door FDM

    Gebruikte componenten

    De informatie in dit document is gebaseerd op FDM 7.4.2.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    Een inline set biedt een interface die alleen IPS bevat. U kunt IPS-only interfaces implementeren als u een afzonderlijke firewall hebt die deze interfaces beschermt en de overhead van firewallfuncties niet wilt.

    Een inline set werkt als een bult op de draad en bindt twee interfaces samen om in een bestaand netwerk te goten. Met deze functie kan het apparaat worden geïnstalleerd in een netwerkomgeving zonder configuratie van aangrenzende netwerkapparaten. Inline interfaces ontvangen al het verkeer onvoorwaardelijk, maar al het verkeer dat op deze interfaces wordt ontvangen, wordt opnieuw verzonden vanuit een inline set, tenzij dit expliciet wordt geannuleerd.

    Richtlijnen en beperkingen

    • U kunt alleen inline-sets op deze apparaatmodellen configureren: Firepower 1000 Series, Firepower 2100, Secure Firewall 3100.

    • Interfacetypen toegestaan in een inline set: fysiek, EtherChannel.

    • U kunt de beheerinterface niet in een inline-verzameling opnemen.

    • U kunt de eigenschappen van de interfaces niet wijzigen die in een inline set worden gebruikt: naam, modus, interface-ID, MTU, IP-adres.

    • Als u de tapmodus inschakelt, wordt de optie Openen bij mislukken gesynchroniseerd uitgeschakeld.

    • BFD-echopakketten (Bidirectional Forwarding Detection) zijn niet toegestaan via het apparaat bij gebruik van inline sets. Als er twee buren aan beide kanten van het apparaat zijn die BFD in werking stellen, dan laat het apparaat BFD echopakketten vallen omdat zij de zelfde bron en bestemming IP adres hebben en schijnen om deel van een aanval van HET LAND te zijn.

    • Voor inline sets en passieve interfaces ondersteunt het apparaat maximaal twee 802.1Q-headers in een pakket (ook bekend als Q-in-Q ondersteuning).

      Opmerking: Firewall-type interfaces ondersteunen geen Q-in-Q, en ondersteunen slechts één 802.1Q header.

    • Interfaces in een inline set ondersteunen geen routing, NAT, DHCP (server, client of relay), VPN, TCP-onderschepping, toepassingsinspectie of NetFlow.

    Voordat u begint

    • Aanbevolen wordt om STP PortFast in te stellen voor STP-enabled switches die verbinding maken met de inline paarinterfaces van de bedreigingsverdediging.

    • Configureer de fysieke of EtherChannel-interfaces die lid kunnen zijn van de inline set. U kunt deze waarden alleen configureren: Naam, duplex, snelheid en Routed mode (selecteer geen passieve modus). Configureer geen typen adressering, d.w.z. handmatige IP-adressen, DHCP of PoE.


    Details inline-modus

    • Deze eigenschap staat u toe om Inline reeksen te gebruiken. Dit maakt verkeersinspectie zonder IP-toewijzing mogelijk.
    • De inline modus is beschikbaar voor fysieke interfaces, EtherChannel en security zones. 
    • De inline modus wordt automatisch ingesteld voor interfaces en EtherChannel wanneer deze in een inline paar worden gebruikt.
    • De inline modus voorkomt dat er wijzigingen worden aangebracht op de betrokken interfaces en EtherChannel totdat deze worden verwijderd uit het inline paar. 
    • Interfaces die in de inline modus staan, kunnen worden gekoppeld aan security zones die zijn ingesteld op de inline modus.

    Inline set-netwerkdiagram


    Verkeerstromen van Router1 naar Router2 door interfaces A en B die slechts een fysieke verbinding gebruiken.

    Network DiagramNetwerkdiagram

    Inline set configureren

    • Van het FDM dashboard, navigeer aan Interfaces kaart.

    Interfaces TabTabblad Interfaces

    • Klik op het pictogram Status van de interface om interfaces in te schakelen.

    Status IconStatuspictogram

    Enable InterfaceInterface inschakelen

    • Als u interfaces wilt bewerken, klikt u op het pictogram Bewerken (potlood) voor de interface.

    Edit InterfaceInterface bewerken

    • Voer de interfacenaam in en selecteer de modus zoals Routed. Configureer geen IP-adres.

    Edit Physical InterfaceInterface bewerken

    • Als u een inline set wilt maken, navigeer dan naar het tabblad Inline sets.

    Create Inline SetInline set maken

    Als u een inline set wilt toevoegen, klikt u op Toevoegen (+ pictogram).

    Add Inline SetInline set toevoegen

    • Stel een naam in voor de inline set.
    • Stel gewenste MTU in (optioneel) . De standaard is 1500, wat het minimum ondersteunde MTU is.
    • Selecteer in de sectie Interfaceparen de interfaces. Als er meer paren nodig zijn, klikt u op Een andere paarkoppeling toevoegen.

    Interface PairsInterfaceparen

    • Om de geavanceerde instellingen voor de Inline Set te configureren, navigeer je naar het tabblad Advanced.

    Advanced SettingsGeavanceerde instellingen

    • Selecteer de modus als inline. Als de tapmodus is ingeschakeld, wordt Snort Fail Open uitgeschakeld.

    Mode InlineModus inline

    • Snort Fail Open maakt het mogelijk dat nieuw en bestaand verkeer zonder inspectie (ingeschakeld) of neerzetten (uitgeschakeld) doorgaat wanneer het Snort-proces bezig of ingedrukt is.
    • Selecteer de gewenste instellingen voor snurken bij openen faalt.
    • Geen, één of beide van de opties Bezig en Omlaag kunnen worden ingesteld.

    Snort Fail OpenSnelfout bij openen

    • De optie Propagate Link State brengt automatisch de tweede interface in het inline paar omlaag wanneer een van de interfaces omlaag gaat. Wanneer de neergehaalde interface weer omhoog komt, komt de tweede interface ook automatisch terug omhoog.
    • Als alles is ingesteld, klikt u op OK om de configuratie op te slaan.

    Propagate Link StateVerspreid linkstatus

    • Als u deze inline set wilt toevoegen aan een beveiligingszone, navigeert u naar Objecten > Beveiligingszones.
    • Klik op Add om een nieuwe security zone te maken.

    Add Security ZoneSecurity zone toevoegen

    • Stel een naam in, selecteer de modus als Inline en voeg de interfaces van de Inline set toe. Klik vervolgens op OK om op te slaan.

    Add InterfacesInterfaces toevoegen

    • Navigeer naar het tabblad Implementatie en implementeer de wijzigingen.

    Een inline set wijzigen of verwijderen


    Bewerk en verwijder acties zijn beschikbaar voor de inline sets.

    Actions of Inline SetHandelingen van Inline Set

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    17-Jan-2025
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Sakthivel Thirupathy
      Technisch adviseur-engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten