この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。
このドキュメントでは、7.7リリースで追加されたFMCのCisco RADKit統合機能について説明します。
ファイアウォール管理者が直面する問題
使用例
FMCにRADKitを統合すると、次のような重要な機能が得られます。
新機能 – ソリューション
FMCでのRADKitサービス統合の図
次の図は、RADKitがユーザ(TACエンジニア)のRADKitクライアントから実稼働FTDデバイスへの通信をどのように実現するかを示しています。
基本:サポートされるプラットフォーム、ライセンス
アプリケーションとマネージャ
サポートのその他の側面
機能の動作に関する依存関係
機能の概要
設定手順:概要
1. デバイス管理者(FMC管理者ユーザ):RDKitサービスを有効にして登録し、FMC GUIで承認を設定します。
2. Cisco TAC/シスコサポート:RADKit Clientをコンピュータにインストールし、RADKit Clientからデバイスにアクセスしてトラブルシューティングを行います。
FMC管理者ユーザ:ファイアウォール管理センターのウォークスルー
リモート診断メニュー
初期リモート診断ページ
これは最初のリモート診断ページです。RADKitサービスを有効にするには、「Enable the RADKit service」スイッチを切り替えます。
RADKitサービスの開始
RADKitサービスを有効にすると、RADKitサービスが開始されるまで経過表示バーが表示されます。
有効なRADKitサービス
次のステップは、「Enroll with SSO」ボタンをクリックしてRADKitクラウドに登録することです。
SSOへの登録 – 電子メールアドレスの入力
登録プロセスのステップ1では、RADKitクラウド登録のユーザ電子メールアドレスを入力します。
SSOへの登録:認証要求の受け入れ
新しいブラウザタブ(ブラウザの設定によってはウィンドウ)が開きます。Acceptボタンをクリックします。
SSOへの登録 – 認証成功
認証に成功した後、ユーザはブラウザタブを閉じて、FMCのリモート診断ページに戻ることができます。
RADKitサービス登録済み
RADKitサービスは、指定されたサービスIDで登録されます(この例では、IDは8kji-znxg-3gktです)。 IDはクリップボードにコピーできます。Cisco TACエンジニアがRADKitクライアントからRADKitサービスに接続できるように、この情報を提供します。
次に、「Create New Authorization」ボタンをクリックして認可を作成します。
新しい許可の作成:手順1
新しい許可の作成:手順2
ピッキングデバイスについての注意
新しい許可の作成:手順3
新しい承認の概要の作成
最後のステップは許可の要約です。ここで、ユーザは設定を確認および編集できます。
新しい承認の作成が完了しました
許可の作成が完了すると、確認画面が表示されます。
取り消しを含む現在の承認リスト
デバイスSudoアクセスリスト
デバイスのSudoアクセスの有効化の確認
1. Sudoアクセスは、すべてのデバイスに対して、または特定のデバイスに対してのみ有効にすることができます。これを行うには、デバイスを選択して「Enable」ボタンをクリックします。
2. 有効にすると、確認ダイアログが表示され、「Confirm」をクリックする必要があります。
Sudoアクセスが有効なデバイス
その他の注意事項
RADKitサービスREST API
RADKitサービスでの作成および読み取り操作をサポートするために、次の新しいURLが導入されました。
RADKitサービスモデル
RADKitサービスモデルは、次の要素で構成されています。
シスコサポート:RADKitクライアントの使用状況
サポート側:RADKit Clientのインストール
RADKitクライアントの入手とインストール
RADKitクライアントはhttps://radkit.cisco.com/downloads/release/からローカルにインストールでき、次にコマンドradkit-clientを使用して端末から起動します。
インストーラは、Windows、MacOS、およびLinuxで使用できます。
ログインコマンドを使用したRADKitクライアントのスクリーンショット(詳細は次のセクションを参照)
RADKitクライアントのログインコマンド
>>> client = sso_login("user@cisco.com")
A browser window was opened to continue the authentication process. Please follow the instructions there.
Authentication result received.
>>> service = client.service("8abc-znxg-3abc")
15:09:03.639Z INFO | internal | Connection to forwarder successful [forwarder_base_url='wss://prod.radkit-cloud.cisco.com/forwarder-4/' uri='wss://prod.radkit-cloud.cisco.com/forwarder-4/websocket/']
15:09:03.727Z INFO | internal | Forwarder client created. [forwarder_base_url='wss://prod.radkit-cloud.cisco.com/forwarder-4/']
15:09:04.244Z INFO | internal | Connection to forwarder successful [forwarder_base_url='wss://prod.radkit-cloud.cisco.com/forwarder-1/' uri='wss://prod.radkit-cloud.cisco.com/forwarder-1/websocket/']
15:09:04.332Z INFO | internal | Forwarder client created. [forwarder_base_url='wss://prod.radkit-cloud.cisco.com/forwarder-1/']
RADKitクライアントサービスインベントリコマンド
リモートユーザ(Cisco TACエンジニア)がアクセスを許可されているインベントリをリストするコマンド:
>>> service.inventory
<radkit_client.sync.device.DeviceDict object at 0x1154969a0>
name host device_type Terminal Netconf SNMP Swagger HTTP description failed
----------------------- --------- ------------- ---------- --------- ------ --------- ------ ------------- --------
172-16-0-100-1724078669 127.0.0.3 FTD True False False False False 172.16.0.100 False
172-16-0-102-1724078669 127.0.0.2 FTD True False False False False 172.16.0.102 False
firepower-1724078669 127.0.0.1 FMC True False False False False firepower False
Untouched inventory from service 8kji-znxg-3gkt.
インベントリ内のデバイスに対するフィルタコマンドがあります(次のセクション)。 左側の列の名前を使用して、デバイスとのインタラクティブセッションを開始します(次のセクションのコマンド)。
ヒント:インベントリが古くなっている場合は、次のコマンドを使用して更新できます。
>>> service.update_inventory()
RADKitクライアント:デバイスのフィルタ
インベントリ内のデバイスをフィルタリングするコマンド:
>>> ftds = service.inventory.filter(attr='name',pattern='172-16-0’)
>>> ftds
<radkit_client.sync.device.DeviceDict object at 0x111a93130>
name host device_type Terminal Netconf SNMP Swagger HTTP description failed
----------------------- --------- ------------- ---------- --------- ------ --------- ------ ------------- --------
172-16-0-100-1724078669 127.0.0.3 FTD True False False False False 172.16.0.100 False
172-16-0-102-1724078669 127.0.0.2 FTD True False False False False 172.16.0.102 False
2 device(s) from service 8kji-znxg-3gkt.
RADKitクライアントデバイスのインタラクティブセッションコマンド
前の「service.inventory」コマンドから取得した「firepower-1724078669」という名前のデバイス(この場合はFMC)のインタラクティブセッションを起動する。
>>> service.inventory["firepower-1724078669"].interactive()
08:56:10.829Z INFO | internal | Starting interactive session (will be closed when detached)
08:56:11.253Z INFO | internal | Session log initialized [filepath='/Users/use/.radkit/session_logs/client/20240820-115610830612-firepower-1724078669.log']
Attaching to firepower-1724078669 ...
Type: ~. to terminate.
~? for other shortcuts.
When using nested SSH sessions, add an extra ~ per level of nesting.
Warning: all sessions are logged. Never type passwords or other secrets, except at an echo-less password prompt.
Copyright 2004-2024, Cisco and/or its affiliates. All rights reserved.
Cisco is a registered trademark of Cisco Systems, Inc.
All other trademarks are property of their respective owners.
Cisco Firepower Extensible Operating System (FX-OS) v82.17.0 (build 170)
Cisco Secure Firewall Management Center for VMware v7.7.0 (build 1376)
RADKitクライアントがデバイス上でコマンドを実行する
デバイスでコマンドを実行します。
>>> result = ftds.exec(['show version', 'show interface'])
>>>
>>> result.status
<RequestStatus.SUCCESS: 'SUCCESS'>
>>>
>>> result.result['172-16-0-100-1724078669']['show version'].data | print
> show version
-------------------[ firepower ]--------------------
Model : Cisco Secure Firewall Threat Defense for VMware (75) Version 7.7.0 (Build 1376)
UUID : 989b0f82-5e2c-11ef-838b-b695bab41ffa
LSP version : lsp-rel-20240815-1151
VDB version : 392
----------------------------------------------------
このインベントリを考慮すると:
>>> service.inventory
[READY] <radkit_client.sync.device.DeviceDict object at 0x192cdb77110>
name host device_type Terminal Netconf SNMP Swagger HTTP description failed
----------------------------- --------- ------------- ---------- --------- ------ --------- ------ ------------------ --------
10-62-184-69-1743156301 127.0.0.4 FTD True False None False False 10.62.184.69 False
fmc1700-1-1742391113 127.0.0.1 FMC True False None False False FMC1700-1 False
ftd3120-3-1743154081 127.0.0.2 FTD True False None False False FTD3120-3 False
ftd3120-4-1743152281 127.0.0.3 FTD True False None False False FTD3120-4 False
FTDデバイスから「show version」の詳細を取得するには、次のコマンドを実行します。
>>> command = "show version"
>>> ftds = service.inventory.filter("device_type","FTD").exec(command).wait()
>>>
>>> # Print the results
>>> for key in ftds.result.keys():
... print(key)
... ftds.result.get(key).data | print
... <- Press Enter twice
ftd3120-3-1743154081
> show version
-------------------[ FTD3100-3 ]--------------------
Model : Cisco Secure Firewall 3120 Threat Defense (80) Version 7.7.0 (Build 89)
UUID : 123a456a-cccc-bbbb-aaaa-a123456abcde
LSP version : lsp-rel-20250327-1959
VDB version : 404
----------------------------------------------------
>
10-62-184-69-1743156301
> show version
----------------[ KSEC-FPR1010-10 ]-----------------
Model : Cisco Firepower 1010 Threat Defense (78) Version 7.7.0 (Build 89)
UUID : 123a456a-cccc-bbbb-aaaa-a123456abcde
LSP version : lsp-rel-20250327-1959
VDB version : 404
----------------------------------------------------
>
ftd3120-4-1743152281
> show version
-------------------[ FTD3100-4 ]--------------------
Model : Cisco Secure Firewall 3120 Threat Defense (80) Version 7.7.0 (Build 89)
UUID : 123a456a-cccc-bbbb-aaaa-a123456abcde
LSP version : lsp-rel-20250327-1959
VDB version : 404
----------------------------------------------------
>
別のアプローチ:
>>> # Get the FTDs. This returns a DeviceDict object:
... ftds = service.inventory.filter("device_type","FTD")
>>> # Access the dictionary of devices from the _async_object attribute
... devices_obj = ftds.__dict__['_async_object']
>>> # Extract the 'name' from each AsyncDevice object
... names = [device.name() for device in devices_obj.values()]
>>> # Get the 'show version' output from all FTD devices:
... command = "show version"
... show_ver_ftds = []
... for name in names:
... ftd = service.inventory[name]
... req = ftd.exec(command)
... req.wait(30) # depending on the number of devices you might need to increase the timeout value
... show_ver_ftds.append(req.result.data)
>>> # Print the inventory device name + 'show version' output from each device:
... for name, show_version in zip(names, show_ver_ftds):
... print(f"Inventory name: {name}")
... print(show_version[2:-2]) # Remove the leading '> ' and trailing ' \n>'
... print("\n")
Inventory name: ftd3120-3-1743154081
show version
-------------------[ FTD3100-3 ]--------------------
Model : Cisco Secure Firewall 3120 Threat Defense (80) Version 7.7.0 (Build 89)
UUID : 123a456a-cccc-bbbb-aaaa-a123456abcde
LSP version : lsp-rel-20250327-1959
VDB version : 404
----------------------------------------------------
Inventory name: ftd3120-4-1743152281
show version
-------------------[ FTD3100-4 ]--------------------
Model : Cisco Secure Firewall 3120 Threat Defense (80) Version 7.7.0 (Build 89)
UUID : 123a456a-cccc-bbbb-aaaa-a123456abcde
LSP version : lsp-rel-20250327-1959
VDB version : 404
----------------------------------------------------
Inventory name: 10-62-184-69-1743156301
show version
----------------[ KSEC-FPR1010-10 ]-----------------
Model : Cisco Firepower 1010 Threat Defense (78) Version 7.7.0 (Build 89)
UUID : 123a456a-cccc-bbbb-aaaa-a123456abcde
LSP version : lsp-rel-20250327-1959
VDB version : 404
----------------------------------------------------
デバイスからのファイルの取得
RADKit Network Consoleの使用
7.7以降へのアップグレード
サポートされていないFTDの経験
トラブルシューティングポイント
1. ブラウザ開発ツールとFMCのログを使用して、FMCで何が起きているかを確認します。
2. FMC上のRADKitサービス、RADkit Cloud、RADKitクライアント間の通信の問題については、RADKitクライアントロギングを参照してください。
3. RADKitクライアント。
トラブルシューティング方法:ブラウザの開発者ツール
RADKit Service Go Middleware API
Go Middleware for the RADKit統合では、FMC APIエクスプローラでは公開されていないAPI呼び出しを使用します。Go Middleware APIのログは、/var/log/auth-daemon.logで入手できます。Go Middlewareが実行する機能は次のとおりです。
RADKitサービスをトラブルシューティングするためのログ
/var/log/process_stdout.log
/var/log/process_stderr.log
これらのログはすべて、FMC/FTDのトラブルシューティングに含まれています。
Cisco TACに提出すべきログ
アクセス監視
FMC監査ログには、アクセスを許可されたユーザとアクセスを許可されたユーザのログが記録されます。
デバイス(FMCおよびFTD)上のRADKitクライアントから実行された操作のRADKitセッションログは、FMCの/var/lib/radkit/session_logs/service:
RADKitの以前のセッションログ
RADKitクライアントから実行されたデバイス操作のRADKitセッションログを、アーカイブとしてダウンロードできます。このアーカイブには、「Previous Sessions」タブで「Download All Logs」ボタンをクリックすると、すべてのログが含まれます。
トラブルシューティングの例
「Connect to localhost:2080 [localhost/127.0.0.1] failed: Connection refused (Connection refused)」のようなエラーが発生した場合は、FMCのSSHセッションからauth-daemonを再起動してみてください。
root@firepower:~$ sudo pmtool restartbyid auth-daemon
テレメトリの出力は、この機能のために追加されました。
"remoteDiagnostics" : {
"isRemoteDiagnosticsEnabled": 0 // 0 = false , 1 = true
}
FAQ:ログインと登録
Q. FMCにインターネットへの直接アクセスがない場合、登録はプロキシで機能しますか。
A.はい。登録プロセスで使用されるprod.radkit-cloud.cisco.comへのアクセス権がプロキシにある場合はアクセスできます。
Q.ユーザは、このサービスに独自のIdPを使用できますか。
A. RADKitクラウドではCisco SSOのみが受け入れられます。会社のアカウントをシスコのアカウントに関連付けるオプションがあり、RADKitサービスをシスコ以外の電子メールで登録できます。
FAQ:RADKitバージョン
Q. 7.7リリースのFMCには、RADkitのどのバージョンが含まれていますか。FMCに含まれているRADKitのバージョンを調べるにはどうすればいいですか。これは、FMCをアップグレードしなくてもアップデートできますか。
A.
FAQ:その他
Q. FMCで管理されていない外部デバイスを含めることはできますか。
A. FMCで管理されているデバイスだけをRADKitインベントリに追加し、認証を通じてアクセスできます。
Q. FMCバックアップの一部としてRADKit設定はバックアップされますか。
A.
参考リンク:
改定 | 発行日 | コメント |
---|---|---|
1.0 |
19-Mar-2025
|
初版 |