Chiarisci ordine di impostazione in linea per FTD su FMC
Introduzione
Questo documento descrive il motivo per cui l'ordine di interfaccia per i set inline è diverso anche se la convenzione di denominazione dell'interfaccia è uguale per tutti i set.
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- Secure Firewall Threat Defense (FTD)
- Centro gestione firewall protetto (FMC)
- Sistema operativo flessibile (FXOS) Secure Firewall
- REST-API
Componenti usati
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
- Secure Firewall Threat Defense versione 7.2.5.1
- Secure Firewall Manager Center versione 7.2.5.1
- Secure Firewall Extensible Operating System 2.12(1.48)
- Secure Firewall Chassis Manager (FCM)
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Analisi
Esempio di caso
In questo caso, un FTD con sei (6) interfacce è configurato in coppie inline:
Ethernet1/1 (Inside-A)
Ethernet1/2 (Outside-A)
Ethernet1/3 (Inside-B)
Ethernet1/4 (Outside-B)
Ethernet1/5 (Inside-C)
Ethernet1/6 (Outside-C)
Lista interfacce FTD
Per ogni coppia, è prevista la configurazione degli insiemi in linea da Interno a Esterno, che determina la configurazione successiva:
Inline Set A: Inside-A <-> Outside-A
Inline Set B: Inside-B <-> Outside-B
Inline Set C: Inside-C <-> Outside-CGli utenti si aspettano che l'ordine delle interfacce venga visualizzato in ordine alfabetico in base al nome logico dell'interfaccia o al nome fisico dell'interfaccia. Tuttavia, questa impostazione determina un ordine diverso, come mostrato nell'immagine seguente:
Set inline FTD
Gli utenti notano che l'insieme in linea C ha un ordine diverso rispetto agli altri due insiemi in linea.
Nota: È importante notare che l'ordine Inline Set Interface Pair non causa problemi di comunicazione o operativi, tuttavia può essere rilevante per scopi estetici.
Spiegazione
L'ordine dell'interfaccia per i set in linea non viene assegnato in base al nome ma in base all'ID, che viene verificato tramite REST-API.
Passaggio 1. Per verificare questa condizione, è necessario accedere a Esplora API REST di FMC. A tale scopo, accedere alla sintassi dell'URL successiva:
https://FMC IP/api/api-explorer
Esplora API REST FMC
Passaggio 2. Passare a Dispositivi ed espandere il menu.
Menu Dispositivi
Passo 3: passare all'opzione GET per:
/api/fmc_config/v1/domain/{domainUUID}/devices/devicerecords/{containerUUID}/inlinesets
Imposta in linea, opzione GET
Passaggio 4. Fare clic sul pulsante Prova.
Pulsante Inline Set GET Try it Out
Passaggio 5. Sostituire il campo containerUUID con l'UUID FTD (visualizzato dal comando FTD sulla riga di comando dellshow version'FTD) e fare clic su Execute.
Esecuzione serie inline
Passaggio 6. Individuare il corpo della risposta e copiare l'ID dell'interfaccia necessaria per la risoluzione dei problemi, in questo caso Set in linea C.
"id": "005056B3-BB52-0ed3-0000-021474837838",
Corpo risposta GET Set inline
Passaggio 7. Passare all'opzione GET per:
/api/fmc_config/v1/domain/{domainUUID}/devices/devicerecords/{containerUUID}/inlinesets/{objectId}
Inline Imposta l'ID oggetto GET
Passaggio 8. Fare clic sul pulsante Prova.
Inline Imposta l'ID dell'oggetto GET Prova
Passaggio 9. Sostituire il campo objectId con l'ID acquisito nel Passaggio 6 e containerUUID con l'UUID FTD utilizzato nel Passaggio 5. Quindi, fare clic sul pulsante Esegui.
Esecuzione Get Object ID set inline
Passaggio 10. Convalidare il corpo della risposta della query REST-API.
Corpo risposta GET Object ID set inline
L'interfaccia Ethernet1/6 viene aggiunta come primo componente dell'insieme inline, mentre Ethernet1/5 viene aggiunta come secondo componente. Ciò si verifica perché l'ID di interfaccia assegnato per Ethernet1/6 è alfabeticamente inferiore a quello di Ethernet1/5. Ciò convalida la logica utilizzata dal FMC per l'assegnazione dell'interfaccia sui set inline.
Soluzione alternativa
Poiché l'ID di interfaccia viene assegnato da FXOS al momento della creazione del dispositivo logico, le interfacce devono essere rimosse a livello FXOS e lette nell'ordine desiderato affinché l'ID venga assegnato nuovamente.
Avviso: La soluzione successiva è applicabile solo alle serie FPR4100 e FPR9300; è necessario ricreare l'immagine di qualsiasi altro hardware Secure Firewall. Inoltre, questa soluzione interrompe il traffico, in questo senso i backup FMC, FTD e FXOS sono fortemente consigliati, così come una finestra di manutenzione pianificata.
Passaggio 1. Accedere al CCP ed eliminare l'insieme inline problematico sul percorso successivo:
Devices > Device Management > Edit the desired FTD > Inline Sets.
Eliminazione set inline
Passaggio 2. Salvare le modifiche e distribuire.
Distribuzione eliminazione set inline
Passaggio 3. Accedere al dispositivo FCM e selezionare Logical Devices e modificare il dispositivo logico desiderato.
Modifica dispositivo logico
Passaggio 4. Rimuovere entrambe le interfacce appartenenti all'insieme inline con problemi, che nell'esempio sono Ethernet1/5 ed Ethernet1/6, quindi salvare le modifiche.
Rimozione interfaccia set inline
Passaggio 5. In FMC passare a Devices > Device Management, modificare l'FTD desiderato e passare alla scheda Interfaces, fare clic sul pulsante Sync Device, salvare le modifiche e distribuire.
Imposta sincronizzazione FTD in linea dopo la rimozione
Passaggio 6. Modificare nuovamente la periferica logica, aggiungere nuovamente la prima interfaccia (Ethernet1/5) e salvare le modifiche.
Aggiunta Inline Set First Interface
Passaggio 7. Fare clic sul Sync Device pulsante, salvare le modifiche e ripetere la distribuzione.
Sincronizzazione FTD dopo la prima aggiunta di interfaccia
Passaggio 8. Modificare nuovamente la periferica logica, aggiungere nuovamente la prima interfaccia (Ethernet1/6) e salvare le modifiche.
Aggiunta Inline Set Second Interface
Passaggio 9. Ripetere il passaggio 5 facendo clic sul Sync Device pulsante, salvando le modifiche e quindi distribuendo.
Sincronizzazione FTD dopo l'aggiunta della seconda interfaccia
Passaggio 10. Configurare le interfacce con gli stessi parametri di prima e aggiungere nuovamente l'insieme inline.
Set inline Configurazione
Questa volta, l'ordine dell'interfaccia dei set inline viene visualizzato nel modo previsto. Salvare le modifiche e distribuirle una volta sola.
Nota: La sezione Case Example di questo documento deve essere eseguita un'altra volta per verificare che gli ID delle interfacce siano nell'ordine corretto.
Informazioni correlate
Cronologia delle revisioni
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
2.0 |
13-Feb-2024
|
Release iniziale |
1.0 |
12-Feb-2024
|
Versione iniziale |
Feedback