Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit la fonctionnalité Cisco RADKit Integration dans FMC ajoutée dans la version 7.7.
Problème rencontré par les administrateurs de pare-feu
Scénario
Voici quelques-unes des fonctionnalités clés dont les utilisateurs pourraient bénéficier après l'intégration de RADKit dans le FMC :
Nouveautés - Solution
Intégration du service RADKit dans le diagramme FMC
Ce schéma montre comment RADKit permet la communication entre le client RADKit de l'utilisateur (ingénieur TAC) et les périphériques FTD de production :
Notions de base Plates-formes prises en charge, licences
Applications et gestionnaires
Autres aspects du soutien
Dépendances pour le fonctionnement de la fonctionnalité
Présentation des fonctionnalités
Configuration Steps: Aperçu
1. Administrateur de périphérique (utilisateur administrateur FMC) : Activez et inscrivez le service RADKit et configurez les autorisations sur l'interface utilisateur graphique FMC.
2. Assistance Cisco TAC/Cisco : Installez le client RADKit sur leur ordinateur, accédez aux périphériques et dépannez-les à partir du client RADKit.
Utilisateur admin FMC : Procédure pas à pas de Firewall Management Center
Menu Diagnostics à distance
Page Diagnostics à distance initiaux
Il s'agit de la page Diagnostics à distance initiale. Le service RADKit peut être activé en activant le commutateur « Activer le service RADKit » :
Démarrage du service RADKit
Après avoir activé le service RADKit, une barre de progression apparaît jusqu'à ce que le service RADKit soit démarré :
Service RADKit activé
L'étape suivante consiste à vous inscrire dans le cloud RADKit en cliquant sur le bouton « S'inscrire avec SSO ».
S'inscrire avec SSO - Saisir une adresse e-mail
L'étape 1 du processus d'inscription consiste à saisir l'adresse e-mail de l'utilisateur pour l'inscription au cloud RADKit :
S'inscrire avec SSO - Accepter la demande d'autorisation
Un nouvel onglet de navigateur (ou une nouvelle fenêtre, selon les paramètres du navigateur) s'ouvre. Cliquez sur le bouton Accepter.
Inscription avec SSO - Authentification réussie
Une fois l'authentification réussie, l'utilisateur peut fermer l'onglet du navigateur et revenir à la page Diagnostics à distance FMC.
Service RADKit inscrit
Le service RADKit est inscrit avec l'ID de service spécifié (dans cet exemple, l'ID est 8kji-znxg-3gkt). L'ID peut être copié dans le Presse-papiers. Adressez-le à l'ingénieur du centre d'assistance technique Cisco afin qu'il puisse se connecter au service RADKit à partir du client RADKit.
L'étape suivante consiste à créer une autorisation en cliquant sur le bouton « Create New Authorization » :
Créer une nouvelle autorisation : Étape 1
Créer une nouvelle autorisation : Étape 2
Remarques sur les périphériques de prélèvement
Créer une nouvelle autorisation : Étape 3
Créer un résumé d'autorisation
La dernière étape est le résumé de l'autorisation. Ici, un utilisateur peut vérifier et modifier la configuration.
Création d'autorisation terminée
Un écran de confirmation s'affiche une fois la création de l'autorisation terminée :
Liste Des Autorisations Actuelles, Y Compris Retrait
Liste d'accès Sudo
Confirmer l'activation de l'accès sudo aux périphériques
1. L'accès sudo peut être activé pour tous ou seulement pour certains périphériques spécifiques en sélectionnant les périphériques puis en cliquant sur le bouton "Activer".
2. Lors de l'activation, une boîte de dialogue de confirmation s'affiche et vous devez cliquer sur Confirmer.
Périphériques Sudo Access activés
Autres remarques
API REST du service RADKit
Pour prendre en charge les opérations de création et de lecture sur le service RADKit, ces nouvelles URL ont été introduites :
Modèle de service RADKit
Le modèle de service RADKit comprend :
Assistance Cisco : Utilisation du client RADKit
Côté assistance : Installation du client RADKit
Obtention et installation du client RADKit
Le client RADKit peut être installé localement à partir de https://radkit.cisco.com/downloads/release/ puis lancé à partir du terminal avec la commande : radkit-client
Les programmes d'installation sont disponibles pour Windows, MacOS et Linux.
Capture d'écran du client RADKit avec les commandes de connexion (détails sur la section suivante).
Commandes de connexion du client RADKit
>>> client = sso_login("user@cisco.com")
A browser window was opened to continue the authentication process. Please follow the instructions there.
Authentication result received.
>>> service = client.service("8abc-znxg-3abc")
15:09:03.639Z INFO | internal | Connection to forwarder successful [forwarder_base_url='wss://prod.radkit-cloud.cisco.com/forwarder-4/' uri='wss://prod.radkit-cloud.cisco.com/forwarder-4/websocket/']
15:09:03.727Z INFO | internal | Forwarder client created. [forwarder_base_url='wss://prod.radkit-cloud.cisco.com/forwarder-4/']
15:09:04.244Z INFO | internal | Connection to forwarder successful [forwarder_base_url='wss://prod.radkit-cloud.cisco.com/forwarder-1/' uri='wss://prod.radkit-cloud.cisco.com/forwarder-1/websocket/']
15:09:04.332Z INFO | internal | Forwarder client created. [forwarder_base_url='wss://prod.radkit-cloud.cisco.com/forwarder-1/']
Commande RADKit Client Service Inventory
Commande permettant de répertorier l'inventaire auquel l'utilisateur distant (ingénieur TAC Cisco) est autorisé à accéder :
>>> service.inventory
<radkit_client.sync.device.DeviceDict object at 0x1154969a0>
name host device_type Terminal Netconf SNMP Swagger HTTP description failed
----------------------- --------- ------------- ---------- --------- ------ --------- ------ ------------- --------
172-16-0-100-1724078669 127.0.0.3 FTD True False False False False 172.16.0.100 False
172-16-0-102-1724078669 127.0.0.2 FTD True False False False False 172.16.0.102 False
firepower-1724078669 127.0.0.1 FMC True False False False False firepower False
Untouched inventory from service 8kji-znxg-3gkt.
Il existe une commande de filtre pour les périphériques de l'inventaire (section suivante). Utilisez le nom dans la colonne de gauche pour démarrer une session interactive avec le périphérique (commande sur la section suivante).
Conseil : Si l'inventaire est obsolète, vous pouvez le mettre à jour à l'aide de la commande :
>>> service.update_inventory()
Client RADKit : Filtrer les périphériques
Commande de filtrage des périphériques de l'inventaire :
>>> ftds = service.inventory.filter(attr='name',pattern='172-16-0’)
>>> ftds
<radkit_client.sync.device.DeviceDict object at 0x111a93130>
name host device_type Terminal Netconf SNMP Swagger HTTP description failed
----------------------- --------- ------------- ---------- --------- ------ --------- ------ ------------- --------
172-16-0-100-1724078669 127.0.0.3 FTD True False False False False 172.16.0.100 False
172-16-0-102-1724078669 127.0.0.2 FTD True False False False False 172.16.0.102 False
2 device(s) from service 8kji-znxg-3gkt.
Commande de session interactive du périphérique client RADKit
Lancement d’une session interactive pour un périphérique (dans ce cas un FMC) avec le nom « firepower-1724078669 » tiré de la commande précédente « service.inventory » :
>>> service.inventory["firepower-1724078669"].interactive()
08:56:10.829Z INFO | internal | Starting interactive session (will be closed when detached)
08:56:11.253Z INFO | internal | Session log initialized [filepath='/Users/use/.radkit/session_logs/client/20240820-115610830612-firepower-1724078669.log']
Attaching to firepower-1724078669 ...
Type: ~. to terminate.
~? for other shortcuts.
When using nested SSH sessions, add an extra ~ per level of nesting.
Warning: all sessions are logged. Never type passwords or other secrets, except at an echo-less password prompt.
Copyright 2004-2024, Cisco and/or its affiliates. All rights reserved.
Cisco is a registered trademark of Cisco Systems, Inc.
All other trademarks are property of their respective owners.
Cisco Firepower Extensible Operating System (FX-OS) v82.17.0 (build 170)
Cisco Secure Firewall Management Center for VMware v7.7.0 (build 1376)
Commandes d'exécution du client RADKit sur les périphériques
Exécutez les commandes sur les périphériques !
>>> result = ftds.exec(['show version', 'show interface'])
>>>
>>> result.status
<RequestStatus.SUCCESS: 'SUCCESS'>
>>>
>>> result.result['172-16-0-100-1724078669']['show version'].data | print
> show version
-------------------[ firepower ]--------------------
Model : Cisco Secure Firewall Threat Defense for VMware (75) Version 7.7.0 (Build 1376)
UUID : 989b0f82-5e2c-11ef-838b-b695bab41ffa
LSP version : lsp-rel-20240815-1151
VDB version : 392
----------------------------------------------------
Considérant cet inventaire :
>>> service.inventory
[READY] <radkit_client.sync.device.DeviceDict object at 0x192cdb77110>
name host device_type Terminal Netconf SNMP Swagger HTTP description failed
----------------------------- --------- ------------- ---------- --------- ------ --------- ------ ------------------ --------
10-62-184-69-1743156301 127.0.0.4 FTD True False None False False 10.62.184.69 False
fmc1700-1-1742391113 127.0.0.1 FMC True False None False False FMC1700-1 False
ftd3120-3-1743154081 127.0.0.2 FTD True False None False False FTD3120-3 False
ftd3120-4-1743152281 127.0.0.3 FTD True False None False False FTD3120-4 False
Pour obtenir les détails 'show version' à partir des périphériques FTD :
>>> command = "show version"
>>> ftds = service.inventory.filter("device_type","FTD").exec(command).wait()
>>>
>>> # Print the results
>>> for key in ftds.result.keys():
... print(key)
... ftds.result.get(key).data | print
... <- Press Enter twice
ftd3120-3-1743154081
> show version
-------------------[ FTD3100-3 ]--------------------
Model : Cisco Secure Firewall 3120 Threat Defense (80) Version 7.7.0 (Build 89)
UUID : 123a456a-cccc-bbbb-aaaa-a123456abcde
LSP version : lsp-rel-20250327-1959
VDB version : 404
----------------------------------------------------
>
10-62-184-69-1743156301
> show version
----------------[ KSEC-FPR1010-10 ]-----------------
Model : Cisco Firepower 1010 Threat Defense (78) Version 7.7.0 (Build 89)
UUID : 123a456a-cccc-bbbb-aaaa-a123456abcde
LSP version : lsp-rel-20250327-1959
VDB version : 404
----------------------------------------------------
>
ftd3120-4-1743152281
> show version
-------------------[ FTD3100-4 ]--------------------
Model : Cisco Secure Firewall 3120 Threat Defense (80) Version 7.7.0 (Build 89)
UUID : 123a456a-cccc-bbbb-aaaa-a123456abcde
LSP version : lsp-rel-20250327-1959
VDB version : 404
----------------------------------------------------
>
Autre approche :
>>> # Get the FTDs. This returns a DeviceDict object:
... ftds = service.inventory.filter("device_type","FTD")
>>> # Access the dictionary of devices from the _async_object attribute
... devices_obj = ftds.__dict__['_async_object']
>>> # Extract the 'name' from each AsyncDevice object
... names = [device.name() for device in devices_obj.values()]
>>> # Get the 'show version' output from all FTD devices:
... command = "show version"
... show_ver_ftds = []
... for name in names:
... ftd = service.inventory[name]
... req = ftd.exec(command)
... req.wait(30) # depending on the number of devices you might need to increase the timeout value
... show_ver_ftds.append(req.result.data)
>>> # Print the inventory device name + 'show version' output from each device:
... for name, show_version in zip(names, show_ver_ftds):
... print(f"Inventory name: {name}")
... print(show_version[2:-2]) # Remove the leading '> ' and trailing ' \n>'
... print("\n")
Inventory name: ftd3120-3-1743154081
show version
-------------------[ FTD3100-3 ]--------------------
Model : Cisco Secure Firewall 3120 Threat Defense (80) Version 7.7.0 (Build 89)
UUID : 123a456a-cccc-bbbb-aaaa-a123456abcde
LSP version : lsp-rel-20250327-1959
VDB version : 404
----------------------------------------------------
Inventory name: ftd3120-4-1743152281
show version
-------------------[ FTD3100-4 ]--------------------
Model : Cisco Secure Firewall 3120 Threat Defense (80) Version 7.7.0 (Build 89)
UUID : 123a456a-cccc-bbbb-aaaa-a123456abcde
LSP version : lsp-rel-20250327-1959
VDB version : 404
----------------------------------------------------
Inventory name: 10-62-184-69-1743156301
show version
----------------[ KSEC-FPR1010-10 ]-----------------
Model : Cisco Firepower 1010 Threat Defense (78) Version 7.7.0 (Build 89)
UUID : 123a456a-cccc-bbbb-aaaa-a123456abcde
LSP version : lsp-rel-20250327-1959
VDB version : 404
----------------------------------------------------
Obtention de fichiers à partir de périphériques
Utilisation de la console réseau RADKit
Mise à niveau vers 7.7 et à partir de 7.7
Expérience avec les FTD non pris en charge
Points de dépannage
1. Utilisez les outils de développement de navigateur et les journaux FMC pour voir ce qui se passe dans FMC.
2. Pour les problèmes de communication entre le service RADKit sur FMC, le cloud RADkit et le client RADKit, consultez la journalisation du client RADKit.
3. Client RADKit.
Procédure de dépannage : Outils de développement du navigateur
API intermédiaires RADKit Service Go
Go Middleware pour l'intégration RADKit utilise des appels d'API qui ne sont pas disponibles publiquement via l'explorateur d'API FMC. Le journal Go Middleware API est disponible à l'adresse /var/log/auth-daemon.log. Fonctionnalités de Go Middleware :
Journaux de dépannage du service RADKit
/var/log/process_stdout.log
/var/log/process_stderr.log
Tous ces journaux sont inclus dans les dépannages FMC/FTD.
Journaux à envoyer au TAC Cisco
Contrôle des accès
La consignation des personnes auxquelles l’accès a été accordé pendant combien de temps et des personnes auxquelles il a été accordé se trouve dans les journaux d’audit de FMC.
Les journaux de session RADKit pour les opérations effectuées à partir du client RADKit sur les périphériques (FMC et FTD) sont présents sur FMC à l'adresse /var/lib/radkit/session_logs/service :
Journaux des sessions précédentes RADKit
Les journaux des sessions RADKit pour les opérations de périphérique effectuées à partir du client RADKit sont disponibles pour téléchargement sous forme d'archive contenant tous les journaux dans l'onglet Sessions précédentes en cliquant sur le bouton « Download All Logs ».
Exemple de dépannage
En cas d'erreur du type « Échec de la connexion à localhost : 2080 [localhost/127.0.0.1] : Connexion refusée (Connexion refusée) », essayez de redémarrer le démon auth à partir d'une session FMC SSH :
root@firepower:~$ sudo pmtool restartbyid auth-daemon
La sortie de télémétrie a été ajoutée pour cette fonctionnalité :
"remoteDiagnostics" : {
"isRemoteDiagnosticsEnabled": 0 // 0 = false , 1 = true
}
FAQ: Connexion et inscription
Q. L'inscription fonctionne-t-elle avec un proxy si FMC n'a pas d'accès direct à Internet ?
R. Oui, si le proxy a accès à prod.radkit-cloud.cisco.com qui est utilisé pour le processus d'inscription.
Q. Un utilisateur peut-il utiliser son propre IDp pour ce service ?
R. Seul Cisco SSO est accepté sur le cloud RADKit. Il est possible d'associer votre compte d'entreprise à un compte Cisco, afin que l'inscription au service RADKit soit possible avec un e-mail non Cisco.
FAQ: Versions RADKit
Q. Quelle version de RADkit est incluse dans FMC dans la version 7.7 ? Comment savoir quelle version de RADKit est incluse dans FMC ? Est-ce quelque chose qui peut être mis à jour sans mise à niveau FMC ?
A.
FAQ: Other (autre)
Q. Les périphériques externes non gérés par le FMC peuvent-ils être inclus ?
R. Seuls les périphériques gérés par le FMC peuvent être ajoutés à l'inventaire RADKit, puis peuvent être accessibles via une autorisation.
Q. La configuration RADKit est-elle sauvegardée dans le cadre de la sauvegarde FMC ?
A.
Liens utiles:
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
19-Mar-2025
|
Première publication |