Configurar Interfaces Geneve no FTDv Seguro

Atualizado:17 de outubro de 2023
ID do documento:221082

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve como configurar o encapsulamento Geneve para interfaces de dados FTDv no AWS.

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Implantação de configuração segura do Firepower Management Center
    • Secure Firepower Threat Defense Virtual implantada no AWS
    • Virtualização da instância AWS EC2.

    A configuração do encapsulamento Geneve para o Cisco Secure Firepower Threat Defense no AWS requer o FTD versão 7.1 ou posterior.

    Licença de Nível de Desempenho de FTDv20 ou superior também é necessária.

    Você pode configurar apenas uma interface de origem VTEP (Virtual Tunnel Endpoint) por dispositivo FTDv. O VTEP é definido como um Network Virtualization Endpoint (NVE); o encapsulamento Geneve para VTEP é o único NVE suportado nativamente no momento.

    Você pode consultar esta documentação para Implantar o Threat Defense Virtual no AWS

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • Secure Firepower Management Center - 7.3.0
    • Secure Firepower Threat Defense - 7.3.0
    • Instância AWS c5.2xlarge (4 núcleos/8 GB )
    • Licença de camada de desempenho - FTDv50

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Configurar

    Configurar Licença de Camada de Desempenho para FTDv

    Use um navegador compatível para acessar sua GUI do FMC:

    https://FMC_IP_Address

    Navegue até Devices > Device Management:

    Device ManagementGerenciamento de dispositivos

    Selecione o ícone de edição para o FTDv em questão:  EditEditar

    Clique na guia Device e edite a configuração no resumo da Licença:

    Device LicenseLicença do dispositivo

    Selecione o FTDv20 (Core 4 / 8 GB) ou superior na lista suspensa Performance Tier. Para este exemplo, a Licença de camada de desempenho FTDv50 é selecionada como mostrado nesta imagem:

    Choose Performance Tier License FTDv20 or GreaterEscolha a Licença de Nível de Desempenho FTDv20 ou Superior

    Em seguida, selecione Save e Deploy a configuração para FTDv.

    Configurar a interface de origem do VTEP

    Navegue até Devices > Device Management > Choose edit > VTEP e selecione Enable NVE:
    Enable VNEAtivar VNE

    Agora, você pode selecionar Add VTEP:

    Add VTEPAdicionar VTEP

    Insira o valor para a porta de encapsulamento no intervalo especificado.

    warning-icon

    Aviso: Não é recomendável alterar a porta Geneve; o AWS requer uma porta de 6081.

    Em seguida, você pode selecionar a interface de origem VTEP.

    Outside Interface as VTEP Source InterfaceInterface externa como interface de origem VTEP

    note-icon

    Observação: selecione na lista de interfaces físicas disponíveis presentes no dispositivo. Caso o Nome da interface não seja exibido na lista, você poderá validar se a interface desejada está Ativada e tem um Nome configurado.

    caution-icon

    Cuidado: o FMC eleva automaticamente o MTU para 1806 bytes da interface selecionada caso o MTU seja inferior a 1806 bytes.

    Em seguida, clique em OK.

    note-icon

    Nota: FMC mostra que o Jumbo Frame está ativado:

    Jumbo Frame ChangedQuadro jumbo alterado

    Selecione Ok e Salvar.

    Configurar a interface VNI

    Adicione uma interface Virtual Network Interface(VNI), associe-a à interface de origem VTEP e configure parâmetros básicos de interface.

    Navegue até a guia Interfaces e clique em Add Interfaces.

    Add InterfacesAdicionar interfaces

    Escolha VNI Interface.

    Add VNI InterfaceAdicionar interface VNI

    Especifique o Nome da interface, Descrição e ID do VNI (entre 1 e 10000).

    tip-icon

    Dica: este ID é apenas um identificador de interface interno.

    Marque Enable Proxy.

    Esta opção ativa o proxy de braço único e permite que o tráfego saia da mesma interface que ele entrou (tráfego em U).

    warning-icon

    Aviso: se você editar a interface posteriormente, não poderá desativar o proxy de braço único. Para fazer isso, você precisa excluir a interface existente e criar uma nova interface VNI. Esta opção só está disponível para um Geneve VTEP.

    Selecione NVE Mapped to VTEP Interface. Isso associa essa interface à interface de origem VTEP.

    Add NVI InterfaceAdicionar interface NVI

    Clique em OK e em Salvar.  Você pode ver que a interface VNI é criada conforme mostrado nesta imagem: 

    VNI Interface is CreatedA interface VNI é criada

    Por fim, Implante a configuração da interface.

    note-icon

    Observação: você pode configurar os parâmetros de interface roteada necessários para sua interface neste ponto. Endereço IP da interface, roteamento estático ou dinâmico para a interface VNI.

    Verificar

    Conecte-se ao FTDv via SSH ou console:

    > system support diagnostic-cli
    Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
    Type help or '?' for a list of available commands.

    admin> enable
    Password:
    admin#

    Revise os detalhes da interface e o resumo da interface VNI:

    admin# show ip
System IP Addresses:
Interface                Name                   IP address      Subnet mask     Method
Management0/0            diagnostic             10.0.0.61       255.255.255.0   DHCP
vni1                     VNI-Outside            1.2.3. 4         255.255.255.0   manual
Current IP Addresses:
Interface                Name                   IP address      Subnet mask     Method
Management0/0            diagnostic             10.0.0.61       255.255.255.0   DHCP
vni1                     VNI-Outside            1.2.3. 4         255.255.255.0   manual

    admin# show interface VNI summary
Interface vni1 "VNI-Outside", is up, line protocol is up
        VTEP-NVE 1
        Tag-switching: disabled
        MTU: 1500
        MAC: 0206.104e.ed0f
        proxy mode: single-arm
        IP address 1.2.3. 4, subnet mask 255.255.255.0
        Multicast group not configured

    Você pode confirmar se o encapsulamento de geração está ativado conforme mostrado na saída do comando: 

    admin# show running-config nve
nve 1
 encapsulation geneve
 source-interface Outside

    Troubleshooting

    Verifique se a interface VNI e o protocolo de interface de origem VTEP e o status estão up/up. Como mostrado a seguir, a interface TenGigabitEthernet0/0 e vni1 estão up/up: 

    # show interface ip brief
Interface                  IP-Address      OK? Method Status                Protocol
Internal-Control0/0        127.0.1.1       YES unset  up                    up
Internal-Control0/1        unassigned      YES unset  up                    up
Internal-Data0/0           unassigned      YES unset  down                  up
Internal-Data0/0           unassigned      YES unset  up                    up
Internal-Data0/1           169.254.1.1     YES unset  up                    up
Internal-Data0/2           unassigned      YES unset  up                    up
Management0/0              10.0.0.61       YES DHCP   up                    up
TenGigabitEthernet0/0 unassigned YES unset up up
TenGigabitEthernet0/1      unassigned      YES unset  up                    up
vni1 1.2.3. 4 YES manual up up

    Certifique-se de que a interface vni single-arm e a associação vtep estejam presentes como mostrado nesta saída:

    # show run interface vni 1
!
interface vni1
 proxy single-arm
 nameif VNI-Outside
 security-level 0
 ip address 1.2.3. 4 255.255.255.0
 vtep-nve 1

    Revise os contadores de interface para a interface VNI:

    # show interface VNI detail

    Consulte o Guia de configuração do Firepower Management Center para obter informações adicionais.

    Histórico de revisões

    Revisão Data de publicação Comentários
    2.0
    17-Oct-2023
    Título alterado para: Configurar Interfaces Geneve no FTDv Seguro
    1.0
    11-Oct-2023
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Jesus Cabrera Medina
      Engenheiro de consultoria técnica

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos