FMCでのFTDのインラインセット順序の明確化
はじめに
このドキュメントでは、インターフェイスの命名規則がすべてのセットで等しい場合でも、インラインセットのインターフェイス順序が異なる理由について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- セキュアファイアウォール脅威対策(FTD)
- セキュアファイアウォール管理センター(FMC)
- Secure Firewall Extensible Operating System(FXOS)
- REST-API
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- Secure Firewall Threat Defenseバージョン7.2.5.1
- Secure Firewall Manager Centerバージョン7.2.5.1
- Secure Firewall Extensible Operating System 2.12(1.48)
- Secure Firewall Chassis Manager(FCM)
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
分析
ケース例
この例では、6つのインターフェイスを持つFTDがインラインペアで設定されています。
Ethernet1/1 (Inside-A)
Ethernet1/2 (Outside-A)
Ethernet1/3 (Inside-B)
Ethernet1/4 (Outside-B)
Ethernet1/5 (Inside-C)
Ethernet1/6 (Outside-C)
FTDインターフェイスリスト
インラインセットは、各ペアに対して内部から外部に設定される予定であり、その結果、次の設定になります。
Inline Set A: Inside-A <-> Outside-A
Inline Set B: Inside-B <-> Outside-B
Inline Set C: Inside-C <-> Outside-Cユーザは、インターフェイスの順序が、インターフェイスの論理名またはインターフェイスの物理名によってアルファベット順に表示されることを期待します。ただし、この設定では、次の図に示すように異なる順序になります。
FTDインラインセット
インラインセットCの順序が他の2つのインラインセットの順序と異なっていることに気付きます。
注:インラインセットインターフェイスペアの順序によって通信や動作の問題が発生することはありませんが、審美上の理由から発生する可能性があることに注意してください。
説明
インラインセットは、インターフェイスの順序を名前ではなくIDで割り当てます。IDはREST-APIで検証されます。
ステップ 1:これを確認するには、FMC REST-APIエクスプローラにアクセスする必要があります。これは、次のURL構文にアクセスすることで実現されます。
https://FMC IP/api/api-explorer
FMC REST-APIエクスプローラ
ステップ 2:Devicesに移動し、メニューを展開します。
Devicesメニュー
ステップ 3:次のGETオプションに移動します。
/api/fmc_config/v1/domain/{domainUUID}/devices/devicerecords/{containerUUID}/inlinesets
インラインセットGETオプション
ステップ 4:Try it Outボタンをクリックします。
インラインセットGET Try it Outボタン
ステップ 5:containerUUIDフィールドをFTD UUID(FTDコマンドラインのコマンドで表示されます)に置き換えshow version、Executeをクリックします。
インラインセットの実行
手順 6:Response Bodyまでスクロールダウンし、トラブルシューティングを行う必要があるインターフェイス(この場合はインラインセットC)のIDをコピーします。
"id": "005056B3-BB52-0ed3-0000-021474837838",
インラインセットGET応答本文
手順 7: 次のGETオプションに移動します。
/api/fmc_config/v1/domain/{domainUUID}/devices/devicerecords/{containerUUID}/inlinesets/{objectId}
インラインセットGETオブジェクトID
ステップ 8: Try it Outボタンをクリックします。
インラインセットGETオブジェクトID試行
ステップ 9:objectIdフィールドをステップ6で取得したIDに置き換え、containerUUIDをステップ5で使用したFTD UUIDに置き換えます。その後、Executeボタンをクリックします。
インラインセットGETオブジェクトIDの実行
ステップ 10:REST-APIクエリの応答本文を検証します。
インラインセットGETオブジェクトID応答本文
インターフェイスEthernet1/6はインラインセットの最初のコンポーネントとして追加され、Ethernet1/5は2番目のコンポーネントとして追加されます。これは、Ethernet1/6に割り当てられたインターフェイスIDがEthernet1/5よりもアルファベット順に小さいために発生します。これにより、インラインセットでのインターフェイス割り当てに対してFMCが実行しているロジックが検証されます。
回避策
インターフェイスIDは論理デバイスの作成時にFXOSによって割り当てられるため、IDが再度割り当てられるようにするには、インターフェイスをFXOSレベルで削除し、適切な順序で読み取る必要があります。
警告:次の回避策はFPR4100およびFPR9300シリーズにのみ適用されます。他のセキュアファイアウォールハードウェアのイメージを変更する必要があります。また、この回避策はトラフィックの中断です。この意味で、FMC、FTD、およびFXOSのバックアップは、計画されたメンテナンスウィンドウと同様に強く推奨されます。
ステップ 1:FMCにログインし、次のパスで問題のあるインラインセットを削除します。
Devices > Device Management > Edit the desired FTD > Inline Setsを参照。
インラインセットの削除
ステップ 2:変更を保存して展開します。
インラインセット削除の展開
ステップ 3:デバイスFCMにログインし、Logical Devicesに移動して、目的のLogical Deviceを編集します。
論理デバイスの編集
ステップ 4:問題のあるインラインセット(この例ではEthernet1/5とEthernet1/6)に属する両方のインターフェイスを削除し、変更を保存します。
インラインセットインターフェイスの削除
ステップ 5:FMCでDevices > Device Managementの順に移動し、目的のFTDを編集してInterfacesタブに移動し、Sync Deviceボタンをクリックして、変更を保存し、展開します。
削除後のインラインセットFTD同期
手順 6:論理デバイスを再度編集し、最初のインターフェイス(Ethernet1/5)を再度追加して、変更を保存します。
インラインセットの最初のインターフェイスの追加
手順 7:ボタSync Deviceンをクリックし、変更を保存して、もう一度配置します。
最初のインターフェイス追加後のFTD同期
ステップ 8:論理デバイスを再度編集し、最初のインターフェイス(Ethernet1/6)をもう一度追加して、変更を保存します。
2番目のインターフェイスの追加をインラインセット
ステップ 9: ボタSync Deviceンをクリックし、変更を保存してから展開して、手順5を繰り返します。
2番目のインターフェイス追加後のFTD同期
ステップ 10:前と同じパラメータでインターフェイスを設定し、インラインセットを再度追加します。
インラインセットの設定
今回は、インラインセットインターフェイスの順序が予想どおりに表示されます。変更を保存し、最後にもう一度展開します。
注:このドキュメントの「Case Example」セクションは、インターフェイスIDが正しい順序になっていることを検証するために、もう一度実行する必要があります。
関連情報
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
2.0 |
13-Feb-2024 |
初版リリース |
1.0 |
12-Feb-2024 |
初版 |
フィードバック