在cEdge路由器上安装UTD安全虚拟映像
简介
本文档介绍如何安装统一威胁防御(UTD)安全虚拟映像以在Cisco IOS® XE SD-WAN设备上启用安全功能。
先决条件
- 使用这些功能之前,请将相关安全虚拟映像上传到vManage存储库。
- 云翼路由器必须处于vmanage模式,并且必须预先附加模板。
- 为入侵防御系统(IPS)、入侵检测系统(IDS)、URL过滤(URL-F)或高级恶意软件防护(AMP)过滤创建安全策略模板。
要求
- 4000集成多业务路由器Cisco IOS XE SD-WAN (ISR4000)
- 1000集成多业务路由器Cisco IOS XE SD-WAN (ISR1k)
- 1000v云服务路由器(CSR1kv),
- 1000v集成多业务路由器(ISRv)
- 支持8GB DRAM的思科边缘平台。
使用的组件
- Cisco UTD虚拟映像
- vManage控制器
- 具有控制器控制连接的云翼路由器。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
思科UTD映像需要在要安装的设备模板上安装安全策略,并且要在思科边缘路由器上启用入侵防御系统(IPS)、入侵检测系统(IDS)、URL过滤(URL-F)和高级恶意软件防护(AMP)等安全功能。
从软件Cisco下载Cisco UTD Snort IP引擎软件
使用当前思科IOS XE版本支持的思科UTD虚拟映像regex。使用命令show utd engine standard version验证建议和支持的UTD映像。
Router01# show utd engine standard version
IOS-XE Recommended UTD Version: 1.0.13_SV2.9.16.1_XE17.3
IOS-XE Supported UTD Regex: ^1\.0\.([0-9]+)_SV(.*)_XE17.3$
运行Cisco IOS XE SD-WAN软件(16.x)的路由器
获取思科UTD Snort IPS引擎软件的路径为路由器/软件定义广域网(SD-WAN)/XE SD-WAN路由器/和系列集成路由器。
选择云翼路由器的型号类型。
选择类型路由器型号后,选择Cisco IOS XE SD-WAN软件选项,获取16.x版的Cisco Edge的UTD包。
选择云翼的当前版本,并下载该版本的UTD软件包。
运行Cisco IOS XE软件(17.x)的路由器
Cisco IOS XE版本17.2.1r和最新版本使用universalk9映像在Cisco IOS XE设备上部署Cisco IOS XE SD-WAN和Cisco IOS XE。
UTD Snort IPS引擎软件位于路由器>分支路由器>系列集成路由器中。
选择路由器的型号类型后,请选择UTD Snort IPS Engine Software。
选择路由器的当前版本,并为所选版本下载UTD软件包。
配置
步骤1:上传虚拟映像
确保您的虚拟映像与云翼上的当前Cisco IOS XE SD-WAN代码相匹配,并将其上传到vmanage存储库。
导航到维护>软件存储库>虚拟映像>上传虚拟映像> vManage。
成功上传Cisco UTD虚拟映像后,请仔细检查其是否在存储库中。
第二步:将安全策略和容器配置文件子模板添加到设备模板
将之前创建的安全策略添加到设备模板。安全策略必须具有IPS/IDS、URL-F或AMP过滤策略到设备模板。自动打开容器配置文件。使用默认容器配置文件或在需要时对其进行修改。
第三步:使用安全策略和容器配置文件更新或附加设备模板
更新模板或将模板附加到云翼路由器。请注意,在配置差异中,已配置功能IPS/IDS、URL-F或AMP过滤的应用托管配置和UTD引擎。
模板状态更改为已完成计划,因为vmanage注意到应用的配置具有UTD引擎功能,因此vmanage确定Cisco Edge需要安装虚拟映像才能使用UTD安全功能。
将模板移至计划状态后,任务菜单中会显示正在进行的新任务。新任务是Lxc安装,它意味着vmanage在推送新配置之前自动开始将虚拟映像安装到Cisco Edge。
安装LX容器后,vManage会推送具有UTD功能的预定配置。由于之前已计划配置,因此没有新任务。
验证
验证Cisco Edge是否与vManage和附加的模板同步。
导航至配置>设备
验证是否安装了Cisco UTD版本:
Router02# show utd engine standard version UTD Virtual-service Name: utd IOS-XE Recommended UTD Version: 1.0.12_SV2.9.16.1_XE17.4 IOS-XE Supported UTD Regex: ^1\.0\.([0-9]+)_SV(.*)_XE17.4$ UTD Installed Version: 1.0.12_SV2.9.16.1_XE17.4 <<<<<<<<<<<<<<<<<<<
使用以下输出检查UTD是否处于running状态:
Router02# show app-hosting list App id State --------------------------------------------------------- utd RUNNING <<<<<<<<<<<<<<<<<<<
下一个命令总结了之前的命令并显示当前状态和版本:
Router02# show app-hosting detail appid utd
App id : utd
Owner : ioxm
State : RUNNING <<<<<<<<<<<<<<<<<<<<<<<
Application
Type : LXC
Name : UTD-Snort-Feature
Version : 1.0.12_SV2.9.16.1_XE17.4 <<<<<<<<<<<<<<<<<
Description : Unified Threat Defense
Path : /bootflash/.UTD_IMAGES/iox-utd_1.0.12_SV2.9.16.1_XE17.4.tar
URL Path :
Activated profile name : cloud-low
Resource reservation
Memory : 2048 MB
Disk : 861 MB
CPU :
CPU-percent : 7 %
VCPU : 0
Show utd engine standard status命令显示UTD引擎的运行状态及其获取签名更新的列表时间。
Router02# show utd engine standard status
Engine version : 1.0.6_SV2.9.13.0_XE17.2
Profile : Cloud-Low
System memory :
Usage : 20.10 %
Status : Green
Number of engines : 1
Engine Running Health Reason
===========================================
Engine(#1): Yes Green None <<<<<<<<<<<<<<<<<<<<<<<<<<<
=======================================================
Overall system status: Green <<<<<<<<<<<<<<<<<<<<<<<<<<
Signature update status:
=========================
Current signature package version: 29130.156.s
Last update status: Successful
Last successful update time: Wed Nov 25 07:27:35 2020 EDT <<<<<<<<<<<<<<<<<<<<
Last failed update time: None
Last failed update reason: None
Next update scheduled at: None
Current status: Idle
使用下一命令验证启用的功能:
Router02# show platform hardware qfp active feature utd config
Global configuration
NAT64: disabled
Drop pkts: disabled
Multi-tenancy: enabled
Data plane initialized: yes
TLS Decryption Policy: disabled
Divert controller mode: enabled
SN threads: 12
CFT inst_id 0 feat id 2 fo id 2 chunk id 13
Max flows: 55000
SN Health: channel: Threat Defense : Green
SN Health: channel: Service : Down
Context Id: 0, Name: Global domain Security Context
Ctx Flags: (0x1c70001)
Engine: Standard
State : Enabled
SN Redirect Mode : Fail-open, Divert
Threat-inspection: Enabled, Mode: IPS
Domain Filtering : Not Enabled
URL Filtering : Enabled <<<<<<<<<<<
File Inspection : Enabled <<<<<<<<<<<
All Interfaces : Enabled
常见问题
问题 1.错误:以下设备没有容器软件服务
激活虚拟映像。
导航到维护>软件>激活
虚拟映像发送一个错误:Devices so not have container software revenices,如果选定的云翼路由器没有包含容器配置文件子模板的安全策略。
如果使用的安全策略包括需要UTD软件包的安全功能,如入侵防御系统(IPS)、入侵检测系统(IDS)、URL过滤(URL-F)和高级恶意软件防护(AMP),则系统会自动添加此模板。并非所有可用的安全功能都需要UTD引擎,例如简单的ZBFW功能。
使用容器配置文件子模板推送模板后,vmanage会自动安装虚拟映像。
问题 2.可用内存不足
确保云翼路由器有8 GB DRAM内存,否则Lxc Install进程会发送Device is not configured to accept new configuration.Available memory insufficient 错误。云翼路由器使用UTD功能的要求是至少有8 GB的DRAM。
在这种情况下,CSRv只有4 GB的DRAM。将内存升级到8GB DRAM后,安装成功。
使用show sdwan system status输出验证当前的总内存:
Router01# show sdwan system status
Memory usage: 8107024K total, 3598816K used, 4508208K free
349492K buffers, 2787420K cache
问题 3.非法引用
确保已在云翼路由器中配置用于任何安全策略功能的VPN/VRF,以避免安全策略序列的非法引用。
在本示例中,安全策略具有适用于VPN/VRF 1的入侵防御策略,但是设备没有配置任何VRF 1。因此,vmanage会为该策略序列发送非法引用。
配置安全策略中提及的VRF之后,不会显示Illegal引用,并且模板已成功推送。
问题 4.UTD已安装且处于活动状态,但未启用
设备配置了安全策略,UTD已安装并处于活动状态,但未启用。
此问题与问题3相关,但是,vManage允许配置引用未在设备中配置且策略未应用于任何VRF的VRF。
要确定路由器是否遇到此问题,您需要看到UTD处于活动状态。UTD not enabled消息,并且策略未引用任何VRF。
Router01# show utd engine standard status UTD engine standard is not enabled <<<<<<<<<<< ISR01#show sdwan virtual-application utd VERSION ACTIVE PREVIOUS TIMESTAMP ----------------------------------------------------------------------- 1.0.16_SV2.9.16.1_XE17.3 true true 2022-06-10T13:29:43-00:00
对于解决方案,请验证目标VPN,并确保将策略应用到配置的VRF。
视频
相关信息
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
19-Aug-2022 |
初始版本 |
反馈