Configuration des interfaces Geneve dans Secure FTDv

Mis à jour:17 octobre 2023

ID du document:221082

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Table des matières

Introduction

Conditions préalables

Exigences

Composants utilisés

Configurer

Configurer la licence de niveau de performances pour FTDv

Configuration de l'interface source VTEP

Configurer l’interface VNI

Vérifier

Dépannage

Introduction

Ce document décrit comment configurer l'encapsulation Geneve pour les interfaces de données FTDv dans AWS.

Conditions préalables

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

Déploiement de la configuration Secure Firepower Management Center
Secure Firepower Threat Defense Virtual déployé dans AWS
Virtualisation de l'instance AWS EC2.

La configuration de l'encapsulation Geneve pour Cisco Secure Firepower Threat Defense dans AWS nécessite FTD version 7.1 ou ultérieure.

Une licence Performance Tier FTDv20 ou supérieure est également requise.

Vous ne pouvez configurer qu'une seule interface source VTEP (Virtual Tunnel Endpoint) par périphérique FTDv. Le VTEP est défini comme un terminal de virtualisation de réseau (NVE) ; l'encapsulation Geneve pour le VTEP est le seul NVE pris en charge nativement à l'heure actuelle.

Reportez-vous à cette documentation pour déployer le système virtuel de défense contre les menaces sur AWS.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

Centre de gestion Secure Firepower - 7.3.0
Défense contre les menaces Firepower - 7.3.0
Instance AWS c5.2xlarge (4 coeurs/8 Go )
Licence Performance Tier - FTDv50

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Configurer

Configurer la licence de niveau de performances pour FTDv

Utilisez un navigateur pris en charge pour accéder à votre interface utilisateur graphique FMC :

https://FMC_IP_Address

Accédez à Devices > Device Management :

Device Management Gestion des périphériques

Sélectionnez l'icône de modification pour le FTDv en question : Edit Modifier

Cliquez sur l'onglet Device, puis modifiez la configuration dans le résumé License :

Device License Licence de périphérique

Sélectionnez le FTDv20 (Core 4 / 8 Go) ou supérieur dans la liste déroulante Niveau de performances. Pour cet exemple, la licence de niveau de performances FTDv50 est sélectionnée comme illustré dans cette image :

Choose Performance Tier License FTDv20 or Greater Choisissez une licence de niveau de performances FTDv20 ou supérieure

Sélectionnez ensuite Save and Deploy the configuration to FTDv.

Configuration de l'interface source VTEP

Accédez à Devices > Device Management > Choose edit > VTEP et sélectionnez Enable NVE :
Enable VNE Activer VNE

Vous pouvez maintenant sélectionner Add VTEP :

Add VTEP Ajouter un VTEP

Entrez la valeur du port d'encapsulation dans la plage spécifiée.

Avertissement : il est déconseillé de modifier le port Geneve ; AWS nécessite un port 6081.

Ensuite, vous pouvez sélectionner l'interface source VTEP.

Outside Interface as VTEP Source Interface Interface externe en tant qu'interface source VTEP

Remarque : sélectionnez une interface dans la liste des interfaces physiques disponibles présentes sur le périphérique. Si le nom de l'interface n'est pas affiché dans la liste, vous pouvez valider si l'interface souhaitée est Enabled et a un nom configuré.

Attention : FMC élève automatiquement le MTU à 1806 octets de l'interface sélectionnée si le MTU est inférieur à 1806 octets.

Cliquez ensuite sur OK.

Remarque : FMC indique que la trame Jumbo est activée :

Jumbo Frame Changed Trame jumbo modifiée

Sélectionnez Ok et Enregistrer.

Configurer l’interface VNI

Ajoutez une interface VNI (Virtual Network Interface), associez-la à l'interface source VTEP et configurez les paramètres d'interface de base.

Accédez à l'onglet Interfaces et cliquez sur Ajouter des interfaces.

Add Interfaces Ajouter des interfaces

Sélectionnez Interface VNI.

Add VNI Interface Ajouter une interface VNI

Spécifiez le nom, la description et l'ID VNI de l'interface (entre 1 et 10000).

Conseil : cet ID est uniquement un identificateur d'interface interne.

Cochez Enable Proxy.

Cette option active le proxy à bras unique et permet au trafic de sortir de la même interface qu'il a entrée (trafic U-turn).

Avertissement : si vous modifiez l'interface ultérieurement, vous ne pouvez pas désactiver le proxy à bras unique. Pour ce faire, vous devez supprimer l'interface existante et créer une nouvelle interface VNI. Cette option n'est disponible que pour un VTEP Geneve.

Sélectionnez NVE Mappé à l'interface VTEP. Cette interface est associée à l'interface source VTEP.

Add NVI Interface Ajouter une interface NVI

Cliquez sur OK et sur Save. Vous pouvez voir que l'interface VNI est créée comme illustré dans cette image :

VNI Interface is Created Création de l'interface VNI

Enfin, déployez la configuration d’interface.

Remarque : vous pouvez configurer les paramètres d'interface routée requis pour votre interface à ce stade. Adresse IP de l’interface, routage statique ou dynamique pour l’interface VNI.

Vérifier

Connexion à FTDv via SSH ou console :

> system support diagnostic-cli
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.

admin> enable
Password:
admin#

Examiner les détails de l'interface et le résumé VNI :

admin# show ip
System IP Addresses:
Interface                Name                   IP address      Subnet mask     Method
Management0/0            diagnostic             10.0.0.61       255.255.255.0   DHCP
vni1                     VNI-Outside            1.2.3. 4         255.255.255.0   manual
Current IP Addresses:
Interface                Name                   IP address      Subnet mask     Method
Management0/0            diagnostic             10.0.0.61       255.255.255.0   DHCP
vni1                     VNI-Outside            1.2.3. 4         255.255.255.0   manual

admin# show interface VNI summary
Interface vni1 "VNI-Outside", is up, line protocol is up
        VTEP-NVE 1
        Tag-switching: disabled
        MTU: 1500
        MAC: 0206.104e.ed0f
        proxy mode: single-arm
        IP address 1.2.3. 4, subnet mask 255.255.255.0
        Multicast group not configured

Vous pouvez confirmer que l'encapsulation geneve est activée comme indiqué dans le résultat de cette commande :

admin# show running-config nve
nve 1
 encapsulation geneve
 source-interface Outside

Dépannage

Vérifiez que l'interface VNI et le protocole et l'état de l'interface source VTEP sont activés. Comme indiqué ci-dessous, l’interface TenGigabitEthernet0/0 et vni1 sont activés/activés :

# show interface ip brief
Interface                  IP-Address      OK? Method Status                Protocol
Internal-Control0/0        127.0.1.1       YES unset  up                    up
Internal-Control0/1        unassigned      YES unset  up                    up
Internal-Data0/0           unassigned      YES unset  down                  up
Internal-Data0/0           unassigned      YES unset  up                    up
Internal-Data0/1           169.254.1.1     YES unset  up                    up
Internal-Data0/2           unassigned      YES unset  up                    up
Management0/0              10.0.0.61       YES DHCP   up                    up
TenGigabitEthernet0/0 unassigned YES unset up up
TenGigabitEthernet0/1      unassigned      YES unset  up                    up
vni1 1.2.3. 4 YES manual up up

Assurez-vous que l'interface vni à un seul bras et l'association vtep sont présentes comme indiqué dans ce résultat :

# show run interface vni 1
!
interface vni1
 proxy single-arm
 nameif VNI-Outside
 security-level 0
 ip address 1.2.3. 4 255.255.255.0
 vtep-nve 1

Vérifiez les compteurs d'interface pour l'interface VNI :

# show interface VNI detail

Reportez-vous au Guide de configuration de Firepower Management Center pour plus d'informations.

Historique de révision

Révision	Date de publication	Commentaires
2.0	17-Oct-2023	Titre modifié en : Configurer les interfaces Geneve dans Secure FTDv
1.0	11-Oct-2023	Première publication

Contribution d’experts de Cisco

Jesus Cabrera Medina
Ingénieur-conseil technique

Configuration des interfaces Geneve dans Secure FTDv

Langage exempt de préjugés

À propos de cette traduction

Table des matières

Introduction

Conditions préalables

Exigences

Composants utilisés

Configurer

Configurer la licence de niveau de performances pour FTDv

Configuration de l'interface source VTEP

Configurer l’interface VNI

Vérifier

Dépannage

Historique de révision

Contribution d’experts de Cisco

Ce document vous est-il utile?

Contacter Cisco

Ce document s’applique à ces produits