使用Flexconfig删除或修改网络流配置
简介
本文档介绍如何通过Firepower删除或修改Firepower威胁防御(FTD)上的NetFlow配置 管理中心(FMC)。
先决条件
要求
Cisco 建议您了解以下主题:
- FMC知识
- FTD知识
- FlexConfig策略知识
使用的组件
本文档中的信息基于以下软件和硬件版本:
- FTD版本低于7.4
- FMC版本低于7.4
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
注意:Firepower版本7.2.x的重要说明:配置NetFlow时,存在已知的Cisco Bug ID CSCwh29167,其中Flex对象进行了重新排序,导致部署因未配置类映射而失败。要解决此问题,请实施思科漏洞ID CSCwf99848(思科漏洞ID CSCwh29167的副本)下记录的解决方法。
初始配置
access-list flow_export_acl extended permit ip any any
!
class-map flow_export_class
match access-list flow_export_acl
!
policy-map global_policy
class flow_export_class
flow-export event-type flow-create destination 192.168.1.5
flow-export event-type flow-denied destination 192.168.1.5
flow-export event-type flow-teardown destination 192.168.1.5
flow-export event-type flow-update destination 192.168.1.5
!
flow-export destination Inside 192.168.1.5 2055
对于配置这些初始配置,使用的弹性配置对象为:
1. Netflow目标文本对象
Netflow目标文本对象
2. 命名扩展ACL:flow_export_acl
流导出ACL
- 用于将此类映射应用于流导出目标的类映射和服务策略
类映射和服务策略
4. 流导出目标
流导出目标
5. 然后将这两个对象添加到flex config策略中并进行部署:
FlexConfig策略
删除NetFlow配置
第1步:从弹性策略中删除弹性对象。
删除现有flexconfig
第2步:部署策略。从命令行中,我们可以看到删除的配置有:
access-list flow_export_acl extended permit ip any any
!
class-map flow_export_class
match access-list flow_export_acl
!
policy-map global_policy
class flow_export_class
flow-export event-type flow-create destination 192.168.1.5
flow-export event-type flow-denied destination 192.168.1.5
flow-export event-type flow-teardown destination 192.168.1.5
flow-export event-type flow-update destination 192.168.1.5
但是,未删除的配置是:
flow-export destination Inside 192.168.1.5 2055
第3步:要删除此项,我们需要创建类型为“prepend”的弹性对象并添加配置:
no flow-export destination Inside 192.168.1.5 2055
删除flex config目标
第4步:在弹性策略下,调用第3步中新创建的前置对象并部署策略。
将此项添加到flex config policy下
第5步:从弹性策略中删除前置对象,然后重新部署。
删除预置对象
现在将删除所有与流导出相关的配置。
修改现有NetFlow配置
第1步:编辑为Netflow目标创建的文本对象。更改所需的参数IP、接口名称或端口。
示例:我们将IP和端口从(192.168.1.5, 2055)更改为(192.168.1.78, 2056)
Netflow目标文本对象
第2步:部署策略。您会看到更改按预期反映出来,但是与旧的Netflow目标配置一起显示:
access-list flow_export_acl extended permit ip any any
!
class-map flow_export_class
match access-list flow_export_acl
!
policy-map global_policy
class flow_export_class
flow-export event-type flow-create destination 192.168.1.78
flow-export event-type flow-denied destination 192.168.1.78
flow-export event-type flow-teardown destination 192.168.1.78
flow-export event-type flow-update destination 192.168.1.78
!
flow-export destination Inside 192.168.1.78 2056
flow-export destination Inside 192.168.1.5 2055
第3步:要删除此项,您需要使用类型“prepend”创建弹性对象并添加配置:
no flow-export destination Inside 192.168.1.5 2055
删除netflow目标
第4步:在弹性策略下,调用第3步中新创建的前置对象并部署策略。
添加到预置Flex配置
第5步:从弹性策略中删除前置对象,然后重新部署。
删除预置FlexConfig
已成功修改NetFlow相关配置。
access-list flow_export_acl extended permit ip any any
!
flow-export destination Inside 192.168.1.78 2056
!
class-map flow_export_class
match access-list flow_export_acl
!
policy-map global_policy
class flow_export_class
flow-export event-type flow-create destination 192.168.1.78
flow-export event-type flow-denied destination 192.168.1.78
flow-export event-type flow-teardown destination 192.168.1.78
flow-export event-type flow-update destination 192.168.1.78
相关文档
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
03-Oct-2024 |
初始版本 |
反馈