型号支持

本地 管理中心、云交付的防火墙管理中心 (cdFMC) 以及运行 Cisco Secure Firewall 版本 7.4.1 及更高版本的以下型号支持设备模板：

• Firepower 1000 系列

• Cisco Secure Firewall 1200 系列

• Firepower 2100 系列（仅限 7.4.x）

• Cisco Secure Firewall 3100 系列

支持的域

任意

用户角色

• 要创建、修改或删除模板，请执行以下操作：

  • 管理

  • 网络管理员

• 要查看已创建的模板，请执行以下操作：

  • 任意

设备模板中 VPN 连接的前提条件

• 配置设备模板中必须使用的站点间 VPN 拓扑。

• 确保已配置所有与中心和 VPN 拓扑相关的配置，例如身份验证方法、IKE 和 IPsec 策略。

• 支持的 VPN 中心辐射型拓扑类型包括：

  • 基于策略

  • 基于路由

  • SD-WAN

• 为威胁防御设备的接口分配适当的逻辑名称和 IP 地址。例如，使用 内部 表示连接到 LAN 的接口，使用 外部 表示连接到互联网或 WAN 的接口。

• 分支设备的版本必须为 7.4.1 及更高版本。

• 设备模板没有任何特定的许可证要求。

• 智能许可账户中必须有目标设备的许可权限。

• 要在模板中配置 VPN 连接，Essential 许可证必须允许出口控制功能。选择系统 (System) > 许可证 (Licenses) > 智能许可证 (Smart Licenses) 以便在 管理中心 中验证此功能。

• 在设备上应用模板时，请注意以下有关安全客户端许可的条件：

  具有安全客户端许可证的设备	具有安全客户端许可证的模板	设备模板应用后的安全客户端许可证
  是	是	模板许可证
  是	否	设备许可证
  否	是	模板许可证

设备模板的一般准则

• 支持 VNI 和 VTEP 以外的所有设备配置。

• 您可以将共享策略和 S2S VPN 策略附加到模板。这些策略是在模板应用期间分配的。

• 模板可在 HA 设备上应用。但是，不支持在 HA 设备对注册期间应用设备模板。您也无法管理与 HA 相关的配置，例如故障切换链路、备用 IP 地址等。有关详细信息，请参阅威胁防御 HA 设备上的设备模板操作。

• 仅在活动 管理中心 中支持设备模板操作。备用对等体不支持设备模板操作。

• 确保模板名称和设备显示名称不相同。

• 确保在设备备份或还原操作期间不创建或删除模板。

• 在设备上应用模板后，如果管理器访问从管理接口改为数据接口（反之亦然），则必须重新建立与设备的管理连接。请注意，在模板应用过程中不能更改管理器访问接口。

• 您最多可以将 250 个设备模板添加到 管理中心。

• 为通过数据接口管理的设备创建和配置的模板不能用于注册和应用到通过管理接口管理的设备。

• 设备注册和模板应用不属于变更管理工作流程。只使用经批准的数据，如访问策略、模板、模板变量、模板中声明的网络覆盖以及模板应用操作中使用的模板配置。

• 每次只支持一台设备使用序列号和访问控制策略进行设备注册。

• 在使用序列号添加设备时，不支持具有 IPv6 DHCP 可发现性的设备。

• 在将模板应用于已注册设备时，模板中的配置只会复制到目标设备。然后，您可以选择在设备上手动部署配置，或者让复制的配置留在设备上，稍后再部署。但是，如果在设备载入过程中应用模板，模板中的配置就会复制到目标设备，并按照现有行为，在设备注册后自动部署到设备上。

• 模型映射中的任何更改都会导致设备被标记为“不同步”(Out of Sync)。如果您对相应模型映射中的接口映射进行了更改，或者在上次应用模板后对配置进行了更改，请考虑将模板重新应用到设备上。

• 设备模板只支持合并的管理和诊断接口。有关详细信息，请参阅合并管理接口和诊断接口。

• 变更管理支持模板配置更新。变更管理不支持创建和应用设备模板。

• 您无法将配置更改从设备同步到模板。下面列出了一些可能需要使用模板更改设备配置的场景以及推荐的解决方案：

  • 如果您想先在一台设备上测试新的配置更改，然后再将更改传播到多台设备上，则建议您在模板中进行更改，并将模板应用到一台设备上。验证该设备上的更改，然后将模板应用到其他设备。

  • 如果要在一台设备上进行大量更改，从而导致与当前配置有明显偏差，然后将这些更改传播到其他设备，则可以选择以下选项之一：

    • 导出当前模板以获取模板副本。然后，您就可以在模板中进行所需的更改，并应用到单个设备。验证该设备上的更改，然后将模板应用到其他设备。

    • 您也可以在设备上进行所需的更改，然后从该设备创建模板。然后，您就可以在其他设备上应用和验证更改。但我们不建议这样做，因为创建的模板中不会出现变量和网络对象覆盖等模板参数。

  • 如果特定设备上的配置与模板中的配置开始出现显着差异，您也可以选择对此设备不使用模板，并从关联设备 (Associated Devices) 窗口中删除设备-模板关联。

设备模板中的 VPN 连接准则

• VPN 拓扑支持的接口包括：

  拓扑类型	接口类型
  基于策略的 SD-WAN	物理接口 非管理 接口模式必须为“路由”或“无” 子接口 冗余接口 Etherchannel 接口 VLAN 接口
  基于路由	静态虚拟隧道接口

• 在作为 VPN 拓扑一部分的设备上应用模板时，必须确保模板包含拓扑中使用的所有接口的接口配置。

• 在将具有 VPN 连接的模板应用于多个设备时，请注意以下事项：

  模板会按照您选择设备的顺序应用于多个设备。如果模板有 VPN 连接，则会锁定相应的 VPN 拓扑。

• 对于 SD-WAN 拓扑 VPN 连接：确保接口的 IP 地址子网与 SD-WAN 中心的 IP 地址池子网不存在冲突。

• 域：

  • 您可以在全局域或枝叶域中定义模板。但只能在枝叶域中定义 VPN 拓扑。

  • 您可以在模板中为所有域配置 VPN 连接。在模板应用过程中，只有当设备与 VPN 拓扑处于同一域时，VPN 连接才会应用到设备。

  有关详细信息，请参阅 域中的设备模板。

• 变更管理：在将设备模板应用到设备之前，确保 VPN 拓扑未被变更管理故障单锁定。

设备模板的限制

• 使用设备模板不支持以下功能和配置：

  • 多实例模式

  • 集群

  • 非融合管理接口

  • 透明模式

  • HA 故障转移配置

  • 机箱配置

  • 逻辑设备

  • 嵌套对象的变量

  • 覆盖对网络组和其他对象类型的支持

VPN 连接的限制

• 当您从属于 VPN 拓扑一部分的设备创建模板（设备 (Devices) > 设备管理 (Device Management) > 更多 () > 从设备生成模板 (Generate Template from Device)），则 VPN 配置不是模板的一部分。您必须重新配置模板上的 VPN 配置。

• 当您导出具有一个或多个 VPN 连接的设备模板时（模板设置 (Template Settings) > 常规 (General) > 常规 (General) 面板 > 导出 (Export)），不会导出 VPN 连接。您必须在导入的模板上重新配置 VPN 连接。

• 基于证书的身份验证：

  • 设备模板不支持设备的自动证书注册。

  • 在使用带有 VPN 配置的模板载入设备时，如果 VPN 拓扑使用基于证书的身份验证，则设备的首次部署将失败。确保在设备注册后手动注册设备证书，并再次在设备上部署配置。

初步故障排除

要初步排除故障，我们建议查看模板应用报告中的信息，以及遇到错误时 管理中心 UI 上显示的通知。管理中心 日志文件还包含详细的调试和故障排除信息。

请按照以下步骤进行初始故障排除。

1. 检查模板应用报告中提到的错误。有关详细信息，请参阅模板、应用报告。

2. 查看变量值并检查重叠和不兼容情况。

3. 检查模型映射，确保是否存在正确的模型映射。相应地删除或添加映射。

4. 请参阅 管理中心 审核日志，以查找并解决任何其他问题。

请考虑以下错误场景。在设备模板中，内部接口使用静态 IPv4 变量 - $insideIPv4 来进行配置。

BGP IPv4 地址与 IPv4 BGP 邻居一起配置。

为 BGP 邻居和接口配置一个重叠的 IPv4 地址。

由于上述问题，设备模板的应用会失败并显示错误。

要排除此错误，请从 UI 上显示的通知中确定错误。

IP Address 192.168.10.1 same as ip address of interface - 'inside'(Ethernet1/1)

有关详细信息，请查看模板应用报告。

输入正确的变量值并再次应用模板，以确保在设备上成功应用模板。

设备注册故障排除

• 问题：管理员密码不正确或注册时未提供密码

  场景：如果设备上未设置管理员密码，并且您在注册时未提供管理员密码，则 威胁防御 设备调配将失败。在这种情况下，系统会显示调配错误 和输入密码链接。

  解决方法：点击输入密码 (Enter Password)，输入新密码，然后点击保存 (Save)。点击确认并继续 (Confirm and Proceed) 以再次触发载入。

• 如果设备上已经设置了管理员密码，而您在注册时又提供了另一个管理员密码，则设备调配将失败。

• 问题：管理中心 中的设备注册失败

  解决方法：按照现有的设备注册故障排除步骤操作。有关详细信息，请参阅 Firepower 设备注册配置、验证和故障排除。

• 问题：在 管理中心 中的批量注册请求失败

  场景： 批量注册请求可能会在几种情况下失败：

  • 您没有执行模板相关操作所需的权限

  • 从请求域看不到模板

  • 提供的 CSV 文件无效

  解决方法：您可以在 VMS 共享和 USM 共享日志文件中看到这些错误的日志。修复错误并重新启动注册。

• 问题：由于某些一般错误（例如与设备的通信失败），CDO 中的设备调配失败

  解决方法：点击调配错误中的重试，以便再次触发 CDO 中的自行激活。您还可以参阅 CDO 工作流程，以了解有关错误和故障排除的更多信息。

思科安全云集成故障排除

问题：思科安全云集成不成功

解决方法：执行思科安全云集成故障排除步骤。有关详细信息，请参阅思科安全云集成。

设备模板配置问题故障排除

问题：设备模板配置错误，导致注册后部署失败

解决方法：请按照以下步骤进行初始故障排除。

1. 检查模板应用报告中提到的错误。

2. 查看变量值并检查重叠和不兼容情况。

3. 检查模型映射，确保是否存在正确的模型映射。相应地删除或添加映射。

4. 请参阅 管理中心 审核日志，以查找并解决任何其他问题。

CDO 问题故障排除

• 问题：已申领序列号的设备

  解决方法：验证序列号并重新启动载入。

• 问题：CDO 未能申领设备。

  解决方法：在 CDO 安全设备 (Security Devices) 窗口中选择设备，以了解有关错误的更多详细信息。您可以在 VMS 共享和 USM 共享日志文件中看到与设备申领问题相关的日志。点击重试 (Retry) 以再次启动注册。

• 问题：管理中心 和 CDO 之间的通信失败

  场景：管理中心 和 CDO 之间的通信故障可能会导致零接触调配 (ZTP) 设备注册请求失败。

  解决方法：刷新 ZTP 设备状态，重新尝试注册 ZTP，然后再删除 ZTP 设备。您可以在身份验证后台守护程序日志中查看有关 管理中心 和 CDO 之间通信失败的日志。对于与 ZTP 相关的操作故障，您可以查看 VMS 共享和 USM 共享日志文件中的日志。