O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.
A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este documento descreve o recurso Integração do Cisco RAIDit no FMC adicionado na versão 7.7.
Problemas enfrentados pelos administradores do firewall
Caso de uso
Alguns dos principais recursos dos quais os usuários podem se beneficiar após a integração do RADKit no FMC incluem:
O que há de novo - Solução
Integração de serviço RADKit no diagrama FMC
Este diagrama mostra como o RADKit permite a comunicação do cliente RADKit do usuário (engenheiro do TAC) com os dispositivos FTD de produção:
Conceitos básicos: Plataformas suportadas, licenciamento
Aplicativos e gerentes
Outros aspectos do suporte
Dependências para o recurso operar
Visão geral do recurso
Configuration Steps: Overview
1. Administrador do dispositivo (utilizador administrador do CVP): Habilite e registre o serviço RADKit e configure autorizações na GUI do FMC.
2. Cisco TAC/Suporte da Cisco: Instale o RADKit Client no computador, acesse e solucione problemas dos dispositivos do RADKit Client.
Usuário administrador do FMC: Passo a passo do Firewall Management Center
Menu de Diagnóstico Remoto
Página Diagnóstico remoto inicial
Esta é a página inicial do Remote Diagnostics. O serviço RADKit pode ser ativado alternando o switch "Enable the RADKit service":
Serviço RADKit iniciando
Depois de ativar o serviço RADKit, uma barra de progresso é exibida até que o serviço RADKit seja iniciado:
Serviço RADKit habilitado
A próxima etapa é a inscrição na nuvem RADKit clicando no botão "Inscrever-se com SSO".
Inscreva-se no SSO - Insira o endereço de e-mail
A etapa 1 do processo de inscrição consiste em inserir o endereço de e-mail do usuário para a inscrição em nuvem do RADKit:
Inscreva-se no SSO - Aceite a solicitação de autorização
Uma nova guia do navegador (ou janela, dependendo das configurações do navegador) é aberta. Clique no botão Aceitar.
Inscreva-se no SSO - Autenticação Bem-sucedida
Após a autenticação bem-sucedida, o usuário pode fechar a guia do navegador e retornar à página Remote Diagnostics do FMC.
Serviço RADKit inscrito
O serviço RADKit é registrado com o ID de serviço especificado (neste exemplo, o ID é 8kji-znxg-3gkt). A ID pode ser copiada para a área de transferência. Entregue-o ao engenheiro do Cisco TAC para que ele possa se conectar ao serviço RADKit a partir do cliente RADKit.
A próxima etapa é criar uma autorização clicando no botão "Criar nova autorização":
Criar nova autorização: Passo 1
Criar nova autorização: Passo 2
Notas sobre dispositivos de seleção
Criar nova autorização: Etapa 3
Criar Novo Resumo de Autorização
A etapa final é o resumo da autorização. Aqui, um usuário pode revisar e editar a configuração.
Criação de nova autorização concluída
Uma tela de confirmação será exibida após a conclusão da criação da autorização:
Lista de Autorizações Atuais, Incluindo Revogar
Lista de Acesso Sudo do Dispositivo
Confirmar ativação do acesso ao sudo dos dispositivos
1. O acesso ao Sudo pode ser ativado para todos ou apenas para alguns dispositivos específicos, selecionando os dispositivos e clicando no botão "Enable".
2. Ao ativar, uma caixa de diálogo de confirmação é exibida e é necessário clicar em Confirmar.
Acesso Sudo a Dispositivos Habilitado
Outras observações
APIs REST do serviço RADKit
Para suportar operações de criação e leitura no serviço RADKit, estes novos URLs foram introduzidos:
Modelo de serviço RADKit
O modelo de serviço RADKit consiste em:
Suporte da Cisco: Uso do cliente RADKit
Lado de suporte: Instalar o cliente RADKit
Obtenha e instale o cliente RADKit
O cliente RADKit pode ser instalado localmente a partir de https://radkit.cisco.com/downloads/release/ e, em seguida, iniciado a partir do terminal com o comando: radkit-client
Os instaladores estão disponíveis para Windows, MacOS e Linux.
Captura de tela do cliente RADKit com comandos de login (detalhes na próxima seção).
Comandos de login do cliente RADKit
>>> client = sso_login("user@cisco.com")
A browser window was opened to continue the authentication process. Please follow the instructions there.
Authentication result received.
>>> service = client.service("8abc-znxg-3abc")
15:09:03.639Z INFO | internal | Connection to forwarder successful [forwarder_base_url='wss://prod.radkit-cloud.cisco.com/forwarder-4/' uri='wss://prod.radkit-cloud.cisco.com/forwarder-4/websocket/']
15:09:03.727Z INFO | internal | Forwarder client created. [forwarder_base_url='wss://prod.radkit-cloud.cisco.com/forwarder-4/']
15:09:04.244Z INFO | internal | Connection to forwarder successful [forwarder_base_url='wss://prod.radkit-cloud.cisco.com/forwarder-1/' uri='wss://prod.radkit-cloud.cisco.com/forwarder-1/websocket/']
15:09:04.332Z INFO | internal | Forwarder client created. [forwarder_base_url='wss://prod.radkit-cloud.cisco.com/forwarder-1/']
Comando RADKit Client Service Inventory
Comando para listar o inventário que o usuário remoto (engenheiro do Cisco TAC) está autorizado a acessar:
>>> service.inventory
<radkit_client.sync.device.DeviceDict object at 0x1154969a0>
name host device_type Terminal Netconf SNMP Swagger HTTP description failed
----------------------- --------- ------------- ---------- --------- ------ --------- ------ ------------- --------
172-16-0-100-1724078669 127.0.0.3 FTD True False False False False 172.16.0.100 False
172-16-0-102-1724078669 127.0.0.2 FTD True False False False False 172.16.0.102 False
firepower-1724078669 127.0.0.1 FMC True False False False False firepower False
Untouched inventory from service 8kji-znxg-3gkt.
Há um comando de filtragem para os dispositivos no inventário (próxima seção). Use o nome na coluna à esquerda para iniciar uma sessão interativa com o dispositivo (comando na próxima seção).
Tip: Se o inventário estiver desatualizado, você poderá atualizá-lo usando o comando:
>>> service.update_inventory()
Cliente RADKit: Filtrar Dispositivos
Comando para filtrar dispositivos no inventário:
>>> ftds = service.inventory.filter(attr='name',pattern='172-16-0’)
>>> ftds
<radkit_client.sync.device.DeviceDict object at 0x111a93130>
name host device_type Terminal Netconf SNMP Swagger HTTP description failed
----------------------- --------- ------------- ---------- --------- ------ --------- ------ ------------- --------
172-16-0-100-1724078669 127.0.0.3 FTD True False False False False 172.16.0.100 False
172-16-0-102-1724078669 127.0.0.2 FTD True False False False False 172.16.0.102 False
2 device(s) from service 8kji-znxg-3gkt.
Comando de sessão interativa do dispositivo do cliente RADKit
Início de uma sessão interativa para um dispositivo (neste caso, um FMC) com o nome "firepower-1724078669" retirado do comando anterior "service.inventory".:
>>> service.inventory["firepower-1724078669"].interactive()
08:56:10.829Z INFO | internal | Starting interactive session (will be closed when detached)
08:56:11.253Z INFO | internal | Session log initialized [filepath='/Users/use/.radkit/session_logs/client/20240820-115610830612-firepower-1724078669.log']
Attaching to firepower-1724078669 ...
Type: ~. to terminate.
~? for other shortcuts.
When using nested SSH sessions, add an extra ~ per level of nesting.
Warning: all sessions are logged. Never type passwords or other secrets, except at an echo-less password prompt.
Copyright 2004-2024, Cisco and/or its affiliates. All rights reserved.
Cisco is a registered trademark of Cisco Systems, Inc.
All other trademarks are property of their respective owners.
Cisco Firepower Extensible Operating System (FX-OS) v82.17.0 (build 170)
Cisco Secure Firewall Management Center for VMware v7.7.0 (build 1376)
Comandos de execução do cliente RADKit em dispositivos
Execute os comandos nos dispositivos!
>>> result = ftds.exec(['show version', 'show interface'])
>>>
>>> result.status
<RequestStatus.SUCCESS: 'SUCCESS'>
>>>
>>> result.result['172-16-0-100-1724078669']['show version'].data | print
> show version
-------------------[ firepower ]--------------------
Model : Cisco Secure Firewall Threat Defense for VMware (75) Version 7.7.0 (Build 1376)
UUID : 989b0f82-5e2c-11ef-838b-b695bab41ffa
LSP version : lsp-rel-20240815-1151
VDB version : 392
----------------------------------------------------
Considerando este inventário:
>>> service.inventory
[READY] <radkit_client.sync.device.DeviceDict object at 0x192cdb77110>
name host device_type Terminal Netconf SNMP Swagger HTTP description failed
----------------------------- --------- ------------- ---------- --------- ------ --------- ------ ------------------ --------
10-62-184-69-1743156301 127.0.0.4 FTD True False None False False 10.62.184.69 False
fmc1700-1-1742391113 127.0.0.1 FMC True False None False False FMC1700-1 False
ftd3120-3-1743154081 127.0.0.2 FTD True False None False False FTD3120-3 False
ftd3120-4-1743152281 127.0.0.3 FTD True False None False False FTD3120-4 False
Para obter detalhes de 'show version' nos dispositivos de FTD:
>>> command = "show version"
>>> ftds = service.inventory.filter("device_type","FTD").exec(command).wait()
>>>
>>> # Print the results
>>> for key in ftds.result.keys():
... print(key)
... ftds.result.get(key).data | print
... <- Press Enter twice
ftd3120-3-1743154081
> show version
-------------------[ FTD3100-3 ]--------------------
Model : Cisco Secure Firewall 3120 Threat Defense (80) Version 7.7.0 (Build 89)
UUID : 123a456a-cccc-bbbb-aaaa-a123456abcde
LSP version : lsp-rel-20250327-1959
VDB version : 404
----------------------------------------------------
>
10-62-184-69-1743156301
> show version
----------------[ KSEC-FPR1010-10 ]-----------------
Model : Cisco Firepower 1010 Threat Defense (78) Version 7.7.0 (Build 89)
UUID : 123a456a-cccc-bbbb-aaaa-a123456abcde
LSP version : lsp-rel-20250327-1959
VDB version : 404
----------------------------------------------------
>
ftd3120-4-1743152281
> show version
-------------------[ FTD3100-4 ]--------------------
Model : Cisco Secure Firewall 3120 Threat Defense (80) Version 7.7.0 (Build 89)
UUID : 123a456a-cccc-bbbb-aaaa-a123456abcde
LSP version : lsp-rel-20250327-1959
VDB version : 404
----------------------------------------------------
>
Método alternativo:
>>> # Get the FTDs. This returns a DeviceDict object:
... ftds = service.inventory.filter("device_type","FTD")
>>> # Access the dictionary of devices from the _async_object attribute
... devices_obj = ftds.__dict__['_async_object']
>>> # Extract the 'name' from each AsyncDevice object
... names = [device.name() for device in devices_obj.values()]
>>> # Get the 'show version' output from all FTD devices:
... command = "show version"
... show_ver_ftds = []
... for name in names:
... ftd = service.inventory[name]
... req = ftd.exec(command)
... req.wait(30) # depending on the number of devices you might need to increase the timeout value
... show_ver_ftds.append(req.result.data)
>>> # Print the inventory device name + 'show version' output from each device:
... for name, show_version in zip(names, show_ver_ftds):
... print(f"Inventory name: {name}")
... print(show_version[2:-2]) # Remove the leading '> ' and trailing ' \n>'
... print("\n")
Inventory name: ftd3120-3-1743154081
show version
-------------------[ FTD3100-3 ]--------------------
Model : Cisco Secure Firewall 3120 Threat Defense (80) Version 7.7.0 (Build 89)
UUID : 123a456a-cccc-bbbb-aaaa-a123456abcde
LSP version : lsp-rel-20250327-1959
VDB version : 404
----------------------------------------------------
Inventory name: ftd3120-4-1743152281
show version
-------------------[ FTD3100-4 ]--------------------
Model : Cisco Secure Firewall 3120 Threat Defense (80) Version 7.7.0 (Build 89)
UUID : 123a456a-cccc-bbbb-aaaa-a123456abcde
LSP version : lsp-rel-20250327-1959
VDB version : 404
----------------------------------------------------
Inventory name: 10-62-184-69-1743156301
show version
----------------[ KSEC-FPR1010-10 ]-----------------
Model : Cisco Firepower 1010 Threat Defense (78) Version 7.7.0 (Build 89)
UUID : 123a456a-cccc-bbbb-aaaa-a123456abcde
LSP version : lsp-rel-20250327-1959
VDB version : 404
----------------------------------------------------
Obtendo arquivos de dispositivos
Usando o console de rede RADKit
Atualização para 7.7 e de 7.7 para cima
Experiência com FTDs sem suporte
Pontos de Troubleshooting
1. Use as ferramentas Browser Development e os logs do FMC para ver o que está acontecendo no FMC.
2. Para problemas de comunicação entre o serviço RADKit no FMC, o RADkit Cloud e o cliente RADKit, consulte o registro do cliente RADKit.
3. Cliente RADKit.
Como solucionar problemas: Ferramentas para desenvolvedores do navegador
APIs de middleware de Go do serviço RADKit
Go Middleware para a integração RAKIit usa chamadas de API que não estão disponíveis publicamente através do FMC API explorer. O registro Go Middleware APIs está disponível em /var/log/auth-daemon.log. A funcionalidade que o Go Middleware executa inclui:
Registros para Troubleshooting do Serviço RADKit
/var/log/process_stdout.log
/var/log/process_stderr.log
Todos esses registros estão incluídos nas soluções de problemas do FMC/FTD.
Registros para enviar ao Cisco TAC
Monitorando o acesso
O registro de quem recebeu acesso durante quanto tempo e de quem recebeu o acesso consta dos registros de auditoria do CVP.
Os registros de sessão RADKit para as operações realizadas do cliente RADKit em dispositivos (FMCs e FTDs) estão presentes no FMC em /var/lib/radkit/session_logs/service:
RADKit Logs de sessões anteriores
Os registros de sessões do RADKit para as operações do dispositivo executadas a partir do cliente RADKit estão disponíveis para download como um arquivo contendo todos os registros na guia Previous Sessions, clicando no botão "Download All Logs".
Exemplo de Troubleshooting
Em caso de erro como "Connect to localhost:2080 [localhost/127.0.0.1] failed: Connection rejected (Connection refused)", tente reiniciar o auth-daemon de uma sessão FMC SSH:
root@firepower:~$ sudo pmtool restartbyid auth-daemon
A saída de telemetria foi adicionada para este recurso:
"remoteDiagnostics" : {
"isRemoteDiagnosticsEnabled": 0 // 0 = false , 1 = true
}
Perguntas freqüentes: Login e inscrição
P. A inscrição funciona com proxy se o FMC não tiver acesso direto à Internet?
R. Sim, se o proxy tiver acesso a prod.radkit-cloud.cisco.com, que é usado para o processo de inscrição.
P. Um usuário pode usar seu próprio IdP para esse serviço?
R. Somente o Cisco SSO é aceito na nuvem RADKit. Há uma opção para associar a conta da sua empresa a uma conta da Cisco, para que a inscrição de serviço RADKit seja possível com um e-mail que não seja da Cisco.
Perguntas freqüentes: Versões RADKit
P. Que versão do RADkit está incluída no FMC na versão 7.7? Como podemos saber qual versão do RADKit está incluída no FMC? Isso pode ser atualizado sem uma atualização do FMC?
A.
Perguntas freqüentes: Outro
P. Os dispositivos externos - não gerenciados pelo FMC - podem ser incluídos?
R. Somente os dispositivos gerenciados pelo FMC podem ser adicionados ao inventário do RADKit e, em seguida, podem ser acessados através de uma autorização.
P. É feito backup da configuração do RADKit como parte do backup do FMC?
A.
Links úteis:
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
19-Mar-2025
|
Versão inicial |