El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe la función Cisco RADKit Integration in FMC agregada en la versión 7.7.
Problema al que se enfrentan los administradores de firewall
caso de uso
Algunas de las capacidades clave de las que se podrían beneficiar los usuarios tras integrar RADKit en el CSP son:
Novedades: la solución
Integración del servicio RADKit en el diagrama FMC
Este diagrama muestra cómo RADKit permite la comunicación desde el cliente RADKit del usuario (ingeniero TAC) a los dispositivos FTD de producción:
Conceptos básicos: Plataformas admitidas, licencias
Aplicaciones y jefes
Otros aspectos de la asistencia
Dependencias para que la función funcione
Descripción general de características
Configuration Steps: Overview
1. Administrador de dispositivos (usuario administrador de FMC): Habilite e inscriba el servicio RADKit y configure las autorizaciones en la GUI de FMC.
2. Asistencia de Cisco TAC/Cisco: Instale el cliente RADKit en su computadora, acceda y resuelva problemas de los dispositivos desde el cliente RADKit.
Usuario administrador de FMC: Firewall Management Center (Tutorial)
Menú Diagnóstico remoto
Página Diagnóstico remoto inicial
Esta es la página inicial Diagnóstico remoto. El servicio RADKit se puede habilitar activando el switch "Enable the RADKit service":
Inicio del servicio RADKit
Después de habilitar el servicio RADKit, aparecerá una barra de progreso hasta que se inicie el servicio RADKit:
Servicio RADKit habilitado
El siguiente paso es la inscripción en la nube de RADKit haciendo clic en el botón "Inscribirse con SSO".
Inscríbase con SSO: introduzca la dirección de correo electrónico
El paso 1 del proceso de inscripción consiste en introducir la dirección de correo electrónico del usuario para la inscripción en la nube de RADKit:
Inscribirse con SSO: aceptar solicitud de autorización
Se abre una nueva ficha (o ventana, según la configuración del explorador). Haga clic en el botón Accept.
Inscríbase con SSO: autenticación satisfactoria
Tras la correcta autenticación, el usuario puede cerrar la ficha del explorador y volver a la página Diagnóstico remoto de FMC.
Servicio RADKit inscrito
El servicio RADKit se inscribe con el ID de servicio especificado (en este ejemplo, el ID es 8kji-znxg-3gkt). La ID. se puede copiar en el portapapeles. Dáselo al ingeniero del TAC de Cisco para que se pueda conectar al servicio RADKit desde el cliente RADKit.
El siguiente paso consiste en crear una autorización haciendo clic en el botón "Crear nueva autorización":
Crear nueva autorización: Paso 1
Crear nueva autorización: Paso 2
Notas sobre la selección de dispositivos
Crear nueva autorización: Paso 3
Crear nuevo resumen de autorización
El paso final es el resumen de autorización. Aquí, un usuario puede revisar y editar la configuración.
Creación de nueva autorización completada
Una vez finalizada la creación de la autorización, se muestra una pantalla de confirmación:
Lista de autorizaciones actuales, incluida la revocación
Lista de acceso de sudo de dispositivos
Confirmar activación del acceso de sudo de los dispositivos
1. El acceso Sudo se puede habilitar para todos o solo para algunos dispositivos específicos seleccionando los dispositivos y luego haciendo clic en el botón "Enable".
2. Cuando se activa, aparece un cuadro de diálogo de confirmación y se hace clic en Confirmar es necesario.
Dispositivos con Sudo Access activado
Otras notas
API REST del servicio RADKit
Para permitir las operaciones de creación y lectura en el servicio RADKit, se han introducido estas nuevas URL:
Modelo de servicio RADKit
El modelo de servicio RADKit consta de:
Soporte de Cisco: Uso del cliente RADKit
Lado de soporte: Instalación del cliente RADKit
Obtener e instalar el cliente RADKit
El cliente RADKit se puede instalar localmente desde https://radkit.cisco.com/downloads/release/ y luego se inicia desde el terminal con el comando: radkit-client
Los instaladores están disponibles para Windows, MacOS y Linux.
Captura de pantalla del cliente RADKit con comandos de inicio de sesión (detalles en la siguiente sección).
Comandos de Login del Cliente RADKit
>>> client = sso_login("user@cisco.com")
A browser window was opened to continue the authentication process. Please follow the instructions there.
Authentication result received.
>>> service = client.service("8abc-znxg-3abc")
15:09:03.639Z INFO | internal | Connection to forwarder successful [forwarder_base_url='wss://prod.radkit-cloud.cisco.com/forwarder-4/' uri='wss://prod.radkit-cloud.cisco.com/forwarder-4/websocket/']
15:09:03.727Z INFO | internal | Forwarder client created. [forwarder_base_url='wss://prod.radkit-cloud.cisco.com/forwarder-4/']
15:09:04.244Z INFO | internal | Connection to forwarder successful [forwarder_base_url='wss://prod.radkit-cloud.cisco.com/forwarder-1/' uri='wss://prod.radkit-cloud.cisco.com/forwarder-1/websocket/']
15:09:04.332Z INFO | internal | Forwarder client created. [forwarder_base_url='wss://prod.radkit-cloud.cisco.com/forwarder-1/']
Comando RADKit Client Service Inventory
Comando para enumerar el inventario al que el usuario remoto (ingeniero de Cisco TAC) está autorizado a acceder:
>>> service.inventory
<radkit_client.sync.device.DeviceDict object at 0x1154969a0>
name host device_type Terminal Netconf SNMP Swagger HTTP description failed
----------------------- --------- ------------- ---------- --------- ------ --------- ------ ------------- --------
172-16-0-100-1724078669 127.0.0.3 FTD True False False False False 172.16.0.100 False
172-16-0-102-1724078669 127.0.0.2 FTD True False False False False 172.16.0.102 False
firepower-1724078669 127.0.0.1 FMC True False False False False firepower False
Untouched inventory from service 8kji-znxg-3gkt.
Hay un comando de filtro para los dispositivos del inventario (sección siguiente). Utilice el nombre de la columna de la izquierda para iniciar una sesión interactiva con el dispositivo (comando de la próxima sección).
Consejo: Si el inventario está obsoleto, puede actualizarlo mediante el comando:
>>> service.update_Inventory()
Cliente RADKit: Filtrar dispositivos
Comando para filtrar dispositivos en el inventario:
>>> ftds = service.inventory.filter(attr='name',pattern='172-16-0’)
>>> ftds
<radkit_client.sync.device.DeviceDict object at 0x111a93130>
name host device_type Terminal Netconf SNMP Swagger HTTP description failed
----------------------- --------- ------------- ---------- --------- ------ --------- ------ ------------- --------
172-16-0-100-1724078669 127.0.0.3 FTD True False False False False 172.16.0.100 False
172-16-0-102-1724078669 127.0.0.2 FTD True False False False False 172.16.0.102 False
2 device(s) from service 8kji-znxg-3gkt.
Comando RADKit Client Device Interactive Session
Iniciar una sesión interactiva para un dispositivo (en este caso, un FMC) con el nombre "firepower-1724078669" tomado del comando anterior "service.Inventory":
>>> service.inventory["firepower-1724078669"].interactive()
08:56:10.829Z INFO | internal | Starting interactive session (will be closed when detached)
08:56:11.253Z INFO | internal | Session log initialized [filepath='/Users/use/.radkit/session_logs/client/20240820-115610830612-firepower-1724078669.log']
Attaching to firepower-1724078669 ...
Type: ~. to terminate.
~? for other shortcuts.
When using nested SSH sessions, add an extra ~ per level of nesting.
Warning: all sessions are logged. Never type passwords or other secrets, except at an echo-less password prompt.
Copyright 2004-2024, Cisco and/or its affiliates. All rights reserved.
Cisco is a registered trademark of Cisco Systems, Inc.
All other trademarks are property of their respective owners.
Cisco Firepower Extensible Operating System (FX-OS) v82.17.0 (build 170)
Cisco Secure Firewall Management Center for VMware v7.7.0 (build 1376)
Comandos de ejecución del cliente RADKit en dispositivos
Ejecute los comandos en los dispositivos.
>>> result = ftds.exec(['show version', 'show interface'])
>>>
>>> result.status
<RequestStatus.SUCCESS: 'SUCCESS'>
>>>
>>> result.result['172-16-0-100-1724078669']['show version'].data | print
> show version
-------------------[ firepower ]--------------------
Model : Cisco Secure Firewall Threat Defense for VMware (75) Version 7.7.0 (Build 1376)
UUID : 989b0f82-5e2c-11ef-838b-b695bab41ffa
LSP version : lsp-rel-20240815-1151
VDB version : 392
----------------------------------------------------
Considerando este inventario:
>>> service.inventory
[READY] <radkit_client.sync.device.DeviceDict object at 0x192cdb77110>
name host device_type Terminal Netconf SNMP Swagger HTTP description failed
----------------------------- --------- ------------- ---------- --------- ------ --------- ------ ------------------ --------
10-62-184-69-1743156301 127.0.0.4 FTD True False None False False 10.62.184.69 False
fmc1700-1-1742391113 127.0.0.1 FMC True False None False False FMC1700-1 False
ftd3120-3-1743154081 127.0.0.2 FTD True False None False False FTD3120-3 False
ftd3120-4-1743152281 127.0.0.3 FTD True False None False False FTD3120-4 False
Para obtener los detalles de 'show version' de los dispositivos FTD:
>>> command = "show version"
>>> ftds = service.inventory.filter("device_type","FTD").exec(command).wait()
>>>
>>> # Print the results
>>> for key in ftds.result.keys():
... print(key)
... ftds.result.get(key).data | print
... <- Press Enter twice
ftd3120-3-1743154081
> show version
-------------------[ FTD3100-3 ]--------------------
Model : Cisco Secure Firewall 3120 Threat Defense (80) Version 7.7.0 (Build 89)
UUID : 123a456a-cccc-bbbb-aaaa-a123456abcde
LSP version : lsp-rel-20250327-1959
VDB version : 404
----------------------------------------------------
>
10-62-184-69-1743156301
> show version
----------------[ KSEC-FPR1010-10 ]-----------------
Model : Cisco Firepower 1010 Threat Defense (78) Version 7.7.0 (Build 89)
UUID : 123a456a-cccc-bbbb-aaaa-a123456abcde
LSP version : lsp-rel-20250327-1959
VDB version : 404
----------------------------------------------------
>
ftd3120-4-1743152281
> show version
-------------------[ FTD3100-4 ]--------------------
Model : Cisco Secure Firewall 3120 Threat Defense (80) Version 7.7.0 (Build 89)
UUID : 123a456a-cccc-bbbb-aaaa-a123456abcde
LSP version : lsp-rel-20250327-1959
VDB version : 404
----------------------------------------------------
>
Enfoque alternativo:
>>> # Get the FTDs. This returns a DeviceDict object:
... ftds = service.inventory.filter("device_type","FTD")
>>> # Access the dictionary of devices from the _async_object attribute
... devices_obj = ftds.__dict__['_async_object']
>>> # Extract the 'name' from each AsyncDevice object
... names = [device.name() for device in devices_obj.values()]
>>> # Get the 'show version' output from all FTD devices:
... command = "show version"
... show_ver_ftds = []
... for name in names:
... ftd = service.inventory[name]
... req = ftd.exec(command)
... req.wait(30) # depending on the number of devices you might need to increase the timeout value
... show_ver_ftds.append(req.result.data)
>>> # Print the inventory device name + 'show version' output from each device:
... for name, show_version in zip(names, show_ver_ftds):
... print(f"Inventory name: {name}")
... print(show_version[2:-2]) # Remove the leading '> ' and trailing ' \n>'
... print("\n")
Inventory name: ftd3120-3-1743154081
show version
-------------------[ FTD3100-3 ]--------------------
Model : Cisco Secure Firewall 3120 Threat Defense (80) Version 7.7.0 (Build 89)
UUID : 123a456a-cccc-bbbb-aaaa-a123456abcde
LSP version : lsp-rel-20250327-1959
VDB version : 404
----------------------------------------------------
Inventory name: ftd3120-4-1743152281
show version
-------------------[ FTD3100-4 ]--------------------
Model : Cisco Secure Firewall 3120 Threat Defense (80) Version 7.7.0 (Build 89)
UUID : 123a456a-cccc-bbbb-aaaa-a123456abcde
LSP version : lsp-rel-20250327-1959
VDB version : 404
----------------------------------------------------
Inventory name: 10-62-184-69-1743156301
show version
----------------[ KSEC-FPR1010-10 ]-----------------
Model : Cisco Firepower 1010 Threat Defense (78) Version 7.7.0 (Build 89)
UUID : 123a456a-cccc-bbbb-aaaa-a123456abcde
LSP version : lsp-rel-20250327-1959
VDB version : 404
----------------------------------------------------
Obtención de archivos desde dispositivos
Uso de la consola de red RADKit
Actualización a 7.7 y a partir de 7.7
Experiencia con FTD no compatibles
Puntos de resolución de problemas
1. Utilice las herramientas de desarrollo de navegadores y los registros de FMC para ver lo que sucede en FMC.
2. Para problemas de comunicación entre el Servicio RADKit en FMC, RADkit Cloud y el cliente RADKit, mire en el registro del cliente RADKit.
3. Cliente RADKit.
Cómo solucionar problemas: Herramientas de desarrollo del navegador
API de middleware de RADKit Service Go
Go Middleware para la integración RADKit utiliza llamadas API que no están disponibles públicamente a través del explorador de API FMC. El registro de las API de Go Middleware está disponible en /var/log/auth-daemon.log. La funcionalidad que Go Middleware lleva a cabo incluye:
Registros para solucionar problemas del servicio RADKit
/var/log/process_stdout.log
/var/log/process_stderr.log
Todos estos registros se incluyen en los Resoluciones de problemas de FMC/FTD.
Registros para enviar a Cisco TAC
Supervisión del acceso
El registro de a quién se ha concedido acceso durante cuánto tiempo y quién lo ha concedido se encuentra en los registros de auditoría de FMC.
Los registros de sesión de RADKit para las operaciones realizadas desde el cliente RADKit en dispositivos (FMCs y FTDs) están presentes en FMC en /var/lib/radkit/session_logs/service:
Registros de sesiones anteriores de RADKit
Los registros de sesiones de RADKit para las operaciones del dispositivo realizadas desde el cliente RADKit están disponibles para su descarga como un archivo que contiene todos los registros de la pestaña Sesiones anteriores haciendo clic en el botón "Descargar todos los registros".
Ejemplo de Troubleshooting
En caso de error como "Connect to localhost:2080 [localhost/127.0.0.1] failed: Conexión rechazada (conexión rechazada)", intente reiniciar auth-daemon desde una sesión FMC SSH:
root@firepower:~$ sudo pmtool restartbyid auth-daemon
Se agregó la salida de telemetría para esta función:
"remoteDiagnostics" : {
"isRemoteDiagnosticsEnabled": 0 // 0 = false , 1 = true
}
Preguntas más Frecuentes: Inicio de sesión e inscripción
P. ¿La inscripción funciona con proxy si FMC no tiene acceso directo a Internet?
R. Sí, si el proxy tiene acceso a prod.radkit-cloud.cisco.com que se utiliza para el proceso de inscripción.
P. ¿Puede un usuario utilizar su propio IdP para este servicio?
R. Solo se acepta Cisco SSO en la nube de RADKit. Existe la opción de asociar la cuenta de su empresa a una cuenta de Cisco, de modo que la inscripción al servicio RADKit sea posible con un correo electrónico que no sea de Cisco.
Preguntas más Frecuentes: Versiones de RADKit
P. ¿Qué versión de RADkit se incluye en FMC en la versión 7.7? ¿Cómo podemos saber qué versión de RADKit está incluida en FMC? ¿Es algo que se pueda actualizar sin una actualización de FMC?
A.
Preguntas más Frecuentes: Otro
P. ¿Podrían incluirse dispositivos externos (no gestionados por el CSP)?
R. Solo los dispositivos gestionados por el CSP pueden añadirse al inventario RADKit y, a continuación, se puede acceder a ellos a través de una autorización.
P. ¿Se realiza una copia de seguridad de la configuración de RADKit como parte de la copia de seguridad de FMC?
A.
Enlaces útiles:
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
19-Mar-2025
|
Versión inicial |