Converteren naar container (MI-modus) in Firepower 4200 met FTD 7.6
Inhoud
Inleiding
In dit document wordt beschreven hoe u een container (modus voor meerdere instanties) configureert in Firepower 4200-firewallreeks met FTD 7.6 en bijbehorende details.
Vereisten, ondersteunde platforms, licenties
Minimale software- en hardwareplatforms
Opmerking: Multi-Instance wordt op geen enkel platform ondersteund met FDM.
vergunning
- Functielicenties worden handmatig toegewezen aan elke instantie, maar u verbruikt slechts één licentie per functie per apparaat uit de 4200-reeks.
- Voor een 4200-reeks met 3 FTD-instanties hebt u bijvoorbeeld slechts één URL-licentie nodig, ongeacht het aantal instanties dat wordt gebruikt, op voorwaarde dat u zich op dezelfde FMC bevindt.
- Alle licenties worden verbruikt per apparaat uit de 4200-reeks en niet per containerinstantie, op voorwaarde dat ze zich op hetzelfde VCC bevinden. Daarom wordt u aangeraden om voor alle instanties op een apparaat uit de 4200-reeks dezelfde FMC te gebruiken vanwege de implementatie van licenties.
Gebruikte componenten
Dit document is niet beperkt tot specifieke software- en hardware-versies.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
- FTD ondersteunt al Multi-Instance (MI) op 3100-modellen (evenals de 9300- en 4100-serie), maar er is geen ondersteuning voor de 4200-serie.
- 4200-modellen worden alleen ondersteund in Native Mode in FMC.
- Er is geen bepaling om meerdere instanties in 7.4.x in 4200 te maken.
- Multi-Instance (MI) op 3100 werd ondersteund vanaf 7.4.1.
- Instanties kunnen worden gemaakt en beheerd met behulp van FMC (in tegenstelling tot de 9300- en 4100-serie, waar FCM moet worden gebruikt).
- FXOS kan worden bijgewerkt in de MI-modus via FMC's Upgrade Chassis GUI.
- Het converteren naar de MI-modus gebeurt via een CLI.
Wat is nieuw?
- U hebt de mogelijkheid om MI-instanties in de 4200-reeks te installeren en te beheren.
- FMC - Eén beheeroplossing voor exemplaren uit de 4200-reeks (MI-modus) en FTD
- Maakt enkelvoudige en bulkconversie van native apparaten naar MI-modus op FMC mogelijk voor apparaten uit de 3100- en 4200-reeks.
- Doelmarkt: onderneming/grote onderneming - Internet Edge, datacenter
Platforms met FTD Multi-Instance Support
Verschillen tussen de 3100 en 4200 serie
- 4200 heeft twee beheerinterfaces, zodat u de ene kunt gebruiken voor beheer en de andere voor eventing.
- Zowel de Management1/1- als de Management1/2-interfaces zijn opstartbaar voor alle FTD-containerinstanties.
- Een of beide beheerinterfaces kunnen worden gebruikt in de MI-modus.
- Management1/1 voor zowel Management als Events, of
- Management1/1 kan worden gebruikt voor management en Management1/2 voor events, in welk geval:
- Statische routes moeten worden gedefinieerd om het verkeer te routeren met behulp van de Management 1/2-interface.
- Vanwege de grotere omvang kunnen er meer exemplaren worden gemaakt op de 4200 dan op de 3100.
Ondersteunde implementaties
- Beheer de 4200-reeks (MI-modus) met zelfstandige FTD-instantie(s)
- Beheer de 4200-reeks (MI-modus) met HA FTD-instantie(s)*
Opmerking: voor de FPR4100-reeks moeten primaire en secundaire knooppunten in het geval van FTD-HA op twee verschillende apparaten uit de 4200-reeks (MI-modus) zijn aangesloten. Daarnaast wordt MI Clustering niet ondersteund in deze versie.
Kenmerken Beschrijving en Walkthrough
Wijzigingen in Multi-Instance Configuration in 7.6.0:
- Ondersteuning voor de 4200-reeks in MI-modus
- Wijzigingen in FMC, die ook betrekking hebben op het beheer van de MI-modus van de 3100-reeks:
- Conversie van apparaat van Native naar MI-modus in FMC
- Gereedheid Controleert of apparaat kan worden geconverteerd naar MI-modus
- FTD-instantie automatisch registreren in FMC na conversie
4200-reeks — Instantiespecificaties
Max. aantal steungevallen
Instantiedichtheid wordt bepaald door 2 hoofdfactoren:
1. De hoeveelheid CPU-kernen en de hoeveelheid schijfruimte op een bepaald platform
2. Hoeveel van deze middelen zijn beschikbaar voor instanties. De kleinste instantiegrootte vereist 3 fysieke CPU (6 logische) kernen en 48 GB schijfruimte.
FTD-instantiegroottes
LINA (Data Plane) Snort kerntoewijzingen
|
4215 |
4225 |
4245 |
||||
|
instantiegrootte |
cores van het gegevensvlak |
Snort Cores |
cores van het gegevensvlak |
Snort Cores |
cores van het gegevensvlak |
Snort Cores |
|
6 |
2 |
2 |
2 |
2 |
2 |
2 |
|
8 |
2 |
4 |
2 |
4 |
2 |
4 |
|
10 |
4 |
4 |
4 |
4 |
4 |
4 |
|
12 |
4 |
6 |
4 |
6 |
4 |
6 |
|
14 |
6 |
8 |
6 |
6 |
6 |
6 |
|
16 |
6 |
8 |
6 |
6 |
8 |
8 |
|
18 |
8 |
10 |
8 |
8 |
8 |
10 |
|
20 |
8 |
10 |
8 |
8 |
10 |
10 |
|
22 |
10 |
12 |
10 |
10 |
10 |
12 |
|
24 |
12 |
12 |
10 |
10 |
10 |
12 |
|
26 |
12 |
14 |
12 |
12 |
12 |
12 |
|
28 |
14 |
14 |
12 |
14 |
12 |
14 |
|
30 |
14 |
16 |
14 |
14 |
14 |
14 |
|
32 |
14 |
16 |
14 |
16 |
14 |
16 |
|
34 |
16 |
16 |
16 |
16 |
16 |
16 |
|
36 |
16 |
18 |
16 |
18 |
16 |
18 |
|
38 |
18 |
18 |
18 |
18 |
18 |
18 |
|
40 |
18 |
20 |
18 |
20 |
18 |
20 |
|
42 |
20 |
20 |
20 |
20 |
20 |
20 |
|
44 |
20 |
22 |
20 |
22 |
20 |
22 |
|
46 |
22 |
22 |
22 |
22 |
22 |
22 |
|
48 |
22 |
24 |
22 |
24 |
22 |
24 |
|
50 |
24 |
24 |
24 |
24 |
24 |
24 |
|
52 |
24 |
26 |
24 |
26 |
24 |
26 |
|
54 |
26 |
26 |
26 |
26 |
24 |
26 |
|
56 |
26 |
28 |
26 |
28 |
26 |
28 |
|
58 |
28 |
28 |
28 |
28 |
28 |
28 |
|
60 |
28 |
30 |
28 |
39 |
28 |
30 |
|
62 |
30 |
30 |
30 |
30 |
30 |
30 |
|
64 |
30 |
32 |
30 |
32 |
||
|
66 |
30 |
34 |
30 |
34 |
||
|
68 |
32 |
34 |
32 |
34 |
||
|
70 |
32 |
36 |
32 |
36 |
||
|
72 |
34 |
36 |
34 |
36 |
||
|
74 |
34 |
38 |
34 |
38 |
||
|
76 |
36 |
38 |
36 |
38 |
||
|
78 |
36 |
40 |
36 |
40 |
||
|
80 |
38 |
40 |
38 |
40 |
||
|
82 |
38 |
42 |
38 |
42 |
||
|
84 |
40 |
42 |
40 |
42 |
||
|
86 |
40 |
44 |
40 |
44 |
||
|
88 |
42 |
44 |
42 |
44 |
||
|
90 |
42 |
46 |
42 |
46 |
||
|
92 |
44 |
46 |
44 |
46 |
||
|
94 |
44 |
48 |
44 |
48 |
||
|
96 |
46 |
48 |
46 |
48 |
||
|
98 |
46 |
50 |
46 |
50 |
||
|
100 |
48 |
50 |
48 |
50 |
||
|
102 |
48 |
52 |
48 |
52 |
||
|
104 |
50 |
52 |
50 |
52 |
||
|
106 |
50 |
54 |
50 |
54 |
||
|
108 |
52 |
54 |
52 |
54 |
||
|
110 |
52 |
56 |
52 |
56 |
||
|
112 |
54 |
56 |
54 |
56 |
||
|
114 |
54 |
58 |
54 |
58 |
||
|
116 |
56 |
58 |
56 |
58 |
||
|
118 |
56 |
60 |
56 |
60 |
||
|
120 |
58 |
60 |
58 |
60 |
||
|
122 |
58 |
62 |
58 |
62 |
||
|
124 |
60 |
62 |
60 |
62 |
||
|
128 |
60 |
64 |
||||
|
130 |
60 |
66 |
||||
|
132 |
62 |
66 |
||||
|
134 |
62 |
68 |
||||
|
136 |
64 |
68 |
||||
|
138 |
64 |
70 |
||||
|
140 |
66 |
70 |
||||
|
142 |
66 |
72 |
||||
|
144 |
68 |
72 |
||||
|
146 |
68 |
74 |
||||
|
148 |
70 |
74 |
||||
|
150 |
70 |
76 |
||||
|
152 |
72 |
76 |
||||
|
154 |
72 |
78 |
||||
|
156 |
74 |
78 |
||||
|
158 |
74 |
80 |
||||
|
254 |
120 |
130 |
Configureren
Overzicht van de configuratie
- Apparaat uit de 4200-reeks registreren in FMC.
- Nieuw! Selecteer in FMC het apparaat en converteer het van Native naar MI-modus.
- Nieuw! Automatische registratie van MI-chassis naar FMC na conversie.
- Fysieke interface(s) bijwerken.
- FTD-instantie(s) maken en interface(s) toewijzen.
- Poortkanaal en subinterfaces maken/bijwerken/verwijderen vanuit FMC.
- Platforminstellingen configureren.
- Configuratiewijzigingen op apparaat implementeren.
- FTD-instantie(s) registreert zich automatisch bij FMC.
4200-reeks omzetten in modus voor meerdere instanties in FMC
Standaard staan 4200s in de native modus. Zo converteert u de 4200-reeks naar de modus voor meerdere instanties in FMC:
- Maak verbinding met het apparaat en maak een beheerder (al gedocumenteerd).
- Registreer het native apparaat bij de FMC (al gedocumenteerd).
- Converteren naar Multi-Instance met FMC.
- Selecteer in FMC de apparaten die moeten worden geconverteerd naar Multi-Instance en activeer de conversie. Er kan één of meer apparaten worden gekozen.
Opmerking: als u overschakelt tussen de standaardmodus en de MI-modus, wordt alle configuratie op het chassis gereset. Het omzetten van de MI-modus naar de Native-modus verloopt nog steeds via CLI.
Eén apparaat converteren
1. Ga naar Apparaten > Apparaatbeheer om de conversie te starten.
2. Valideer het geselecteerde apparaat en klik op Doorgaan:
Geselecteerde apparaten bevestigen
- Gereedheidscheck en initiële conversie:
gereedheidscontrole
Meer dan één apparaat converteren (bulkconversie)
- Apparaten selecteren:
- Selectie bevestigen:
- Gereedheidscheck en conversie starten:
Voortgang bewaken en afronden
- Conversie-startmelding:
- Automatische registratie van het chassis:
- Kennisgeving na conversie:
Resulterende pagina voor apparaatbeheer met apparaten uit de 4200-reeks (MI-modus):
Overzichtspagina FMC-chassis
Overzicht van de overzichtspagina van het FMC-chassis
De overzichtspagina van het FMC-chassis geeft een volledig overzicht van het apparaat uit de 4200-reeks (MI-modus). Het omvat:
- Achteraanzicht van het apparaat, inclusief beschikbare netwerkmodules.
- Fouten worden samengevat, met hun kritikaliteit.
- Samenvatting interface, status.
- FTD-instantieoverzicht, status.
- Hardwarestatistieken - inclusief ventilator, voeding, geheugen, CPU-gebruik en opslag.
Klik op Beheren om naar het chassisoverzicht te gaan:
Tabblad Overzicht chassispagina:
Secties van het tabblad Chassisoverzicht
Het tabblad Overzicht bevat secties. Klik hier voor meer details:
- Achtervlak
- fouten
- Interfaces
- instanties
- Hardwarestatistieken
Secties worden toegewezen op nummer zoals weergegeven in deze afbeelding:
1. Achteraanzicht:
2. Sectie Fouten:
3. Sectie Interfaces:
4. Instanties sectie:
De overgang van instanties van offline naar online wordt weergegeven in de vorige afbeelding.
- Na levering (1)
- De instantie is offline totdat deze online komt (2)
- Tussenliggende toestanden worden ook weergegeven (3)
5. Hardwarestatistieken
Interfaces beheren
Ondersteunde bewerkingen op het tabblad Interfaces:
- Update van de fysieke interface.
- Maken/bijwerken/verwijderen van subinterfaces.
- Maak/Update/Verwijder EtherChannel-interfaces.
- Configuraties van synchronisatieinterface.
- OIR van de netwerkmodule.
- Onderbreking/verbinding van fysieke interface.
Overzicht van het tabblad Interfaces
De landingspagina van het tabblad Interfaces toont alle typen interfaces die worden beheerd voor een chassis, zoals fysieke interfaces, subinterfaces en EtherChannel- en EtherChannel-subinterfaces.
Fysieke interfaceconfiguraties wijzigen
Deze kenmerken van een fysieke interface kunnen worden bijgewerkt:
- Status (ingeschakeld/uitgeschakeld)
- Poorttype (gegevens | gegevens delen)
- Admin Duplex
- Beheersnelheid
- Automatische onderhandeling
Subinterface beheren
Kies de subinterface-optie van de knop Toevoegen om een nieuwe interface toe te voegen.
Deze attributen van een sub-interface kunnen worden gewijzigd:
- bovenliggende interface
- Poorttype (gegevens/gegevensuitwisseling)
- ID Subinterface
- VLAN-ID
EtherChannel beheren
Als u een nieuwe EtherChannel-interface wilt maken, gebruikt u de "EtherChannel-interface" onder de knop Toevoegen.
Attributen die kunnen worden geconfigureerd voor een EtherChannel zijn:
- EtherChannel-id
- Poorttype (gegevens/gegevensuitwisseling)
- Lidinterfaces
- Beheersnelheid
- Admin Duplex
- LACP-modus
- LACP-tarief
- Automatische onderhandeling
Apparaatconfiguraties synchroniseren
Er zijn gevallen waarin de FMC-configuratie en de apparaatconfiguratie niet synchroon lopen. Een geval is wanneer een gebruiker een netmod verwijdert of invoegt. Het synchronisatieapparaat kan in dergelijke gevallen worden uitgevoerd.
Ondersteuning voor NetMod Hot Swap/Break-out
"Hot Swap", gebruikt in uw documenten, wordt aangeduid als Online Insertion and Removal of OIR in andere interne documentatie.
Er is een onmiddellijke implementatie bij het inschakelen/uitschakelen van de netwerkmodule of het verbreken of aansluiten van interfaces. Multi-Instance modus is hetzelfde als 4200 Series in de native modus.
FMC vergelijkt de ontvangen reactie met de huidige configuratie en maakt vervolgens een melding voor het wijzigen van de interface zodat de gebruiker dit kan bevestigen.
4200 Native ondersteunt EPM Hot Swap en Breakout
EPM OIR en Breakout worden al ondersteund op de standalone, native modus Secure Firewall 4200 Series standalone.
EPM OIR- en Breakout FMC-documentatie uit de 4200-reeks:
OIR: EPM-bevestiging inschakelen/uitschakelen
Wanneer de gebruiker schakelt om de module in te schakelen, wordt een waarschuwing weergegeven om er zeker van te zijn dat dit geen onbedoelde klik is.
EPM Voltooien inschakelen: ontvangen interfacemelding
- Bij het inschakelen van een EPM worden nieuwe interfaces aan het apparaat gekoppeld.
- FMC ontvangt de melding over de bijbehorende interfaces.
- Bij FMC moet de gebruiker de wijzigingen accepteren.
Deze screenshot toont de optie om de bijbehorende interfaces te zien:
Wijzigingsmelding EPM-interface
Op de pagina met de lijst van interfaces staan de interfaces die worden toegevoegd wanneer EPM is ingeschakeld. Klik hier om meer te weten en start het dialoogvenster Interfacewijzigingen.
Klik hier om te weten te komen of er meer beschikbaar is na het opslaan.
Opties voor breken/samenvoegen op de chassispagina
De wizard Bevestiging van interfaceonderbreking wordt geopend wanneer de optie Onderbreking wordt geactiveerd.
De melding voor het bijwerken van de interface is zichtbaar op de chassispagina nadat de interfacepauze is bevestigd.
Interfacewijzigingen na onderbreking/deelname
Wanneer u op Wijzigingen accepteren klikt, worden deze interfaces beschikbaar in de FMC voor gebruik:
Impact van interfacewijzigingen op instantie
Instantiebeheer
Met Instantiebeheer kunt u:
- Bekijk alle bestaande FTD-instanties en hun details op een apparaat uit de 4200-reeks (MI-modus).
- FTD-exemplaren maken/bijwerken met de gewenste CPU-kern en softwareversie.
- Verwijder een bestaande FTD-instantie.
- Hiermee kan de gebruiker FTD-beleid kiezen – toegangsbeleid en beleid voor platforminstellingen voor FTD.
- Automatisch FTD-exemplaar registreren bij FMC zodra het online komt.
Een instantie maken
Start de wizard door op Instantie toevoegen te klikken.
Stap 1. Overeenkomst:
Stap 2.
- Basisprincipes voor instantieconfiguratie:
- Instantieconfiguratie-IP's:
Stap 3. Interfacetoewijzingen:
Stap 4. Apparaatbeheer:
Stap 5. Samenvatting:
Als u de configuratie wilt voltooien, slaat u de gegevens op en implementeert u deze.
Automatische registratie van een FTD-exemplaar na succesvolle implementatie:
Instantie geregistreerd bij Management Center:
Een instantie bewerken
Klik op het potloodpictogram om een FTD-exemplaar te bewerken:
Stap 1. FTD-instantie bewerken:
Stap 2. Interfacetoewijzingen voor een instantie bewerken:
Stap 3. Overzicht van bewerkingsinstantie:
instantie verwijderen
SNMP-configuratie
Navigeer naar het tabblad Systeemconfiguratie voor het configureren van SNMP:
Chassis importeren/exporteren
Exportconfiguratie
Navigeer naar Chassis beheren > Systeemconfiguratie > Importeren/exporteren:
Configuratie importeren
Navigeer naar Chassis beheren > Systeemconfiguratie > Importeren/exporteren:
Wat u moet weten over chassisimport / -export
- Alle bestaande configuraties op het chassis worden vervangen door de configuratie in het geïmporteerde bestand.
- De platformsoftwareversie waarin de configuratie wordt geïmporteerd, moet dezelfde zijn als de geëxporteerde versie.
- Het chassis waarin u de configuratie importeert, moet hetzelfde aantal netwerkmodules hebben dat is geïnstalleerd toen de export werd uitgevoerd.
- In het chassis waarin de configuratie wordt geïmporteerd, moet hetzelfde toepassingsimage zijn geïnstalleerd voor logische apparaten.
- Toepassingsspecifieke configuratie-instellingen worden niet geëxporteerd. Alleen chassisconfiguraties worden geëxporteerd.
- Back-ups van FTD-instanties moeten afzonderlijk worden gemaakt.
Instellingenbeleid voor chassisplatform
Met het beleid voor chassisplatforminstellingen kunnen gebruikers deze platformspecifieke configuraties configureren:
- Tijdsynchronisatie (NTP)
- DNS
- Syslog
- tijdzone
- De gebruiker kan een nieuw beleid voor het instellen van het chassisplatform maken en dit toewijzen aan meerdere chassis uit de 4200-reeks (MI-modus).
Tip: De instellingen van het chassisplatform zijn alleen van toepassing op het chassis. Als de gebruiker platforminstellingen op zijn instanties wil toepassen, kan hij een beleid voor instellingen van het Threat Defence-platform gebruiken.
1. Navigeer naar het beleid voor chassisplatforminstellingen:
2. Chassisplatforminstellingen maken:
3. Pagina Beleid voor instellingen van chassisplatform:
Chassisplatforminstellingen: DNS
DNS-servergroepen inschakelen en toevoegen onder het DNS-gedeelte van het beleid voor chassisplatforminstellingen:
Chassisplatforminstellingen: SSH
- SSH-server inschakelen en toevoegen onder SSH-sectie van het beleid voor chassisplatforminstellingen:
- SSH-client inschakelen en toevoegen:
Chassisplatforminstellingen: SSH-toegangslijst
Dit tabblad wordt alleen weergegeven na het inschakelen van SSH in het SSH-gedeelte van de instellingen van het chassisplatform.
- SSH-toegangslijst maken:
- Netwerkobjecten toevoegen voor de SSH-toegangslijst:
- Een nieuw netwerkobject toevoegen:
- Netwerkobject(en) weergeven:
- Kies netwerkobject(en):
- Netwerkobjecten kunnen worden gemaakt zoals ook in deze afbeelding wordt weergegeven:
- Toegevoegde netwerkobjecten bekijken:
Chassisplatforminstellingen: tijdsynchronisatie
Time Synchronization kan op twee manieren worden uitgevoerd:
- Via NTP vanuit het Management Center
- Op de aangepaste NTP-server
Van NTP van het Management Center
Op de aangepaste NTP-server
Chassisplatforminstellingen: tijdzones
Tijdzones instellen:
Chassisplatforminstellingen: SYSLOG
- Tabblad Lokale bestemmingen weergeven:
- Tabblad Externe bestemmingen weergeven:
- Tabblad Lokale bronnen syslog:
Chassisplatforminstellingen: opslaan en implementeren
Wijzigingen in chassisplatforminstellingen opslaan en vervolgens implementeren:
Registratie van chassis opheffen
Als u een chassis uit de FMC wilt verwijderen, gaat u naar Apparaten > Apparaatbeheer > Verwijderen.
Omzetten van Multi-Instance naar Native Mode
Op dit moment ondersteunt FMC alleen conversie van Native naar Multi-Instance. Om een apparaat terug te zetten naar de Native-modus, moet de gebruiker de CLI gebruiken.
Stap 1: Registreer het chassis uit de FMC.
Stap 2: Gebruik deze CLI-opdracht om het apparaat uit de 4200-reeks om te zetten naar de standaardmodus:
firepower-4215# scope system
firepower-4215 /system # set deploymode native
FMC Rest API's
FMC Public REST API's zijn beschikbaar voor alle bewerkingen die door FMC worden ondersteund.
REST API's voor Native naar Multi-Instance Conversion
POST API om te controleren of het native apparaat klaar is voor Multi-Instance Conversion:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanaged chassis/operational/switchmodereadinesscheck
Voorbeeld POST-aanvraag JSON:
{
"devices": [
{
"id": "DeviceUUID",
"type": "Device"
}
],
"conversionType": "NATIVE_TO_MULTI_INSTANCE"
}POST API om één native naar Multi-Instance Conversion te activeren:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanaged chassis/operational/switchmode
Voorbeeld POST-aanvraag JSON:
{
"items": [
{
"id": "",
"displayName": "Sample_Chassis_Name1"
}
],
"conversionType": "NATIVE_TO_MULTI_INSTANCE"
} POST API om bulk native naar Multi-Instance Conversion te activeren:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanaged chassis/operational/switchmode
Voorbeeld POST-aanvraag JSON:
{
"items": [
{
"id": "",
"displayName": "Sample_Chassis_Name1"
},
{
"id": "",
"displayName": "Sample_Chassis_Name2"
}
],
"conversionType": "NATIVE_TO_MULTI_INSTANCE"
} REST API's voor chassisbeheer
POST Een chassis toevoegen aan het beheercentrum:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanaged chassis
ALLE chassis OPHALEN:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanaged chassis/
EEN SPECIFIEK CHASSIS VERKRIJGEN op uuid:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{objectId}
Chassis verwijderen op uuid:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{objectId}
Voorbeeld POST-aanvraag JSON:
{
"type": "FMCManagedChassis",
"chassisName": "CHASSIS123",
"chassisHostName": "192.168.xx.74",
"regKey": "*****"
}REST API's voor het beheren van netmods (netwerkmodules)
Een netwerkmodule ophalen via uuid:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/networkmodules/{objectId}
ALLE netwerkmodules OPHALEN:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanaged chassis/{containerUUID}/networkmodules/
PUT – Bewerk een bestaande netwerkmodule door uuid:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/networkmodules/{objectId}
PUT – Gegevens van de netwerkmodule ophalen bij FXOS en beheercentrum bijwerken:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/operational/syncnetworkmodule
Voorbeeld GET-reactie
{
"metadata": {
"timestamp": 1688670821060,
"domain": {
"name": "Global",
"id": "e276abec-e0f2-11e3-8169-************",
"type": "Domain"
}
},
"links": {
"self": "https://u32c01p10-vrouter.cisco.com:32300/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-************/chassis/fmcmanagedchassis/f0f11b69-4229-4025-b0b9-************/networkmodules/0050568A-3F3F-0ed3-0000-0************"
},
"id": "0050568A-3F3F-0ed3-0000-************",
"moduleState": "ENABLED",
"type": "NetworkModule",
"description": "Cisco FPR 8X1G 8X10G 1RU Module",
"model": "FPR-3120",
"operationState": "ok",
"numOfPorts": 16,
"slotId": "1",
"vendor": "Cisco Systems, Inc.",
"name": "Network Module 1"
}REST API's voor instantiebeheer
POST Een chassis toevoegen aan het beheercentrum:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanaged chassis/{containerUUID}/logische apparaten
ALLE chassis OPHALEN:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanaged chassis/{containerUUID}/logische apparaten
Een specifieke instantie ophalen via uuid:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/logische apparaten/{objectId}
PUT - Een instantie bewerken op uuid:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/logische apparaten/{objectId}
Chassis verwijderen op uuid:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/logische apparaten/{objectId}
Voorbeeld PUT-verzoek:
{
"name": "ftd1",
"operationalState": "string",
"deviceRegistration": {
"licenseCaps": [
"MALWARE",
"URLFilter",
"CARRIER",
"PROTECT"
],
"accessPolicy": {
"name": "AC Policy name",
"id": "",
"type": "AccessPolicy"
},
"deviceGroup": {
"name": "DeviceGroup name",
"id": "",
"type": "DeviceGroup"
}
},
"managementBootstrap": {
"ipv4": {
"gateway": "192.168.xx.68",
"ip": "192.168.xx.78",
"mask": "255.255.255.0"
},
"adminState": "enable",
"firepowerManagerIP": "192.168.xx.32",
"permitExpertMode": "yes",
"searchDomain": "string",
"firewallMode": "Routed",
"dnsServers": "192.168.xx.123",
"natId": "natId",
"registrationKey": "regKey",
"adminPassword": "adminPwd",
"fqdn": "fqdn"
},
"externalPortLink": [
{
"name": "Ethernet1/1",
"id": "",
"type": "ChassisInterface"
},
{
"name": "Ethernet2/2.1",
"id": "",
"type": "ChassisInterface"
}
],
"type": "LogicalDevice"
} REST API's voor SNMP-beheer
SNMP-instelling ophalen via uuid:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/snmpsettings/{objectId}
ALLE SNMP-instellingen OPHALEN:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanaged chassis/{containerUUID}/snmpsettings/
PUT – Bewerk een bestaande netwerkmodule door uuid:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/snmpsettings/{objectId}
Voorbeeld GET-reactie:
{
"snmpAdminInstance": {
"id": "logicalDeviceUuid",
"type": "LogicalDevice",
"name": "ftd3"
},
"id": "snmpsettingsUUID2",
"type": "SnmpSetting"
}REST API's om samenvatting op te halen
Deze lijst bevat gedetailleerde informatie over de REST API's voor het ophalen van de samenvatting:
- fouten
- instanties
- inventaris
- Interfaces
- App-info
Overzicht van GET-fouten voor een chassis:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanaged chassis/{containerUUID}/faultsummary
Voorbeeldreactie:
{
"links": {
"self": "/api/fmc_config/v1/domain/domainUUID/chassis/fmcmanagedchassis/containerUUID/faultsummary?offset=0&limit=25&expanded=true"
},
"items": [
{
"faultList": [
{
"id": 27429,
"isAcknowledged": "no",
"cause": "device-registration-pending",
"gateway": "3::1",
"ip": "3::2",
"prefixLength": "33"
}
],
"managementPort": "Management1",
"operationalState": "online",
"adminState": "enabled",
"deployType": "container"
}
],
"modifiedTime": "2022-07-05T06:39:25Z",
"type": "InstanceSummary"
],
"paging": {
"offset": 0,
"limit": 25,
"count": 1,
"pages": 1
}
} Overzicht van Get Instances voor een chassis:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanaged chassis/{containerUUID}/instancesummary
Voorbeeldreactie:
{
"links": {
"self": "/api/fmc_config/v1/domain/domainUUID/chassis/fmcmanagedchassis/containerUUID/instancesummary?offset=0&limit=25&expanded=true"
},
"items": [
{
"instanceList": [
{
"name": "ftdmi2",
"startupVersion": "7.3.0.1402",
"coresUsed": 6,
"ipv4": {
"gateway": "192.168.xx.68",
"ip": "192.168.xx.78",
"mask": "255.255.255.0"
},
"ipv6": {
"gateway": "3::1",
"ip": "3::2",
"prefixLength": "33"
},
"managementPort": "Management1",
"operationalState": "online",
"adminState": "enabled",
"deployType": "container"
}
],
"modifiedTime": "2022-07-05T06:39:25Z",
"type": "InstanceSummary"
}
],
"paging": {
"offset": 0,
"limit": 25,
"count": 1,
"pages": 1
}
} OVERZICHT VAN VOORRAAD OPHALEN voor een chassis:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/inventarysummary
Voorbeeldrespons:
{
"links": {
"self": "/api/fmc_config/v1/domain/domainUUID/chassis/fmcmanagedchassis/containerUUID/inventorysummary?offset=0&limit=25&expanded=true"
},
"items": [
{
"fanList": [
{
"operationalState": "operable",
"operability": "operable",
"power": "on",
"thermalStatus": "ok",
"module": 1,
"tray": 1,
"id": 1,
"model": "N/A",
"vendor": "N/A"
},
{
"operationalState": "operable",
"operability": "operable",
"power": "on",
"thermalStatus": "ok",
"module": 1,
"tray": 1,
"id": 2,
"model": "N/A",
"vendor": "N/A"
}
],
"powerSupplyList": [
{
"id": 2,
"operationalState": "operable",
"operability": "operable",
"serialNumber": "***********",
"thermalStatus": "ok",
"model": "FPR2K-PWR-AC-400",
"vendor": "Cisco Systems, Inc"
}
],
"processorList": [
{
"id": 1,
"operationalState": "operable",
"operability": "operable",
"vendor": "AuthenticAMD",
"model": "49 AMD EPYC 7282 16-Core Processor",
"type": "CPU",
"thermalStatus": "ok"
}
],
"securityModuleList": [
{
"id": 1,
"operationalState": "ok",
"operability": "operable",
"serialNumber": "***********",
"vendor": "Cisco Systems, Inc",
"model": "FPR-3120",
"availableCores": 24,
"totalCores": 32
}
],
"memoryList": [
{
"capacity": 65536,
"id": 1,
"array": 1,
"bank": 0,
"model": "HMAA8GR7AJR4N-XN",
"operationalState": "operable",
"operability": "operable",
"performance": "ok",
"power": "not-supported",
"serialNumber": "********",
"thermalStatus": "ok",
"vendor": "Hynix"
}
],
"model": "FPR-3120",
"availableCores": 24,
"totalCores": 32
}
],
"paging": {
"offset": 0,
"limit": 25,
"count": 1,
"pages": 1
}
} GET-interfaceoverzicht voor een chassis:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/interface samenvatting
Voorbeeldreactie:
{
"links": {
"self": "/api/fmc_config/v1/domain/domainUUID/chassis/fmcmanagedchassis/containerUUID/interfacesummary?offset=0&limit=25"
},
"items": [
{
"interfaceList": [
{
"name": "Ethernet1/8",
"operationalState": "up",
"adminState": "disabled",
"portType": "data",
"operationalSpeed": "10mbps",
"adminSpeed": "1gbps",
"adminDuplex": "fullDuplex",
"autoNegotiation": "yes",
"mediaType": "rj45",
"type": "PhysicalInterface"
},
{
"name": "Ethernet1/7",
"operationalState": "up",
"adminState": "disabled",
"portType": "data",
"operationalSpeed": "1gbps",
"adminSpeed": "1gbps",
"adminDuplex": "fullDuplex",
"autoNegotiation": "yes",
"mediaType": "rj45",
"type": "PhysicalInterface"
},
{
"name": "Ethernet1/6",
"operationalState": "up",
"adminState": "disabled",
"portType": "data",
"operationalSpeed": "1gbps",
"adminSpeed": "1gbps",
"adminDuplex": "fullDuplex",
"autoNegotiation": "yes",
"mediaType": "rj45",
"type": "PhysicalInterface"
},
{
"name": "Ethernet1/3",
"operationalState": "up",
"adminState": "disabled",
"portType": "data",
"operationalSpeed": "1gbps",
"adminSpeed": "1gbps",
"adminDuplex": "fullDuplex",
"autoNegotiation": "yes",
"mediaType": "rj45",
"type": "PhysicalInterface"
},
{
"name": "Ethernet1/2",
"operationalState": "up",
"adminState": "enabled",
"portType": "data",
"operationalSpeed": "1gbps",
"adminSpeed": "1gbps",
"adminDuplex": "fullDuplex",
"autoNegotiation": "yes",
"mediaType": "rj45",
"type": "PhysicalInterface"
},
{
"name": "Ethernet1/1",
"operationalState": "up",
"adminState": "enabled",
"portType": "data",
"operationalSpeed": "1gbps",
"adminSpeed": "1gbps",
"adminDuplex": "fullDuplex",
"autoNegotiation": "yes",
"mediaType": "rj45",
"type": "PhysicalInterface"
},
{
"name": "Port-channel48",
"operationalState": "up",
"adminState": "enabled",
"portType": "data",
"operationalSpeed": "1gbps",
"adminSpeed": "1gbps",
"adminDuplex": "fullDuplex",
"autoNegotiation": "yes",
"mediaType": "rj45",
"type": "EtherChannelInterface"
}
],
"modifiedTime": "2022-07-05T06:39:25Z",
"type": "InterfaceSummary"
}
],
"paging": {
"offset": 0,
"limit": 25,
"count": 1,
"pages": 1
}
} Get App Info voor een chassis:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID} /inventarysummary
Voorbeeldreactie:
{
"links": {
"self": "/api/fmc_config/v1/domain/domainUUID/chassis/fmcmanagedchassis/containerUUID/appinfo?offset=0&limit=25&expanded=true"
},
"items": [
{
"appVersion": "7.4.0.1024",
"type": "AppInfo"
},
{
"appVersion": "7.4.0.1075",
"type": "AppInfo"
}
],
"paging": {
"offset": 0,
"limit": 25,
"count": 1,
"pages": 1
}
} REST API's voor interfacebeheer
Deze sectie bevat gedetailleerde informatie over de REST API's voor het beheer van de interfaceconfig:
- URL's die moeten worden gebruikt voor wijzigingen in de interfaceconfig
- URL's die moeten worden gebruikt voor Break/Join van interfaces
- URL's die moeten worden gebruikt voor configuraties van synchronisatieapparaten
Fysieke interface bijwerken
Om de update van fysieke interfaces te ondersteunen, zijn deze URL's geïntroduceerd.
ALLE fysieke interfaces OPHALEN:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanaged chassis/{containerUUID}/fysieke interfaces
EEN SPECIFIEKE FYSIEKE INTERFACE VERKRIJGEN via interface-uuid:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanaged chassis/{containerUUID}/fysieke interfaces/{interfaceUUID}
Interface bijwerken via interface-uuid:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanaged chassis/{containerUUID}/fysieke interfaces/{interfaceUUID}
Het Physical Interface-model ziet er als volgt uit:
{
"metadata": {
"supportedSpeed": "TEN_GBPS,ONE_GBPS,TWENTY_FIVE_GBPS,DETECT_SFP",
"mediaType": "sfp",
"sfpType": "none",
"isBreakoutCapable": false,
"isSplitInterface": false,
"timestamp": 1692344434067,
"domain": {
"name": "Global",
"id": "e276abec-e0f2-11e3-8169-**********",
"type": "Domain"
}
},
"type": "PhysicalInterface",
"name": "Ethernet2/2",
"portType": "DATA",
"adminState": "DISABLED",
"hardware": {
"flowControlSend": "OFF",
"fecMode": "AUTO",
"autoNegState": true,
"speed": "DETECT_SFP",
"duplex": "FULL"
},
"LLDP": {
"transmit": false,
"receive": false
},
"id": "*************************************"
}Subinterfaces configureren
Om het beheer van subinterfaces te ondersteunen, zijn deze URL's geïntroduceerd.
ALLE subinterfaces OPHALEN:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanaged chassis/{containerUUID}/subinterfaces
EEN SPECIFIEKE SUBINTERFACE VERKRIJGEN via interface-uuid:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanaged chassis/{containerUUID}/subinterfaces/{interfaceUUID}
POST een nieuwe subinterface:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanaged chassis/{containerUUID}/subinterfaces
UPDATE-interface via interface uuid:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanaged chassis/{containerUUID}/subinterfaces/{interfaceUUID}
Een subinterface verwijderen via interface-uuid:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanaged chassis/{containerUUID}/subinterfaces/{interfaceUUID}
Sub-interface model ziet er als volgt uit:
{
"metadata": {
"isBreakoutCapable": false,
"isSplitInterface": false,
"timestamp": 1692536476265,
"domain": {
"name": "Global",
"id": "e276abec-e0f2-11e3-8169-**********",
"type": "Domain"
}
},
"type": "SubInterface",
"name": "Ethernet1/3.3",
"portType": "DATA",
"subIntfId": 3,
"parentInterface": {
"type": "PhysicalInterface",
"id": "00505686-9A51-0ed3-0000-**********",
"name": "Ethernet1/3"
},
"vlanId": 3,
"id": "*************************************"
}EtherChannel-interfaces configureren
Om het beheer van etherchannel interfaces te ondersteunen, zijn deze URL's geïntroduceerd.
ALLE etherchannel interfaces OPHALEN:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanaged chassis/{containerUUID}/etherchannel interfaces/{interfaceUUID}
KIES een specifieke etherchannel-interface via interface-uuid:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanaged chassis/{containerUUID}/etherchannel interfaces/{interfaceUUID}
POST een nieuwe etherchannel-interface:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanaged chassis/{containerUUID}/etherchannel interfaces
UPDATE-interface via interface uuid:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanaged chassis/{containerUUID}/etherchannel interfaces/{interfaceUUID}
Verwijder een etherchannel interface door interface uuid:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanaged chassis/{containerUUID}/etherchannel interfaces/{interfaceUUID}
Het EtherChannel Interface-model ziet er als volgt uit:
{
"metadata": {
"supportedSpeed": "HUNDRED_MBPS,TEN_MBPS,ONE_GBPS",
"timestamp": 1692536640172,
"domain": {
"name": "Global",
"id": "e276abec-e0f2-11e3-8169-**********",
"type": "Domain"
}
},
"type": "EtherChannelInterface",
"name": "Port-channel45",
"portType": "DATA",
"etherChannelId": 45,
"selectedInterfaces": [
{
"type": "PhysicalInterface",
"id": "00505686-9A51-0ed3-0000-**********",
"name": "Ethernet1/4"
},
{
"type": "PhysicalInterface",
"id": "00505686-9A51-0ed3-0000-**********",
"name": "Ethernet1/5"
}
],
"lacpMode": "ON",
"lacpRate": "FAST",
"adminState": "DISABLED",
"hardware": {
"flowControlSend": "OFF",
"autoNegState": true,
"speed": "ONE_GBPS",
"duplex": "FULL"
},
"LLDP": {
"transmit": true,
"receive": true
},
"id": "00505686-9A51-0ed3-0000-**********"
}REST API's Break/Join-interfaces
Om de Breakout/Join-interfaces in de 4200-reeks te ondersteunen, kunnen deze URL's worden gebruikt:
OPHALEN:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanaged chassis/{containerUUID}/chassisinterfaces/{interfaceUUID}/evaluate operation
Evalueert de haalbaarheid van break/join voor een interface
POST:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanaged chassis/{containerUUID}/operational/breakout interfaces
Breekt een interface
POST:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanaged chassis/{containerUUID}/operational/joininterfaces
Maakt deel uit van een set gebroken interfaces
REST Flow voor Interface Break
1. Zoek het door de FMC beheerde chassisapparaat (4200) met behulp van het eindpunt van het fmcmanaged-chassis.
GET /api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanaged chassis
Geeft de lijst met FMC managed chassis devices terug samen met Multi Instance devices met details zoals id, naam, model van elk device. Kies de "MULTIINSTANCE"-apparaten.
Voorbeeldreactie:
{
"id": "fcaa9ca4-85e5-4bb0-b049-**********",
"type": "FMCManagedChassis",
"chassisName": "192.168.0.75",
"chassisMode": "MULTIINSTANCE",
"links": {
"self": "https://u32c01p06-vrouter.cisco.com:22512/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-**********/chassis/fmcmanagedchassis/fcaa9ca4-85e5-4bb0-b049-**********"
}
}2. Controleer of de interface geschikt is voor breakout met behulp van interfaces/fysieke interfaces als eindpunt.
Breakout is alleen mogelijk als "isBreakoutCapable" waar is en mediaType QSFP is.
GET /api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanaged chassis/{containerUUID}/interfaces
Voorbeeldreactie:
{
"metadata": {
"supportedSpeed": "FORTY_GBPS,DETECT_SFP", >>>>>>>>>
"mediaType": "qsfp", >>>>>>>>>
"sfpType": "none",
"isBreakoutCapable": true, >>>>>>>>>
"breakoutFactor": "4", >>>>>>>>>
"isSplitInterface": false,
"timestamp": 1692344434067,
"domain": {
"name": "Global",
"id": "e276abec-e0f2-11e3-8169-**********",
"type": "Domain"
}
},
"type": "PhysicalInterface",
"name": "Ethernet2/4",
"portType": "DATA",
"adminState": "DISABLED",
"hardware": {
"flowControlSend": "OFF",
"fecMode": "AUTO",
"autoNegState": true,
"speed": "DETECT_SFP",
"duplex": "FULL"
},
"LLDP": {
"transmit": false,
"receive": false
},
"id": "00505686-9A51-0ed3-0000-**********"
}3. Evalueer op de interface de haalbaarheid van de onderbrekingsbewerking met behulp van het evalueerde operatieeindpunt.
GET /api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanaged chassis/{containerUUID}/chassisinterfaces/{interfaceUUID}/evaluateoperation
Als er geen waarschuwingen/fouten in het antwoord voorkomen, kan de gebruiker de onderbrekingsbewerking uitvoeren.
Voorbeeldreactie:
Als er fouten in het antwoord staan, is het de gebruiker niet toegestaan om de onderbrekingsbewerking uit te voeren:
{
"operationType": "BREAKOUT",
"interfaceUsages": [
{
"conflictType": "Interface usage on instance(s)",
"severity": "ERROR", >>>>>>>>>
"description": "Interface Ethernet2/4 can not be split. Remove it from instances [FTD1] and try again.\n"
}
],
"readinessState": "NOT_READY", >>>>>>>>>
"links": {
"self": "https://u32c01p06-vrouter.cisco.com:22542/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-**********/chassis/fmcmanagedchassis/19d967e6-ef81-4f2e-b311-**********/chassisinterfaces/00505686-662F-0ed3-0000-004294969274/evaluateoperation/00505686-662F-0ed3-0000-**********"
},
"type": "ChassisInterface",
"id": "00505686-662F-0ed3-0000-**********"
}4. Als de interface geschikt is voor breakouts en de gereedheidstoestand "READY" is, breekt u de interface met het eindpunt voor breakoutinterfaces.
POST /api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanaged chassis/{containerUUID}/operational/breakout interfaces
Aanvraag:
{
"targetInterfaces": [
{
"id": "***************ed3-0000-004294969276",
"metadata": {
"type": "PhysicalInterface"
}
}
],
"type": "BreakoutInterface"
}Reactie:
{
"id": "4294969716",
"type": "TaskStatus",
"links": {
"self": "https://u32c01p06-vrouter.cisco.com:22542/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-**********/job/taskstatuses/4294969716"
},
"taskType": "DEVICE_DEPLOYMENT",
"message": "Deployment status for ************************************: SUCCEEDED",
"status": "Interface notification received"
}5. Volg de voltooiing van de taak met behulp van de taak-id in reactie op een onderbreking. Taakstatus instellen op "Interfacemelding ontvangen".
GET /api/fmc_config/v1/domain/{domainUUID}/job/taskstatuses/{objectId}
{
"metadata": {
"task": {
"id": "4294969699",
"links": {
"self": "https://u32c01p06-vrouter.cisco.com:22542/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-**********/job/taskstatuses/4294969699"
}
}
},
"targetInterfaces": [
{
"id": "00505686-662F-0ed3-0000-**********",
"type": "PhysicalInterface"
}
],
"type": "BreakoutInterface"
}
{
"id": "4294969716",
"type": "TaskStatus",
"links": {
"self": "https://u32c01p06-vrouter.cisco.com:22542/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-**********/job/taskstatuses/4294969716"
},
"taskType": "DEVICE_DEPLOYMENT",
"message": "Deployment status for ************************************: SUCCEEDED",
"status": "Interface notification received"
}6. De wijzigingen van de interfaces ophalen met het eindpunt chassisinterface-gebeurtenissen.
GET /api/fmc_config/v1/domain/{domainUUID}/chassis/ fmcmanagedchassis/{containerUUID}/chassisinterface-events
Voorbeeldreactie:
[
{
"change": "Interface is deleted",
"type": "PhysicalInterface",
"state": "DISASSOCIATED",
"name": "Ethernet2/3"
},
{
"change": "Interface is associated",
"type": "PhysicalInterface",
"state": "ASSOCIATED",
"name": "Ethernet2/3/2"
},
{
"change": "Interface is associated",
"type": "PhysicalInterface",
"state": "ASSOCIATED",
"name": "Ethernet2/3/3"
},
{
"change": "Interface is associated",
"type": "PhysicalInterface",
"state": "ASSOCIATED",
"name": "Ethernet2/3/4"
}
]7. Als er geen interfacemelding is ontvangen, synchroniseert u het apparaat met het eindpunt chassisinterfacegebeurtenissen en controleert u of er wijzigingen in behandeling zijn.
POST /api/fmc_config/v1/domain/{domainUUID}/devices/device records/{containerUUID}/ chassisinterface events
Aanvraag:
{
"action": "SYNC_WITH_DEVICE"
}Reactie:
{
"action": "SYNC_WITH_DEVICE",
"hasPendingChanges": true
}8. Zodra de kennisgeving is ontvangen, accepteert u de wijzigingen met het eindpunt chassisinterface-gebeurtenissen.
POST /api/fmc_config/v1/domain/{domainUUID}/devices/device records/{containerUUID}/ chassisinterface events
Aanvraag:
{
"action":"ACCEPT_CHANGES"
}
9. Zoek alle chassisinterfaces op en zoek de gesplitste (gebroken) interfaces met behulp van endpoint-interfaces.
GET /api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanaged chassis/{containerUUID}/interfaces
Een 40G-interface, zeg eth2/2, is opgesplitst in 4x10G-interfaces - eth2/2/1, eth2/2/2, eth2/2/3 en eth2/2/4
REST Flow voor interface join
1. Controleer of de interface is verbroken met behulp van het eindpunt interfaces/fysieke interfaces.
Deelnemen is alleen mogelijk als "isSplitInterface" true is en mediaType SFP is
GET /api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanaged chassis/{containerUUID}/interfaces
{
"metadata": {
"supportedSpeed": "TEN_GBPS,DETECT_SFP",
"mediaType": "sfp",
"sfpType": "none",
"isBreakoutCapable": false,
"breakoutFactor": "4",
"isSplitInterface": true,
"timestamp": 1692541554935,
"domain": {
"name": "Global",
"id": "e276abec-e0f2-11e3-8169-**********",
"type": "Domain"
}
},
"type": "PhysicalInterface",
"name": "Ethernet2/3/4",
"portType": "DATA",
"adminState": "DISABLED",
"LLDP": {
"transmit": false,
"receive": false
},
"hardware": {
"flowControlSend": "OFF",
"speed": "DETECT_SFP",
"duplex": "FULL",
"fecMode": "AUTO",
"autoNegState": true
},
"id": "00505686-662F-0ed3-0001-**********"
}2. Evalueer de haalbaarheid van gezamenlijke exploitatie aan de hand van het evalueerde operationele eindpunt op een van de vier gesplitste interfaces.
GET /api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanaged chassis/{containerUUID}/ch assisinterfaces/{interfaceUUID}/evaluate operation
- Als er geen waarschuwingen/fouten in het antwoord voorkomen, kan de gebruiker de bewerking Deelnemen uitvoeren.
{
"operationType": "JOIN",
"readinessState": "READY",
"links": {
"self": "https://u32c01p06-vrouter.cisco.com:22542/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-**********/chassis/fmcmanagedchassis/19d967e6-ef81-4f2e-b311-**********/chassisinterfaces/00505686-662F-0ed3-0001-**********/evaluateoperation/00505686-662F-0ed3-0001-**********"
},
"type": "ChassisInterface",
"id": "00505686-662F-0ed*******************"
}- Als er fouten in het antwoord staan, mag de gebruiker geen join-bewerking uitvoeren.
{
"operationType": "JOIN",
"interfaceUsages": [
{
"conflictType": "Interface used in EtherChannel Configuration",
"severity": "ERROR",
"description": "Interface (Ethernet2/3/4) referred to in Ether Channel Interface (Port-channel32) configurations will be impacted due to the JOIN operation."
}
],
"readinessState": "NOT_READY",
"links": {
"self": "https://u32c01p06-vrouter.cisco.com:22542/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-*********/chassis/fmcmanagedchassis/19d967e6-ef81-4f2e-b311-********/chassisinterfaces/00505686-662F-0ed3-0001-692539698200/evaluateoperation/00505686-662F-0ed3-0001-***********"
},
"type": "ChassisInterface",
"id": "00505686-662F-0ed*******************"
}3. Als de interface is verbroken en de gereedheidsstatus "READY" is, voegt u zich bij de interface met behulp van het eindpunt joininterfaces. Interface_uuid kan elk van de 4 gebroken interfaces identificeren.
POST/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanaged chassis/{containerUUID}/operational/joininterfaces
Aanvraag:
{
"targetInterfaces": [
{
"id": "***************ed3-0001-692539698200",
"type": "PhysicalInterface"
}
],
"type": "JoinInterface"
}Reactie:
{
"metadata": {
"task": {
"id": "4294970217",
"links": {
"self": "/api/fmc_config/v1/domain/e27"***************-8169-6d9ed49b625f/job/taskstatuses/4294970217"
}
}
},
"targetInterfaces": [
{
"id": "***************ed3-0001-692539698200",
"type": "PhysicalInterface"
},
{
"id": "***************ed3-0001-692539698201",
"type": "PhysicalInterface"
},
{
"id": "***************ed3-0001-692539698202",
"type": "PhysicalInterface"
},
{
"id": "***************ed3-0001-692539698203",
"type": "PhysicalInterface"
}
],
"type": "JoinInterface"
} 4. Volg de voltooiing van de taak met behulp van de taak-id in join response. Taakstatus instellen op "Interfacemelding ontvangen".
GET /api/fmc_config/v1/domain/{domainUUID}/job/taskstatuses/{objectId}
Reactie:
{
"id": "4294970237",
"type": "TaskStatus",
"links": {
"self": "https://u32c01p06-vrouter.cisco.com:22542/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-6d9ed49b625f/job/taskstatuses/4294970237"
},
"taskType": "SSP_EPM_OIR",
"message": "Deployment status for 19d967e6-xxxx-xxxx-xxxx-85ff6cef6d3f: SUCCEEDED",
"status": "Interface notification received"
}5. De wijzigingen van de interfaces ophalen met het eindpunt chassisinterface-gebeurtenissen.
GET /api/fmc_config/v1/domain/{domainUUID}/devices/device records/{containerUUID}/chassisinterface events
Reactie:
[
{
"change": "Interface is associated",
"type": "PhysicalInterface",
"state": "ASSOCIATED",
"name": "Ethernet2/3"
},
{
"change": "Interface is deleted",
"type": "PhysicalInterface",
"state": "DISASSOCIATED",
"name": "Ethernet2/3/1"
},
{
"change": "Interface is deleted",
"type": "PhysicalInterface",
"state": "DISASSOCIATED",
"name": "Ethernet2/3/2"
},
{
"change": "Interface is deleted",
"type": "PhysicalInterface",
"state": "DISASSOCIATED",
"name": "Ethernet2/3/3"
},
{
"change": "Interface is deleted",
"type": "PhysicalInterface",
"state": "DISASSOCIATED",
"name": "Ethernet2/3/4"
}
]6. Als er geen interfacemelding is ontvangen, synchroniseert u het apparaat met het eindpunt chassisinterfacegebeurtenissen en controleert u of er wijzigingen in behandeling zijn.
POST /api/fmc_config/v1/domain/{domainUUID}/devices/device records/{containerUUID}/chassisinterface events
Aanvraag:
{
"action":"SYNC_WITH_DEVICE"
}
Reactie:
{
"action":"SYNC_WITH_DEVICE",
"hasPendingChanges":true
}
7. Zodra de kennisgeving is ontvangen, accepteert u de wijzigingen met behulp van het eindpunt chassisinterface-gebeurtenissen.
POST /api/fmc_config/v1/domain/{domainUUID}/devices/device records/{containerUUID}/chassisinterface events
Aanvraag:
{
"action":"ACCEPT_CHANGES"
}
8. Alle chassisinterfaces ophalen en de gekoppelde interfaces en de andere interfaces zoeken met behulp van eindpuntinterfaces.
GET /api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanaged chassis/{containerUUID}/interfaces
Say Join is gestart op 10G-interface zeggen eth2/2/1, dan is een 40G-interface eth2/2 beschikbaar in het antwoord.
ApparaatREST-API's synchroniseren
Om de synchronisatie van netwerkmodules en interfaces te ondersteunen, zijn deze URL's geïntroduceerd.
POST:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanaged chassis/{containerUUID}/chassisinterface-gebeurtenissen
met nuttige lading
{"action": "SYNC_WITH_DEVICE"} - > De synchronisatie activeren
{"action": "ACCEPT_CHANGES"} - > Accepteer de wijzigingen
OPHALEN:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanaged chassis/{containerUUID}/chassisinterface-gebeurtenissen
Geeft de gegenereerde gewijzigde gebeurtenissen weer
Problemen oplossen/diagnostiek
FXOS-registratie
Als de registratie mislukt, kunnen deze FXOS CLI's worden gebruikt om te controleren of sftunnel-, sfipproxy-processen zijn ingeschakeld.
firepower# connect local-mgmt
firepower-4215(local-mgmt)# show processes | include sftunnel grep: (standard input): binary file matches
3323 root 20 0 80328 2024 1544 S 0.0 0.0 0:11.53 /opt/cisco/sftunnel/sfipproxy -d –f /etc/sf/sfipproxy.conf
22066 root 20 0 376880 7140 5944 S 0.0 0.0 0:41.18 /opt/cisco/sftunnel/sftunnel -d -f /etc/sf/sftunnel.conf
Als u de terminalconsole voor de CLI gebruikt, moet u ervoor zorgen dat de uitvoer van showprocessen niet wordt afgekapt door de terminalbreedte in te stellen op een geschikte waarde met behulp van deze CLI:
firepower-4215(local-mgmt)# terminal width 100 Als het SFTunnel-proces actief is, maar de registratie mislukt, kunnen deze opdrachten worden gebruikt om mogelijke redenen voor mislukking te vinden.
Nieuwe CLI geïntroduceerd in FXOS van connect local-mgmt om syslog-berichten te bekijken in /opt/cisco/platform/logs/sfmessages
firepower# connect local-mgmt
firepower(local-mgmt)# tail-mgmt-log sfmessages
Dec 9 18:31:17 firepower Ipc [30483]: add ep: 1,0x5613aa0e2fe8 total = 1
Dec 9 18:31:17 firepower Ipc [30483]: add ep: 1,0x5613aa0ec528 total = 2
Dec 9 18:31:17 firepower Ipc [30483]: add ep: 1,0x5613aa0f5ea8 total = 3
Dec 9 18:31:18 firepower SF-IMS[12621]: [12625] sftunneld:SYNC_PROC [INFO] Change in directory /var/sf/sync detected (0 vs 1670610348) FMC-registratie
- Als de apparaatregistratie mislukt, zoekt u usmsharedsvcs.log en vmssharedsvcs.log op deze locatie en zoekt u naar de tekenreeks "CHASSIS DISCOVERY" of "NATIVE_TO_MULTI_INSTANCE" om de mogelijke oorzaak van de storing te vinden.
- Kijk ook in /var/log/action_queue.log en /var/sf/messages voor SFTunnel problemen.
- /var/opt/CSCOpx/MDC/log/operation/usmsharedsvcs.log /var/opt/CSCOpx/MDC/log/operation/vmssharedsvcs.log
- Als de automatische registratie van het chassis mislukt, zoekt u usmsharedsvcs.log en vmssharedsvcs.log en zoekt u naar de tekenreeks "CHASSIS DISCOVERY" en "NATIVE_TO_MULTI_INSTANCE" om de mogelijke oorzaak van de storing te vinden.
- Als de automatische registratie van een instantie mislukt, zoekt u usmsharedsvcs.log en vmssharedsvcs.log en zoekt u naar de tekenreeks "MI_FTD_INSTANCE_AUTO_REGISTRATION" om de mogelijke oorzaak van de fout te vinden.
- Als er een implementatiefout op het apparaat is opgetreden, gaat u naar Implementeren -> Implementatiegeschiedenis -> Klik op de mislukte implementatie -> Transcript openen. Dit bestand bevat de reden voor het mislukken.
Problemen met chassis oplossen
De FMC ondersteunt het genereren van probleemoplossing voor chassis (FPRM) vanaf de pagina Apparaatbeheer.
- Net als FTD-apparaten is er een optie voor probleemoplossing beschikbaar voor chassisapparaten die chassisproblemen oplossen en gebruikers in staat stellen de bundel voor probleemoplossing van FMC te downloaden.
- Hiermee wordt de "show tech-support form"-bundel uit het chassis verzameld:
Opties voor het oplossen van chassisproblemen en genereren:
Voortgang en download van probleemoplossing voor chassis:
Voorbeeldproblemen met probleemoplossing Walkthroughs
Automatische registratie van chassisfouten in FMC
Probleem: Automatische registratie van chassis mislukt in FMC.
Verwacht resultaat:
- Zodra de conversie begint vanaf FMC, wordt deze naar verwachting niet geregistreerd en automatisch geregistreerd in FMC.
Werkelijk resultaat:
- Automatische registratie van chassis mislukt
Problemen oplossen
1. Conversie controleren:
- Zorg ervoor dat de conversie is geactiveerd op FMC.
- Meld u aan bij het apparaat en controleer of het apparaat is geconverteerd naar de containermodus.
- Voer de opdrachten uit om te zien of het apparaat is geconverteerd:
firepower# scope sys
firepower /system # show
Systems:
Name Mode Deploy Mode System IP Address System IPv6 Address
---------- ----------- ----------- ----------------- -------------------
firepower Stand Alone Container 192.168.xx.xx ::2. Controleer Apparaatbeheer:
- Controleer of Apparaatbeheer goed is ingesteld:
firepower# show device-manager
Device manager:
Name: manager
Hostname: 10.10.xx.xx
NAT id: 3ab4bb1a-d723-11ee-a694-89055xxxxxxx
Registration Status: Completed
Error Msg:
- Logs om te controleren:
3.1. Ga naar /var/opt/CSCOpx/MDC/log/operation/vmssharedsvcs.log en /var/opt/CSCOpx/MDC/log/operation/usmsharedsvcs.log
3.2. Zoek naar de trefwoorden "NATIVE_TO_MI_CONVERSION" en "CHASSIS DISCOVERY" in de bestanden om de reden voor het falen te vinden.
Automatische registratie van instantie in FMC
Probleem: Automatische registratie van instantie mislukt in FMC.
Verwacht resultaat:
- Zodra de instantie is geleverd vanuit FMC, wordt deze naar verwachting automatisch geregistreerd in FMC
Werkelijk resultaat:
- Automatische registratie van instantie is mislukt
Problemen oplossen
- Zorg ervoor dat de implementatie is geactiveerd na het maken van de instantie.
- Als de implementatie niet is voltooid, moet u ervoor zorgen dat de wijzigingen op het apparaat worden geïmplementeerd.
- Als de implementatie mislukt, gaat u verder met Implementatiegeschiedenis -> Klik op Transcript. Controleer de oorzaak van de fout en probeer de implementatie opnieuw.
- Zorg ervoor dat de instantie is geïnstalleerd en dat de operationele status online is. U kunt de overzichtspagina van het chassis gebruiken om de status van de instantievoorziening te controleren.
- Controleer of SFTunnel actief is op de FTD-installatie met behulp van deze opdracht:
ps -ef | grep -i "sftunnel”- Als SFTunnel niet actief is, probeer dan een herstartopdracht uit te voeren:
pmtool restartById sftunnel- Ga naar /var/opt/CSCOpx/MDC/log/operation/vmssharedsvcs.log en /var/opt/CSCOpx/MDC/log/operation/usmsharedsvcs.log
- Zoek naar het trefwoord "MI_FTD_INSTANCE_AUTO_REGISTRATION" in het bestand om de reden voor het falen te vinden.
Native Device Registration in FMC
Probleem: Native Device Registration faalt in FMC na het converteren van het apparaat terug naar de native modus
- Als de gebruiker het Chassis(MI-modus) terugzet naar de oorspronkelijke modus, maar vergeet het Chassis uit de FMC te verwijderen, wordt het apparaat offline gezet op de FMC.
- Als de gebruiker probeert dit apparaat opnieuw te registreren bij de FMC, mislukt de registratie.
Problemen oplossen
- Controleer of de chassisvermelding uit de FMC is verwijderd voordat u het apparaat terugzet naar de oorspronkelijke modus.
- Zodra de vermelding is verwijderd, probeert u het oorspronkelijke apparaat opnieuw te registreren bij FMC.
Nuttige referenties
- Informatie over gedeelde interfaces:
- 3100 Multi-Instance-pagina op de ondersteuningssite van Cisco:
Interfaceopties en hoge beschikbaarheid
Interfaceopties
Standalone of hoge beschikbaarheid
Gebruikmaken van de Dual Management Interfaces
- Net als de 4200 in de standaardmodus worden de twee fysieke beheerpoorten geleverd om de redundantie van de interface voor beheerverkeer te ondersteunen of om afzonderlijke interfaces voor beheer en gebeurtenissen te ondersteunen.
- De 9300- en 4100-apparaten, evenals de 4200-reeks, hebben dubbele beheerinterfaces. De tweede beheerinterface, Management 1/2, is voor u bedoeld om te gebruiken voor evenementen.
- In de modus voor meerdere instanties (ook bekend als "container") kunt u deze interface in elk geval configureren in de CLI voor bedreigingsbeveiliging. Wijs voor elke instantie een IP-adres toe aan hetzelfde netwerk.
- In de containermodus heeft elke FTD-instantie zowel Management 1/1- als Management 1/2-interfaces die er automatisch aan worden toegewezen.
- De tweede beheerinterface is standaard uitgeschakeld.
- U kunt Management1/2 niet configureren met FMC; u moet het configureren via de FTD CLISH (op de 9300/4100, wat daarentegen gebeurt in de FXOS CLI). Gebruik deze opdracht met het gewenste IP-adrestype, adres, subnet en statische route:
configure network ipv4 manual 192.168.0.xx 255.255.255.0 192.168.0.1 management1 Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
29-Oct-2024
|
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)