Clarificar pedido establecido en línea para FTD en FMC

Opciones de descarga

  • PDF     (2.4 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
Actualizado:13 de febrero de 2024
ID del documento:221641

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe por qué el orden de interfaz para los conjuntos en línea es diferente incluso si la convención de nomenclatura de interfaz es igual para todos los conjuntos.

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Protección frente a amenazas de firewall (FTD)
    • Centro de gestión de firewall seguro (FMC)
    • Sistema operativo ampliable de firewall seguro (FXOS)
    • REST-API

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • Secure Firewall Threat Defence versión 7.2.5.1
    • Secure Firewall Manager Center versión 7.2.5.1
    • Secure Firewall Extensible Operating System 2.12(1.48)
    • Administrador de chasis de firewall seguro (FCM)

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Análisis

    Ejemplo de caso

    Para este ejemplo de caso, se configura un FTD con seis (6) interfaces en pares lineales:

    Ethernet1/1 (Inside-A)
Ethernet1/2 (Outside-A)
Ethernet1/3 (Inside-B)
Ethernet1/4 (Outside-B)
Ethernet1/5 (Inside-C)
Ethernet1/6 (Outside-C)

    Lista de interfaces FTDLista de interfaces FTD

    Los conjuntos en línea están planificados para ser configurados de Dentro a Fuera para cada par, lo que resulta en la siguiente configuración:

    Inline Set A: Inside-A <-> Outside-A
Inline Set B: Inside-B <-> Outside-B
Inline Set C: Inside-C <-> Outside-C

    Los usuarios esperan que el orden de las interfaces se muestre en orden alfabético por el nombre lógico de la interfaz o el nombre físico de la interfaz. Sin embargo, esta configuración da lugar a un orden diferente, como se muestra en la siguiente imagen:

    Conjuntos en línea de FTDConjuntos en línea de FTD

    Los usuarios observan que el conjunto en línea C tiene un orden diferente de los otros dos conjuntos en línea.

    icono de nota

    Nota: Es importante tener en cuenta que el orden de pares de interfaces de conjunto en línea no causa ningún problema de comunicación u operativo, sin embargo, puede ser preocupante para fines estéticos.

    Explicación

    El orden de la interfaz de conjuntos en línea no se asigna por nombre sino por ID, que se verifica a través de REST-API.

    Paso 1. Para verificar esto, se debe acceder al explorador FMC REST-API. Esto se logra accediendo a la siguiente sintaxis de URL:

    https://FMC  IP/api/api-explorer

    FMC REST-API ExplorerFMC REST-API Explorer

    Paso 2. Navegue hasta Devices y expanda el menú.

    Menú DispositivosMenú Dispositivos

    Paso 3. Navegue hasta la opción GET para:

    ​/api​/fmc_config​/v1​/domain​/{domainUUID}​/devices​/devicerecords​/{containerUUID}​/inlinesets

    Conjuntos en línea Opción GETConjuntos en línea Opción GET

    Paso 4. Haga clic en el botón Try it Out.

    Conjunto en línea Botón GET Try it OutConjunto en línea Botón GET Try it Out

    Paso 5. Reemplace el campo containerUUID con el UUID FTD (esto se muestra con el comando show version en la línea de comandos de FTD) y haga clic en Execute.

    Ejecución de conjuntos en líneaEjecución de conjuntos en línea

    Paso 6. Desplácese hacia abajo hasta Response Body y copie el ID de la interfaz que se requiere para resolver problemas, en este caso es Inline Set C.

    "id": "005056B3-BB52-0ed3-0000-021474837838",

    Conjuntos en línea GET Response BodyConjuntos en línea GET Response Body

    Paso 7. Navegue hasta la opción GET para:

    /api/fmc_config/v1/domain/{domainUUID}/devices/devicerecords/{containerUUID}/inlinesets/{objectId}

    Conjuntos en línea ID de objeto GETConjuntos en línea ID de objeto GET

    Paso 8. Haga clic en el botón Try it Out.

    Conjuntos en línea GET Object ID Try it OutConjuntos en línea GET Object ID Try it Out

    Paso 9. Reemplace el campo objectId con el ID tomado en el Paso 6 y el containerUUID con el FTD UUID usado en el Paso 5. Después de eso, haga clic en el botón Execute.

    Ejecución de ID de objeto GET de conjuntos en líneaEjecución de ID de objeto GET de conjuntos en línea

    Paso 10. Valide el cuerpo Response de la consulta REST-API.

    Conjuntos en línea OBTENER ID de objeto Cuerpo de respuestaConjuntos en línea OBTENER ID de objeto Cuerpo de respuesta

    La interfaz Ethernet1/6 se agrega como primer componente del conjunto en línea, mientras que Ethernet1/5 se agrega como segundo componente. Esto sucede debido a que el ID de interfaz asignado para Ethernet1/6 es alfabéticamente más bajo que Ethernet1/5. Esto valida la lógica que el FMC está tomando para la asignación de interfaz en conjuntos en línea.

    Solución Aternativa

    FXOS asigna el ID de interfaz en el momento de la creación del dispositivo lógico, por lo que las interfaces deben eliminarse en el nivel FXOS y leerse en el orden deseado para que se vuelva a asignar el ID.

    icono de advertencia

    Advertencia: la siguiente solución alternativa solo es aplicable para las series FPR4100 y FPR9300; cualquier otro hardware de Secure Firewall debe volver a crearse. Además, esta solución alternativa interrumpe el tráfico, en este sentido, se recomienda encarecidamente realizar copias de seguridad de FMC, FTD y FXOS, así como un período de mantenimiento planificado.

    Paso 1. Inicie sesión en el FMC y elimine el conjunto de líneas problemático en la siguiente ruta:

    Devices > Device Management > Edit the desired FTD > Inline Sets.

    Eliminación de conjunto en líneaEliminación de conjunto en línea

    Paso 2. Guarde los cambios e impleméntelo.

    Implementación de eliminación de conjuntos en líneaImplementación de eliminación de conjuntos en línea

    Paso 3. Inicie sesión en el dispositivo FCM y navegue hasta Logical Devices y edite el Logical Device que desee.

    Edición de dispositivos lógicosEdición de dispositivos lógicos

    Paso 4. Quite las dos interfaces que pertenecen al conjunto de líneas problemáticas, que son Ethernet1/5 y Ethernet1/6 para este ejemplo, y guarde los cambios.

    Extracción de interfaz de conjunto en líneaExtracción de interfaz de conjunto en línea

    Paso 5. En FMC, navegue hasta Devices > Device Management, edite el FTD que desee y navegue hasta la pestaña Interfaces, haga clic en el botón Sync Device, guarde los cambios e implemente.

    Sincronización de FTD en línea después de la extracciónSincronización de FTD en línea después de la extracción

    Paso 6. Edite de nuevo el dispositivo lógico, vuelva a agregar la primera interfaz (Ethernet1/5) y guarde los cambios.

    Adición de la primera interfaz de conjunto en líneaAdición de la primera interfaz de conjunto en línea

    Paso 7. Haga clic en el Sync Device botón, guarde los cambios e impleméntelo de nuevo.

    Sincronización de FTD después de agregar la primera interfazSincronización de FTD después de agregar la primera interfaz

    Paso 8. Edite de nuevo el dispositivo lógico, añada una vez más la primera interfaz (Ethernet1/6) y guarde los cambios.

    Agregación de Segunda Interfaz de Conjunto en LíneaAgregación de Segunda Interfaz de Conjunto en Línea

    Paso 9. Repita el paso 5 haciendo clic en el Sync Device botón, guardando los cambios y, a continuación, implementando.

    Sincronización de FTD después de agregar la segunda interfazSincronización de FTD después de agregar la segunda interfaz

    Paso 10. Configure las interfaces con los mismos parámetros que antes y vuelva a agregar el conjunto en línea.

    Configuración de conjunto en líneaConfiguración de conjunto en línea

    Esta vez, el orden de la interfaz de conjuntos en línea se muestra de la manera esperada. Guarde los cambios e impleméntelo una última vez.

    icono de nota

    Nota: La sección Ejemplo de Caso de este documento debe ejecutarse una vez más para validar que los ID de interfaces están ahora en el orden correcto.

    Información Relacionada

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    2.0
    13-Feb-2024
    Versión inicial
    1.0
    12-Feb-2024
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Carlos Eduardo Arteaga Portillo
      Cisco Security Technical Consulting Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos