نشر موصل السمة الديناميكية الآمنة في FMC
المحتويات
المقدمة
يوضح هذا المستند حول موصل السمة الديناميكية الآمنة من Cisco في FMC.
الخلفية - مشكلة
يمكن دمج CSDAC (Cisco Secure Dynamic Attributes Connector) في FMC (مركز إدارة FirePOWER)، مما يوفر مستوى الوظائف نفسه الخاص بتطبيق CSDAC المستقل و CSDAC في CDO. بالنسبة إلى CSDAC المستقلة، فإنها تعفي العملاء من التكاليف غير المباشرة لإدارة وصيانة جهاز منفصل ل CSDAC. كمسؤول شبكة، أريد للواجهات البرمجية أن تكون سهلة الدمج ومواكبة للتغيرات على موفري البيئة الديناميكية الخارجيين. يعمل هذا الدمج على حل مشكلة تجميع السمات من بيئات الشبكات المتغيرة ديناميكيا دون نشر سياسة.
الحل (ملخص)
يمكن تكوين CSDAC الآن في FMC لجلب سمات العلامات من Azure و vCenter و AWS و GCP و Office 365 وعلامات خدمة Azure، مما يوفر تماثل الميزات مع CSDAC المستقل و CSDAC في CDO.
- يمكنك الآن إختيار إستخدام
- CSDAC في FMC (أو)
- CSDAC في CDO (أو)
- CSDAC المستقلة
- السوق المستهدفة: المؤسسة، مزود الخدمة
موصل السمات الديناميكية في ملخص FMC
موصل السمات الديناميكية ل FMC:
- شاشة لوحة المعلومات لإنشاء ميزات موصل السمات الديناميكية وتشغيلها.
- واجهة مستخدم FMC لتكوين موصلات حمل العمل المصدر (AWS و Azure و vCenter و Office 365 و GCP)
- واجهة مستخدم FMC لتعريف عوامل تصفية السمات الديناميكية لإنشاء كائنات ديناميكية
أمثلة النشر
CSDAC قيد التشغيل
في العام الماضي، قمت بنشر بطاقة VM مخصصة ل CSDAC لجمع السمات من حسابات AWS و Azure.
المشكلة
والآن، انتقلت مؤسستي إلى Cloud، ولا يمكنني نشر جهاز افتراضي مخصص ل CSDAC وإدارته في بيئتي.
الخيار 1: إستخدام موصل السمات الديناميكية المبني داخل FMC
يمكنك إصلاح المشكلة باستخدام موصل السمات الديناميكية الذي تم إنشاؤه داخل FMC. يمكن إستخدام الكائنات الديناميكية التي تم إنشاؤها بواسطة نهج الوصول.
الخيار 2: إستخدام موصل السمات الديناميكية الذي توفره السحابة في CDO
يمكنك إصلاح المشكلة باستخدام Dynamic Attributes Connector في CDO. يمكن إستخدام الكائنات الديناميكية التي تم إنشاؤها بواسطتها في
- وحدة التحكم في إدارة اللوحة الأساسية (FMC) التي تم تسليمها عبر السحابة من CDO
- CDO على FMC
المتطلبات الأساسية والأنظمة الأساسية المدعومة والتراخيص
الحد الأدنى من الأنظمة الأساسية للبرامج والأجهزة المدعومة
| الحد الأدنى لإصدار Supported Manager |
الأجهزة المدارة |
الحد الأدنى لإصدار الجهاز المدار المدعوم المطلوب |
ملاحظات |
| FMC 7.4 |
أي FTD مدعوم |
أي 7.0+ FTD |
* موصل السمات الديناميكية غير مدعوم على الأجهزة المدارة بواسطة FDM
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
· مركز إدارة جدار الحماية من Cisco الذي يتم تشغيله الإصدار 7.4
· برنامج الدفاع ضد تهديد FirePOWER من Cisco الإصدار 7.4 أو إصدار أعلى.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
تفاصيل الميزة
نظرة عامة مستقلة على CSDAC (تم إصدارها حاليا - 7.4)
يتيح لك موصل السمات الديناميكية الآمنة من Cisco إمكانية إستخدام علامات التمييز من الأنظمة الأساسية المختلفة لخدمات السحابة في قواعد التحكم في الوصول لمركز إدارة جدار الحماية (FMC).
يمكن تثبيت CSDAC على جهاز لينوكس، وهو يدعم الحصول على سمات من:
- AWS و Azure و VMware vCenter و NSX-T و Office 365 و Azure Service Tags و GCP و GitHub.
نظرة عامة على CSDAC في CDO (الإصدار حاليا - 7.4)
يدعم نفس الوظائف الموجودة في CSDAC دون الحاجة إلى تثبيت تطبيق مخصص وصيانته.
موصل vCenter غير مدعوم حاليا في CDO.
يدعم إرسال السمات التي تم تلقيها إلى وحدة التحكم في إدارة اللوحة الأساسية (FMC) التي تم تسليمها عبر السحابة ووحدة التحكم في إدارة اللوحة الأساسية (FMC) أثناء التحضير في CDO.
CSDAC في FMC
يدعم نفس الوظائف التي يوفرها CSDAC المستقل دون الحاجة إلى تثبيت تطبيق مخصص وصيانته.
يدعم CSDAC في FMC الحصول على سمات من:
- AWS و Azure و VMware vCenter و NSX-T و Office 365 و Azure Service Tags و GCP و GitHub
لا يوجد تكوين مهايئ صريح هنا حيث إنه محلي ل FMC.
كيف يعمل
يتم إستخدام الموصلات للحصول على سمات من AWS و Azure و O365 و vCenter.
ثم يتم إستخدام المهايئ المحلي لحفظ هذه السمات المبسطة وتعريفات IP الخاصة به في FMC ككائنات ديناميكية.
ترسل FMC التعيين في الوقت الفعلي إلى FTD (بدون نشر).
تمكين CSDAC في FMC
انتقل إلى التكامل > موصل السمات الديناميكية.
أستخدم زر التبديل لتمكين الموصل.
تأخذ FMC بضع دقائق لتنزيل وتثبيت صور وحاويات أجهزة الإرساء.
يمكن تكوين هذا فقط في المجال العام ل FMC.
لوحة معلومات CSDAC
بعد تمكين CSDAC، يتم تقديم المستخدم بصفحة لوحة معلومات CSDAC. يتم إستخدام لوحة المعلومات لتكوين الموصلات المدمجة وعرضها وكذلك التصفية.
تكوين الموصلات
إضافة موصلات من لوحة المعلومات
في لوحة المعلومات، انقر فوق الرمز الخاص بالموصل المطلوب لإضافته.
قم بتكوين فاصل زمني (في حقل "سحب الفاصل الزمني") حتى يتمكن الموصلات من سحب المعلومات من الموفرين باستخدام التكرار الذي تم تكوينه.
أدخل بيانات اعتماد الموفر للحصول على سمات العلامة. بمجرد تكوين الموصل، يمكنك إختبار الموصل بالنقر فوق "زر الاختبار".
تكوين عوامل التصفية
انقر فوق علامة التبويب "عوامل تصفية السمات الديناميكية" في القائمة "موصل السمات الديناميكية" للانتقال إلى صفحة عوامل تصفية السمات الديناميكية.
إضافة عوامل تصفية
انقر فوق الزر + لإنشاء مرشح لموصلات السمات.
إضافة علامات AWS
على سبيل المثال، يمكن أن نفترض أنك مهتم بالمفتاح 'hr' والقيمة 'app' في أحمال عمل AWS.
هذا ما سيبدو عليه في AWS.
CSDAC في FMC
يمكنك إنشاء قاعدة "الموارد البشرية تساوي التطبيق" بالنقر فوق الزر +.
يرسل مهايئ FMC المحلي عناوين IP المطابقة كتعيينات كائنات ديناميكية إلى FMC
معاينة
يمكنك أيضا عرض عناوين IP المطابقة لقاعدة سمة معينة عن طريق النقر فوق 'إظهار' | زر إخفاء المعاينة.
الكائنات الديناميكية
عرض الكائنات الديناميكية التي تم إنشائها بواسطة CSDAC في الكائنات > خصائص خارجية، كائن ديناميكي في FMC
سياسة التيار المتردد
التكوين: نهج الوصول
في FMC، أضف نهج الوصول للسماح بالكائنات الديناميكية المستلمة من موصل السمات الديناميكية أو حظرها.
حدود النظام الأساسي
- تستند حدود الموصلات إلى ذاكرة FMC المتوفرة.
- ستحتاج وحدة التحكم في إدارة اللوحة الأساسية (vFMC) إلى ذاكرة إضافية سعة 1 جيجابايت لدعم 5 موصلات
- يتم تضمين نطاق Azure AD أيضا في الحد، حيث إنه أيضا حاوية CSDAC.
| الطرز |
لا توجد موصلات مدعومة |
الأنظمة الأساسية |
الحد استنادا إلى الذاكرة |
| أساسي |
فقط Azure AD |
1600 |
32 جيجابايت |
| صغيرة |
5 |
vFMC |
> 32 جيجابايت |
| الوسيطة |
10 |
الطراز vFMC 300 و 2600 |
>= 64 جيجابايت |
| كبير |
20 |
4600 |
>= 128 جيجابايت |
أستكشاف الأخطاء وإصلاحها / التشخيص
يتم تنفيذ أستكشاف الأخطاء وإصلاحها بشكل أفضل عن طريق تتبع الكائن (الكائنات) الديناميكية من موصلات CSDAC إلى سمات Dynamics في FMC. تشير العديد من السجلات الداخلية إلى هذه الميزة باسم "مشترك". يمكنك إلقاء نظرة على حالة النظام على طول سلسلة البث لعزل المشاكل. يستخدم CSDAC حاويات Docker. يجب الإشارة إلى رسائل وأسماء السجلات والملفات الأخرى على أنها "docker"
افحص الموصلات
تأكد أولا من إمكانية توصيل الموصلات بخوادم vCenter أو AWS أو Azure.
إذا لم يتم تكوين الموصلات بشكل صحيح، فلن تتمكن عمليات تدفق البيانات من الخادم من الحصول على معلومات عن العلامة.
عرض الموصلات من علامة تبويب الموصلات
يتم عرض حالة الموصل في حقل الحالة ويتم تحديثها كل 15 ثانية.
هنا، نرى أن الموصل لم يتمكن من المصادقة باستخدام بيانات الاعتماد المتوفرة.
التحقق من عوامل تصفية السمات
تأكد من أن معاينة القاعدة تعرض عناوين IP المطابقة لشرط الاستعلام الخاص بك.
إذا لم يكن هناك عناوين IP مطابقة، فلن تتمكن FMC من الحصول على تعيينات الكائنات الديناميكية.
التحقق من عوامل تصفية السمات
تحقق من توفر تعيينات IP للسمة الديناميكية في المعاينة. يتوفر زر إظهار المعاينة في قائمة تحرير عامل تصفية السمات الديناميكية.
تحقق من الكائنات الديناميكية في واجهة مستخدم FMC
أولا، تأكد من أن خادم FMC يحتوي على الروابط التي تتوقعها.
- ابحث تحت إدارة الكائن، علامة تبويب كائنات خارجية، تحقق من الكائنات الديناميكية للروابط.
- إذا لم تحصل FMC على الروابط، فلن يتمكن FTD من الحصول عليها.
تحقق من FMC Health Monitor والإخطارات الخاصة بتنبيهات حماية CSDAC.
التحقق من الكائنات الديناميكية
يسمح لك مدير كائنات FMC بتنزيل عناوين IP للكائن الديناميكي الحالي.
تنبيهات حماية CSDAC
يعرض مدير مهام FMC تنبيهات السلامة في حالة تعطل أي خدمة أساسية، بما في ذلك موصل السمات الديناميكية. يحتوي التنبيه على معلومات تتعلق باسم الخدمة وحالتها.
ملاحظة: لا يزال لدينا تسمية "المجموعة" في العديد من الإخطارات والمطلوب هنا توفير اسم الخدمة للمعلومات التفصيلية.
وهنا نرى أن تعدد النحل وتعبئة المهايئ المحلي-FMC "غير صحي".
إذا يشير الخطأ إلى أي من الخدمات الأساسية، فيجب تجميع سجلات أستكشاف الأخطاء وإصلاحها لتصحيح الأخطاء.
CSDAC في تحريت
إنشاء أستكشاف أخطاء CSDAC وإصلاحها
- يتم تجميع سجلات CSDAC تلقائيا أثناء إنشاء أستكشاف أخطاء FMC وإصلاحها.تحتوي الحزمة على حالة Docker والسجلات والبيانات اللازمة لتصحيح أخطاء المشكلة دون اتصال.
- الممارسة الجيدة هي تمكين وضع تصحيح أخطاء CSDAC قبل إعادة إنشاء خطأ يتم تجميع سجلات أستكشاف الأخطاء وإصلاحها من أجله .
من /usr/local/sf/csdac نداء ./muster-cli تصحيح الأخطاء على
البحث عن سجلات CSDAC في "أستكشاف الأخطاء وإصلاحها" غير المشوهة في هذه المجلدات:
/results-XX/command-outputs/csdac_troubleshoot/info
يحتوي هذا على البيانات المخزنة في قاعدة البيانات.
/results-xx/command-output/csdac_troubleshooting /log
يحتوي هذا على السجلات من حاويات المستندات.
/results-XX/command-outputs/csdac_troubleshoot/status.log
هذا يظهر حالة الحاوية والإصدارات وتفاصيل صورة وحدة الإرساء.
أستكشاف أخطاء CLI وإصلاحها
يمكن إستخدام البرنامج النصي muster-cli للتحقق من حالة CSDAC من FMC CLI.
إذا كانت حالة أي خدمة "منتهية" أو مختلفة عن "لأعلى"، فابدأ بالتحقق من السجلات الخاصة بتلك الحاوية.
اسم الحاوية مطلوب للحصول على السجلات، يمكن الحصول عليه من الإخراج.
وضع تصحيح أخطاء CSDAC
يمكن إستخدام البرنامج النصي "muster-cli" لتشغيل سجلات تصحيح الأخطاء وإيقاف تشغيلها.بشكل افتراضي، يتم تسجيل الحاويات في INFO level.INFO بينما يكون تصحيح الأخطاء هو المستويات الوحيدة المدعومة.
لتمكين مستخدم مستوى تصحيح الأخطاء: ./muster-cli debug-on.
سيؤدي ذلك إلى توفير مزيد من المعلومات لإنشاء أستكشاف الأخطاء وإصلاحها والمساعدة في تصحيح الأخطاء.يجب تمكين هذا الخيار أثناء إنشاء إحدى المشكلات.
للعودة إلى مستوى المعلومات إستخدام: ./MUSTER-CLI تصحيح الأخطاء.
root@firepower:/usr/local/sf/csdac# ./muster-cli debug-on
Recreating muster-bee ...
Recreating muster-bee ... done
Recreating muster-user-analysis ... done
Recreating muster-local-fmc-adapter ... done
Recreating muster-ui-backend ... done
الرسائل المسجلة مع تصحيح الأخطاء
عند تمكين وضع تصحيح الأخطاء، سوف تحتوي كافة سجلات حاوية المستندات أيضا على رسائل تصحيح أخطاء
الحصول على السجلات في الوقت الحقيقي باستخدام أوامر الإرساء: سجلات الإرساء -f <container_name>
في المثال التالي، تظهر رسالة تصحيح الأخطاء ما أدى إلى حدوث خطأ gRPC
2022-12-12 14:33:29,649 [status_storage] DEBUG: Loading status from /app/status/aws.1_status.json...
2022-12-12 14:33:29,650 [status_storage] DEBUG: Loading status from /app/status/gcp.1_status.json...
2022-12-12 14:33:29,651 [status_storage] DEBUG: Loading status from /app/status/github.1_status.json...
2022-12-12 14:33:29,651 [status_storage] DEBUG: Loading status from /app/status/o365.1_status.json...
2022-12-12 14:33:43,279 [server] DEBUG: Got health status request.
2022-12-12 14:33:43,280 [bee_api] WARNING: Got gRPC error from BEE: StatusCode.UNAVAILABLE failed to connect to all addresses; last error: UNKNOWN: Failed to connect to remote host: No route to host
نموذج مشكلة في أستكشاف المشكلات وإصلاحها أثناء التنقل
نظرة عامة على المشكلة واستكشاف الأخطاء وإصلاحها
المشكلة:
أكثر المشاكل شيوعا التي نواجهها هي أن FMC لا يستلم جميع تعيينات الكائنات الديناميكية.
أستكشاف الأخطاء وإصلاحها:
لاستكشاف المشكلة وإصلاحها، قمنا
- تمكين وضع تصحيح الأخطاء من "muster-cli"
- ملف أستكشاف الأخطاء وإصلاحها الذي تم إنشاؤه من واجهة مستخدم FMC
- تم فحص سجلات دخول CSDAC AWS Connector التي تم تجميعها لاستكشاف الأخطاء وإصلاحها.
- اكتشف أن موصل CSDAC AWS Connector استفسر فقط عن عنوان IP الأول في مثيلات AWS.
إستعد لحزمة مثيرة للمتاعب
- من واجهة سطر الأوامر (CLI) الخاصة بوحدة التحكم FMC تم تمكين وضع تصحيح الأخطاء باستخدام ./muster-cli debug-on. تتوفر أداة muster-cli في /usr/local/sf/csdac.
- تمت إعادة إنشاء المشكلة بانتظار أن يكون للموصل الحالة "موافق" ثم التحقق من عوامل تصفية السمات الديناميكية.
- تم تجميع سجلات أستكشاف الأخطاء وإصلاحها من واجهة مستخدم FMC واستخراجها.تحقق من سجلات موصل AWS بحثا عن محتويات اللقطة
انظر إلى خصائص علامة التمييز ل IP
يتم تسجيل سمات العلامة لبروتوكول IP محدد في سجلات أستكشاف الأخطاء وإصلاحها. بالنسبة لموصل AWS، نظرنا إلى muster-connector-aws.1.muster-docker.log.gz
ملخص التحققات
هل تبدو حالة الموصل والمحول جيدة؟
تحقق من الحالة في الموصل المطابق، صفحات المحول.
هل حصل Connectors على كافة التعيينات؟
تحقق من معاينة القاعدة لمطابقة عناوين IP.
تحقق من سجلات توثيق الموصل لمعرفة ما إذا كان يتم الاستعلام عن التعيينات بشكل صحيح.
هل تلقى خادم REST تعيينات علامات ديناميكية من الموصل؟
تحقق من صفحة الكائنات الديناميكية ل FMC.
تحقق من سجلات USMS (في /opt/CSCOpx/MDC/log/operation/usmsharedsvcs.log ) لمعرفة ما إذا كان خادم FMC REST قد قام بمعالجة طلب واجهة برمجة التطبيقات (API) من CSDAC بشكل صحيح.
أسئلة وأجوبة
س: ما إصدار CSDAC المحلي الذي يدعم موصل ISE، كما أنني لا أرى مثل هذا الموصل في الإصدار 7.4.0 (بنية 1494)؟
أ: هذه في CSDAC منفصلة وليست في FMC أو في CDO. ستحتاج إلى حزمة CSDAC غير قابلة للاختبار.
س: ما هي نسخة CSDAC المحلية عند إصدارها؟
أ: من المحتمل 2.1.0.
س: تم عرض شاشة مزودة بمعدات تم وضع واجهة برمجة تطبيقات عليها. أعتقد أنه CSDAC، ماذا يعني ذلك؟
A: API Explorer مدمج في CSDAC، يمكنك إجراء مكالمات API إلى CSDAC من تلك الصفحة.
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
29-Jul-2024 |
الإصدار الأولي |
التعليقات