Clarifier l'ensemble de commandes en ligne pour FTD sur FMC

Options de téléchargement

  • PDF     (2.4 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (2.5 MB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (1.9 MB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:13 février 2024
ID du document:221641

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document explique pourquoi l'ordre des interfaces pour les ensembles en ligne est différent même si la convention d'attribution de noms d'interface est la même pour tous les ensembles.

    Conditions préalables

    Exigences

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • Protection pare-feu contre les menaces (FTD)
    • Centre de gestion du pare-feu sécurisé (FMC)
    • Système d'exploitation extensible Secure Firewall (FXOS)
    • REST-API

    Composants utilisés

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • Pare-feu sécurisé version 7.2.5.1
    • Secure Firewall Manager Center version 7.2.5.1
    • Système d'exploitation extensible Secure Firewall 2.12(1.48)
    • Gestionnaire de châssis de pare-feu sécurisé (FCM)

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Analyse

    Exemple de cas

    Dans cet exemple, un FTD avec six (6) interfaces est configuré par paires inline :

    Ethernet1/1 (Inside-A)
Ethernet1/2 (Outside-A)
Ethernet1/3 (Inside-B)
Ethernet1/4 (Outside-B)
Ethernet1/5 (Inside-C)
Ethernet1/6 (Outside-C)

    Liste des interfaces FTDListe des interfaces FTD

    Les ensembles en ligne sont planifiés pour être configurés de Inside à Outside pour chaque paire, ce qui entraîne la configuration suivante :

    Inline Set A: Inside-A <-> Outside-A
Inline Set B: Inside-B <-> Outside-B
Inline Set C: Inside-C <-> Outside-C

    Les utilisateurs s'attendent à ce que l'ordre des interfaces soit affiché par ordre alphabétique en fonction du nom logique de l'interface ou du nom physique de l'interface. Cependant, cette configuration se traduit par un ordre différent, comme illustré dans l'image suivante :

    Ensembles FTD en ligneEnsembles FTD en ligne

    Les utilisateurs constatent que l'ensemble en ligne C a une commande différente des deux autres ensembles en ligne.

    note-icon

    Remarque : il est important de noter que la commande de paires d'interfaces de jeu en ligne ne pose aucun problème de communication ou de fonctionnement, mais elle peut être préoccupante à des fins esthétiques.

    Explication

    La commande d'interface des ensembles en ligne n'est pas attribuée par nom mais par ID, ce qui est vérifié via REST-API.

    Étape 1. Pour vérifier cela, vous devez accéder à l'explorateur FMC REST-API. Pour ce faire, accédez à la syntaxe suivante de l'URL :

    https://FMC  IP/api/api-explorer

    Explorateur FMC REST-APIExplorateur FMC REST-API

    Étape 2. Accédez à Périphériques et développez le menu.

    Menu PériphériquesMenu Périphériques

    Étape 3. Accédez à l'option GET pour :

    ​/api​/fmc_config​/v1​/domain​/{domainUUID}​/devices​/devicerecords​/{containerUUID}​/inlinesets

    Option GET des jeux en ligneOption GET des jeux en ligne

    Étape 4. Cliquez sur le bouton Try it Out.

    Bouton d'essai GET Set en ligneBouton d'essai GET Set en ligne

    Étape 5. show version Remplacez le champ containerUUID par l'UUID FTD (qui est affiché par la commande sur la ligne de commande FTD) et cliquez sur Execute (Exécuter).

    Exécution des jeux en ligneExécution des jeux en ligne

    Étape 6. Faites défiler jusqu'au corps de réponse et copiez l'ID de l'interface qui est requise pour dépanner, dans ce cas, il s'agit de l'ensemble en ligne C.

    "id": "005056B3-BB52-0ed3-0000-021474837838",

    Jeux en ligne Corps de la réponse GETJeux en ligne Corps de la réponse GET

    Étape 7. Accédez à l'option GET pour :

    /api/fmc_config/v1/domain/{domainUUID}/devices/devicerecords/{containerUUID}/inlinesets/{objectId}

    Jeux en ligne GET ID objetJeux en ligne GET ID objet

    Étape 8. Cliquez sur le bouton Try it Out.

    Jeux en ligne GET Object ID Essayez-leJeux en ligne GET Object ID Essayez-le

    Étape 9. Remplacez le champ objectId par l'ID pris à l'étape 6 et le containerUID par l'UUID FTD utilisé à l'étape 5. Ensuite, cliquez sur le bouton Execute.

    Jeux en ligne Exécution de GET Object IDJeux en ligne Exécution de GET Object ID

    Étape 10. Validez le corps Response de la requête REST-API.

    Corps de réponse GET Object ID Inline SetsCorps de réponse GET Object ID Inline Sets

    L'interface Ethernet1/6 est ajoutée en tant que premier composant de l'ensemble en ligne, tandis qu'Ethernet1/5 est ajouté en tant que second composant. Cela est dû au fait que l'ID d'interface attribué pour Ethernet1/6 est alphabétiquement inférieur à Ethernet1/5. Ceci valide la logique que le FMC prend pour l'affectation d'interface sur les ensembles en ligne.

    Solution de contournement

    L'ID d'interface est attribué par FXOS au moment de la création du périphérique logique, de sorte que les interfaces doivent être supprimées au niveau FXOS et lues dans l'ordre souhaité pour que l'ID soit à nouveau attribué.

    icône d'avertissement

    Avertissement : la solution de contournement suivante s'applique uniquement aux gammes FPR4100 et FPR9300. Tout autre matériel de pare-feu sécurisé doit être réimagé. En outre, cette solution de contournement perturbe le trafic. En ce sens, les sauvegardes FMC, FTD et FXOS sont vivement recommandées, ainsi qu'une fenêtre de maintenance planifiée.

    Étape 1. Connectez-vous au FMC et supprimez le jeu en ligne problématique sur le chemin suivant :

    Devices > Device Management > Edit the desired FTD > Inline Sets.

    Suppression du jeu en ligneSuppression du jeu en ligne

    Étape 2. Enregistrez les modifications et déployez.

    Déploiement de suppression des jeux en ligneDéploiement de suppression des jeux en ligne

    Étape 3. Connectez-vous au périphérique FCM, accédez à Logical Devices et modifiez le périphérique logique souhaité.

    Modification du périphérique logiqueModification du périphérique logique

    Étape 4. Supprimez les deux interfaces appartenant à l'ensemble en ligne problématique, qui sont Ethernet1/5 et Ethernet1/6 dans cet exemple, et enregistrez les modifications.

    Retrait d'interface de jeu en ligneRetrait d'interface de jeu en ligne

    Étape 5. Sur FMC, accédez à Devices > Device Management, modifiez le FTD souhaité et accédez à l'onglet Interfaces, cliquez sur le bouton Sync Device, enregistrez les modifications et déployez.

    Synchronisation FTD de définition en ligne après suppressionSynchronisation FTD de définition en ligne après suppression

    Étape 6. Modifiez à nouveau le périphérique logique, ajoutez à nouveau la première interface (Ethernet1/5) et enregistrez les modifications.

    Inline Set First Interface AddingInline Set First Interface Adding

    Étape 7. Cliquez sur le Sync Device bouton, enregistrez les modifications et redéployez.

    Synchronisation FTD après ajout de la première interfaceSynchronisation FTD après ajout de la première interface

    Étape 8. Modifiez à nouveau le périphérique logique, ajoutez à nouveau la première interface (Ethernet1/6) et enregistrez les modifications.

    Inline Set Second Interface AddingInline Set Second Interface Adding

    Étape 9. Répétez l'étape 5 en cliquant sur le Sync Device bouton, en enregistrant les modifications, puis en déployant.

    Synchronisation FTD après ajout de la seconde interfaceSynchronisation FTD après ajout de la seconde interface

    Étape 10. Configurez les interfaces avec les mêmes paramètres que précédemment et ajoutez à nouveau le jeu en ligne.

    Configuration du jeu en ligneConfiguration du jeu en ligne

    Cette fois, l'ordre des interfaces des ensembles en ligne est affiché de la manière attendue. Enregistrez les modifications et déployez une dernière fois.

    note-icon

    Remarque : la section Exemple de cas de ce document doit être exécutée une fois de plus pour confirmer que les ID d'interfaces sont désormais dans le bon ordre.

    Informations connexes

    Historique de révision

    Révision Date de publication Commentaires
    2.0
    13-Feb-2024
    Première publication
    1.0
    12-Feb-2024
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Carlos Eduardo Arteaga Portillo
      Ingénieur-conseil technique en sécurité Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits