Convertir en contenedor (modo MI) en Firepower 4200 con FTD 7.6
Contenido
Introducción
Este documento describe cómo configurar un contenedor (modo de instancia múltiple) en Firepower serie 4200 firewall con FTD 7.6 y los detalles relacionados.
Prerrequisitos, Plataformas Soportadas, Licencias
Plataformas mínimas de software y hardware
Nota: FDM no admite instancias múltiples en ninguna plataforma.
Licencias
- Las licencias de funciones se asignan manualmente a cada instancia, pero solo se consume una licencia por función por dispositivo de la serie 4200.
- Por ejemplo, para una serie 4200 con 3 instancias de FTD, solo necesita una licencia de URL, independientemente del número de instancias en uso, siempre que esté en el mismo FMC.
- Todas las licencias se consumen por dispositivo de la serie 4200 y no por instancia de contenedor, siempre que estén en el mismo FMC. Por lo tanto, para todas las instancias en los dispositivos de la serie 4200, se recomienda utilizar el mismo FMC debido a la implementación de licencias.
Componentes Utilizados
Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Antecedentes
- El FTD ya admite multiinstancia (MI) en los modelos 3100 (así como en las series 9300 y 4100), pero no admite la serie 4200.
- Los modelos 4200 solo se admiten en modo nativo en FMC.
- No existe ninguna disposición para crear varias instancias en 7.4.x en 4200.
- Multi-Instance (MI) en 3100 fue soportado a partir de 7.4.1.
- Las instancias se pueden crear y gestionar mediante FMC (a diferencia de las series 9300 y 4100, donde se debe utilizar FCM).
- FXOS se puede actualizar, en modo MI, mediante la GUI del chasis de actualización de FMC.
- La conversión al modo MI se realiza a través de una CLI.
¿Cuáles son las novedades?
- Tiene la capacidad de aprovisionar y administrar instancias de MI en la serie 4200.
- FMC - Solución de gestión única para instancias de FTD y 4200 Series (modo MI)
- Permitir la conversión única y masiva de dispositivos nativos al modo MI en FMC para dispositivos de las series 3100 y 4200.
- Mercado objetivo: Grandes/grandes empresas - Perímetro de Internet, Data Center
Plataformas compatibles con varias instancias de FTD
Diferencias entre las series 3100 y 4200
- 4200 tiene dos interfaces de gestión, lo que permite utilizar una para la gestión y la otra para los eventos.
- Las interfaces Management1/1 y Management1/2 se ejecutan automáticamente en todas las instancias del contenedor FTD.
- Se pueden utilizar una o ambas interfaces de administración en el modo MI.
- Gestión1/1 tanto para Gestión como para Eventos, o
- Management1/1 podría utilizarse para la gestión y Management1/2 para los eventos, en cuyo caso:
- Las rutas estáticas deben definirse para rutear el tráfico usando la interfaz de administración 1/2.
- Debido al mayor tamaño, se pueden crear más instancias en el 4200 que en el 3100.
Implementaciones admitidas
- Gestión de la serie 4200 (modo MI) con instancias de FTD independientes
- Gestión de la serie 4200 (modo MI) con instancias de FTD de HA*
Nota: Para la serie FPR4100, en el caso de FTD-HA, los nodos primarios y secundarios deben estar en dos dispositivos diferentes de la serie 4200 (modo MI). Además, MI Clustering no se soporta en esta versión.
Descripción de características y tutorial
Cambios en la configuración de instancias múltiples en 7.6.0:
- Compatibilidad con la serie 4200 en modo MI
- Cambios en FMC, que también pertenecen a la gestión del modo MI de la serie 3100:
- Conversión del dispositivo del modo nativo al modo MI en FMC
- Readiness Verifica si el dispositivo se puede convertir al modo MI
- Registro automático de la instancia de FTD en FMC después de la conversión
Especificaciones de instancia de la serie 4200
Compatibilidad con instancias máximas
La densidad de instancias depende de dos factores principales:
1. La cantidad de núcleos de CPU y la cantidad de espacio en disco en una plataforma determinada
2. ¿Cuántos de estos recursos están disponibles para su provisión a las instancias? El tamaño de instancia más pequeño requiere 3 núcleos de CPU física (6 lógicos) y 48 GB de espacio en disco.
Tamaños de instancia de FTD
Asignaciones de núcleo de Snort de Lina (plano de datos)
| 4215 |
4225 |
4245 |
||||
| Tamaño de instancia |
Núcleos de plano de datos |
Núcleos Snort |
Núcleos de plano de datos |
Núcleos Snort |
Núcleos de plano de datos |
Núcleos Snort |
| 6 |
2 |
2 |
2 |
2 |
2 |
2 |
| 8 |
2 |
4 |
2 |
4 |
2 |
4 |
| 10 |
4 |
4 |
4 |
4 |
4 |
4 |
| 12 |
4 |
6 |
4 |
6 |
4 |
6 |
| 14 |
6 |
8 |
6 |
6 |
6 |
6 |
| 16 |
6 |
8 |
6 |
6 |
8 |
8 |
| 18 |
8 |
10 |
8 |
8 |
8 |
10 |
| 20 |
8 |
10 |
8 |
8 |
10 |
10 |
| 22 |
10 |
12 |
10 |
10 |
10 |
12 |
| 24 |
12 |
12 |
10 |
10 |
10 |
12 |
| 26 |
12 |
14 |
12 |
12 |
12 |
12 |
| 28 |
14 |
14 |
12 |
14 |
12 |
14 |
| 30 |
14 |
16 |
14 |
14 |
14 |
14 |
| 32 |
14 |
16 |
14 |
16 |
14 |
16 |
| 34 |
16 |
16 |
16 |
16 |
16 |
16 |
| 36 |
16 |
18 |
16 |
18 |
16 |
18 |
| 38 |
18 |
18 |
18 |
18 |
18 |
18 |
| 40 |
18 |
20 |
18 |
20 |
18 |
20 |
| 42 |
20 |
20 |
20 |
20 |
20 |
20 |
| 44 |
20 |
22 |
20 |
22 |
20 |
22 |
| 46 |
22 |
22 |
22 |
22 |
22 |
22 |
| 48 |
22 |
24 |
22 |
24 |
22 |
24 |
| 50 |
24 |
24 |
24 |
24 |
24 |
24 |
| 52 |
24 |
26 |
24 |
26 |
24 |
26 |
| 54 |
26 |
26 |
26 |
26 |
24 |
26 |
| 56 |
26 |
28 |
26 |
28 |
26 |
28 |
| 58 |
28 |
28 |
28 |
28 |
28 |
28 |
| 60 |
28 |
30 |
28 |
39 |
28 |
30 |
| 62 |
30 |
30 |
30 |
30 |
30 |
30 |
| 64 |
30 |
32 |
30 |
32 |
||
| 66 |
30 |
34 |
30 |
34 |
||
| 68 |
32 |
34 |
32 |
34 |
||
| 70 |
32 |
36 |
32 |
36 |
||
| 72 |
34 |
36 |
34 |
36 |
||
| 74 |
34 |
38 |
34 |
38 |
||
| 76 |
36 |
38 |
36 |
38 |
||
| 78 |
36 |
40 |
36 |
40 |
||
| 80 |
38 |
40 |
38 |
40 |
||
| 82 |
38 |
42 |
38 |
42 |
||
| 84 |
40 |
42 |
40 |
42 |
||
| 86 |
40 |
44 |
40 |
44 |
||
| 88 |
42 |
44 |
42 |
44 |
||
| 90 |
42 |
46 |
42 |
46 |
||
| 92 |
44 |
46 |
44 |
46 |
||
| 94 |
44 |
48 |
44 |
48 |
||
| 96 |
46 |
48 |
46 |
48 |
||
| 98 |
46 |
50 |
46 |
50 |
||
| 100 |
48 |
50 |
48 |
50 |
||
| 102 |
48 |
52 |
48 |
52 |
||
| 104 |
50 |
52 |
50 |
52 |
||
| 106 |
50 |
54 |
50 |
54 |
||
| 108 |
52 |
54 |
52 |
54 |
||
| 110 |
52 |
56 |
52 |
56 |
||
| 112 |
54 |
56 |
54 |
56 |
||
| 114 |
54 |
58 |
54 |
58 |
||
| 116 |
56 |
58 |
56 |
58 |
||
| 118 |
56 |
60 |
56 |
60 |
||
| 120 |
58 |
60 |
58 |
60 |
||
| 122 |
58 |
62 |
58 |
62 |
||
| 124 |
60 |
62 |
60 |
62 |
||
| 128 |
60 |
64 |
||||
| 130 |
60 |
66 |
||||
| 132 |
62 |
66 |
||||
| 134 |
62 |
68 |
||||
| 136 |
64 |
68 |
||||
| 138 |
64 |
70 |
||||
| 140 |
66 |
70 |
||||
| 142 |
66 |
72 |
||||
| 144 |
68 |
72 |
||||
| 146 |
68 |
74 |
||||
| 148 |
70 |
74 |
||||
| 150 |
70 |
76 |
||||
| 152 |
72 |
76 |
||||
| 154 |
72 |
78 |
||||
| 156 |
74 |
78 |
||||
| 158 |
74 |
80 |
||||
| 254 |
120 |
130 |
Configurar
Descripción general de la configuración
- Registre el dispositivo serie 4200 (modo nativo) en FMC.
- ¡Nuevo! En FMC, seleccione y convierta el dispositivo del modo nativo al modo MI.
- ¡Nuevo! El chasis MI se registra automáticamente en FMC después de la conversión.
- Actualizar interfaces físicas.
- Crear instancias de FTD y asignar interfaces.
- Crear/actualizar/eliminar canal de puerto y subinterfaces de FMC.
- Configure los parámetros de la plataforma.
- Implementar cambios de configuración en el dispositivo.
- Las instancias de FTD se registran automáticamente en FMC.
Conversión de la serie 4200 al modo multiinstancia en FMC
De forma predeterminada, los 4200 están en modo nativo. Para convertir la serie 4200 al modo multiinstancia en FMC:
- Conéctese al dispositivo y cree un administrador (ya documentado).
- Registre el dispositivo nativo en el FMC (ya documentado).
- Convertir en multiinstancia mediante FMC.
- En FMC, seleccione los dispositivos que deben convertirse a multiinstancia y active la conversión. Se puede seleccionar uno o más dispositivos.
Nota: El cambio entre el modo nativo y el modo MI restablece TODA la configuración en el chasis. La conversión del modo MI al modo nativo todavía se realiza a través de CLI.
Conversión de un único dispositivo
1. Para iniciar la conversión, navegue hasta Dispositivos > Administración de dispositivos.
2. Valide el dispositivo seleccionado y haga clic en Continuar:
validar los dispositivos seleccionados
- Comprobación de la preparación y conversión inicial:
comprobación de preparación
Conversión de más de un dispositivo (conversión masiva)
- Seleccionar dispositivos:
- Confirmar selección:
- Comprobación de preparación e inicio de la conversión:
Supervisión del progreso y finalización de UP
- Notificación de inicio de conversión:
- Registro automático del chasis:
- Notificación posterior a la conversión:
Página de administración de dispositivos resultante que enumera los dispositivos de la serie 4200 (modo MI):
Página de descripción general del chasis FMC
Descripción general de la página Descripción general del chasis FMC
La página de descripción general del chasis FMC ofrece un resumen completo del dispositivo serie 4200 (modo MI). Incluye:
- Vista del panel posterior ilustrada del dispositivo, incluidos los módulos de red disponibles.
- Resumen de fallos, con su importancia.
- Resumen de la interfaz, estado.
- Resumen de instancia de FTD, estado.
- Estadísticas de hardware: incluidos el ventilador, la fuente de alimentación, la memoria, el uso de la CPU y el almacenamiento.
Haga clic en Manage para navegar hasta Chassis Overview:
Ficha Resumen de la página Chasis:
Secciones de la pestaña Resumen de página de chasis
La ficha Resumen contiene secciones. Haga clic para obtener más información:
- Plano posterior
- Fallos
- Interfaces
- Instancias
- Estadísticas de hardware
Las secciones se asignan por número, como se muestra en esta imagen:
1. Vista de plano posterior:
2. Sección de fallos:
3. Sección Interfaces:
4. Sección Instancias:
La transición de instancias de offline a online se muestra en la imagen anterior.
- Una vez suministrado (1)
- La instancia está desconectada hasta que se conecta (2)
- También se reflejan los estados intermedios (3)
5. Estadísticas de hardware:
Administrar interfaces
Operaciones admitidas desde la ficha Interfaces:
- Actualización de la interfaz física.
- Crear/actualizar/eliminar subinterfaces.
- Crear/actualizar/eliminar interfaces EtherChannel.
- Sincronizar configuraciones de interfaz.
- OIR del módulo de red.
- Interrumpir/unir la interfaz física.
Resumen de la ficha Interfaces
La página de inicio de la ficha Interfaces muestra todos los tipos de interfaces que se administran para un chasis, como interfaces físicas, subinterfaces y subinterfaces EtherChannel y EtherChannel.
Modificación de Configuraciones de Interfaz Física
Estos atributos de una interfaz física se pueden actualizar:
- Estado (activado/desactivado)
- Tipo de puerto (datos) | Datos compartidos)
- Dúplex administrativo
- Velocidad del administrador
- Negociación automática
Administrar subinterfaz
Elija la opción de subinterfaz del botón Add para agregar una nueva interfaz.
Estos atributos de una subinterfaz se pueden modificar:
- Interfaz principal
- Tipo de puerto (datos/datos compartidos)
- ID de subinterfaz
- ID DE VLAN
Administrar EtherChannel
Para crear una nueva interfaz EtherChannel, utilice la "interfaz EtherChannel" debajo del botón Add.
Los atributos que se pueden configurar para un EtherChannel son:
- ID de EtherChannel
- Tipo de puerto (datos/datos compartidos)
- Interfaces de miembros
- Velocidad del administrador
- Dúplex administrativo
- Modo LACP
- Velocidad de LACP
- Negociación automática
Sincronizar configuraciones de dispositivos
Hay casos en los que la configuración de FMC y la configuración del dispositivo pueden perder la sincronización. Un caso es cuando un usuario quita o inserta un Netmod. El dispositivo de sincronización se puede hacer en estos casos.
Compatibilidad con intercambio en caliente/ruptura de Netmod
"Intercambio en caliente", utilizado en sus documentos, se denomina Inserción y extracción en línea u OIR en otra documentación interna.
Existe una implementación inmediata tras la activación/desactivación del módulo de red o la interrupción o unión de interfaces. El modo de instancia múltiple es igual que la serie 4200 en modo nativo.
FMC compara la respuesta recibida con la configuración actual y, a continuación, crea una notificación de cambio de interfaz para que el usuario la confirme.
4200 Native admite switching y ruptura en caliente de EPM
EPM OIR y Breakout ya son compatibles con el modo independiente nativo Secure Firewall serie 4200 independiente.
Documentación de EPM OIR y FMC de ruptura serie 4200:
OIR: Habilitar/deshabilitar confirmación de EPM
Cuando el usuario activa o desactiva el módulo, se muestra una advertencia para asegurarse de que no se trata de un clic accidental.
Habilitación de EPM completada: Notificación de interfaz recibida
- Al habilitar un EPM, se asocian nuevas interfaces en el dispositivo.
- FMC recibe la notificación sobre las interfaces asociadas.
- En FMC, el usuario debe aceptar los cambios.
Esta captura de pantalla muestra la opción para ver las interfaces asociadas:
Notificación de cambio de interfaz de EPM
La página de lista de interfaces muestra las interfaces que se agregan cuando EPM está habilitado. Haga clic para saber más abre el cuadro de diálogo Cambios de interfaz.
Haga clic para saber más no está disponible después de guardar.
Página Opciones de Interrupción/Unión en Chasis
El asistente de confirmación de interrupción de interfaz se abre al activarse la opción de interrupción.
La notificación de actualización de la interfaz está visible en la página del chasis después de que se confirme la interrupción de la interfaz.
Cambios de interfaz después de Break/Join
Al hacer clic en Aceptar cambios, estas interfaces pasan a estar disponibles en el FMC para su uso:
Impacto de los cambios de interfaz en la instancia
Gestión de Instancias
La gestión de instancias permite:
- Ver todas las instancias de FTD existentes y sus detalles en un dispositivo de la serie 4200 (modo MI).
- Cree/actualice instancias de FTD con el núcleo de CPU y la versión de software deseados.
- Suprimir una instancia de FTD existente.
- Permite al usuario elegir políticas de FTD: política de acceso y política de configuración de la plataforma para la instancia de FTD.
- Registrar automáticamente la instancia de FTD en FMC una vez que esté online.
Crear una instancia
Inicie el asistente haciendo clic en Add Instance.
Paso 1. Acuerdo:
Paso 2.
- Conceptos básicos de configuración de instancias:
- IP de configuración de instancia:
Paso 3. Asignaciones de interfaz:
Paso 4. Administración de dispositivos:
Paso 5. Resumen:
Para completar la configuración, haga clic en Guardar e implementar.
Registro automático de una instancia de FTD después de una implementación correcta:
Instancia registrada en Management Center:
Editar una instancia
Haga clic en el icono del lápiz para editar una instancia de FTD:
Paso 1. Editar instancia de FTD:
Paso 2. Editar asignaciones de interfaz para una instancia:
Paso 3. Resumen de la instancia de edición:
Eliminar instancia
Configuración de SNMP
Vaya a la ficha de configuración del sistema para configurar SNMP:
Importación/exportación de chasis
Exportar configuración
Vaya a Manage Chassis > System Configuration > Import/Export:
Importar configuración
Vaya a Manage Chassis > System Configuration > Import/Export:
Aspectos a saber sobre la importación/exportación de chasis
- Todas las configuraciones existentes en el chasis se sustituyen por la configuración del archivo importado.
- La versión del software de plataforma en la que se importa la configuración debe ser la misma que la versión exportada.
- El chasis al que está importando la configuración debe tener el mismo número de módulos de red instalados cuando se realizó la exportación.
- El chasis en el que se importa la configuración debe tener instalada la misma imagen de aplicación para los dispositivos lógicos.
- No se exportan los valores de configuración específicos de la aplicación. Sólo se exportan las configuraciones de chasis.
- Las copias de seguridad de las instancias de FTD deben realizarse por separado.
Política de configuración de plataforma de chasis
La directiva de configuración de la plataforma del chasis permite a los usuarios configurar estas configuraciones específicas de la plataforma:
- Sincronización horaria (NTP)
- DNS
- Syslog
- Zona horaria
- El usuario puede crear una nueva política de "Configuración de la plataforma del chasis" y asignarla a varios chasis de la serie 4200 (modo MI).
Consejo: La configuración de la plataforma del chasis solo se aplica al chasis. Si el usuario desea aplicar la configuración de la plataforma a sus instancias, puede utilizar una política de configuración de la plataforma Threat Defence.
1. Navegue hasta la política de configuración de plataforma del chasis:
2. Crear configuración de plataforma de chasis:
3. Página de política de configuración de plataforma de chasis:
Configuración de plataforma de chasis: DNS
Habilitar y agregar grupos de servidores DNS en la sección DNS de la directiva de configuración de plataforma de chasis:
Configuración de plataforma de chasis: SSH
- Habilite y agregue el servidor SSH en la sección SSH de la política de configuración de la plataforma del chasis:
- Habilitación y Adición de un Cliente SSH:
Configuración de plataforma de chasis: Lista de acceso SSH
Esta ficha aparece solo después de activar SSH en la sección SSH de la configuración de la plataforma del chasis.
- Crear lista de acceso SSH:
- Agregar objetos de red para la lista de acceso SSH:
- Agregar un nuevo objeto de red:
- Ver objeto(s) de red:
- Seleccionar objeto(s) de red:
- Los objetos de red se pueden crear como también se muestra en esta imagen:
- Ver objetos de red agregados:
Configuración de plataforma de chasis: Sincronización horaria
La sincronización horaria se puede realizar de dos maneras:
- A través de NTP desde el Management Center
- En el servidor NTP personalizado
Desde NTP desde Management Center
En el servidor NTP personalizado
Configuración de plataforma de chasis: Zonas horarias
Establecer zonas horarias:
Configuración de plataforma de chasis: Syslog
- Ficha Destinos locales de Syslog:
- Ficha Destinos remotos de Syslog:
- Ficha Syslog Local Sources:
Configuración de plataforma de chasis: Guardar e implementar
Guarde los cambios en la configuración de la plataforma del chasis e implemente:
Anulación del registro de chasis
Para anular el registro de un chasis de FMC, vaya a Dispositivos > Administración de dispositivos > Eliminar.
Convertir de instancia múltiple a modo nativo
Actualmente, FMC sólo admite la conversión de nativo a multiinstancia. Por consiguiente, para volver a convertir un dispositivo al modo nativo, el usuario debe utilizar la CLI.
Paso 1: Anule el registro del chasis del FMC.
Paso 2: Utilice este comando CLI para convertir el dispositivo de la serie 4200 al modo nativo:
firepower-4215# scope system
firepower-4215 /system # set deploymode native
API de resto FMC
Las API REST públicas de FMC están disponibles para todas las operaciones admitidas por FMC.
API REST para la conversión de nativo a multiinstancia
API POST para verificar si el dispositivo nativo está listo para la conversión de instancias múltiples:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/operational/switchmodereadinesscheck
Ejemplo de solicitud POST JSON:
{
"devices": [
{
"id": "DeviceUUID",
"type": "Device"
}
],
"conversionType": "NATIVE_TO_MULTI_INSTANCE"
}API POST para desencadenar la conversión nativa única a multiinstancia:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/operational/switchmode
Ejemplo de solicitud POST JSON:
{
"items": [
{
"id": "
", "displayName": "Sample_Chassis_Name1" } ], "conversionType": "NATIVE_TO_MULTI_INSTANCE" }
API POST para activar la conversión masiva nativa a multiinstancia:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/operational/switchmode
Ejemplo de solicitud POST JSON:
{
"items": [
{
"id": "
", "displayName": "Sample_Chassis_Name1" }, { "id": "
", "displayName": "Sample_Chassis_Name2" } ], "conversionType": "NATIVE_TO_MULTI_INSTANCE" }
API REST para gestión de chasis
POST Añadir un chasis al centro de gestión:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis
OBTENER todos los chasis:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/
OBTENGA un chasis específico por uuid:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{objectId}
Eliminar un chasis mediante uuid:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{objectId}
Ejemplo de solicitud POST JSON:
{
"type": "FMCManagedChassis",
"chassisName": "CHASSIS123",
"chassisHostName": "192.168.xx.74",
"regKey": "*****"
}API REST para administrar Netmods (módulos de red)
OBTENER un módulo de red mediante uuid:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/network modules/{objectId}
Módulos de red GET ALL:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/network modules/
PUT: edite un módulo de red existente mediante uuid:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/network modules/{objectId}
PUT - Recuperar datos del módulo de red de FXOS y actualizar Management Center:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/operational/syncnetworkmodule
Ejemplo de respuesta GET
{
"metadata": {
"timestamp": 1688670821060,
"domain": {
"name": "Global",
"id": "e276abec-e0f2-11e3-8169-************",
"type": "Domain"
}
},
"links": {
"self": "https://u32c01p10-vrouter.cisco.com:32300/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-************/chassis/fmcmanagedchassis/f0f11b69-4229-4025-b0b9-************/networkmodules/0050568A-3F3F-0ed3-0000-0************"
},
"id": "0050568A-3F3F-0ed3-0000-************",
"moduleState": "ENABLED",
"type": "NetworkModule",
"description": "Cisco FPR 8X1G 8X10G 1RU Module",
"model": "FPR-3120",
"operationState": "ok",
"numOfPorts": 16,
"slotId": "1",
"vendor": "Cisco Systems, Inc.",
"name": "Network Module 1"
}API REST para la gestión de instancias
POST Añadir un chasis al centro de gestión:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/logicaldevices
OBTENER todos los chasis:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/logicaldevices
OBTENER una instancia específica mediante uuid:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/logicaldevices/{objectId}
PUT - Editar una instancia por uuid:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/logicaldevices/{objectId}
Eliminar un chasis mediante uuid:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/logicaldevices/{objectId}
Ejemplo de solicitud PUT:
{
"name": "ftd1",
"operationalState": "string",
"deviceRegistration": {
"licenseCaps": [
"MALWARE",
"URLFilter",
"CARRIER",
"PROTECT"
],
"accessPolicy": {
"name": "AC Policy name",
"id": "
", "type": "AccessPolicy" }, "deviceGroup": { "name": "DeviceGroup name", "id": "
", "type": "DeviceGroup" } }, "managementBootstrap": { "ipv4": { "gateway": "192.168.xx.68", "ip": "192.168.xx.78", "mask": "255.255.255.0" }, "adminState": "enable", "firepowerManagerIP": "192.168.xx.32", "permitExpertMode": "yes", "searchDomain": "string", "firewallMode": "Routed", "dnsServers": "192.168.xx.123", "natId": "natId", "registrationKey": "regKey", "adminPassword": "adminPwd", "fqdn": "fqdn" }, "externalPortLink": [ { "name": "Ethernet1/1", "id": "
", "type": "ChassisInterface" }, { "name": "Ethernet2/2.1", "id": "
", "type": "ChassisInterface" } ], "type": "LogicalDevice" }
API REST para administración SNMP
OBTENER una configuración SNMP por uuid:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/snmpsettings/{objectId}
Configuración de GET ALL SNMP:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/snmpsettings/
PUT: edite un módulo de red existente mediante uuid:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/snmpsettings/{objectId}
Ejemplo de respuesta GET:
{
"snmpAdminInstance": {
"id": "logicalDeviceUuid",
"type": "LogicalDevice",
"name": "ftd3"
},
"id": "snmpsettingsUUID2",
"type": "SnmpSetting"
}API REST para obtener resumen
Esta lista contiene información detallada sobre las API REST para obtener el resumen:
- Fallos
- Instancias
- Inventario
- Interfaces
- Información de aplicación
Resumen de errores GET para un chasis:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/faultsummary
Respuesta de ejemplo:
{
"links": {
"self": "
/api/fmc_config/v1/domain/domainUUID/chassis/fmcmanagedchassis/containerUUID/faultsummary?offset=0&limit=25&expanded=true" }, "items": [ { "faultList": [ { "id": 27429, "isAcknowledged": "no", "cause": "device-registration-pending", "gateway": "3::1", "ip": "3::2", "prefixLength": "33" } ], "managementPort": "Management1", "operationalState": "online", "adminState": "enabled", "deployType": "container" } ], "modifiedTime": "2022-07-05T06:39:25Z", "type": "InstanceSummary" ], "paging": { "offset": 0, "limit": 25, "count": 1, "pages": 1 } }
Resumen de instancias GET para un chasis:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/instancessummary
Respuesta de ejemplo:
{
"links": {
"self": "
/api/fmc_config/v1/domain/domainUUID/chassis/fmcmanagedchassis/containerUUID/instancesummary?offset=0&limit=25&expanded=true" }, "items": [ { "instanceList": [ { "name": "ftdmi2", "startupVersion": "7.3.0.1402", "coresUsed": 6, "ipv4": { "gateway": "192.168.xx.68", "ip": "192.168.xx.78", "mask": "255.255.255.0" }, "ipv6": { "gateway": "3::1", "ip": "3::2", "prefixLength": "33" }, "managementPort": "Management1", "operationalState": "online", "adminState": "enabled", "deployType": "container" } ], "modifiedTime": "2022-07-05T06:39:25Z", "type": "InstanceSummary" } ], "paging": { "offset": 0, "limit": 25, "count": 1, "pages": 1 } }
Resumen de inventario GET para un chasis:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/invententorysummary
Respuesta de ejemplo:
{
"links": {
"self": "
/api/fmc_config/v1/domain/domainUUID/chassis/fmcmanagedchassis/containerUUID/inventorysummary?offset=0&limit=25&expanded=true" }, "items": [ { "fanList": [ { "operationalState": "operable", "operability": "operable", "power": "on", "thermalStatus": "ok", "module": 1, "tray": 1, "id": 1, "model": "N/A", "vendor": "N/A" }, { "operationalState": "operable", "operability": "operable", "power": "on", "thermalStatus": "ok", "module": 1, "tray": 1, "id": 2, "model": "N/A", "vendor": "N/A" } ], "powerSupplyList": [ { "id": 2, "operationalState": "operable", "operability": "operable", "serialNumber": "***********", "thermalStatus": "ok", "model": "FPR2K-PWR-AC-400", "vendor": "Cisco Systems, Inc" } ], "processorList": [ { "id": 1, "operationalState": "operable", "operability": "operable", "vendor": "AuthenticAMD", "model": "49 AMD EPYC 7282 16-Core Processor", "type": "CPU", "thermalStatus": "ok" } ], "securityModuleList": [ { "id": 1, "operationalState": "ok", "operability": "operable", "serialNumber": "***********", "vendor": "Cisco Systems, Inc", "model": "FPR-3120", "availableCores": 24, "totalCores": 32 } ], "memoryList": [ { "capacity": 65536, "id": 1, "array": 1, "bank": 0, "model": "HMAA8GR7AJR4N-XN", "operationalState": "operable", "operability": "operable", "performance": "ok", "power": "not-supported", "serialNumber": "********", "thermalStatus": "ok", "vendor": "Hynix" } ], "model": "FPR-3120", "availableCores": 24, "totalCores": 32 } ], "paging": { "offset": 0, "limit": 25, "count": 1, "pages": 1 } }
GET Interface Summary para un chasis:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/interfacessummary
Respuesta de ejemplo:
{
"links": {
"self": "
/api/fmc_config/v1/domain/domainUUID/chassis/fmcmanagedchassis/containerUUID/interfacesummary?offset=0&limit=25" }, "items": [ { "interfaceList": [ { "name": "Ethernet1/8", "operationalState": "up", "adminState": "disabled", "portType": "data", "operationalSpeed": "10mbps", "adminSpeed": "1gbps", "adminDuplex": "fullDuplex", "autoNegotiation": "yes", "mediaType": "rj45", "type": "PhysicalInterface" }, { "name": "Ethernet1/7", "operationalState": "up", "adminState": "disabled", "portType": "data", "operationalSpeed": "1gbps", "adminSpeed": "1gbps", "adminDuplex": "fullDuplex", "autoNegotiation": "yes", "mediaType": "rj45", "type": "PhysicalInterface" }, { "name": "Ethernet1/6", "operationalState": "up", "adminState": "disabled", "portType": "data", "operationalSpeed": "1gbps", "adminSpeed": "1gbps", "adminDuplex": "fullDuplex", "autoNegotiation": "yes", "mediaType": "rj45", "type": "PhysicalInterface" }, { "name": "Ethernet1/3", "operationalState": "up", "adminState": "disabled", "portType": "data", "operationalSpeed": "1gbps", "adminSpeed": "1gbps", "adminDuplex": "fullDuplex", "autoNegotiation": "yes", "mediaType": "rj45", "type": "PhysicalInterface" }, { "name": "Ethernet1/2", "operationalState": "up", "adminState": "enabled", "portType": "data", "operationalSpeed": "1gbps", "adminSpeed": "1gbps", "adminDuplex": "fullDuplex", "autoNegotiation": "yes", "mediaType": "rj45", "type": "PhysicalInterface" }, { "name": "Ethernet1/1", "operationalState": "up", "adminState": "enabled", "portType": "data", "operationalSpeed": "1gbps", "adminSpeed": "1gbps", "adminDuplex": "fullDuplex", "autoNegotiation": "yes", "mediaType": "rj45", "type": "PhysicalInterface" }, { "name": "Port-channel48", "operationalState": "up", "adminState": "enabled", "portType": "data", "operationalSpeed": "1gbps", "adminSpeed": "1gbps", "adminDuplex": "fullDuplex", "autoNegotiation": "yes", "mediaType": "rj45", "type": "EtherChannelInterface" } ], "modifiedTime": "2022-07-05T06:39:25Z", "type": "InterfaceSummary" } ], "paging": { "offset": 0, "limit": 25, "count": 1, "pages": 1 } }
Información de la aplicación GET para un chasis:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID} /invententorysummary
Respuesta de ejemplo:
{
"links": {
"self": "
/api/fmc_config/v1/domain/domainUUID/chassis/fmcmanagedchassis/containerUUID/appinfo?offset=0&limit=25&expanded=true" }, "items": [ { "appVersion": "7.4.0.1024", "type": "AppInfo" }, { "appVersion": "7.4.0.1075", "type": "AppInfo" } ], "paging": { "offset": 0, "limit": 25, "count": 1, "pages": 1 } }
API REST para administración de interfaces
Esta sección contiene información detallada sobre las API REST para la administración de la configuración de la interfaz:
- URL que se utilizarán para las modificaciones de la configuración de la interfaz
- URL que se utilizarán para la interrupción/unión de interfaces
- URL que se utilizarán para las configuraciones del dispositivo de sincronización
Actualizar interfaz física
Para permitir la actualización de las interfaces físicas, se han introducido estas URL.
OBTENGA todas las interfaces físicas:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/physical interfaces
OBTENER una interfaz física específica por uuid de interfaz:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/physical interface s/{interfaceUUID}
Actualizar interfaz por uuid de interfaz:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/physical interface s/{interfaceUUID}
El modelo de interfaz física tiene el siguiente aspecto:
{
"metadata": {
"supportedSpeed": "TEN_GBPS,ONE_GBPS,TWENTY_FIVE_GBPS,DETECT_SFP",
"mediaType": "sfp",
"sfpType": "none",
"isBreakoutCapable": false,
"isSplitInterface": false,
"timestamp": 1692344434067,
"domain": {
"name": "Global",
"id": "e276abec-e0f2-11e3-8169-**********",
"type": "Domain"
}
},
"type": "PhysicalInterface",
"name": "Ethernet2/2",
"portType": "DATA",
"adminState": "DISABLED",
"hardware": {
"flowControlSend": "OFF",
"fecMode": "AUTO",
"autoNegState": true,
"speed": "DETECT_SFP",
"duplex": "FULL"
},
"LLDP": {
"transmit": false,
"receive": false
},
"id": "*************************************"
}Configuración de subinterfaces
Para permitir la gestión de subinterfaces, se han introducido estas URL.
OBTENER todas las subinterfaces:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/subinterfaces
OBTENER una subinterfaz específica por uuid de interfaz:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/subinterfaces/{interfaceUUID}
PUBLICAR una nueva subinterfaz:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/subinterfaces
Interfaz UUID de ACTUALIZACIÓN por interfaz:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/subinterfaces/{interfaceUUID}
ELIMINAR una subinterfaz por uuid de interfaz:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/subinterfaces/{interfaceUUID}
El modelo de subinterfaz tiene este aspecto:
{
"metadata": {
"isBreakoutCapable": false,
"isSplitInterface": false,
"timestamp": 1692536476265,
"domain": {
"name": "Global",
"id": "e276abec-e0f2-11e3-8169-**********",
"type": "Domain"
}
},
"type": "SubInterface",
"name": "Ethernet1/3.3",
"portType": "DATA",
"subIntfId": 3,
"parentInterface": {
"type": "PhysicalInterface",
"id": "00505686-9A51-0ed3-0000-**********",
"name": "Ethernet1/3"
},
"vlanId": 3,
"id": "*************************************"
}Configuración de interfaces EtherChannel
Para permitir la administración de las interfaces EtherChannel de EtherChannel, se han introducido estas URL.
OBTENGA todas las interfaces EtherChannel:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/etherchannelinterfaces/{interfaceUUID}
OBTENGA una interfaz etherchannel específica por uuid de interfaz:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/etherchannelinterfaces/{interfaceUUID}
PUBLIQUE una nueva interfaz EtherChannel:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/etherchannelinterfaces
Interfaz UUID de ACTUALIZACIÓN por interfaz:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/etherchannelinterfaces/{interfaceUUID}
DELETE a etherchannel interface by interface uuid:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/etherchannelinterfaces/{interfaceUUID}
El modelo de interfaz EtherChannel tiene este aspecto:
{
"metadata": {
"supportedSpeed": "HUNDRED_MBPS,TEN_MBPS,ONE_GBPS",
"timestamp": 1692536640172,
"domain": {
"name": "Global",
"id": "e276abec-e0f2-11e3-8169-**********",
"type": "Domain"
}
},
"type": "EtherChannelInterface",
"name": "Port-channel45",
"portType": "DATA",
"etherChannelId": 45,
"selectedInterfaces": [
{
"type": "PhysicalInterface",
"id": "00505686-9A51-0ed3-0000-**********",
"name": "Ethernet1/4"
},
{
"type": "PhysicalInterface",
"id": "00505686-9A51-0ed3-0000-**********",
"name": "Ethernet1/5"
}
],
"lacpMode": "ON",
"lacpRate": "FAST",
"adminState": "DISABLED",
"hardware": {
"flowControlSend": "OFF",
"autoNegState": true,
"speed": "ONE_GBPS",
"duplex": "FULL"
},
"LLDP": {
"transmit": true,
"receive": true
},
"id": "00505686-9A51-0ed3-0000-**********"
}Interfaces Break/Join de API REST
Para admitir la ruptura/unión de interfaces en la serie 4200, se pueden utilizar estas URL:
GET:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/chassisinterfaces/{interfaceUUID}/evaluateoperation
Evalúa la viabilidad de la interrupción/unión para una interfaz
POST:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/operational/breakoutinterfaces
Interrumpe una interfaz
POST:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/operational/joininterfaces
Se une a un conjunto de interfaces rotas
Flujo REST para interrupción de interfaz
1. Busque el dispositivo de chasis administrado FMC (4200) mediante el terminal de chasis administrado FMC.
GET /api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis
Devuelve la lista de dispositivos de chasis gestionados por FMC junto con los dispositivos de instancia múltiple con los detalles como ID, nombre y modelo de cada dispositivo. Elija los dispositivos "MULTIINSTANCE".
Respuesta de ejemplo:
{
"id": "fcaa9ca4-85e5-4bb0-b049-**********",
"type": "FMCManagedChassis",
"chassisName": "192.168.0.75",
"chassisMode": "MULTIINSTANCE",
"links": {
"self": "https://u32c01p06-vrouter.cisco.com:22512/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-**********/chassis/fmcmanagedchassis/fcaa9ca4-85e5-4bb0-b049-**********"
}
}2. Verifique si la interfaz es capaz de ruptura mediante interfaces/interfaces físicas de punto final.
La separación sólo es posible si "isBreakoutCapable" es true y mediaType es QSFP.
GET /api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/interfaces
Respuesta de ejemplo:
{
"metadata": {
"supportedSpeed": "FORTY_GBPS,DETECT_SFP", >>>>>>>>>
"mediaType": "qsfp", >>>>>>>>>
"sfpType": "none",
"isBreakoutCapable": true, >>>>>>>>>
"breakoutFactor": "4", >>>>>>>>>
"isSplitInterface": false,
"timestamp": 1692344434067,
"domain": {
"name": "Global",
"id": "e276abec-e0f2-11e3-8169-**********",
"type": "Domain"
}
},
"type": "PhysicalInterface",
"name": "Ethernet2/4",
"portType": "DATA",
"adminState": "DISABLED",
"hardware": {
"flowControlSend": "OFF",
"fecMode": "AUTO",
"autoNegState": true,
"speed": "DETECT_SFP",
"duplex": "FULL"
},
"LLDP": {
"transmit": false,
"receive": false
},
"id": "00505686-9A51-0ed3-0000-**********"
}3. En la interfaz, evaluar la viabilidad de la operación de interrupción utilizando evaluateoperation endpoint.
GET /api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/chassisinterfaces/{interfaceUUID}/evaluateoperation
Si no hay advertencias/errores en la respuesta, el usuario puede realizar una operación de interrupción.
Respuesta de ejemplo:
Si hay errores en la respuesta, el usuario no puede realizar la operación de interrupción:
{
"operationType": "BREAKOUT",
"interfaceUsages": [
{
"conflictType": "Interface usage on instance(s)",
"severity": "ERROR", >>>>>>>>>
"description": "Interface Ethernet2/4 can not be split. Remove it from instances [FTD1] and try again.\n"
}
],
"readinessState": "NOT_READY", >>>>>>>>>
"links": {
"self": "https://u32c01p06-vrouter.cisco.com:22542/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-**********/chassis/fmcmanagedchassis/19d967e6-ef81-4f2e-b311-**********/chassisinterfaces/00505686-662F-0ed3-0000-004294969274/evaluateoperation/00505686-662F-0ed3-0000-**********"
},
"type": "ChassisInterface",
"id": "00505686-662F-0ed3-0000-**********"
}4. Si la interfaz es capaz de ruptura, y el estado de preparación es "READY", rompa la interfaz usando breakoutinterfaces punto final.
POST /api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/operational/breakoutinterfaces
Solicitud:
{
"targetInterfaces": [
{
"id": "***************ed3-0000-004294969276",
"metadata": {
"type": "PhysicalInterface"
}
}
],
"type": "BreakoutInterface"
}Respuesta:
{
"id": "4294969716",
"type": "TaskStatus",
"links": {
"self": "https://u32c01p06-vrouter.cisco.com:22542/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-**********/job/taskstatuses/4294969716"
},
"taskType": "DEVICE_DEPLOYMENT",
"message": "Deployment status for ************************************: SUCCEEDED",
"status": "Interface notification received"
}5. Realice un seguimiento de la finalización de la tarea utilizando el identificador de tarea en respuesta a interrupciones. Establezca el estado de la tarea en "Notificación de interfaz recibida".
GET /api/fmc_config/v1/domain/{domainUUID}/job/taskstatuses/{objectId}
{
"metadata": {
"task": {
"id": "4294969699",
"links": {
"self": "https://u32c01p06-vrouter.cisco.com:22542/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-**********/job/taskstatuses/4294969699"
}
}
},
"targetInterfaces": [
{
"id": "00505686-662F-0ed3-0000-**********",
"type": "PhysicalInterface"
}
],
"type": "BreakoutInterface"
}
{
"id": "4294969716",
"type": "TaskStatus",
"links": {
"self": "https://u32c01p06-vrouter.cisco.com:22542/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-**********/job/taskstatuses/4294969716"
},
"taskType": "DEVICE_DEPLOYMENT",
"message": "Deployment status for ************************************: SUCCEEDED",
"status": "Interface notification received"
}6. Obtener los cambios de las interfaces mediante chassisinterfaceevents endpoint.
GET /api/fmc_config/v1/domain/{domainUUID}/chassis/ fmcmanagedchassis/{containerUUID}/chassisinterfaceevents
Respuesta de ejemplo:
[
{
"change": "Interface is deleted",
"type": "PhysicalInterface",
"state": "DISASSOCIATED",
"name": "Ethernet2/3"
},
{
"change": "Interface is associated",
"type": "PhysicalInterface",
"state": "ASSOCIATED",
"name": "Ethernet2/3/2"
},
{
"change": "Interface is associated",
"type": "PhysicalInterface",
"state": "ASSOCIATED",
"name": "Ethernet2/3/3"
},
{
"change": "Interface is associated",
"type": "PhysicalInterface",
"state": "ASSOCIATED",
"name": "Ethernet2/3/4"
}
]7. Si no se recibe la notificación de la interfaz, realice la sincronización del dispositivo mediante el punto final de chassisinterfaceevents y compruebe que hay cambios pendientes.
POST /api/fmc_config/v1/domain/{domainUUID}/devices/devicerecords/{containerUUID}/ chassisinterfaceevents
Solicitud:
{
"action": "SYNC_WITH_DEVICE"
}Respuesta:
{
"action": "SYNC_WITH_DEVICE",
"hasPendingChanges": true
}8. Una vez recibida la notificación, acepte los cambios mediante el punto final de chassisinterfaceevents.
POST /api/fmc_config/v1/domain/{domainUUID}/devices/devicerecords/{containerUUID}/ chassisinterfaceevents
Solicitud:
{
"action":"ACCEPT_CHANGES"
}
9. Obtener todas las interfaces del chasis y encontrar las interfaces divididas (rotas) utilizando interfaces de punto final.
GET /api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/interfaces
Una interfaz de 40G, por ejemplo eth2/2, se divide en interfaces 4x10G: eth2/2/1, eth2/2/2, eth2/2/3 y eth2/2/4
Flujo REST para unión de interfaz
1. Verifique si la interfaz está dañada utilizando interfaces/interfaces físicas de punto final.
La operación de unión sólo es posible si "isSplitInterface" es true y mediaType es SFP
GET /api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/interfaces
{
"metadata": {
"supportedSpeed": "TEN_GBPS,DETECT_SFP",
"mediaType": "sfp",
"sfpType": "none",
"isBreakoutCapable": false,
"breakoutFactor": "4",
"isSplitInterface": true,
"timestamp": 1692541554935,
"domain": {
"name": "Global",
"id": "e276abec-e0f2-11e3-8169-**********",
"type": "Domain"
}
},
"type": "PhysicalInterface",
"name": "Ethernet2/3/4",
"portType": "DATA",
"adminState": "DISABLED",
"LLDP": {
"transmit": false,
"receive": false
},
"hardware": {
"flowControlSend": "OFF",
"speed": "DETECT_SFP",
"duplex": "FULL",
"fecMode": "AUTO",
"autoNegState": true
},
"id": "00505686-662F-0ed3-0001-**********"
}2. Evalúe la viabilidad de la operación Join utilizando evaluateoperation endpoint en una de las cuatro interfaces divididas.
GET /api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/ch assisinterfaces/{interfaceUUID}/evaluateoperation
- Si no hay advertencias/errores en la respuesta, el usuario puede realizar la operación de combinación.
{
"operationType": "JOIN",
"readinessState": "READY",
"links": {
"self": "https://u32c01p06-vrouter.cisco.com:22542/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-**********/chassis/fmcmanagedchassis/19d967e6-ef81-4f2e-b311-**********/chassisinterfaces/00505686-662F-0ed3-0001-**********/evaluateoperation/00505686-662F-0ed3-0001-**********"
},
"type": "ChassisInterface",
"id": "00505686-662F-0ed*******************"
}- Si hay errores en la respuesta, el usuario no puede realizar la operación de unión.
{
"operationType": "JOIN",
"interfaceUsages": [
{
"conflictType": "Interface used in EtherChannel Configuration",
"severity": "ERROR",
"description": "Interface (Ethernet2/3/4) referred to in Ether Channel Interface (Port-channel32) configurations will be impacted due to the JOIN operation."
}
],
"readinessState": "NOT_READY",
"links": {
"self": "https://u32c01p06-vrouter.cisco.com:22542/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-*********/chassis/fmcmanagedchassis/19d967e6-ef81-4f2e-b311-********/chassisinterfaces/00505686-662F-0ed3-0001-692539698200/evaluateoperation/00505686-662F-0ed3-0001-***********"
},
"type": "ChassisInterface",
"id": "00505686-662F-0ed*******************"
}3. Si la interfaz está rota y el estado de preparación es "READY", únase a la interfaz mediante el punto final de joininterfaces. Interface_uuid puede ser el id de cualquiera de las 4 interfaces rotas.
POST/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/operational/joininterfaces
Solicitud:
{
"targetInterfaces": [
{
"id": "***************ed3-0001-692539698200",
"type": "PhysicalInterface"
}
],
"type": "JoinInterface"
}Respuesta:
{
"metadata": {
"task": {
"id": "4294970217",
"links": {
"self": "
/api/fmc_config/v1/domain/e27"***************-8169-6d9ed49b625f/job/taskstatuses/4294970217" } } }, "targetInterfaces": [ { "id": "***************ed3-0001-692539698200", "type": "PhysicalInterface" }, { "id": "***************ed3-0001-692539698201", "type": "PhysicalInterface" }, { "id": "***************ed3-0001-692539698202", "type": "PhysicalInterface" }, { "id": "***************ed3-0001-692539698203", "type": "PhysicalInterface" } ], "type": "JoinInterface" }
4. Realice un seguimiento de la finalización de la tarea utilizando el identificador de tarea en la respuesta de unión. Establezca el estado de la tarea en "Notificación de interfaz recibida".
GET /api/fmc_config/v1/domain/{domainUUID}/job/taskstatuses/{objectId}
Respuesta:
{
"id": "4294970237",
"type": "TaskStatus",
"links": {
"self": "https://u32c01p06-vrouter.cisco.com:22542/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-6d9ed49b625f/job/taskstatuses/4294970237"
},
"taskType": "SSP_EPM_OIR",
"message": "Deployment status for 19d967e6-xxxx-xxxx-xxxx-85ff6cef6d3f: SUCCEEDED",
"status": "Interface notification received"
}5. Obtener los cambios de las interfaces mediante chassisinterfaceevents endpoint.
GET /api/fmc_config/v1/domain/{domainUUID}/devices/devicerecords/{containerUUID}/chassisinterfaceevents
Respuesta:
[
{
"change": "Interface is associated",
"type": "PhysicalInterface",
"state": "ASSOCIATED",
"name": "Ethernet2/3"
},
{
"change": "Interface is deleted",
"type": "PhysicalInterface",
"state": "DISASSOCIATED",
"name": "Ethernet2/3/1"
},
{
"change": "Interface is deleted",
"type": "PhysicalInterface",
"state": "DISASSOCIATED",
"name": "Ethernet2/3/2"
},
{
"change": "Interface is deleted",
"type": "PhysicalInterface",
"state": "DISASSOCIATED",
"name": "Ethernet2/3/3"
},
{
"change": "Interface is deleted",
"type": "PhysicalInterface",
"state": "DISASSOCIATED",
"name": "Ethernet2/3/4"
}
]6. Si no se recibe la notificación de la interfaz, realice la sincronización del dispositivo mediante el punto final de chassisinterfaceevents y compruebe que hay cambios pendientes.
POST /api/fmc_config/v1/domain/{domainUUID}/devices/devicerecords/{containerUUID}/chassisinterfaceevents
Solicitud:
{
"action":"SYNC_WITH_DEVICE"
}
Respuesta:
{
"action":"SYNC_WITH_DEVICE",
"hasPendingChanges":true
}
7. Una vez recibida la notificación, acepte los cambios mediante el punto final de chassisinterfaceevents.
POST /api/fmc_config/v1/domain/{domainUUID}/devices/devicerecords/{containerUUID}/chassisinterface events
Solicitud:
{
"action":"ACCEPT_CHANGES"
}
8. Obtener todas las interfaces del chasis y encontrar las interfaces unidas, así como las otras interfaces mediante interfaces de terminal.
GET /api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/interfaces
Say Join se inició en la interfaz 10G, por ejemplo eth2/2/1; luego, una interfaz eth2/2 de 40G está disponible en la respuesta.
API REST de dispositivo de sincronización
Para admitir el módulo de sincronización de la red, así como las interfaces, se han introducido estas URL.
POST:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/chassisinterface events
Con carga útil
{"action": "SYNC_WITH_DEVICE"} - > Activa la sincronización
{"action": "ACCEPT_CHANGES"} - > Aceptar los cambios
GET:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/chassisinterface events
Enumera los eventos modificados generados
Resolución de problemas/Diagnóstico
Registro FXOS
Si el registro falla, estas CLI de FXOS se pueden utilizar para verificar si los procesos sftunnel, sfipproxy están activos.
firepower# connect local-mgmt
firepower-4215(local-mgmt)# show processes | include sftunnel grep: (standard input): binary file matches
3323 root 20 0 80328 2024 1544 S 0.0 0.0 0:11.53 /opt/cisco/sftunnel/sfipproxy -d –f /etc/sf/sfipproxy.conf
22066 root 20 0 376880 7140 5944 S 0.0 0.0 0:41.18 /opt/cisco/sftunnel/sftunnel -d -f /etc/sf/sftunnel.conf
Si utiliza la consola de terminal para la CLI, asegúrese de que el resultado de show processes no se trunca estableciendo el ancho de terminal en un valor apropiado utilizando esta CLI que se muestra:
firepower-4215(local-mgmt)# terminal width 100 Si el proceso SFTunnel está activo y en ejecución, pero el registro está fallando, estos comandos se pueden utilizar para encontrar cualquier razón potencial para el error.
Se introdujo la nueva CLI en FXOS de connect local-mgmt para ver los mensajes de syslog en /opt/cisco/platform/logs/sfmessages
firepower# connect local-mgmt
firepower(local-mgmt)# tail-mgmt-log sfmessages
Dec 9 18:31:17 firepower Ipc [30483]: add ep: 1,0x5613aa0e2fe8 total = 1 Dec 9 18:31:17 firepower Ipc [30483]: add ep: 1,0x5613aa0ec528 total = 2 Dec 9 18:31:17 firepower Ipc [30483]: add ep: 1,0x5613aa0f5ea8 total = 3 Dec 9 18:31:18 firepower SF-IMS[12621]: [12625] sftunneld:SYNC_PROC [INFO] Change in directory /var/sf/sync detected (0 vs 1670610348)
Registro FMC
- Si se produce un error en el registro del dispositivo, busque usmsharedsvcs.log y vmssharedsvcs.log en esta ubicación y busque la cadena "CHASSIS DISCOVERY" o "NATIVE_TO_MULTI_INSTANCE" para encontrar la posible causa del error.
- Además, busque problemas de SFTunnel en /var/log/action_queue.log y /var/sf/messages.
- /var/opt/CSCOpx/MDC/log/operation/usmsharedsvcs.log /var/opt/CSCOpx/MDC/log/operation/vmssharedsvcs.log
- Si falla el registro automático del chasis, busque usmsharedsvcs.log y vmssharedsvcs.log y busque la cadena "CHASSIS DISCOVERY" y "NATIVE_TO_MULTI_INSTANCE" para encontrar la causa potencial de la falla.
- Si falla el registro automático de instancias, busque usmsharedsvcs.log y vmssharedsvcs.log y busque la cadena "MI_FTD_INSTANCE_AUTO_REGISTRATION" para encontrar la causa potencial de la falla.
- Si se produce un error de implementación en el dispositivo, navegue hasta Deploy -> Deployment History -> Click on the failed deployment -> Open Transcript. Este archivo contiene el motivo del error.
Resolución de problemas de chasis
FMC admite la generación de solución de problemas de chasis (FPRM) desde la página de administración de dispositivos.
- Al igual que el dispositivo FTD, existe una opción de solución de problemas disponible para el dispositivo del chasis que genera la solución de problemas del chasis y permite al usuario descargar el paquete de solución de problemas de FMC.
- Esto recopila el paquete "show tech-support form" del chasis:
Opciones de resolución de problemas del chasis y generación:
Progreso y descarga de la resolución de problemas del chasis:
Ejemplos de problemas con los tutoriales de solución de problemas
Registro automático de fallos del chasis en FMC
Problema: El registro automático del chasis falla en FMC.
Resultado esperado:
- Una vez que se inicie la conversión desde FMC, se espera que se anule el registro y se registre automáticamente en FMC.
Resultado real:
- Error en el registro automático del chasis
Solución del problema
1. Compruebe la conversión:
- Asegúrese de que la conversión se ha activado en FMC.
- Inicie sesión en el dispositivo y compruebe si el dispositivo se ha convertido al modo contenedor.
- Ejecute los comandos para ver si el dispositivo se ha convertido:
firepower# scope sys
firepower /system # show
Systems:
Name Mode Deploy Mode System IP Address System IPv6 Address
---------- ----------- ----------- ----------------- -------------------
firepower Stand Alone Container 192.168.xx.xx ::2. Compruebe el administrador de dispositivos:
- Compruebe si el administrador de dispositivos se ha configurado correctamente:
firepower# show device-manager
Device manager:
Name: manager
Hostname: 10.10.xx.xx
NAT id: 3ab4bb1a-d723-11ee-a694-89055xxxxxxx
Registration Status: Completed
Error Msg:
- Registros para comprobar:
3.1. Vaya a /var/opt/CSCOpx/MDC/log/operation/vmssharedsvcs.log y /var/opt/CSCOpx/MDC/log/operation/usmsharedsvcs.log
3.2. Busque las palabras clave "NATIVE_TO_MI_CONVERSION" y "CHASSIS DISCOVERY" en los archivos para encontrar la razón del fallo.
Registro Automático de Instancias en FMC
Problema: El registro automático de instancias falla en FMC.
Resultado esperado:
- Una vez que la instancia se aprovisiona desde FMC, se espera que se registre automáticamente en FMC
Resultado real:
- Error de registro automático de la instancia
Solución del problema
- Asegúrese de que la implementación se haya desencadenado después de la creación de la instancia.
- Si no se realiza la implementación, asegúrese de implementar los cambios en el dispositivo.
- Si se produce un error en la implementación, vaya a Historial de implementación -> Haga clic en Transcripción. Compruebe el motivo del error, corrija y vuelva a intentar la implementación.
- Asegúrese de que la instancia está instalada y de que su estado operativo es en línea. Puede utilizar la página de resumen del chasis para comprobar el estado del aprovisionamiento de instancias.
- Verifique que SFTunnel esté activo y en ejecución en el FTD de instancia mediante este comando:
ps -ef | grep -i "sftunnel”- Si SFTunnel no se está ejecutando, intente ejecutar un comando de reinicio:
pmtool restartById sftunnel- Vaya a /var/opt/CSCOpx/MDC/log/operation/vmssharedsvcs.log y /var/opt/CSCOpx/MDC/log/operation/usmsharedsvcs.log
- Busque la palabra clave "MI_FTD_INSTANCE_AUTO_REGISTRATION" en el archivo para encontrar la razón del fallo.
Registro de dispositivos nativos en FMC
Problema: El registro de dispositivos nativos falla en FMC después de volver a convertir el dispositivo al modo nativo
- En caso de que el usuario vuelva a convertir el chasis (modo MI) al modo nativo pero se olvide de eliminar el chasis del FMC, el dispositivo se desconectará del FMC.
- Si el usuario intenta volver a registrar este dispositivo nativo en el FMC, el registro falla.
Solución del problema
- Asegúrese de que la entrada del chasis se ha eliminado del FMC antes de volver a convertir el dispositivo al modo nativo.
- Una vez eliminada la entrada, intente volver a registrar el dispositivo nativo en FMC.
Referencias útiles
- Información sobre interfaces compartidas:
- Página de instancia múltiple 3100 en el sitio de soporte de Cisco:
Opciones de interfaz y alta disponibilidad
Opciones de interfaz
Independiente o de alta disponibilidad
Aprovechamiento de las interfaces de gestión duales
- Al igual que el 4200 en modo nativo, los dos puertos de gestión física se proporcionan para admitir la redundancia de interfaz para el tráfico de gestión o para admitir interfaces independientes para la gestión y los eventos.
- Los dispositivos 9300 y 4100, así como la serie 4200, tienen interfaces de gestión duales. La segunda interfaz de gestión, Management 1/2, está pensada para que la utilice en eventos.
- En el modo multiinstancia (también conocido como "contenedor"), puede configurar esta interfaz en la CLI de Threat Defence en cada instancia. Asigne una dirección IP en la misma red para cada instancia.
- En el modo contenedor, cada instancia de FTD tiene asignadas de forma automática las interfaces Management 1/1 y Management 1/2.
- La segunda interfaz de gestión está desactivada de forma predeterminada.
- No puede configurar Management1/2 con FMC; tiene que configurarlo a través de FTD CLISH (en el 9300/4100, que. por el contrario, se realiza en la CLI de FXOS). Utilice este comando con el tipo de dirección IP, la dirección, la subred y la ruta estática deseados:
configure network ipv4 manual 192.168.0.xx 255.255.255.0 192.168.0.1 management1 Historial de revisiones
| Revisión | Fecha de publicación | Comentarios |
|---|---|---|
1.0 |
29-Oct-2024 |
Versión inicial |
ComentariosContacte a Cisco
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)