La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.
Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).
Questo documento descrive la funzionalità Cisco RADKit Integration in FMC aggiunta nella versione 7.7.
Problemi degli amministratori del firewall
Scenario d'uso
Alcune delle funzionalità chiave di cui gli utenti potrebbero beneficiare dopo l'integrazione di RADKit nel FMC sono:
Novità - Soluzione
Integrazione dei servizi RADKit nel diagramma FMC
Il diagramma mostra come RADKit consente la comunicazione dal client RADKit (tecnico TAC) dell'utente ai dispositivi FTD di produzione:
Nozioni di base: Piattaforme supportate, Licenze
Applicazioni e responsabili
Altri aspetti del supporto
Dipendenze per il funzionamento della feature
Panoramica delle funzionalità
Procedura di configurazione: Panoramica
1. Amministratore del dispositivo (utente amministratore FMC): Abilitare e registrare il servizio RADKit e configurare le autorizzazioni nell'interfaccia utente grafica di FMC.
2. Supporto Cisco TAC/Cisco: Installare il client RADKit sul proprio computer, accedere e risolvere i problemi dei dispositivi dal client RADKit.
Utente amministratore FMC: Procedura dettagliata di Centro gestione firewall
Menu Diagnostica remota
Pagina Diagnostica remota iniziale
Pagina iniziale di Diagnostica remota. Per abilitare il servizio RADKit, è possibile commutare lo switch "Abilita servizio RADKit":
Avvio del servizio RADKit
Dopo l'attivazione del servizio RADKit, viene visualizzato un indicatore di stato fino all'avvio del servizio:
Servizio RADKit abilitato
Il passo successivo è l'iscrizione nel cloud RADKit facendo clic sul pulsante "Registra con SSO".
Registrati con SSO - Immetti indirizzo e-mail
Il passo 1 del processo di registrazione consiste nell'immettere l'indirizzo e-mail dell'utente per l'iscrizione al cloud RADKit:
Registra con SSO - Accetta richiesta di autorizzazione
Viene visualizzata una nuova scheda o finestra del browser, a seconda delle impostazioni del browser. Fare clic sul pulsante Accetta.
Registra con SSO - Autenticazione riuscita
Dopo l'autenticazione, l'utente può chiudere la scheda del browser e tornare alla pagina Diagnostica remota FMC.
Servizio RADKit registrato
Il servizio RADKit è registrato con l'ID servizio specificato (in questo esempio l'ID è 8kji-znxg-3gkt). L'ID può essere copiato negli Appunti. Consegnarlo al tecnico Cisco TAC in modo che possa connettersi al servizio RADKit dal client RADKit.
Il passaggio successivo consiste nel creare un'autorizzazione facendo clic sul pulsante "Crea nuova autorizzazione":
Crea nuova autorizzazione: Passaggio 1
Crea nuova autorizzazione: Passaggio 2
Note sul prelievo di dispositivi
Crea nuova autorizzazione: Passaggio 3
Crea riepilogo nuove autorizzazioni
La fase finale è il riepilogo dell'autorizzazione. L'utente può rivedere e modificare la configurazione.
Creazione nuova autorizzazione completata
Al termine della creazione dell'autorizzazione viene visualizzata una schermata di conferma:
Elenco Autorizzazioni Correnti, Compresa La Revoca
Elenco accessi sudo dispositivo
Conferma abilitazione accesso sudo dispositivi
1. L'accesso sudo può essere abilitato per tutti o solo per alcuni dispositivi specifici selezionando i dispositivi e facendo clic sul pulsante "Abilita".
2. Quando si abilita, viene visualizzata una finestra di dialogo di conferma ed è necessario fare clic su Conferma.
Accesso sudo dispositivi abilitato
Altre note
API REST del servizio RADKit
Per supportare le operazioni di creazione e lettura sul servizio RADKit, sono stati introdotti i seguenti nuovi URL:
Modello di servizio RADKit
Il modello di servizio RADKit è costituito da:
Supporto Cisco: Utilizzo client RADKit
Lato supporto: Installare il client RADKit
Ottenere e installare il client RADKit
Il client RADKit può essere installato localmente da https://radkit.cisco.com/downloads/release/ e quindi avviato dal terminale con il comando: radkit-client
Sono disponibili programmi di installazione per Windows, MacOS e Linux.
Schermata del client RADKit con i comandi di login (dettagli nella sezione successiva).
Comandi di login per il client RADKit
>>> client = sso_login("user@cisco.com")
A browser window was opened to continue the authentication process. Please follow the instructions there.
Authentication result received.
>>> service = client.service("8abc-znxg-3abc")
15:09:03.639Z INFO | internal | Connection to forwarder successful [forwarder_base_url='wss://prod.radkit-cloud.cisco.com/forwarder-4/' uri='wss://prod.radkit-cloud.cisco.com/forwarder-4/websocket/']
15:09:03.727Z INFO | internal | Forwarder client created. [forwarder_base_url='wss://prod.radkit-cloud.cisco.com/forwarder-4/']
15:09:04.244Z INFO | internal | Connection to forwarder successful [forwarder_base_url='wss://prod.radkit-cloud.cisco.com/forwarder-1/' uri='wss://prod.radkit-cloud.cisco.com/forwarder-1/websocket/']
15:09:04.332Z INFO | internal | Forwarder client created. [forwarder_base_url='wss://prod.radkit-cloud.cisco.com/forwarder-1/']
Comando di inventario servizio client RADKit
Comando per la creazione di un elenco dell'inventario a cui l'utente remoto (Cisco TAC engineer) è autorizzato ad accedere:
>>> service.inventory
<radkit_client.sync.device.DeviceDict object at 0x1154969a0>
name host device_type Terminal Netconf SNMP Swagger HTTP description failed
----------------------- --------- ------------- ---------- --------- ------ --------- ------ ------------- --------
172-16-0-100-1724078669 127.0.0.3 FTD True False False False False 172.16.0.100 False
172-16-0-102-1724078669 127.0.0.2 FTD True False False False False 172.16.0.102 False
firepower-1724078669 127.0.0.1 FMC True False False False False firepower False
Untouched inventory from service 8kji-znxg-3gkt.
È disponibile un comando di filtro per i dispositivi nell'inventario (sezione successiva). Utilizzare il nome nella colonna a sinistra per avviare una sessione interattiva con il dispositivo (comando nella sezione successiva).
Suggerimento: Se l'inventario è obsoleto, è possibile aggiornarlo utilizzando il comando:
>>> service.update_inventory()
Client RADKit: Filtra dispositivi
Comando per filtrare i dispositivi nell'inventario:
>>> ftds = service.inventory.filter(attr='name',pattern='172-16-0’)
>>> ftds
<radkit_client.sync.device.DeviceDict object at 0x111a93130>
name host device_type Terminal Netconf SNMP Swagger HTTP description failed
----------------------- --------- ------------- ---------- --------- ------ --------- ------ ------------- --------
172-16-0-100-1724078669 127.0.0.3 FTD True False False False False 172.16.0.100 False
172-16-0-102-1724078669 127.0.0.2 FTD True False False False False 172.16.0.102 False
2 device(s) from service 8kji-znxg-3gkt.
Comando sessione interattiva dispositivo client RADKit
Avvio di una sessione interattiva per un dispositivo (in questo caso un FMC) denominato "firepower-1724078669", tratto dal precedente comando "service.inventory".:
>>> service.inventory["firepower-1724078669"].interactive()
08:56:10.829Z INFO | internal | Starting interactive session (will be closed when detached)
08:56:11.253Z INFO | internal | Session log initialized [filepath='/Users/use/.radkit/session_logs/client/20240820-115610830612-firepower-1724078669.log']
Attaching to firepower-1724078669 ...
Type: ~. to terminate.
~? for other shortcuts.
When using nested SSH sessions, add an extra ~ per level of nesting.
Warning: all sessions are logged. Never type passwords or other secrets, except at an echo-less password prompt.
Copyright 2004-2024, Cisco and/or its affiliates. All rights reserved.
Cisco is a registered trademark of Cisco Systems, Inc.
All other trademarks are property of their respective owners.
Cisco Firepower Extensible Operating System (FX-OS) v82.17.0 (build 170)
Cisco Secure Firewall Management Center for VMware v7.7.0 (build 1376)
Comandi di esecuzione client RADKit sui dispositivi
Eseguire i comandi sui dispositivi.
>>> result = ftds.exec(['show version', 'show interface'])
>>>
>>> result.status
<RequestStatus.SUCCESS: 'SUCCESS'>
>>>
>>> result.result['172-16-0-100-1724078669']['show version'].data | print
> show version
-------------------[ firepower ]--------------------
Model : Cisco Secure Firewall Threat Defense for VMware (75) Version 7.7.0 (Build 1376)
UUID : 989b0f82-5e2c-11ef-838b-b695bab41ffa
LSP version : lsp-rel-20240815-1151
VDB version : 392
----------------------------------------------------
Considerando questo inventario:
>>> service.inventory
[READY] <radkit_client.sync.device.DeviceDict object at 0x192cdb77110>
name host device_type Terminal Netconf SNMP Swagger HTTP description failed
----------------------------- --------- ------------- ---------- --------- ------ --------- ------ ------------------ --------
10-62-184-69-1743156301 127.0.0.4 FTD True False None False False 10.62.184.69 False
fmc1700-1-1742391113 127.0.0.1 FMC True False None False False FMC1700-1 False
ftd3120-3-1743154081 127.0.0.2 FTD True False None False False FTD3120-3 False
ftd3120-4-1743152281 127.0.0.3 FTD True False None False False FTD3120-4 False
Per ottenere i dettagli di 'show version' dai dispositivi FTD:
>>> command = "show version"
>>> ftds = service.inventory.filter("device_type","FTD").exec(command).wait()
>>>
>>> # Print the results
>>> for key in ftds.result.keys():
... print(key)
... ftds.result.get(key).data | print
... <- Press Enter twice
ftd3120-3-1743154081
> show version
-------------------[ FTD3100-3 ]--------------------
Model : Cisco Secure Firewall 3120 Threat Defense (80) Version 7.7.0 (Build 89)
UUID : 123a456a-cccc-bbbb-aaaa-a123456abcde
LSP version : lsp-rel-20250327-1959
VDB version : 404
----------------------------------------------------
>
10-62-184-69-1743156301
> show version
----------------[ KSEC-FPR1010-10 ]-----------------
Model : Cisco Firepower 1010 Threat Defense (78) Version 7.7.0 (Build 89)
UUID : 123a456a-cccc-bbbb-aaaa-a123456abcde
LSP version : lsp-rel-20250327-1959
VDB version : 404
----------------------------------------------------
>
ftd3120-4-1743152281
> show version
-------------------[ FTD3100-4 ]--------------------
Model : Cisco Secure Firewall 3120 Threat Defense (80) Version 7.7.0 (Build 89)
UUID : 123a456a-cccc-bbbb-aaaa-a123456abcde
LSP version : lsp-rel-20250327-1959
VDB version : 404
----------------------------------------------------
>
Metodo alternativo:
>>> # Get the FTDs. This returns a DeviceDict object:
... ftds = service.inventory.filter("device_type","FTD")
>>> # Access the dictionary of devices from the _async_object attribute
... devices_obj = ftds.__dict__['_async_object']
>>> # Extract the 'name' from each AsyncDevice object
... names = [device.name() for device in devices_obj.values()]
>>> # Get the 'show version' output from all FTD devices:
... command = "show version"
... show_ver_ftds = []
... for name in names:
... ftd = service.inventory[name]
... req = ftd.exec(command)
... req.wait(30) # depending on the number of devices you might need to increase the timeout value
... show_ver_ftds.append(req.result.data)
>>> # Print the inventory device name + 'show version' output from each device:
... for name, show_version in zip(names, show_ver_ftds):
... print(f"Inventory name: {name}")
... print(show_version[2:-2]) # Remove the leading '> ' and trailing ' \n>'
... print("\n")
Inventory name: ftd3120-3-1743154081
show version
-------------------[ FTD3100-3 ]--------------------
Model : Cisco Secure Firewall 3120 Threat Defense (80) Version 7.7.0 (Build 89)
UUID : 123a456a-cccc-bbbb-aaaa-a123456abcde
LSP version : lsp-rel-20250327-1959
VDB version : 404
----------------------------------------------------
Inventory name: ftd3120-4-1743152281
show version
-------------------[ FTD3100-4 ]--------------------
Model : Cisco Secure Firewall 3120 Threat Defense (80) Version 7.7.0 (Build 89)
UUID : 123a456a-cccc-bbbb-aaaa-a123456abcde
LSP version : lsp-rel-20250327-1959
VDB version : 404
----------------------------------------------------
Inventory name: 10-62-184-69-1743156301
show version
----------------[ KSEC-FPR1010-10 ]-----------------
Model : Cisco Firepower 1010 Threat Defense (78) Version 7.7.0 (Build 89)
UUID : 123a456a-cccc-bbbb-aaaa-a123456abcde
LSP version : lsp-rel-20250327-1959
VDB version : 404
----------------------------------------------------
Recupero di file dai dispositivi
Utilizzo della console di rete RADKit
Aggiornamento a 7.7 e da 7.7 in su
Esperienza con FTD non supportati
Punti di risoluzione dei problemi
1. Utilizzare gli strumenti di sviluppo del browser e i registri FMC per visualizzare gli eventi in corso in FMC.
2. Per i problemi di comunicazione tra il servizio RADKit su FMC, RADkit Cloud e il client RADKit, consultare la registrazione del client RADKit.
3. Client RADKit.
Come risolvere i problemi: Strumenti di sviluppo del browser
API Go Middleware del servizio RADKit
Go Middleware per l'integrazione RADKit utilizza chiamate API non disponibili pubblicamente tramite FMC API explorer. Il registro API Go Middleware è disponibile in /var/log/auth-daemon.log. Funzionalità Le prestazioni di Go Middleware includono:
Registri per la risoluzione dei problemi del servizio RADKit
/var/log/process_stdout.log
/var/log/process_stderr.log
Tutti questi registri sono inclusi nella risoluzione dei problemi FMC/FTD.
Log da inviare a Cisco TAC
Monitoraggio dell'accesso
Nei registri di verifica del CCP è riportata la registrazione di chi ha ottenuto l'accesso per quanto tempo e di chi l'ha concesso.
I registri di sessione RADKit per le operazioni eseguite dal client RADKit sui dispositivi (FMC e FTD) sono presenti sul FMC all'indirizzo /var/lib/radkit/session_logs/service:
Radkit log sessioni precedenti
I log delle sessioni RADKit per le operazioni sui dispositivi eseguite dal client RADKit sono disponibili per il download come archivio contenente tutti i log nella scheda Sessioni precedenti facendo clic sul pulsante "Scarica tutti i log".
Esempio di risoluzione dei problemi
In caso di errore come "Connect to localhost:2080 [localhost/127.0.0.1] failed: Connessione rifiutata (connessione rifiutata)", provare a riavviare il daemon di autenticazione da una sessione SSH del FMC:
root@firepower:~$ sudo pmtool restartbyid auth-daemon
L'output di telemetria è stato aggiunto per questa funzionalità:
"remoteDiagnostics" : {
"isRemoteDiagnosticsEnabled": 0 // 0 = false , 1 = true
}
Domande frequenti: Accesso e registrazione
D. L'iscrizione funziona con il proxy se FMC non dispone di accesso diretto a Internet?
R. Sì, se il proxy ha accesso a prod.radkit-cloud.cisco.com, utilizzato per il processo di iscrizione.
D. Un utente può utilizzare il proprio IdP per questo servizio?
R. Solo Cisco SSO è accettato sul cloud RADKit. È possibile associare l'account della società a un account Cisco, in modo che la registrazione al servizio RADKit sia possibile con un'e-mail di terze parti.
Domande frequenti: Versioni RADKit
D. Quale versione di RADkit è inclusa in FMC nella versione 7.7? Come possiamo sapere quale versione di RADKit è inclusa nel FMC? Può essere aggiornato senza l'aggiornamento del FMC?
R.
Domande frequenti: Other (Altro)
D. È possibile includere dispositivi esterni non gestiti dal CCP?
R. Solo i dispositivi gestiti dal FMC possono essere aggiunti all'inventario RADKit e quindi essere accessibili tramite un'autorizzazione.
D. La configurazione RADKit viene sottoposta a backup come parte del backup FMC?
R.
Collegamenti utili:
Revisione | Data di pubblicazione | Commenti |
---|---|---|
1.0 |
19-Mar-2025
|
Versione iniziale |