Interfaces no Cisco FTD: onde encontrar e como analisar

William Neumann Back to Basics, Cisco, Security, , ,

Um guia de sobrevivência prático para não se perder entre FTD, LINA e FXOS

Quem viveu a evolução do Cisco ASA até o atual Firepower Threat Defense (FTD) já entendeu que muita coisa mudou, e mudou para melhor. Hoje quase tudo é centralizado no FMC, a gestão ficou mais visual e o produto amadureceu bastante.

Mesmo assim, ainda existem alguns pontos onde a integração não é tão transparente quanto gostaríamos. Um desses pontos aparece justamente quando precisamos analisar interfaces físicas. E normalmente isso surge no pior momento possível, não é verdade? Sempre durante um troubleshooting!

A ideia deste artigo é mostrar onde essas interfaces realmente estão, por que elas não aparecem onde esperamos e qual CLI usar para enxergar o que está acontecendo de verdade.

Cenário de hardware

Vamos usar como referência o Cisco Secure Firewall 3100.

https://www.cisco.com/c/en/us/products/collateral/security/firewalls/secure-firewall-3100-series-ds.html

Esse equipamento possui:

  • 16 interfaces onboard
    • 8 interfaces de cobre
    • 8 interfaces SFP

Neste ambiente, não há módulo adicional instalado, e o firewall opera com port-channel configurado para o tráfego de dados.

Entendendo as “camadas de CLI” do FTD
Para responder isso, é essencial entender que o FTD não é um único sistema, mas a soma de algumas peças diferentes.

🔹 FTD CLI

É o CLI principal do appliance FTD e normalmente o primeiro ponto de contato durante uma análise ou troubleshooting.
Grande parte dos comandos disponíveis aqui vêm diretamente do LINA, o que torna esse CLI familiar para quem já trabalhou com firewalls Cisco tradicionais.

No FTD CLI é possível:

  • Ver status lógico das interfaces
  • Analisar configurações de port-channels
  • Verificar rotas, ARP e conexões
  • Executar comandos de diagnóstico

➡️ Limitação: o FTD CLI apresenta apenas a visão lógica do firewall. Informações de baixo nível, como estado físico detalhado das portas, erros de link e estatísticas específicas de hardware, nem sempre aparecem aqui e dependem do FXOS para uma análise mais precisa.

🔹 LINA (antigo ASA)

O LINA é o engine de firewall herdado do Cisco ASA, responsável pelo processamento clássico de funções como ACLs, NAT, inspeção de tráfego e gerenciamento de conexões, entre outras. Mesmo no FTD, ele continua existindo “por baixo dos panos” e pode ser acessado para fins de diagnóstico.

O acesso ao LINA ocorre a partir do FTD CLI com o comando:

> system support diagnostic-cli

Nesse contexto, os comandos e outputs são praticamente idênticos aos do ASA tradicional, o que facilita bastante a vida de quem já tem experiência com a plataforma.

  • Ver conexões ativas (show conn)
  • Analisar NAT e ACLs
  • Ver tabelas de NAT e inspeção
  • Executar diagnósticos clássicos de firewall

➡️ Resultado: o comportamento é o mesmo do FTD CLI. As interfaces continuam invisíveis. Isso acontece porque o FTD apenas repassa essa informação do LINA, sem acrescentar nada novo.

➡️ Limitação: o LINA não possui visão direta do hardware. Assim como o FTD CLI, ele trabalha com uma camada lógica e não exibe detalhes físicos das interfaces, principalmente quando envolvem módulos, estatísticas de baixo nível ou estados reais de link.

O FXOS é o sistema responsável por integrar o hardware ao FTD, fazendo a ponte entre a plataforma física e os serviços de firewall. Diferente do FTD CLI e do LINA, aqui a visão é totalmente orientada ao hardware.

É no FXOS que o estado real do equipamento existe. Tudo o que envolve interfaces físicas, módulos, port-channels, uplinks, erros de link e estatísticas de baixo nível passa por ele.

O acesso ao FXOS ocorre a partir do FTD CLI com:

> connect fxos
Cisco Firepower Extensible Operating System (FX-OS) Software
TAC support: http://www.cisco.com/tac
Copyright (c) 2009-2019, Cisco Systems, Inc. All rights reserved.
The copyrights to certain works contained in this software are
owned by other third parties and used and distributed under
license.
Certain components of this software are licensed under the "GNU General Public
License, version 3" provided with ABSOLUTELY NO WARRANTY under the terms of
"GNU General Public License, Version 3", available here:
http://www.gnu.org/licenses/gpl.html. See User Manual (''Licensing'') for
details.
Certain components of this software are licensed under the "GNU General Public
License, version 2" provided with ABSOLUTELY NO WARRANTY under the terms of
"GNU General Public License, version 2", available here:
http://www.gnu.org/licenses/old-licenses/gpl-2.0.html. See User Manual
(''Licensing'') for details.
Certain components of this software are licensed under the "GNU LESSER GENERAL
PUBLIC LICENSE, version 3" provided with ABSOLUTELY NO WARRANTY under the terms
of "GNU LESSER GENERAL PUBLIC LICENSE" Version 3", available here:
http://www.gnu.org/licenses/lgpl.html. See User Manual (''Licensing'') for
details.
Certain components of this software are licensed under the "GNU Lesser General
Public License, version 2.1" provided with ABSOLUTELY NO WARRANTY under the
terms of "GNU Lesser General Public License, version 2", available here:
http://www.gnu.org/licenses/old-licenses/lgpl-2.1.html. See User Manual
(''Licensing'') for details.
Certain components of this software are licensed under the "GNU Library General
Public License, version 2" provided with ABSOLUTELY NO WARRANTY under the terms
of "GNU Library General Public License, version 2", available here:
http://www.gnu.org/licenses/old-licenses/lgpl-2.0.html. See User Manual
(''Licensing'') for details.
firepower01#

Em seguida, entre no contexto de gerenciamento local:

firepower01# connect local-mgmt 
firepower01(local-mgmt)#

No FXOS é possível:

  • Ver o estado físico real das interfaces (UP/DOWN)
  • Analisar estatísticas e erros de porta
  • Validar interfaces de módulos
  • Ver port-channels no nível de hardware
  • Confirmar se as portas estão habilitadas e associadas corretamente ao logical device

Checando port-channels no FXOS

Se o ambiente utiliza port-channels, também é possível verificar:

  • Estado do port-channel
  • Interfaces do port-channel
  • Associação correta das portas

firepower01(local-mgmt)# show portchannel summary 
Flags:  D - Down        P - Up in port-channel (members)
I - Individual  H - Hot-standby (LACP only)
s - Suspended   r - Module-removed
S - Switched    R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
-------------------------------------------------------------------------------
Group Port-       Type     Protocol  Member Ports
      Channel
--------------------------------------------------------------------------------
30    Po30(U)     Eth      LACP      Eth1/9(P)    Eth1/10(P)   
LACP KeepAlive Timer:
--------------------------------------------------------------------------------
      Channel  PeerKeepAliveTimerFast
--------------------------------------------------------------------------------
30    Po30(U)     False          
Cluster LACP Status:
--------------------------------------------------------------------------------
      Channel  ClusterSpanned  ClusterDetach  ClusterUnitID  ClusterSysID
--------------------------------------------------------------------------------
30    Po30(U)     False          False          0                    
firepower01(local-mgmt)#

Tudo isso ainda dentro do contexto local-mgmt, usando comandos de exibição de port-channel.

Análise avançada com scope

Para quem precisa ir além, o FXOS permite navegar por diferentes scopes, chegando até o fabric interconnect, que representa os uplinks Ethernet do chassis.

Nesse nível, é possível:

  • Ver interfaces físicas individualmente
  • Confirmar se fazem parte de um port-channel
  • Validar se estão habilitadas pelo gerenciamento via FMC

firepower01# scope eth-uplink 
firepower01 /eth-uplink # scope fabric a
firepower01 /eth-uplink/fabric # enter port-channel 30
firepower01 /eth-uplink/fabric/port-channel #
firepower01 /eth-uplink/fabric/port-channel # show member-port 
Member Port:
    Port Name       Membership         Admin State Oper State       State Reason
    --------------- ------------------ ----------- ---------------- ------------
    Ethernet1/10    Up                 Enabled     Up               Up
    Ethernet1/9     Up                 Enabled     Up               Up

Essa visão é útil quando o FMC mostra tudo “verde”, mas o link físico insiste em não subir.

Conclusão

No Cisco Secure Firewall, nem tudo que existe no hardware aparece na CLI principal, e isso não é exatamente um erro, mas uma consequência da arquitetura do produto.

Quando lidamos com módulos de rede, o FXOS deixa de ser opcional e passa a ser parte essencial do troubleshooting.

Quanto mais familiaridade você tem com:

  • As camadas do FTD
  • O papel do FXOS
  • Os limites do FMC e do CLI tradicional

Mais rápido você sai do achismo e entra em um diagnóstico realmente técnico.

Minha dica final: explore o FXOS em laboratório, entenda os scopes e saiba exatamente onde procurar cada tipo de informação. Isso economiza tempo, evita decisões erradas e mantém você longe do Lado Sombrio da Força. ⚔️

Deixe um comentário