Configurer l’application de mise à niveau des terminaux pour ACI

La tâche suivante vous permet de configurer l'application de mise à niveau des terminaux pour ACI pour communiquer avec le centre de gestion, avec l’ASA et avec les objets dynamiques.

Conditions préalables à la configuration

Les rubriques suivantes traitent des tâches préalables que vous devez effectuer avant de configurer l'application de mise à niveau des terminaux pour ACI.

Configurer les domaines et sous-domaines du centre de gestion

Cette section s’applique uniquement aux appareils du centre de gestion. Les appareils ASA n’ont pas de domaine.

Les données d’un détenteur APIC sont poussées et fusionnées vers un domaine de centre de gestion particulier que vous configurez. L’APIC ne modifie ni ne supprime pas tout autre objet dans un autre domaine decentre de gestion. Notez que les objets définis dans un domaine sont visibles et utilisables dans les sous-domaines d’un centre de gestion, ce qui peut être un moyen de partager un objet entre sous-domaines.

Pour en savoir plus sur les domaines, voir le chapitre sur la gestion des domaines dans le Guide de configuration de Cisco Cisco Secure Firewall Management Center.

Créer des domaines et des sous-domaines

Avant de continuer, assurez-vous que vous avez créé tous les utilisateurs, domaines et sous-domaines sur le serveur centre de gestion. Les utilisateurs du sous-domaine doivent être créés dans le bon domaine (System (system gear icon) > Utilisateurs > Créer un utilisateur. Si nécessaire, cliquez sur Add Domain (ajouter un domaine) pour ajouter l’utilisateur au domaine souhaité).

Pour créer un domaine sur le centre de gestion :

  1. Connectez-vous au centre de gestion.

  2. Cliquez sur System (system gear icon) > Domains (domaines) > Add Domain (ajouter un domaine).

  3. Saisissez les informations requises.

  4. Cliquez sur Save (enregistrer).

  5. Cliquez sur Save (enregistrer).

Exemples

Lorsque vous créez un appareil dans l'application de mise à niveau des terminaux pour ACI :

  • Entrez un nom d’utilisateur uniquement pour pousser et fusionner la configuration vers le domaine Global par défaut sur le centre de gestion.

  • Dans le champ FMC Domain Name (nom de domaine FMC), entrez un domaine au format domaine1 \domaine2 pour obtenir des données dynamiques du détenteur, accéder au centre de gestion t mettre à jour les objets du sous-ensemble intitulé domaine1 \domaine2 du domaine global.

  • Dans le champ FMC Username (nom d’utilisateur FCVM), entrez le nom d’un utilisateur ayant des privilèges pour mettre à jour les objets dans le centre de gestion.

Par exemple, pour pousser la configuration APIC d’un détenteur nommé ExempleDétenteur vers le domaine Global \ domaine1 \ domaine2 sur un centre de gestion avec l’adresse IP192.0.2.25 en tant qu’utilisateur nommé ExempleUtilisateur :

  1. Connectez-vous à l’APIC.

  2. Cliquez sur Apps (applications) > Apps (applications).

  3. Sous mise à niveau des terminaux centre de gestion, cliquez sur Open (ouvrir).

  4. Cliquez sur Config Devices (configurer des appareils) > Add Device (Ajouter un appareil) > FMC.

  5. Ajoutez le dispositif comme indiqué dans Configurer l’application de mise à niveau des terminaux pour ACI; la figure suivante montre un exemple d’ajout d’un centre de gestion.

  6. Ajoutez la ligne suivante au tableau.

Créer des utilisateurs pour l’application de mise à niveau des terminaux pour ACI

Vous devez créer un utilisateur centre de gestion dédié pour l’application de mise à niveau des terminaux pour ACI afin de mettre à jour la configuration des objets réseau et des objets dynamiques :

  • L’utilisateur dédié est exclusivement destiné à l’application de mise à niveau des terminaux pour ACI pour mettre à jour la configuration des objets réseau et des objets dynamiques.

  • En outre, vous devez disposer d’un deuxième utilisateur administratif qui peut être utilisé entre l’application de mise à niveau des terminaux pour ACI et d’autres fonctions centre de gestion. (Il peut s’agir d’un utilisateur existant ou d’un nouvel utilisateur).

Chaque centre de gestion utilisateur doit disposer du rôle d’administrateur. Chaque utilisateur ASA doit disposer du niveau de privilège 15. Il est nécessaire d’avoir deux utilisateurs pour éviter que l’application de mise à niveau des terminaux pour ACI ne déconnecte l’administrateur de manière inattendue.

La tâche suivante explique comment créer des utilisateurs sur le serveur centre de gestion uniquement. Pour créer des utilisateurs ASA, consultez le Guide de configuration de Cisco ASA Series General Operations ASDM (Guide de configuration ASDM des opérations générales de la série Cisco ASA).

Procédure

Étape 1

Connectez-vous au centre de gestion si vous ne l’avez pas encore fait.

Étape 2

Cliquez sur Utilisateurs > système > Utilisateurs.

Étape 3

Cliquez sur Créer un utilisateur.

Étape 4

Sous User Role Configuration (configuration du rôle de l’utilisateur), cochez Administrator (administrateur).

Étape 5

(Facultatif) Cliquez sur Add Domain (ajouter un domaine) pour donner à l’utilisateur l’accès à un domaine particulier.

Les deux utilisateurs centre de gestion doivent être des administrateurs dans les mêmes domaines.

Étape 6

Saisissez les autres informations nécessaires à la configuration de l’utilisateur; consultez l’aide en ligne pour obtenir de l’aide.

Prochaine étape

Consultez Configurer l’application de mise à niveau des terminaux pour ACI.

Configurer l’application de mise à niveau des terminaux pour ACI

Pour configurer l’application de mise à niveau des terminaux pour ACI, suivez la procédure suivante :

Avant de commencer

Avant de configurer et d’utiliser l’application de mise à niveau des terminaux pour ACI, effectuez toutes les tâches suivantes :

Procédure

Étape 1

Connectez-vous à l’APIC.

Étape 2

Cliquez sur Apps (applications) > Apps (applications) > ACI Endpoint Update (mise à niveau des terminaux pour ACI).

Étape 3

Localisez l’application de mise à niveau des terminaux pour ACI.

Étape 4

Cliquez sur Open (ouvrir)

Étape 5

Cliquez sur Config Devices > Add Device (configurer des appareils > Ajouter un appareil.).

La figure suivante montre un exemple.

Étape 6

Pour Type, cliquez sur FMC ou ASA.

Étape 7

Saisissez ou modifiez les informations suivantes.

Article Description

Nom du détenteur

Cliquez sur le nom d’un détenteur auquel ajouter l’appareil. (Pour sélectionner plusieurs détenteurs, maintenez la touche Ctrl enfoncée tout en cliquant).

IP

Saisissez l’adresse IP ou le nom d’hôte entièrement qualifié du centre de gestion ou de l’ASA. Si votre centre de gestion ou ASA se trouve derrière un appareil NAT, séparez l’adresse IP du port par un deux points; par exemple, 192.2.0.9:5001.

Nom d’utilisateur

Saisissez le nom d’utilisateur d’un utilisateur centre de gestion ou ASA qui est un administrateur dans le domaine (centre de gestion) ou le contexte utilisateur (ASA).

Mot de passe

Entrez le mot de passe de l’utilisateur.

Confirmer le mot de passe

Saisissez de nouveau le mot de passe de l’utilisateur.

Domaine

(centre de gestion uniquement.)

Saisissez le nom d’utilisateur alphanumérique utilisé par l’application pour se connecter au centre de gestion. Le nom d’utilisateur doit être différent de celui que vous utilisez pour vous connecter au centre de gestion. Sinon, si les deux sont identiques, vos sessions risquent d’être déconnectées.

Saisissez le nom du domaine et du sous-domaine, le cas échéant, vers lequel les données doivent être transférées. Les noms de domaine peuvent être composés de caractères alphanumériques, ou uniquement des caractères \ et / . Pour en savoir plus, consultez Configurer les domaines et sous-domaines du centre de gestion.

Groupes de réseau

(centre de gestion uniquement.) Cochez la case pour déployer la configuration de l’objet réseau sur le centre de gestion à l’intervalle que vous avez sélectionné.

(centre de gestion uniquement.) Décochez la case si vous ne voulez pas pousser les données dynamiques de l’EPG en tant qu’objets réseau. Les objets dynamiques seront poussés vers le centre de gestion configuré si la version du centre de gestion est 7.0 ou ultérieure.

Déploiement automatique

centre de gestion. Cochez la case pour lancer une politique de déploiement centre de gestion après que l’application ait effectué une mise à jour périodique des terminaux. Envisagez de désactiver cette option pendant les périodes où vous souhaitez contrôler manuellement la configuration de centre de gestion, par exemple pendant une fenêtre de maintenance destinée aux changements de politique de centre de gestion.

Étape 8

Après avoir configuré tous vos centre de gestion ou ASA, cliquez sur Submit (envoyer).

Référence de la configuration JSON

Vous pouvez éventuellement téléverser et télécharger l’application de mise à niveau des terminaux pour ACI au format JSON. Cela peut s’avérer utile pour créer une grande configuration en une seule fois, puis pour sauvegarder cette configuration ultérieurement.

Tous les appareils sont exportés lorsque vous en faites la demande, mais pour faciliter la lecture, les formats suivants sont répartis entre centre de gestion et ASA.

centre de gestion : 

{"interval":"value","site_prefix":"prefix","ip_1":"host or ip","user_1":"username","password_1":"<hidden>","tenant_1":"tenant name","type_1":"FMC","networkgroup_1":true,
"deploy_1":true|false,"status_1":"enabled|unreachable|Connectivity is not OK","domain_1":"name"}

ASA :

{"interval":"value","site_prefix":"prefix","ip_1":host or ip","user_1":"name","password_1":"<hidden>","tenant_1":"tenant name","type_1":"ASA","networkgroup_1":null,deploy_1":null,
"status_1":"enabled|reachable|Connectivity is OK","domain_1":null}

Nous vous recommandons de télécharger une configuration (même vide), d’éditer le fichier JSON, puis de le téléverser.

Désactiver la référence d’apprentissage

Vous pouvez éventuellement nettoyer la configuration APIC poussée vers le centre de gestion ou l’ASA dans le cas où l’une des situations suivantes se produirait :

  • Vous supprimez entièrement l’application APIC.

  • Vous déplacez la configuration de l’APIC vers un autre centre de gestion ou ASA.

L’application de mise à niveau des terminaux pour ACI nettoie la configuration du groupe d’objets duuniquement pour le site qui est affiché dans l’application. Aucune autre configuration n’est supprimée non plus; par exemple, si Domain1 est défini pour le site1 et Domaine2 pour le site2, si vous nettoyez la configuration du site2, Domaine1 n’est pas touché.


Remarque

Les domaines ne sont pris en charge que sur le centre de gestion.

Lors de la désactivation de l’apprentissage, cochez Erase all objects (effacer tous les objets) pour effacer les informations sur les objets poussés sur les appareils configurés. Pour éviter les conflits de configuration, nous évitons de pousser une nouvelle configuration vers le centre de gestion ou l’ASA tout en nettoyant une configuration existante.

Si le groupe d’objets que vous nettoyez est utilisé dans une règle de contrôle d’accès sur le centre de gestion ou l’ASA, il se produit ce qui suit :

  • L’objet réseau centre de gestion ou le groupe d’objets réseau ASA n’est pas supprimé.

  • L’adresse IP est remplacée par 127.0.0.1.

Options globales et propres à l’appareil

Cette rubrique explique comment définir des options propres à un appareil pour tous les appareils configurés.

Tester les connexions aux appareils

Vous pouvez tester la connectivité avec les appareils configurés; les appareils présentant des problèmes de connexion ont un arrière-plan orange dans la colonne Status (état).

Pour effectuer un test de connexion :

  1. Connectez-vous à l’APIC.

  2. Cliquez sur Apps (applications) > Apps (applications) > ACI Endpoint Update (mise à niveau des terminaux pour ACI).

  3. Localisez l'application de mise à niveau des terminaux pour ACI.

  4. Cliquez sur Open (ouvrir)

  5. Dans la partie droite de la page, cliquez sur (Test Connectivity [Tester la connectivité]).

    Les appareils qui ont des problèmes de connectivité ont un arrière-plan orange dans la colonne Status (état); la figure suivante en donne un exemple.

Modifier les options globales

Les options globales sont les suivantes :

  • Intervalle de mise à jour : L’intervalle, en secondes, pour mettre à jour le centre de gestion ou ASA. La valeur par défaut est 60. L’intervalle minimal est de 10 secondes, car une mise à jour trop fréquente pourrait avoir un effet négatif sur les performances du système avec un grand nombre de centre de gestion ou ASA.

  • Préfixe du site : Saisissez une chaîne alphanumérique unique pour créer un objet de groupe de réseau sur le centre de gestion ou l’ASA. Dans un environnement à détenteurs multiples, différents objets de groupe de réseau empêchent de confondre la configuration envoyée par l’APIC avec toute autre configuration.

Pour modifier les options globales :

  1. Connectez-vous à l’APIC.

  2. Cliquez sur Apps (applications) > Apps (applications) > ACI Endpoint Update (mise à niveau des terminaux pour ACI).

  3. Localisez l’application de mise à niveau des terminaux pour ACI.

  4. Cliquez sur Open (ouvrir)

  5. Cliquez sur (Paramètres globaux).

  6. Saisissez ou modifiez les informations suivantes :

    Option Description
    L’intervalle de mise à jour est de Entrez l’intervalle de mise à jour, en secondes. La valeur par défaut est 60. Le minimum est de 10.
    et préfixe de site Entrez un préfixe alphanumérique unique pour le site. Maximum de 10 caractères

  7. Cliquez sur Submit (soumettre).

modifier les options propres au périphérique

Les options propres à l’appareil sont les suivantes :

  • Importer ou exporter un fichier JSON contenant des informations sur l’appareil : consultez Référence de la configuration JSON.

  • Modifier la configuration d’un appareil : consultez Configurer l’application de mise à niveau des terminaux pour ACI.

  • Activer ou désactiver l’apprentissage : Les groupes de terminaux (EPG) ou les groupes de sécurité de terminaux (ESG) agissent comme des conteneurs pour des collections d’applications, ou des composants d’application et des niveaux, ils peuvent être utilisés pour appliquer une logique de transfert et de politique.

    Les données EPG ou ESG comprennent des objets réseau et des objets dynamiques.

    • Les objets dynamiques sont poussés vers les centre de gestiondotés de la version 7.0 ou d’une version ultérieure.

    • Les objets dynamiques sont poussés vers les ASA avec la version 9.3.1 ou d’une version ultérieure.


    Remarque

    Si vous choisissez de désactiver l’apprentissage, vous avez la possibilité d’effacer les données sur un appareil centre de gestion ou ASA configuré.

Pour modifier les options propres à l’appareil :

  1. Connectez-vous à l’APIC.

  2. Cliquez sur Apps (applications) > Apps (applications) > ACI Endpoint Update (mise à niveau des terminaux pour ACI).

  3. Localisez l'application de mise à niveau des terminaux pour ACI.

  4. Cliquez sur Open (ouvrir)

  5. Cochez la case à côté d’un appareil centre de gestion ou ASA.

  6. Cliquez sur (configurer des appareils) puis sur l’une des options suivantes :

    • Importer la liste des appareils : Consultez Référence de la configuration JSON.

    • Exporter la liste des appareils : Consultez Référence de la configuration JSON.

    • Activer l’apprentissage : Démarrer l’apprentissage sur l’appareil sélectionné. Vous devez confirmer la sélection.

    • Désactiver l’apprentissage : Arrêter l’apprentissage sur l’appareil sélectionné. Si vous cliquez sur cette option, une case à cocher s’affiche pour vous permettre d’effacer tous les objets de formation existants sur l’appareil.

  7. Suivez les instructions qui s’affichent à l’écran pour terminer l’action.