在安全FTDv中設定通用介面
簡介
本文檔介紹如何為AWS中的FTDv資料介面配置通用封裝。
必要條件
需求
思科建議您瞭解以下主題:
- 安全Firepower管理中心配置部署
- 在AWS中部署安全Firepower威脅防禦虛擬
- AWS例項EC2虛擬化。
在AWS中為Cisco Secure Firepower威脅防禦配置通用封裝,需要FTD 7.1版或更高版本。
還需要使用FTDv20或更高版本的效能層許可證。
每個FTDv裝置只能設定一個虛擬通道端點(VTEP)來源介面。VTEP被定義為網路虛擬化端點(NVE);VTEP的通用封裝是當時唯一本機支援的NVE。
您可以參考此文檔在AWS上部署威脅防禦虛擬。
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- 安全Firepower管理中心 — 7.3.0
- 安全Firepower威脅防禦 — 7.3.0
- AWS c5.2xlarge(4核/8 GB)例項
- 效能層許可證 — FTDv50
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
設定
配置FTDv的效能層許可證
使用支援的瀏覽器訪問您的FMC GUI:
https://FMC_IP_Address導覽至Devices > Device Management:
裝置管理
為有問題的FTDv選擇編輯圖示: 
編輯
按一下Device頁籤,然後在License摘要中編輯配置:
裝置許可證
從Performance Tier(效能層)下拉選單中選擇FTDv20(核心4 / 8 GB)或更高版本。在本範例中,已選擇FTDv50 Performance Tier License,如下圖所示:
選擇效能層許可證FTDv20或更高版本
接下來,選擇Save並Deploy將組態部署到FTDv。
設定VTEP來源介面
導覽至Devices > Device Management > Choose edit > VTEP,然後選擇Enable NVE:
啟用VNE
現在,您可以選擇Add VTEP:
新增VTEP
輸入Encapsulation port在指定範圍內的值。
警告:建議不要更改Geneve埠;AWS需要埠6081。
接下來,您可以選擇VTEP來源介面。
作為VTEP源介面的外部介面
注意:從裝置上可用的物理介面清單中選擇。如果清單中未顯示介面名稱,您可以驗證所需介面是否為Enabled並配置了Name。
注意:如果MTU低於1806位元組,FMC會自動將所選介面的MTU提升到1806位元組。
接下來,按一下「OK」。
注意:FMC顯示巨型幀已啟用:
巨量訊框已變更
選擇Ok和Save。
配置VNI介面
新增虛擬網路介面(VNI)介面,將其與VTEP源介面關聯,並配置基本介面引數。
導航到Interfaces頁籤,然後點選Add Interfaces。
新增介面
選擇VNI Interface。
新增VNI介面
指定介面名稱、說明和VNI ID(1到10000之間)。
提示:此ID僅是內部介面識別符號。
勾選「Enable Proxy」。
此選項啟用單臂代理,並允許流量從所輸入的同一介面退出(U型流量)。
警告:如果以後編輯介面,則無法禁用單臂代理。為此,您需要刪除現有介面並建立新的VNI介面。此選項僅適用於Geneve VTEP。
選擇NVE Mapped to VTEP Interface。這會將此介面與VTEP來源介面相關聯。
新增NVI介面
按一下「OK」和「Save」。 您可以看到已建立VNI介面,如下圖所示:
已建立VNI介面
最後,部署介面組態。
注意:此時您可以配置您的介面所需的路由介面引數。介面IP地址,VNI介面的靜態或動態路由。
驗證
透過SSH或主控台連線至FTDv:
> system support diagnostic-cli
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
admin> enable
Password:
admin#
檢視介面詳細資訊和VNI介面摘要:
admin# show ip System IP Addresses: Interface Name IP address Subnet mask Method Management0/0 diagnostic 10.0.0.61 255.255.255.0 DHCP vni1 VNI-Outside 1.2.3. 4 255.255.255.0 manual Current IP Addresses: Interface Name IP address Subnet mask Method Management0/0 diagnostic 10.0.0.61 255.255.255.0 DHCP vni1 VNI-Outside 1.2.3. 4 255.255.255.0 manualadmin# show interface VNI summary Interface vni1 "VNI-Outside", is up, line protocol is up VTEP-NVE 1 Tag-switching: disabled MTU: 1500 MAC: 0206.104e.ed0f proxy mode: single-arm IP address 1.2.3. 4, subnet mask 255.255.255.0 Multicast group not configured
您可以確認是否已啟用通用封裝,如以下命令輸出所示:
admin# show running-config nve
nve 1
encapsulation geneve
source-interface Outside疑難排解
驗證Bot VNI interface和VTEP來源介面通訊協定與狀態是否為up/up。如下圖所示,interface TenGigabitEthernet0/0 和 vni1 up/up:
# show interface ip brief
Interface IP-Address OK? Method Status Protocol
Internal-Control0/0 127.0.1.1 YES unset up up
Internal-Control0/1 unassigned YES unset up up
Internal-Data0/0 unassigned YES unset down up
Internal-Data0/0 unassigned YES unset up up
Internal-Data0/1 169.254.1.1 YES unset up up
Internal-Data0/2 unassigned YES unset up up
Management0/0 10.0.0.61 YES DHCP up up
TenGigabitEthernet0/0 unassigned YES unset up up
TenGigabitEthernet0/1 unassigned YES unset up up
vni1 1.2.3. 4 YES manual up up確儲存在vni介面單臂和vtep關聯,如下圖所示:
# show run interface vni 1
!
interface vni1
proxy single-arm
nameif VNI-Outside
security-level 0
ip address 1.2.3. 4 255.255.255.0
vtep-nve 1檢視VNI介面的介面計數器:
# show interface VNI detail
請參閱Firepower管理中心配置指南以瞭解其他資訊。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
2.0 |
17-Oct-2023 |
標題更改為:在安全FTDv中配置通用介面 |
1.0 |
11-Oct-2023 |
初始版本 |
意見