Configurar Interfaces do FDM no Modo de Par Embutido

Opções de download

  • PDF     (3.2 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (3.1 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.0 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:17 de janeiro de 2025
ID do documento:222704

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve os Conjuntos Embutidos para FDM adicionados ao Cisco Secure Firewall 7.4.1.

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você conheça estes tópicos:

    • Conceitos e configuração do FDM
    • Aplica-se a FTDs nas plataformas 1000, 2100 e 3100 Series gerenciadas pelo FDM

    Componentes Utilizados

    As informações neste documento são baseadas no FDM 7.4.2.

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Informações de Apoio

    Um conjunto em linha fornece uma interface somente IPS. Você pode implementar interfaces somente IPS se tiver um firewall separado protegendo essas interfaces e não quiser a sobrecarga das funções de firewall.

    Um conjunto em linha atua como um bump no fio, unindo duas interfaces para se encaixar em uma rede existente. Essa função permite que o dispositivo seja instalado em qualquer ambiente de rede sem a configuração de dispositivos de rede adjacentes. As interfaces em linha recebem todo o tráfego incondicionalmente, mas todo o tráfego recebido nessas interfaces é retransmitido para fora de um conjunto em linha, a menos que seja descartado explicitamente.

    Diretrizes e limitações

    • Você pode configurar conjuntos em linha apenas nestes modelos de dispositivo: Firepower 1000 Series, Firepower 2100, Secure Firewall 3100.

    • Tipos de interface permitidos em um conjunto embutido: físico, EtherChannel.

    • Não é possível incluir a interface de gerenciamento em um conjunto embutido.

    • Você não pode alterar os atributos das interfaces usadas em um conjunto embutido: nome, modo, ID da interface, MTU, endereço IP.

    • Se você habilitar o modo Tap, a opção Snort Fail Open será desabilitada.

    • Pacotes de eco BFD (Detecção de Encaminhamento Bidirecional) não são permitidos através do dispositivo ao usar conjuntos em linha. Se houver dois vizinhos em ambos os lados do dispositivo executando o BFD, o dispositivo descartará os pacotes de eco BFD porque eles têm o mesmo endereço IP de origem e de destino e parecem fazer parte de um ataque LAND.

    • Para conjuntos em linha e interfaces passivas, o dispositivo suporta até dois cabeçalhos 802.1Q em um pacote (também conhecido como suporte Q-in-Q).

      Note: As interfaces do tipo firewall não suportam Q-in-Q e suportam apenas um cabeçalho 802.1Q.

    • As interfaces em um conjunto em linha não suportam roteamento, NAT, DHCP (servidor, cliente ou relay), VPN, Interceptação de TCP, inspeção de aplicativos ou Netflow.

    Antes de Começar

    • É recomendável definir o PortFast de STP para switches ativados por STP que se conectam às interfaces de par em linha de defesa contra ameaças.

    • Configure as interfaces física ou EtherChannel que podem ser membros do conjunto em linha. Você pode configurar apenas estes valores: Nome, duplex, velocidade e modo Roteado (não selecione passivo). Não configure nenhum tipo de endereçamento, isto é, endereços IP manuais, DHCP ou PoE.


    Detalhes do Modo Embutido

    • Este recurso permite usar Conjuntos em linha. Isso permite a inspeção de tráfego sem alocação de IP.
    • O Modo em linha está disponível para interfaces físicas, EtherChannels e Zonas de Segurança. 
    • O Modo em linha é automaticamente definido para Interfaces e EtherChannels quando eles são usados em um Par em linha.
    • O modo em linha impede que sejam feitas alterações nas interfaces envolvidas e nos EtherChannels até que sejam removidas do par em linha. 
    • As interfaces que estão no modo in-line podem ser associadas a Zonas de segurança definidas para o modo in-line.

    Diagrama de rede de configuração in-line


    O tráfego flui do Roteador 1 para o Roteador 2 através das Interfaces A e B usando apenas uma conexão física.

    Network DiagramDiagrama de Rede

    Configurar Conjunto Embutido

    • No painel do FDM, navegue até o cartão Interfaces.

    Interfaces TabGuia Interfaces

    • Para ativar interfaces, clique no ícone Status da interface.

    Status IconÍcone de Status

    Enable InterfaceAtivar interface

    • Para Editar interfaces, clique no ícone Editar (lápis) da interface.

    Edit InterfaceEditar interface

    • Insira o Nome da interface e selecione o modo como Roteado. Não configure nenhum endereço IP.

    Edit Physical InterfaceEditar interface

    • Para criar um Conjunto Embutido, navegue até a guia Conjuntos Embutidos.

    Create Inline SetCriar Conjunto Embutido

    Para adicionar um Conjunto interno, clique em Adicionar (ícone +).

    Add Inline SetAdicionar Conjunto Embutido

    • Defina um nome para o conjunto embutido.
    • Defina a MTU desejada (opcional) . O padrão é 1500, que é o MTU mínimo suportado.
    • Na seção Interface Pairs, selecione as interfaces. Se mais pares forem necessários, clique em Adicionar outro link par.

    Interface PairsPares de interface

    • Para definir as configurações avançadas para o Conjunto em linha, navegue até a guia Avançado.

    Advanced SettingsConfigurações avançadas

    • Selecione Mode como Inline. Se o Modo de toque estiver ativado, a opção Falha ao abrir do Snort estará desativada.

    Mode InlineModo Embutido

    • Snort Fail Open permite que o tráfego novo e existente passe sem inspeção (habilitado) ou descarte (desabilitado) quando o processo Snort estiver ocupado ou inativo.
    • Selecione as configurações desejadas de Snort Fail Open.
    • É possível definir as opções Ocupado e Inativo ou nenhuma delas.

    Snort Fail OpenSnort Fail Open (Falha ao abrir)

    • A opção Propagate Link State desativa automaticamente a segunda interface no par em linha quando uma das interfaces é desativada. Quando a interface inoperante volta a ficar ativa, a segunda interface também volta a ficar ativa automaticamente.
    • Quando tudo estiver definido, clique em Ok para salvar a configuração.

    Propagate Link StatePropagar Estado do Link

    • Para adicionar esse conjunto embutido a uma zona de segurança, navegue até Objetos > Zonas de segurança.
    • Clique em Adicionar para criar uma nova zona de segurança.

    Add Security ZoneAdicionar Zona de Segurança

    • Defina um Nome, selecione o modo como Inline e adicione as interfaces do Conjunto em linha. Em seguida, clique em OK para salvar.

    Add InterfacesAdicionar interfaces

    • Navegue até a guia Implantação e Implante as alterações.

    Modificar ou excluir um conjunto embutido


    As ações Editar e Excluir estão disponíveis para os Conjuntos Embutidos.

    Actions of Inline SetAções do Conjunto Embutido

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    17-Jan-2025
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Tirupatia Sakthivel
      Engenheiro de consultoria técnica

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos