由于部分Lina引擎检查透明FTD是否作为内联对工作,因此不支持NetFlow和其他功能

下载选项

  • PDF     (183.6 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (79.6 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (65.1 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2019 年 7 月 18 日
文档 ID:214487

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍并帮助了解为什么NetFlow和其他功能在具有内联对的透明模式下在Firepower威胁防御(FTD)中不能工作,以及如何解决此问题。

    作者:Cisco TAC工程师Christian G. Hernandez R.。

    先决条件

    要求

    Cisco 建议您了解以下主题:

    • 思科Firepower管理中心(FMC)基本配置。

    • Cisco FTD基本配置。
    • Cisco FMC flexconfig配置。

    使用的组件

    本文档中的信息基于以下软件和硬件版本:

    • 思科FMC v6.3.0
    • 思科FTD v6.3.0

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    问题:NetFlow和其他功能不受支持,因为部分Lina引擎检查透明FTD是否作为内联对工作。

    通过Flex Config在系统上配置和部署NetFlow后,NetFlow不会生成流到配置的收集器(流导出目标)。

    flow-export destination Management 10.1.2.3 2055

class-map inspection_default
match default-inspection-traffic
!
policy-map type inspect dns preset_dns_map
parameters
  message-length maximum client auto
  message-length maximum 512
  no tcp-inspection
policy-map type inspect ip-options UM_STATIC_IP_OPTIONS_MAP
parameters
  eool action allow
  nop action allow
  router-alert action allow
policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect rsh
  inspect sqlnet
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect icmp
  inspect icmp error
  inspect ip-options UM_STATIC_IP_OPTIONS_MAP
class class-default
  flow-export event-type flow-create destination 10.1.2.3
  flow-export event-type flow-denied destination 10.1.2.3
  flow-export event-type flow-teardown destination 10.1.2.3
  flow-export event-type flow-update destination 10.1.2.3
!
service-policy global_policy global

    根据下表,当系统设置为内联对模式时,由于Lina引擎检查对某些功能的限制,此行为确认在FTD上是预期的。请参阅以下详细信息:

    FTD接口模式

    FTD部署模式

    描述

    可以丢弃流量

    路由

    路由

    完整的LINA引擎和Snort引擎检查

    Yes

    交换

    透明

    完整的LINA引擎和Snort引擎检查

    Yes

    内联对

    路由或透明

    部分LINA引擎和完整的Snort引擎检查

    Yes

    带分路器的内联对

    路由或透明

    部分LINA引擎和完整的Snort引擎检查

    被动

    路由或透明

    部分LINA引擎和完整的Snort引擎检查

    被动(ERSPAN)

    路由

    部分LINA引擎和完整的Snort引擎检查

    https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/200924-configuring-firepower-threat-defense-int.html

    NetFlow是当FTD在内联对模式下工作时被确认为不支持的功能。

    注意:FTD不支持的特定功能在内联对模式下工作时目前未知,因此,已打开增强请求,要求Cisco Firepower工程团队帮助确认此模式下已知不支持的功能:CSCvo55596 DOC:FMC限制部分,说明内联集中的FTD时支持/不支持哪些功能。

    解决方法

    如果您的设置如本文档中所指定,并且需要NetFlow,则已知的唯一解决方法是将FTD保留为透明模式并设置BVI(网桥虚拟接口)接口。此解决方法基于打开的ENH,以包括内联对模式部署的NetFlow功能:

    CSCvo55574      增强:在内联对模式下配置时,FTD无法收集网络流数据。

    相关 Bug

    CSCvo55574     增强:在内联对模式下配置时,FTD无法收集网络流数据。

    CSCvo55585     文档:在内联对模式下配置时用于网络流支持的FMC限制部分。

    CSCvo55596     文档:FMC限制部分,说明内联集中的FTD时支持/不支持哪些功能。

    TAC Authored

    由思科工程师提供

    • Christian G Hernandez R
      Cisco TAC Engineer
    • Edited by Sergio Ceron
      Cisco TAC Engineer

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品