« Rev
@ntwrk   130
Fwd »


Wingman
я как раз за пару дней до открытия был, не вовремя(
Tema
платно там? надо бы платно иначе адок будет
Andrew
да, с впном не оч
ну у нас K8, пожэтому с впн как-то не оч) чисто под anyconnect будут старые 5520, больше не нужно, все равно их некуда девать
Wingman
платно там? надо бы платно иначе адок будет
благотворители ещё в ссср перевелись)
Eugene
а чуваки там интересно, пешком наверх собрались?
Tema
аа
Tema
это они проверяют трение
Eugene
надо пустить плюху сверху
Andrew
ну тогда всё интуитивно. Важно! FMC будете использовать?
есть он. раньше не имел дела, он же чисто для FirePower сервисов?
Tema
там наверное как в аквапарке будет, следующий не поедет пока снизу все не свалят
Aleksey
у нас FMC, но всю жисть в кли :)
надо привыкать к FMC. ASA с Firepower только 50% функций через CLI можно - (интерфейсы,routing, NAT, Remote Access), а вся фильтрация трафика через FMC настраиваеться, в том числе User Identify, AMP и IPS. Важно четко разобраться, что через что управляется. Со стороны ASA весь A/S Failover делаеться по старинке. В FMC файловера как такового нет, он видит два независимых sfr модуля - надо просто позаботиться что бы созданные вами политики всегда были идиентичны на обоих, что бы в случае ситуации с переключением резервный sfr понимал что делать с трафиком. Для A/A со стороны sfr тоже всё прозрачно, вот только правила не обязательно должны быть идиентичные на обоих модулях, а это геморой - надо создавать разные полиси и на каждый sfr пушить свою - а это большое поле для ошибок.
Eugene
если же у тебя FTD, тогда и для ипс-а и для ацл-ей и для всего
Aleksey
ASDM и CLI убраны на 99%
Eugene
просто получается довольно кардинальный переход, скажем так, мы такого не ожидали
Eugene
тоесть переход на FTD считай тож самое что переход на палусральту
Eugene
или фортинет, по трудозатратам и самообучению
Aleksey
ASA не IDFW :)
Aleksey
как бы они не хотели
Aleksey
и не NGFW соответсвенно
Andrew
надо привыкать к FMC. ASA с Firepower только 50% функций через CLI можно - (интерфейсы,routing, NAT, Remote Access), а вся фильтрация трафика через FMC настраиваеться, в том числе User Identify, AMP и IPS. Важно четко разобраться, что через что управляется. Со стороны ASA весь A/S Failover делаеться по старинке. В FMC файловера как такового нет, он видит два независимых sfr модуля - надо просто позаботиться что бы созданные вами политики всегда были идиентичны на обоих, что бы в случае ситуации с переключением резервный sfr понимал что делать с трафиком. Для A/A со стороны sfr тоже всё прозрачно, вот только правила не обязательно должны быть идиентичные на обоих модулях, а это геморой - надо создавать разные полиси и на каждый sfr пушить свою - а это большое поле для ошибок.
спасибо. по сути выходит так: на асах либо A/S failover, либо кластер, фаерповер уже через FMC осталось понять, нужен ли мне кластер ))
Eugene
спасибо. по сути выходит так: на асах либо A/S failover, либо кластер, фаерповер уже через FMC осталось понять, нужен ли мне кластер ))
тебе то может быть и нужен, в резюме написать, вопрос нужно ли оно твоему энтерпрайзу :)
Andrew
и не NGFW соответсвенно
но с FirePower сервисами это же функционал FTD выходит? NGFW, NGIPS вот это все?
Purrr
граждане
Purrr
а никто не продает для аэспи8к бп для мх80 ац ?
Alexander
FTD не поддерживает кластер, только фейловер
A/A фейловер также не поддерживается на FTD
Purrr
за дошики желательно
Andrew
FTD не поддерживает кластер, только фейловер
а ссылкой не кинете, плз, где такое сказано?
Aleksey
но с FirePower сервисами это же функционал FTD выходит? NGFW, NGIPS вот это все?
FTD и SFR по сути выполняют одно и тоже с точки зрения функций файервола. Меняется подход в настройке в сторону ухода от ASDM
Aleksey
а ссылкой не кинете, плз, где такое сказано?
ну он дохера чего не поддерживает если разобраться.
Alexander
а ссылкой не кинете, плз, где такое сказано?
а где вы видели настройки мультиконтекста в FMC?
Aleksey
https://www.cisco.com/c/en/us/td/docs/security/firepower/601/configuration/guide/fpmc-config-guide-v601/fpmc-config-guide-v601_chapter_01100110.pdf
Eugene
FTD не поддерживает кластер, только фейловер
а там интра-чассис лоджикал девайс кластеринг, не оно не?
Alexander
FTD support for multiple context is planned for a future release but the release is not yet confirmed. I wouldn't expect it this year (2017).
Eugene
я пока что по большей части обзорно все это пробежал
vitex
вот такие тренеры цыско у нас к ним Коля сходит на тренинг, а потом езернет на третий уровень переходит
Eugene
ну он дохера чего не поддерживает если разобраться.
SSFIPS курс кстати 4кбакса стоит 🙈
Alexander
FTD и FMC очень сырой еще, за год около 15 багов завел
Alexander
некоторые приводили к полной недоступности сервисов.
Aleksey
SSFIPS курс кстати 4кбакса стоит 🙈
ну ребята деньги зарабатывают вообще-то :)
Eugene
хренассебе
Aleksey
FTD Не трогать руками еще года 2-3
Alexander
поэтому я двумя руками за SFR
ну на них теже проблемы собственно, но можно быстро редирект убрать)
Aleksey
ну на них теже проблемы собственно, но можно быстро редирект убрать)
можно быстро нахуй отключить SFR и пустить все по стандартной ASA
Aleksey
это главный плюс
Eugene
блять блять... а мне с 4110 то что делать?!1
Alexander
это главный плюс
про это и говорю
Andrew
чет я запутался. т.е. вот имеем асу с FirePower services (т.е. куплен бандл по спеке, в которой есть Cisco FirePOWER Software v6.2 for ASA 5500-X, SF-ASA-FP6.2-K9) и есть отдельно лицензии IPS/AMP/URL и отлдельно FirePower mgmt center сами асы рулятся по старинке через cli/asdm FP сервисы - через FP mgmt center?
Alexander
блять блять... а мне с 4110 то что делать?!1
ее можно перешить на образ обычной асы)
Alexander
на реддите я даже пост находил
Alexander
люди бегут нахер обратно на асу
Eugene
а два лоджикал девайса на сервис-модуле оно же не умеет да?
Eugene
FMC + CLI + ASDM
Aleksey
почему в 3х?
ну я CLI добавил. так как в нем некоторые вещи делать удобнее чем в ASDM.
Andrew
именно по этому Cisco пилит FTD - так как кастумеры охуевают от того что одно устройство надо админить в 3-х местах!!!
вот и фиг знает, что лучше - аса с отключаемыми (и как выше написали глючными) сервисами , или апплаенс ftd...
Aleksey
итого FMC+ASDM+CLI
Alexander
аа, ну ASDM только для настройки RA VPN можно применять
Andrew
аа, ну ASDM только для настройки RA VPN можно применять
только для этого его и использовал)
Eugene
итого FMC+ASDM+CLI
а еще петон, янг и рест-апи же!
Eugene
итого 6 как минимум
Aleksey
аа, ну ASDM только для настройки RA VPN можно применять
а мне realtime log monitor нравится. можете меня унижать.
Alexander
самое хуевое чего нет в FTD и видимо не скоро будет это VTI
Aleksey
а еще петон, янг и рест-апи же!
точно. я и забыл что в ASA API есть теперь
Alexander
особенно в датацентре или облаке, поэтому многие шьют свой аплайнсы обратно в асу 9.8 и выше и делают на VTI туннели
Alexander
такой вопрос, а кто нибудь делал миграцию конфига с асы на FMC?
Eugene
такой вопрос, а кто нибудь делал миграцию конфига с асы на FMC?
нам цуско AS посоветовали сделать это вручную
Eugene
безо всяких конвертаторов
« Rev
@ntwrk   130
Fwd »