澄清FMC上FTD的內嵌集順序
簡介
本文檔介紹內聯集的介面順序不同的原因,即使所有集的介面命名約定相同。
必要條件
需求
思科建議您瞭解以下主題:
- 安全防火牆威脅防禦(FTD)
- 安全防火牆管理中心(FMC)
- 安全防火牆可擴充作業系統(FXOS)
- REST-API
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- 安全防火牆威脅防禦版本7.2.5.1
- 安全防火牆管理器中心版本7.2.5.1
- 安全防火牆可擴充作業系統2.12(1.48)
- 安全防火牆機箱管理員(FCM)
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
分析
案例示例
在本範例中,具有六(6)個介面的FTD以內嵌配對設定:
Ethernet1/1 (Inside-A)
Ethernet1/2 (Outside-A)
Ethernet1/3 (Inside-B)
Ethernet1/4 (Outside-B)
Ethernet1/5 (Inside-C)
Ethernet1/6 (Outside-C)
FTD介面清單
計畫為每個對配置從Inside到Outside的內聯集,這將導致下一個設定:
Inline Set A: Inside-A <-> Outside-A
Inline Set B: Inside-B <-> Outside-B
Inline Set C: Inside-C <-> Outside-C使用者希望介面的順序按介面邏輯名稱或介面物理名稱以字母順序顯示。但是,此設定會產生不同的順序,如下圖所示:
FTD內嵌集
使用者注意到內嵌集C與其他兩個內嵌集具有不同的順序。
注意:必須注意的是,內嵌集介面對順序不會導致任何通訊或操作問題,但出於美學考慮,它可能令人擔憂。
說明
內聯集介面順序不是按名稱而按ID分配,ID通過REST-API進行驗證。
步驟 1.要驗證這一點,需要訪問FMC REST-API資源管理器。這可通過訪問下一個URL語法來實現:
https://FMC IP/api/api-explorer
FMC REST-API資源管理器
步驟 2.導覽至Devices,然後展開選單。
裝置選單
步驟 3.導航到GET選項:
/api/fmc_config/v1/domain/{domainUUID}/devices/devicerecords/{containerUUID}/inlinesets
內嵌集GET選項
步驟 4.按一下Try it Out按鈕。
內嵌集GET Try it Out按鈕
步驟 5.將containerUUID欄位替換為FTD UUID(這由FTD命令列上的命令顯示show version),然後按一下Execute。
內嵌集執行
步驟 6.向下滾動到Response Body,並複製進行故障排除所需的介面ID,本例中為Inline Set C。
"id": "005056B3-BB52-0ed3-0000-021474837838",
內嵌集GET響應正文
步驟 7. 導航到GET選項:
/api/fmc_config/v1/domain/{domainUUID}/devices/devicerecords/{containerUUID}/inlinesets/{objectId}
內嵌集GET對象ID
步驟 8. 按一下Try it Out按鈕。
內嵌集GET對象ID試用
步驟 9.使用步驟6中採取的ID替換objectId欄位,使用步驟5中使用的FTD UUID替換containerUUID。然後,按一下Execute按鈕。
內嵌集GET對象ID執行
步驟 10.驗證REST-API查詢的響應正文。
內嵌集GET對象ID響應正文
Interface Ethernet1/6被新增為內嵌集的第一個元件,而Ethernet1/5被新增為第二個元件。這是因為為Ethernet1/6指定的介面ID的字母順序低於Ethernet1/5。這將驗證FMC為內嵌集上的介面分配採用的邏輯。
因應措施
介面ID由FXOS在邏輯裝置建立時分配,因此介面需要在FXOS級別刪除並按所需順序讀取才能再次分配ID。
警告:下一個解決方法僅適用於FPR4100和FPR9300系列,任何其他安全防火牆硬體都需要重新映像。此外,此解決方法會中斷流量,從這個意義上說,強烈建議使用FMC、FTD和FXOS備份以及計畫的維護視窗。
步驟 1.登入FMC,並在下一個路徑上刪除有問題的內嵌集:
Devices > Device Management > Edit the desired FTD > Inline Sets.
內嵌集刪除
步驟 2.儲存更改並進行部署。
內嵌集刪除部署
步驟 3.登入到裝置FCM並導航到Logical Devices並編輯所需的Logical Device。
邏輯裝置編輯
步驟 4.移除屬於有問題的內嵌集的兩個介面(在本範例中為Ethernet1/5和Ethernet1/6),並儲存變更。
內嵌集介面移除
步驟 5.在FMC上,導覽至Devices > Device Management,編輯所需的FTD,然後導覽至Interfaces索引標籤,按一下Sync Device按鈕,儲存變更並進行部署。
內嵌集FTD刪除後同步
步驟 6.再次編輯邏輯裝置,再次新增第一個介面(Ethernet1/5),然後儲存更改。
內嵌集第一個介面正在增加
步驟 7.按一下按Sync Device鈕,儲存更改,然後再次部署。
第一個介面新增後的FTD同步
步驟 8.再次編輯邏輯裝置,再次新增第一個介面(Ethernet1/6),然後儲存更改。
內嵌集第二個介面新增
步驟 9. 按一下按鈕,儲存更改Sync Device,然後進行部署,重複步驟5。
新增第二個介面之後的FTD同步
步驟 10.使用與之前相同的引數配置介面,然後重新新增內聯集。
內嵌集配置
這一次,內嵌集介面順序以預期方式顯示。儲存更改並最後一次部署。
註:本文檔的「案例示例」部分將再次執行,以驗證介面ID現在是否按正確的順序排列。
相關資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
2.0 |
13-Feb-2024 |
初始版本 |
1.0 |
12-Feb-2024 |
初始版本 |
意見