Inline set-volgorde voor FTD op FMC ophelderen

Inleiding

Dit document beschrijft waarom de interfacevolgorde voor inline-sets anders is, zelfs als de interface-naamgevingsconventie voor alle sets gelijk is.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Secure Firewall Threat Defence (FTD)
• Secure Firewall Management Center (FMC)
• Secure Firewall Extensible Operating System (FXOS)
• REST-API

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• Secure Firewall Threat Defense versie 7.2.5.1
• Secure Firewall Manager Center versie 7.2.5.1
• Secure Firewall uitbreidbaar besturingssysteem 2.12(1.48)
• Secure Firewall Chassis Manager (FCM)

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Analyse

Case Voorbeeld

In dit geval wordt bijvoorbeeld een FTD met zes (6) interfaces opgezet in inline paren:

Ethernet1/1 (Inside-A)
Ethernet1/2 (Outside-A)
Ethernet1/3 (Inside-B)
Ethernet1/4 (Outside-B)
Ethernet1/5 (Inside-C)
Ethernet1/6 (Outside-C)

FTD-interfacelijst

De inline sets zijn gepland om van binnen naar buiten te worden geconfigureerd voor elk paar, wat resulteert in de volgende set:

Inline Set A: Inside-A <-> Outside-A
Inline Set B: Inside-B <-> Outside-B
Inline Set C: Inside-C <-> Outside-C

De gebruikers verwachten dat de orde van de interfaces in alfabetische orde door de interface logische naam of de interface fysieke naam wordt getoond. Deze instelling resulteert echter in een andere volgorde zoals weergegeven in de volgende afbeelding:

FTD inline services

Gebruikers merken dat de Inline set C een andere orde heeft dan de andere twee inline sets.

Toelichting

Inline sets interfacevolgorde wordt niet toegewezen door naam maar door ID, die wordt geverifieerd via REST-API.

Stap 1. Om dit te verifiëren moet de FMC REST-API verkenner worden benaderd. Dit wordt bereikt door toegang te krijgen tot de volgende URL syntaxis:

https://FMC  IP/api/api-explorer

FMC REST-API Verkenner

Stap 2. Navigeer naar Apparaten en vouw het menu uit.

Het menu Apparaten

Stap 3. Navigeer naar de GET optie voor:

​/api​/fmc_config​/v1​/domain​/{domainUUID}​/devices​/devicerecords​/{containerUUID}​/inlinesets

Optie voor inline sets verkrijgen

Stap 4. Klik op de knop Uitproberen.

Inline set GET Probeer het uit knop

Stap 5. show versionVervang het veld containerUID door de FTD UID (dit wordt weergegeven door de opdracht op de FTD-opdrachtregel) en klik op Execute.

Uitvoering van inline sets

Stap 6. Scroll naar beneden naar de Response Body en kopieer de ID van de interface die nodig is om problemen op te lossen, in dit geval is het Inline Set C.

"id": "005056B3-BB52-0ed3-0000-021474837838",

Inline sets GET Response Body

Stap 7. Navigeer naar de GET optie voor:

/api/fmc_config/v1/domain/{domainUUID}/devices/devicerecords/{containerUUID}/inlinesets/{objectId}

Inline sets GET Object ID

Stap 8. Klik op de knop Uitproberen.

Inline sets GET Object ID Probeer het uit

Stap 9. Vervang het veld objectID door de ID in Stap 6 en de containerUUID door de FTD UUID gebruikt in Stap 5. Klik vervolgens op de knop Uitvoeren.

Uitvoering van object-id voor inline sets

Stap 10. Bevestig de responsinstantie van de REST-API-query.

Inline sets GET Object ID Respons Body

De interface Ethernet1/6 wordt toegevoegd als eerste component van de inline reeks, terwijl Ethernet1/5 als tweede component wordt toegevoegd. Dit gebeurt vanwege de toegewezen interface-ID voor Ethernet1/6 is alfabetisch lager dan die voor Ethernet1/5. Hiermee wordt de logica gevalideerd die het VCC hanteert voor de interfacetaak op inline-sets.

Tijdelijke oplossing

De interface-ID wordt toegewezen door FXOS op het moment van de logische apparaatcreatie, zodat de interfaces op FXOS-niveau moeten worden verwijderd en in de gewenste volgorde moeten worden gelezen om de ID opnieuw toe te wijzen.

Stap 1. Log in op het VCC en verwijder de problematische inline op het volgende pad:

Devices > Device Management > Edit the desired FTD > Inline Sets.

Inline set verwijderen

Stap 2. Veranderingen opslaan en implementeren.

Implementatie van inline set-verwijdering

Stap 3. Log in het apparaat FCM en navigeer naar logische apparaten en bewerk het gewenste logische apparaat.

Logisch apparaat bewerken

Stap 4. Verwijder beide interfaces die behoren tot de problematische inline set, die bijvoorbeeld Ethernet1/5 en Ethernet1/6 zijn, en sla de wijzigingen op.

Verwijdering van inline ingestelde interface

Stap 5. Op FMC navigeer naar Apparaten > Apparaatbeheer, bewerk het gewenste FTD en navigeer naar het tabblad Interfaces, klik op Sync Device knop, sla wijzigingen op en implementeer.

Inline Set FTD Sync na verwijdering

Stap 6. Bewerk het logische apparaat opnieuw, voeg opnieuw de eerste interface (Ethernet1/5) toe en sla de wijzigingen op.

Inline set eerste interfacetoevoeging

Stap 7. Klik op de Sync Device knop, sla wijzigingen op en implementeer deze opnieuw.

FTD Sync na eerste interfacetoevoeging

Stap 8. Bewerk het logische apparaat opnieuw, voeg opnieuw de eerste interface (Ethernet1/6) toe en sla de wijzigingen op.

Inline set tweede interfacetoevoeging

Stap 9. Herhaal stap 5 door op de Sync Device knop te klikken, wijzigingen op te slaan en vervolgens te implementeren.

FTD Sync na tweede interfacetoevoeging

Stap 10. Configureer de interfaces met dezelfde parameters als voorheen en voeg de inline set opnieuw toe.

Inline set configureren

In dit geval wordt de interfacevolgorde voor inline sets op de verwachte manier weergegeven. Veranderingen opslaan en een laatste keer implementeren.

Gerelateerde informatie

• Cisco Technical Support en downloads