본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.
Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.
이 문서에서는 7.7 릴리스에 추가된 Cisco RADKit Integration in FMC 기능에 대해 설명합니다.
방화벽 관리자가 직면한 문제
사용 사례
RADKit를 FMC에 통합한 후 사용자가 얻을 수 있는 몇 가지 주요 기능은 다음과 같습니다.
새로운 기능 - 솔루션
FMC 다이어그램의 RADKit 서비스 통합
이 다이어그램은 RADKit가 사용자(TAC 엔지니어)의 RADKit 클라이언트에서 프로덕션 FTD 디바이스로의 통신을 어떻게 활성화하는지를 보여줍니다.
기본: 지원되는 플랫폼, 라이센싱
애플리케이션 및 관리자
기타 지원 측면
기능을 작동시키기 위한 종속성
기능 개요
구성 단계: 개요
1. 장치 관리자(FMC 관리자 사용자): RADKit 서비스를 활성화 및 등록하고 FMC GUI에서 권한 부여를 구성합니다.
2. 시스코 TAC/시스코 지원: 컴퓨터에 RADKit 클라이언트를 설치하고 RADKit 클라이언트에서 장치에 액세스하고 문제를 해결합니다.
FMC 관리자 사용자: 방화벽 관리 센터 연습
원격 진단 메뉴
초기 원격 진단 페이지
이것은 초기 원격 진단 페이지입니다. RADKit 서비스는 "RADKit 서비스 활성화" 스위치를 전환하여 활성화할 수 있습니다.
RADKit 서비스 시작
RADKit 서비스를 활성화한 후 RADKit 서비스가 시작될 때까지 진행률 표시줄이 나타납니다.
RADKit 서비스 사용
다음 단계는 "Enroll with SSO(SSO로 등록)" 버튼을 클릭하여 RADKit 클라우드에 등록하는 것입니다.
SSO 등록 - 이메일 주소 입력
등록 프로세스의 1단계는 RADKit 클라우드 등록에 대한 사용자 이메일 주소를 입력하는 것으로 구성됩니다.
SSO에 등록 - 권한 부여 요청 수락
새 브라우저 탭(또는 브라우저 설정에 따라 창)이 열립니다. Accept(수락) 버튼을 클릭합니다.
SSO에 등록 - 인증 성공
인증에 성공하면 사용자가 브라우저 탭을 닫고 FMC Remote Diagnostics 페이지로 돌아갈 수 있습니다.
RADKit 서비스 등록됨
RADKit 서비스는 지정된 서비스 ID로 등록됩니다(이 예에서 ID는 8kji-znxg-3gkt). ID를 클립보드에 복사할 수 있습니다. RADKit 클라이언트에서 RADKit 서비스에 연결할 수 있도록 Cisco TAC 엔지니어에게 제공합니다.
다음 단계는 "Create New Authorization(새 권한 부여 생성)" 버튼을 클릭하여 권한 부여를 생성하는 것입니다.
새 권한 부여 만들기: 1단계
새 권한 부여 만들기: 2단계
디바이스 선택 관련 참고 사항
새 권한 부여 만들기: 3단계
새 권한 부여 요약 만들기
마지막 단계는 권한 부여 요약입니다. 여기서 사용자는 구성을 검토하고 수정할 수 있습니다.
새 권한 부여 만들기 완료
승인 생성이 완료되면 확인 화면이 표시됩니다.
Revoke를 포함한 현재 Authorizations 목록
디바이스 Sudo 액세스 목록
디바이스 Sudo 액세스 활성화 확인
1. Sudo 액세스는 장치를 선택한 다음 "Enable(활성화)" 버튼을 클릭하여 모든 장치에 대해 또는 일부 특정 장치에 대해서만 활성화할 수 있습니다.
2. 활성화하면 확인 대화 상자가 나타나고 확인을 클릭해야 합니다.
장치 Sudo 액세스 사용
기타 참고 사항
RADKit 서비스 REST API
RADKit Service에서 생성 및 읽기 작업을 지원하기 위해 다음과 같은 새로운 URL이 도입되었습니다.
RADKit 서비스 모델
RADKit 서비스 모델은 다음과 같이 구성됩니다.
Cisco 지원: RADKit 클라이언트 사용
지원 측: RADKit 클라이언트 설치
RADKit 클라이언트 가져오기 및 설치
RADKit 클라이언트는 https://radkit.cisco.com/downloads/release/에서 로컬로 설치한 다음 명령을 사용하여 터미널에서 시작할 수 있습니다. radkit 클라이언트
Windows, MacOS 및 Linux용 설치 프로그램을 사용할 수 있습니다.
로그인 명령이 포함된 RADKit 클라이언트 스크린샷(다음 섹션의 세부 사항).
RADKit 클라이언트 로그인 명령
>>> client = sso_login("user@cisco.com")
A browser window was opened to continue the authentication process. Please follow the instructions there.
Authentication result received.
>>> service = client.service("8abc-znxg-3abc")
15:09:03.639Z INFO | internal | Connection to forwarder successful [forwarder_base_url='wss://prod.radkit-cloud.cisco.com/forwarder-4/' uri='wss://prod.radkit-cloud.cisco.com/forwarder-4/websocket/']
15:09:03.727Z INFO | internal | Forwarder client created. [forwarder_base_url='wss://prod.radkit-cloud.cisco.com/forwarder-4/']
15:09:04.244Z INFO | internal | Connection to forwarder successful [forwarder_base_url='wss://prod.radkit-cloud.cisco.com/forwarder-1/' uri='wss://prod.radkit-cloud.cisco.com/forwarder-1/websocket/']
15:09:04.332Z INFO | internal | Forwarder client created. [forwarder_base_url='wss://prod.radkit-cloud.cisco.com/forwarder-1/']
RADKit 클라이언트 서비스 인벤토리 명령
원격 사용자(Cisco TAC 엔지니어)에게 액세스 권한이 부여된 인벤토리 목록을 표시하는 명령:
>>> service.inventory
<radkit_client.sync.device.DeviceDict object at 0x1154969a0>
name host device_type Terminal Netconf SNMP Swagger HTTP description failed
----------------------- --------- ------------- ---------- --------- ------ --------- ------ ------------- --------
172-16-0-100-1724078669 127.0.0.3 FTD True False False False False 172.16.0.100 False
172-16-0-102-1724078669 127.0.0.2 FTD True False False False False 172.16.0.102 False
firepower-1724078669 127.0.0.1 FMC True False False False False firepower False
Untouched inventory from service 8kji-znxg-3gkt.
인벤토리의 디바이스에 대한 filter 명령이 있습니다(다음 섹션). 왼쪽 열의 이름을 사용하여 디바이스와의 인터랙티브 세션을 시작합니다(다음 섹션의 명령).
팁: 인벤토리가 오래된 경우 다음 명령을 사용하여 업데이트할 수 있습니다.
>>> service.update_inventory()
RADKit 클라이언트: 장치 필터링
인벤토리에서 디바이스를 필터링하기 위한 명령:
>>> ftds = service.inventory.filter(attr='name',pattern='172-16-0’)
>>> ftds
<radkit_client.sync.device.DeviceDict object at 0x111a93130>
name host device_type Terminal Netconf SNMP Swagger HTTP description failed
----------------------- --------- ------------- ---------- --------- ------ --------- ------ ------------- --------
172-16-0-100-1724078669 127.0.0.3 FTD True False False False False 172.16.0.100 False
172-16-0-102-1724078669 127.0.0.2 FTD True False False False False 172.16.0.102 False
2 device(s) from service 8kji-znxg-3gkt.
RADKit 클라이언트 장치 인터랙티브 세션 명령
이전 "service.inventory" 명령에서 가져온 "firepower-1724078669" 이름으로 디바이스(이 예에서는 FMC)에 대한 대화형 세션을 시작합니다.
>>> service.inventory["firepower-1724078669"].interactive()
08:56:10.829Z INFO | internal | Starting interactive session (will be closed when detached)
08:56:11.253Z INFO | internal | Session log initialized [filepath='/Users/use/.radkit/session_logs/client/20240820-115610830612-firepower-1724078669.log']
Attaching to firepower-1724078669 ...
Type: ~. to terminate.
~? for other shortcuts.
When using nested SSH sessions, add an extra ~ per level of nesting.
Warning: all sessions are logged. Never type passwords or other secrets, except at an echo-less password prompt.
Copyright 2004-2024, Cisco and/or its affiliates. All rights reserved.
Cisco is a registered trademark of Cisco Systems, Inc.
All other trademarks are property of their respective owners.
Cisco Firepower Extensible Operating System (FX-OS) v82.17.0 (build 170)
Cisco Secure Firewall Management Center for VMware v7.7.0 (build 1376)
RADKit 클라이언트가 디바이스에서 명령 실행
디바이스에서 명령을 실행합니다!
>>> result = ftds.exec(['show version', 'show interface'])
>>>
>>> result.status
<RequestStatus.SUCCESS: 'SUCCESS'>
>>>
>>> result.result['172-16-0-100-1724078669']['show version'].data | print
> show version
-------------------[ firepower ]--------------------
Model : Cisco Secure Firewall Threat Defense for VMware (75) Version 7.7.0 (Build 1376)
UUID : 989b0f82-5e2c-11ef-838b-b695bab41ffa
LSP version : lsp-rel-20240815-1151
VDB version : 392
----------------------------------------------------
이 인벤토리를 고려할 때:
>>> service.inventory
[READY] <radkit_client.sync.device.DeviceDict object at 0x192cdb77110>
name host device_type Terminal Netconf SNMP Swagger HTTP description failed
----------------------------- --------- ------------- ---------- --------- ------ --------- ------ ------------------ --------
10-62-184-69-1743156301 127.0.0.4 FTD True False None False False 10.62.184.69 False
fmc1700-1-1742391113 127.0.0.1 FMC True False None False False FMC1700-1 False
ftd3120-3-1743154081 127.0.0.2 FTD True False None False False FTD3120-3 False
ftd3120-4-1743152281 127.0.0.3 FTD True False None False False FTD3120-4 False
FTD 디바이스에서 'show version' 세부 정보를 가져오려면 다음을 수행합니다.
>>> command = "show version"
>>> ftds = service.inventory.filter("device_type","FTD").exec(command).wait()
>>>
>>> # Print the results
>>> for key in ftds.result.keys():
... print(key)
... ftds.result.get(key).data | print
... <- Press Enter twice
ftd3120-3-1743154081
> show version
-------------------[ FTD3100-3 ]--------------------
Model : Cisco Secure Firewall 3120 Threat Defense (80) Version 7.7.0 (Build 89)
UUID : 123a456a-cccc-bbbb-aaaa-a123456abcde
LSP version : lsp-rel-20250327-1959
VDB version : 404
----------------------------------------------------
>
10-62-184-69-1743156301
> show version
----------------[ KSEC-FPR1010-10 ]-----------------
Model : Cisco Firepower 1010 Threat Defense (78) Version 7.7.0 (Build 89)
UUID : 123a456a-cccc-bbbb-aaaa-a123456abcde
LSP version : lsp-rel-20250327-1959
VDB version : 404
----------------------------------------------------
>
ftd3120-4-1743152281
> show version
-------------------[ FTD3100-4 ]--------------------
Model : Cisco Secure Firewall 3120 Threat Defense (80) Version 7.7.0 (Build 89)
UUID : 123a456a-cccc-bbbb-aaaa-a123456abcde
LSP version : lsp-rel-20250327-1959
VDB version : 404
----------------------------------------------------
>
대체 접근 방식:
>>> # Get the FTDs. This returns a DeviceDict object:
... ftds = service.inventory.filter("device_type","FTD")
>>> # Access the dictionary of devices from the _async_object attribute
... devices_obj = ftds.__dict__['_async_object']
>>> # Extract the 'name' from each AsyncDevice object
... names = [device.name() for device in devices_obj.values()]
>>> # Get the 'show version' output from all FTD devices:
... command = "show version"
... show_ver_ftds = []
... for name in names:
... ftd = service.inventory[name]
... req = ftd.exec(command)
... req.wait(30) # depending on the number of devices you might need to increase the timeout value
... show_ver_ftds.append(req.result.data)
>>> # Print the inventory device name + 'show version' output from each device:
... for name, show_version in zip(names, show_ver_ftds):
... print(f"Inventory name: {name}")
... print(show_version[2:-2]) # Remove the leading '> ' and trailing ' \n>'
... print("\n")
Inventory name: ftd3120-3-1743154081
show version
-------------------[ FTD3100-3 ]--------------------
Model : Cisco Secure Firewall 3120 Threat Defense (80) Version 7.7.0 (Build 89)
UUID : 123a456a-cccc-bbbb-aaaa-a123456abcde
LSP version : lsp-rel-20250327-1959
VDB version : 404
----------------------------------------------------
Inventory name: ftd3120-4-1743152281
show version
-------------------[ FTD3100-4 ]--------------------
Model : Cisco Secure Firewall 3120 Threat Defense (80) Version 7.7.0 (Build 89)
UUID : 123a456a-cccc-bbbb-aaaa-a123456abcde
LSP version : lsp-rel-20250327-1959
VDB version : 404
----------------------------------------------------
Inventory name: 10-62-184-69-1743156301
show version
----------------[ KSEC-FPR1010-10 ]-----------------
Model : Cisco Firepower 1010 Threat Defense (78) Version 7.7.0 (Build 89)
UUID : 123a456a-cccc-bbbb-aaaa-a123456abcde
LSP version : lsp-rel-20250327-1959
VDB version : 404
----------------------------------------------------
장치에서 파일 가져오기
RADKit 네트워크 콘솔 사용
7.7 이상 7.7로 업그레이드
지원되지 않는 FTD가 있는 환경
문제 해결 지점
1. 브라우저 개발 도구 및 FMC 로그를 사용하여 FMC에서 발생하는 상황을 확인합니다.
2. FMC의 RADKit Service, RADkit Cloud, RADKit 클라이언트 간 통신 문제는 RADKit 클라이언트 로깅을 참조하십시오.
3. RADKit 클라이언트
문제 해결 방법: 브라우저의 개발자 도구
RADKit Service Go 미들웨어 API
RADKit 통합용 Go 미들웨어는 FMC API 탐색기를 통해 공개적으로 사용할 수 없는 API 호출을 사용합니다. Go Middleware API 로그는 /var/log/auth-daemon.log에서 사용할 수 있습니다. Go Middleware가 수행하는 기능은 다음과 같습니다.
RADKit 서비스 트러블슈팅을 위한 로그
/var/log/process_stdout.log
/var/log/process_stderr.log
이 모든 로그는 FMC/FTD 트러블슈트에 포함됩니다.
Cisco TAC에 제출할 로그
액세스 모니터링
액세스 권한을 부여받은 사용자의 FMC 감사 로그 기록
디바이스(FMC 및 FTD)의 RADKit 클라이언트에서 수행된 작업에 대한 RADKit 세션 로그는 FMC의 /var/lib/radkit/session_logs/service에 있습니다.
RADKit 이전 세션 로그
RADKit 클라이언트에서 수행된 디바이스 작업에 대한 RADKit 세션 로그는 "Download All Logs(모든 로그 다운로드)" 버튼을 클릭하여 Previous Sessions(이전 세션) 탭의 모든 로그가 포함된 아카이브로 다운로드할 수 있습니다.
문제 해결 예
"Connect to localhost:2080 [localhost/127.0.0.1](localhost/127.0.0.1에 연결)과 같은 오류가 발생한 경우: Connection refused (Connection refused)", FMC SSH 세션에서 auth-daemon을 다시 시작해 보십시오.
root@firepower:~$ sudo pmtool restartbyid auth-daemon
이 기능에 대한 텔레메트리 출력이 추가되었습니다.
"remoteDiagnostics" : {
"isRemoteDiagnosticsEnabled": 0 // 0 = false , 1 = true
}
FAQ: 로그인 및 등록
Q. FMC에 직접 인터넷 액세스가 없는 경우 등록이 프록시와 연동됩니까?
A. 예. 프록시에서 등록 프로세스에 사용되는 prod.radkit-cloud.cisco.com에 액세스할 수 있는 경우.
Q. 사용자가 이 서비스에 대해 자신의 IdP를 사용할 수 있습니까?
A. RADKit 클라우드에서는 Cisco SSO만 허용됩니다. Cisco 이외의 이메일을 통해 RADKit 서비스 등록이 가능하도록, 귀사 계정을 Cisco 계정과 연동하는 옵션이 있습니다.
FAQ: RADKit 버전
Q. 7.7 릴리스의 FMC에는 어떤 버전의 RADkit가 포함됩니까? FMC에 어떤 버전의 RADKit가 포함되어 있는지 어떻게 알 수 있습니까? FMC 업그레이드 없이 업데이트할 수 있는 내용입니까?
A.
FAQ: 기타
Q. FMC에서 관리하지 않는 외부 장치를 포함할 수 있습니까?
A. FMC에서 관리하는 디바이스만 RADKit 인벤토리에 추가한 다음 권한 부여를 통해 액세스할 수 있습니다.
Q. RADKit 구성은 FMC 백업의 일부로 백업됩니까?
A.
유용한 링크:
개정 | 게시 날짜 | 의견 |
---|---|---|
1.0 |
19-Mar-2025
|
최초 릴리스 |