NetFlow y otras funciones no son soportadas debido a la verificación del motor de línea parcial si un FTD transparente funciona como par en línea

Opciones de descarga

PDF (142.8 KB)
Visualice con Adobe Reader en una variedad de dispositivos
ePub (93.8 KB)
Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
Mobi (Kindle) (80.7 KB)
Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos

Actualizado:18 de julio de 2019

ID del documento:214487

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Contenido

Introducción

Prerequisites

Requirements

Componentes Utilizados

Problema: NetFlow y otras funciones no son soportadas debido a la verificación del motor de línea parcial si un FTD transparente funciona como par en línea.

Solución Aternativa

Errores relacionados

Introducción

Este documento describe y ayuda a entender por qué NetFlow y otras funciones no funcionarán en Firepower Threat Defense (FTD) en modo transparente con par en línea y cómo solucionar esto.

Contribuido por Christian G. Hernández R., ingeniero del TAC de Cisco.

Prerequisites

Requirements

Cisco recomienda que tenga conocimiento sobre estos temas:

Configuración básica de Cisco Firepower Management Center (FMC).
Configuración básica de Cisco FTD.
Configuración de flexconfig de Cisco FMC.

Componentes Utilizados

La información que contiene este documento se basa en estas versiones de software y hardware:

Cisco FMC v6.3.0
Cisco FTD v6.3.0

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Problema: NetFlow y otras funciones no son soportadas debido a la verificación del motor de línea parcial si un FTD transparente funciona como par en línea.

Una vez que NetFlow se configura e implementa en el sistema a través de Flex Config, NetFlow no genera flujos al recopilador (destino de exportación de flujo) configurado.

flow-export destination Management 10.1.2.3 2055

class-map inspection_default
match default-inspection-traffic
!
policy-map type inspect dns preset_dns_map
parameters
  message-length maximum client auto
  message-length maximum 512
  no tcp-inspection
policy-map type inspect ip-options UM_STATIC_IP_OPTIONS_MAP
parameters
  eool action allow
  nop action allow
  router-alert action allow
policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect rsh
  inspect sqlnet
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect icmp
  inspect icmp error
  inspect ip-options UM_STATIC_IP_OPTIONS_MAP
class class-default
  flow-export event-type flow-create destination 10.1.2.3
  flow-export event-type flow-denied destination 10.1.2.3
  flow-export event-type flow-teardown destination 10.1.2.3
  flow-export event-type flow-update destination 10.1.2.3
!
service-policy global_policy global

Según la tabla siguiente, se confirma que este comportamiento se espera en el FTD debido a las verificaciones limitadas del motor de línea para ciertas funciones cuando el sistema está configurado en modo de par en línea. Consulte los detalles a continuación:

modo de interfaz FTD	Modo de implementación FTD	Descripción	El tráfico se puede descartar
Enrutado	Enrutado	Comprobaciones completas del motor LINA y del motor Snort	Yes
Conmutado	Transparente	Comprobaciones completas del motor LINA y del motor Snort	Yes
Pareja en línea	Ruteado o transparente	Comprobaciones parciales del motor LINA y del motor Snort	Yes
Vinculación en línea con pulsación	Ruteado o transparente	Comprobaciones parciales del motor LINA y del motor Snort	No
Pasivo	Ruteado o transparente	Comprobaciones parciales del motor LINA y del motor Snort	No
Pasivo (ERSPAN)	Enrutado	Comprobaciones parciales del motor LINA y del motor Snort	No

https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/200924-configuring-firepower-threat-defense-int.html

NetFlow es una función que se ha confirmado como no admitida cuando FTD funciona en modo de par en línea.

Nota: Las características específicas no soportadas por el FTD, cuando funciona en modo de par en línea, se desconocen en este momento, por lo que se abrió la solicitud de mejora para pedirle al equipo de ingeniería de Cisco Firepower que ayude a confirmar las características no admitidas conocidas en este modo: CSCvo5596 DOC: Sección de limitación de FMC que indica qué funciones se soportan/no cuando FTD se configura en línea.

Solución Aternativa

Si su configuración es la especificada en este documento y requiere NetFlow, la única solución alternativa conocida es dejar el FTD en modo transparente y configurar en su lugar las interfaces BVI (Bridge Virtual Interface). Esta solución alternativa se basa en la ENH abierta para incluir la funcionalidad de la función NetFlow para implementaciones en modo de par en línea:

CSCvo5574 ENH: FTD no puede recopilar datos de NetFlow mientras está configurado en modo de par en línea.

Errores relacionados

CSCvo5574 ENH: FTD no puede recopilar datos de NetFlow mientras está configurado en modo de par en línea.

CSCvo5585 DOC: Sección de limitación de FMC para soporte de NetFlow cuando se configura en modo de par en línea.

CSCvo5596 DOC: Sección de limitación de FMC que indica qué funciones se soportan/no cuando FTD se configura en línea.

Con la colaboración de ingenieros de Cisco

Christian G Hernandez R
Cisco TAC Engineer
Edited by Sergio Ceron
Cisco TAC Engineer

¿Resultó útil este documento?

Comentarios

Contacte a Cisco

Abrir un caso de soporte
(Requiere un Cisco Service Contract)

NetFlow y otras funciones no son soportadas debido a la verificación del motor de línea parcial si un FTD transparente funciona como par en línea

Opciones de descarga

Lenguaje no discriminatorio

Acerca de esta traducción

Contenido

Introducción

Prerequisites

Requirements

Componentes Utilizados

Problema: NetFlow y otras funciones no son soportadas debido a la verificación del motor de línea parcial si un FTD transparente funciona como par en línea.

Solución Aternativa

Errores relacionados

Con la colaboración de ingenieros de Cisco

¿Resultó útil este documento?

Contacte a Cisco

Este documento se aplica a estos productos