如果透通FTD以內嵌配對方式運作,則因為部分Lina引擎檢查而不支援NetFlow和其他功能

下載選項

  • PDF     (193.7 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (79.8 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (65.4 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2019 年 7 月 18 日
文件 ID:214487

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本檔案介紹並有助於瞭解為什麼NetFlow和其他功能無法在具有內嵌配對的透明模式下的Firepower威脅防禦(FTD)中運作,以及如何解決此問題。

    作者:Christian G. Hernandez R.,思科TAC工程師。

    必要條件

    需求

    思科建議您瞭解以下主題:

    • Cisco Firepower Management Center(FMC)基本配置。

    • Cisco FTD基本設定。
    • Cisco FMC flexconfig配置。

    採用元件

    本檔案中的資訊是根據以下軟體和硬體版本:

    • Cisco FMC v6.3.0
    • Cisco FTD v6.3.0

    本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。

    問題:如果透通FTD以內嵌配對方式運作,則因為部分Lina引擎檢查而不支援NetFlow和其他功能。

    一旦通過Flex Config在系統上配置並部署了NetFlow,NetFlow就不會生成流到配置的收集器(流匯出目標)。

    flow-export destination Management 10.1.2.3 2055

class-map inspection_default
match default-inspection-traffic
!
policy-map type inspect dns preset_dns_map
parameters
  message-length maximum client auto
  message-length maximum 512
  no tcp-inspection
policy-map type inspect ip-options UM_STATIC_IP_OPTIONS_MAP
parameters
  eool action allow
  nop action allow
  router-alert action allow
policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect rsh
  inspect sqlnet
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect icmp
  inspect icmp error
  inspect ip-options UM_STATIC_IP_OPTIONS_MAP
class class-default
  flow-export event-type flow-create destination 10.1.2.3
  flow-export event-type flow-denied destination 10.1.2.3
  flow-export event-type flow-teardown destination 10.1.2.3
  flow-export event-type flow-update destination 10.1.2.3
!
service-policy global_policy global

    根據下表所述,由於當系統設定為內嵌配對模式時,對某些功能的Lina引擎檢查有限,因此確認在FTD上存在此行為。請參閱以下詳細資訊:

    FTD 介面模式

    FTD 部署模式

    說明

    流量可能遭捨棄

    循路

    循路

    完整 LINA 引擎和 Snort 引擎檢查

    交換

    透明

    完整 LINA 引擎和 Snort 引擎檢查

    內嵌配對

    路由或透明

    部分 LINA 引擎和完整 Snort 引擎檢查

    使用分流器的內嵌配對

    路由或透明

    部分 LINA 引擎和完整 Snort 引擎檢查

    被動

    路由或透明

    部分 LINA 引擎和完整 Snort 引擎檢查

    被動 (ERSPAN)

    循路

    部分 LINA 引擎和完整 Snort 引擎檢查

    https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/200924-configuring-firepower-threat-defense-int.html

    NetFlow是一種功能,在FTD以內嵌配對模式下運作時,已確認為不受支援。

    附註:當FTD以內嵌配對模式運作時,它不支援的特定功能目前未知,因此開啟增強要求以要求Cisco Firepower工程團隊協助確認此模式中的已知不支援功能: CSCvo5596 DOC:FMC限制一節,說明在內嵌集中的FTD時,哪些功能是支援/不支援的。

    因應措施

    如果您的設定如本文檔中所指定,並且需要NetFlow,則唯一已知的解決方法是將FTD保留為透明模式並設定BVI(網橋虛擬介面)介面。此解決方法基於開啟的ENH,以包括內嵌配對模式部署的NetFlow功能功能:

    CSCvo55574      ENH:在內嵌配對模式下設定時,FTD無法收集netflow資料。

    相關錯誤

    CSCvo55574     ENH:在內嵌配對模式下設定時,FTD無法收集netflow資料。

    CSCvo55585     文檔:在內嵌配對模式下設定時,netflow支援的FMC限制一節。

    CSCvo55596     文檔:FMC限制一節,說明在內嵌集中的FTD時,哪些功能是支援/不支援的。

    TAC Authored

    由思科工程師貢獻

    • Christian G Hernandez R
      Cisco TAC工程師
    • Edited by Sergio Ceron
      Cisco TAC工程師

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您

    本文件適用於這些產品