Chiarisci ordine di impostazione in linea per FTD su FMC
Introduzione
Questo documento descrive il motivo per cui l'ordine di interfaccia per i set inline è diverso anche se la convenzione di denominazione dell'interfaccia è uguale per tutti i set.
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- Secure Firewall Threat Defense (FTD)
- Centro gestione firewall protetto (FMC)
- Sistema operativo flessibile (FXOS) Secure Firewall
- REST-API
Componenti usati
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
- Secure Firewall Threat Defense versione 7.2.5.1
- Secure Firewall Manager Center versione 7.2.5.1
- Secure Firewall Extensible Operating System 2.12(1.48)
- Secure Firewall Chassis Manager (FCM)
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Analisi
Esempio di caso
In questo caso, un FTD con sei (6) interfacce è configurato in coppie inline:
Ethernet1/1 (Inside-A)
Ethernet1/2 (Outside-A)
Ethernet1/3 (Inside-B)
Ethernet1/4 (Outside-B)
Ethernet1/5 (Inside-C)
Ethernet1/6 (Outside-C)
Lista interfacce FTD
Per ogni coppia, è prevista la configurazione degli insiemi in linea da Interno a Esterno, che determina la configurazione successiva:
Inline Set A: Inside-A <-> Outside-A
Inline Set B: Inside-B <-> Outside-B
Inline Set C: Inside-C <-> Outside-CGli utenti si aspettano che l'ordine delle interfacce venga visualizzato in ordine alfabetico in base al nome logico dell'interfaccia o al nome fisico dell'interfaccia. Tuttavia, questa impostazione determina un ordine diverso, come mostrato nell'immagine seguente:
Set inline FTD
Gli utenti notano che l'insieme in linea C ha un ordine diverso rispetto agli altri due insiemi in linea.
Nota: è importante notare che l'ordine Inline Set Interface Pair non causa problemi di comunicazione o operativi, tuttavia può essere rilevante per scopi estetici.
Spiegazione
L'ordine dell'interfaccia per i set in linea non viene assegnato in base al nome ma in base all'ID, che viene verificato tramite REST-API.
Passaggio 1. Per verificare questa condizione, è necessario accedere a Esplora API REST di FMC. A tale scopo, accedere alla sintassi dell'URL successiva:
https://FMC IP/api/api-explorer
Esplora API REST FMC
Passaggio 2. Passare a Dispositivi ed espandere il menu.
Menu Dispositivi
Passaggio 3. Passare all'opzione GET per:
/api/fmc_config/v1/domain/{domainUUID}/devices/devicerecords/{containerUUID}/inlinesets
Imposta in linea, opzione GET
Passaggio 4. Fare clic sul pulsante Prova.
Pulsante Inline Set GET Try it Out
Passaggio 5. Sostituire il campo containerUUID con l'UUID FTD (visualizzato dal comando FTD nella riga di comando dellshow version'FTD) e fare clic su Execute.
Esecuzione serie inline
Passaggio 6. Scorrere verso il basso fino al corpo della risposta e copiare l'ID dell'interfaccia necessaria per la risoluzione dei problemi, in questo caso Set in linea C.
"id": "005056B3-BB52-0ed3-0000-021474837838",
Corpo risposta GET Set inline
Passaggio 7. Passare all'opzione GET per:
/api/fmc_config/v1/domain/{domainUUID}/devices/devicerecords/{containerUUID}/inlinesets/{objectId}
Inline Imposta l'ID oggetto GET
Passaggio 8. Fare clic sul pulsante Prova.
Inline Imposta l'ID dell'oggetto GET Prova
Passaggio 9. Sostituire il campo objectId con l'ID acquisito nel passaggio 6 e il contenitoreUUID con l'UUID FTD utilizzato nel passaggio 5. Quindi, fare clic sul pulsante Execute.
Esecuzione Get Object ID set inline
Passaggio 10. Convalidare il corpo della risposta della query REST-API.
Corpo risposta GET Object ID set inline
L'interfaccia Ethernet1/6 viene aggiunta come primo componente dell'insieme inline, mentre Ethernet1/5 viene aggiunta come secondo componente. Ciò si verifica perché l'ID interfaccia assegnato per Ethernet1/6 è alfabeticamente inferiore a quello di Ethernet1/5. In questo modo viene convalidata la logica utilizzata dal CCP per l'assegnazione dell'interfaccia sui set inline.
Soluzione alternativa
Poiché l'ID di interfaccia viene assegnato da FXOS al momento della creazione del dispositivo logico, le interfacce devono essere rimosse a livello FXOS e lette nell'ordine desiderato affinché l'ID venga assegnato nuovamente.
Avviso: la soluzione successiva è applicabile solo alle serie FPR4100 e FPR9300. È necessario ricreare l'immagine di qualsiasi altro hardware Secure Firewall. Inoltre, questa soluzione interrompe il traffico, in questo senso i backup FMC, FTD e FXOS sono fortemente consigliati, così come una finestra di manutenzione pianificata.
Passaggio 1. Accedere al CCP ed eliminare il set in linea problematico sul percorso successivo:
Devices > Device Management > Edit the desired FTD > Inline Sets.
Eliminazione set inline
Passaggio 2. Salvare le modifiche e distribuire.
Distribuzione eliminazione set inline
Passaggio 3. Accedere al dispositivo FCM, selezionare Logical Devices e modificare il dispositivo logico desiderato.
Modifica dispositivo logico
Passaggio 4. Rimuovere entrambe le interfacce che appartengono al gruppo inline con problemi, che nell'esempio sono Ethernet1/5 ed Ethernet1/6, quindi salvare le modifiche.
Rimozione interfaccia set inline
Passaggio 5. Dal FMC passare a Dispositivi > Gestione dispositivi, modificare l'FTD desiderato e passare alla scheda Interfacce, fare clic sul pulsante Sincronizza dispositivo, salvare le modifiche e distribuire.
Imposta sincronizzazione FTD in linea dopo la rimozione
Passaggio 6. Modificare nuovamente la periferica logica, aggiungere nuovamente la prima interfaccia (Ethernet1/5) e salvare le modifiche.
Aggiunta Inline Set First Interface
Passaggio 7. Fare clic sul Sync Device pulsante, salvare le modifiche e distribuire di nuovo.
Sincronizzazione FTD dopo la prima aggiunta di interfaccia
Passaggio 8. Modificare di nuovo la periferica logica, aggiungere di nuovo la prima interfaccia (Ethernet1/6) e salvare le modifiche.
Aggiunta Inline Set Second Interface
Passaggio 9. Ripetere il passaggio 5 facendo clic sul Sync Device pulsante, salvando le modifiche e quindi distribuendo.
Sincronizzazione FTD dopo l'aggiunta della seconda interfaccia
Passaggio 10. Configurare le interfacce con gli stessi parametri di prima e aggiungere nuovamente il set in linea.
Set inline Configurazione
Questa volta, l'ordine dell'interfaccia dei set inline viene visualizzato nel modo previsto. Salvare le modifiche e distribuirle una volta sola.
Nota: la sezione Esempio di richiesta di questo documento deve essere eseguita un'altra volta per verificare che gli ID delle interfacce siano nell'ordine corretto.
Informazioni correlate
Cronologia delle revisioni
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
2.0 |
13-Feb-2024 |
Release iniziale |
1.0 |
12-Feb-2024 |
Versione iniziale |
Feedback