Convertir en conteneur (mode MI) dans Firepower 4200 avec FTD 7.6
Table des matières
Introduction
Ce document décrit comment configurer un conteneur (mode multi-instance) dans la gamme de pare-feu Firepower 4200 avec FTD 7.6 et les détails associés.
Conditions préalables, plates-formes prises en charge, licences
Plates-formes logicielles et matérielles minimales
Remarque : Multi-Instance n'est pris en charge avec FDM sur aucune plate-forme.
Licences
- Les licences de fonction sont attribuées manuellement à chaque instance, mais vous ne consommez qu'une licence par fonction pour chaque périphérique de la gamme 4200.
- Par exemple, pour une gamme 4200 avec 3 instances FTD, vous n'avez besoin que d'une licence d'URL, quel que soit le nombre d'instances utilisées, à condition que vous soyez sur le même FMC.
- Toutes les licences sont utilisées par périphérique de la gamme 4200 et non par instance de conteneur, à condition qu'elles se trouvent sur le même FMC. Par conséquent, pour toutes les instances sur des périphériques de la gamme 4200, il est recommandé d'utiliser le même FMC en raison de la mise en oeuvre de la licence.
Composants utilisés
Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Informations générales
- Le FTD prend déjà en charge le MI (Multi-Instance) sur les modèles 3100 (ainsi que sur les gammes 9300 et 4100), mais il n'existe pas de prise en charge pour la gamme 4200.
- Les modèles 4200 sont pris en charge uniquement en mode natif dans FMC.
- Aucune disposition ne permet de créer plusieurs instances dans 7.4.x dans 4200.
- Le MI (Multi-Instance) sur 3100 était pris en charge depuis la version 7.4.1.
- Les instances peuvent être créées et gérées à l'aide de FMC (contrairement aux gammes 9300 et 4100, où FCM doit être utilisé).
- FXOS peut être mis à jour, en mode MI, via l'interface utilisateur graphique de mise à niveau du châssis du FMC.
- La conversion en mode MI s'effectue via une interface de ligne de commande.
Quelles sont les nouveautés ?
- Vous pouvez provisionner et gérer des instances MI sur la gamme 4200.
- FMC : solution de gestion unique pour les instances FTD et MI (Series 4200)
- Permet la conversion simple et en bloc des périphériques natifs en mode MI sur FMC pour les périphériques des gammes 3100 et 4200.
- Marché cible : Grandes et grandes entreprises - Périphérie Internet, Data center
Plates-formes avec prise en charge FTD Multi-Instance
Différences entre les gammes 3100 et 4200
- 4200 dispose de deux interfaces de gestion, permettant d'utiliser l'une pour la gestion et l'autre pour les événements.
- Les interfaces Management1/1 et Management1/2 sont amorcées sur toutes les instances de conteneur FTD.
- Une ou les deux interfaces de gestion peuvent être utilisées en mode MI.
- Management1/1 pour la gestion et les événements, ou
- Management1/1 peut être utilisé pour la gestion et Management1/2 pour les événements, auquel cas :
- Des routes statiques doivent être définies pour acheminer le trafic à l’aide de l’interface de gestion 1/2.
- En raison de sa taille plus importante, il est possible de créer plus d'instances sur le modèle 4200 que sur le modèle 3100.
Déploiements pris en charge
- Gestion de la gamme 4200 (mode MI) avec une ou plusieurs instances FTD autonomes
- Gestion de la gamme 4200 (mode MI) avec instance(s) HA FTD*
Remarque : Pour la gamme FPR4100, dans le cas du FTD-HA, les noeuds principal et secondaire doivent se trouver sur deux périphériques différents de la gamme 4200 (mode MI). En outre, la mise en grappe MI n'est pas prise en charge dans cette version.
Description des fonctionnalités et procédure pas à pas
Modifications de la configuration multi-instance dans 7.6.0 :
- Prise en charge de la gamme 4200 en mode MI
- Modifications apportées au FMC, qui concernent également la gestion du mode MI de la gamme 3100 :
- Conversion du périphérique du mode natif au mode MI dans FMC
- Vérification du niveau de préparation pour vérifier si le périphérique peut être converti en mode MI
- Enregistrement automatique de l'instance FTD dans FMC après conversion
Spécifications des instances de la gamme 4200
Prise en charge max. instances
La densité des instances est déterminée par 2 facteurs principaux :
1. La quantité de coeurs de processeur et la quantité d’espace disque sur une plate-forme donnée
2. Combien de ces ressources peuvent être mises à la disposition des instances. La plus petite taille d'instance nécessite 3 coeurs de processeur physique (6 coeurs logiques) et 48 Go d'espace disque.
Tailles d'instance FTD
Allocations de base de Snort Lina (plan de données)
| 4215 |
4225 |
4245 |
||||
| Taille d'instance |
Coeurs du plan de données |
Noyaux De Snort |
Coeurs du plan de données |
Noyaux De Snort |
Coeurs du plan de données |
Noyaux De Snort |
| 6 |
2 |
2 |
2 |
2 |
2 |
2 |
| 8 |
2 |
4 |
2 |
4 |
2 |
4 |
| 10 |
4 |
4 |
4 |
4 |
4 |
4 |
| 12 |
4 |
6 |
4 |
6 |
4 |
6 |
| 14 |
6 |
8 |
6 |
6 |
6 |
6 |
| 16 |
6 |
8 |
6 |
6 |
8 |
8 |
| 18 |
8 |
10 |
8 |
8 |
8 |
10 |
| 20 |
8 |
10 |
8 |
8 |
10 |
10 |
| 22 |
10 |
12 |
10 |
10 |
10 |
12 |
| 24 |
12 |
12 |
10 |
10 |
10 |
12 |
| 26 |
12 |
14 |
12 |
12 |
12 |
12 |
| 28 |
14 |
14 |
12 |
14 |
12 |
14 |
| 30 |
14 |
16 |
14 |
14 |
14 |
14 |
| 32 |
14 |
16 |
14 |
16 |
14 |
16 |
| 34 |
16 |
16 |
16 |
16 |
16 |
16 |
| 36 |
16 |
18 |
16 |
18 |
16 |
18 |
| 38 |
18 |
18 |
18 |
18 |
18 |
18 |
| 40 |
18 |
20 |
18 |
20 |
18 |
20 |
| 42 |
20 |
20 |
20 |
20 |
20 |
20 |
| 44 |
20 |
22 |
20 |
22 |
20 |
22 |
| 46 |
22 |
22 |
22 |
22 |
22 |
22 |
| 48 |
22 |
24 |
22 |
24 |
22 |
24 |
| 50 |
24 |
24 |
24 |
24 |
24 |
24 |
| 52 |
24 |
26 |
24 |
26 |
24 |
26 |
| 54 |
26 |
26 |
26 |
26 |
24 |
26 |
| 56 |
26 |
28 |
26 |
28 |
26 |
28 |
| 58 |
28 |
28 |
28 |
28 |
28 |
28 |
| 60 |
28 |
30 |
28 |
39 |
28 |
30 |
| 62 |
30 |
30 |
30 |
30 |
30 |
30 |
| 64 |
30 |
32 |
30 |
32 |
||
| 66 |
30 |
34 |
30 |
34 |
||
| 68 |
32 |
34 |
32 |
34 |
||
| 70 |
32 |
36 |
32 |
36 |
||
| 72 |
34 |
36 |
34 |
36 |
||
| 74 |
34 |
38 |
34 |
38 |
||
| 76 |
36 |
38 |
36 |
38 |
||
| 78 |
36 |
40 |
36 |
40 |
||
| 80 |
38 |
40 |
38 |
40 |
||
| 82 |
38 |
42 |
38 |
42 |
||
| 84 |
40 |
42 |
40 |
42 |
||
| 86 |
40 |
44 |
40 |
44 |
||
| 88 |
42 |
44 |
42 |
44 |
||
| 90 |
42 |
46 |
42 |
46 |
||
| 92 |
44 |
46 |
44 |
46 |
||
| 94 |
44 |
48 |
44 |
48 |
||
| 96 |
46 |
48 |
46 |
48 |
||
| 98 |
46 |
50 |
46 |
50 |
||
| 100 |
48 |
50 |
48 |
50 |
||
| 102 |
48 |
52 |
48 |
52 |
||
| 104 |
50 |
52 |
50 |
52 |
||
| 106 |
50 |
54 |
50 |
54 |
||
| 108 |
52 |
54 |
52 |
54 |
||
| 110 |
52 |
56 |
52 |
56 |
||
| 112 |
54 |
56 |
54 |
56 |
||
| 114 |
54 |
58 |
54 |
58 |
||
| 116 |
56 |
58 |
56 |
58 |
||
| 118 |
56 |
60 |
56 |
60 |
||
| 120 |
58 |
60 |
58 |
60 |
||
| 122 |
58 |
62 |
58 |
62 |
||
| 124 |
60 |
62 |
60 |
62 |
||
| 128 |
60 |
64 |
||||
| 130 |
60 |
66 |
||||
| 132 |
62 |
66 |
||||
| 134 |
62 |
68 |
||||
| 136 |
64 |
68 |
||||
| 138 |
64 |
70 |
||||
| 140 |
66 |
70 |
||||
| 142 |
66 |
72 |
||||
| 144 |
68 |
72 |
||||
| 146 |
68 |
74 |
||||
| 148 |
70 |
74 |
||||
| 150 |
70 |
76 |
||||
| 152 |
72 |
76 |
||||
| 154 |
72 |
78 |
||||
| 156 |
74 |
78 |
||||
| 158 |
74 |
80 |
||||
| 254 |
120 |
130 |
Configurer
Présentation de la configuration
- Enregistrez le périphérique de la gamme 4200 (mode natif) dans FMC.
- Nouveau ! Sur FMC, sélectionnez et convertissez le périphérique du mode natif au mode MI.
- Nouveau ! Le châssis MI s'enregistre automatiquement sur FMC après la conversion.
- Mettre à jour les interfaces physiques.
- Créez une ou plusieurs instances FTD et affectez une ou plusieurs interfaces.
- Créez/mettez à jour/supprimez le canal de port et les sous-interfaces à partir de FMC.
- Configurez les paramètres de plateforme.
- Déployez les modifications de configuration sur le périphérique.
- La ou les instances FTD s'enregistrent automatiquement dans FMC.
Convertir la gamme 4200 en mode multi-instance dans FMC
Par défaut, les 4200 sont en mode natif. Pour convertir la gamme 4200 en mode multi-instance dans FMC :
- Se connecter au périphérique et créer un gestionnaire (déjà documenté).
- Enregistrez le périphérique natif sur le FMC (déjà documenté).
- Convertir en instance multiple à l'aide de FMC.
- Sur FMC, sélectionnez le ou les périphériques devant être convertis en Multi-Instance et lancez la conversion. Un ou plusieurs périphériques peuvent être sélectionnés.
Remarque : Le passage du mode natif au mode MI réinitialise TOUTE la configuration sur le châssis. La conversion du mode MI en mode natif se fait toujours via l'interface de ligne de commande.
Convertir un périphérique unique
1. Pour démarrer la conversion, accédez à Périphériques > Gestion des périphériques.
2. Validez le périphérique sélectionné et cliquez sur Continue (Continuer) :
valider les périphériques sélectionnés
- Vérification du niveau de préparation et conversion initiale :
contrôle de la disponibilité
Convertir plusieurs périphériques (conversion en masse)
- Sélectionner des périphériques :
- Confirmer la sélection :
- Vérification du niveau de préparation et lancement de la conversion :
Suivi de la progression et finalisation
- Notification de début de conversion :
- Enregistrement automatique du châssis :
- Notification post-conversion :
Page de gestion des périphériques résultante répertoriant les périphériques de la gamme 4200 (mode MI) :
Page FMC Chassis Overview
Présentation de la page FMC Chassis Overview
La page FMC Chassis Overview présente un récapitulatif complet des périphériques de la gamme 4200 (mode MI). Elle comprend :
- Image du panneau arrière du périphérique, y compris les modules réseau disponibles.
- Résumé des pannes, avec leur criticité.
- Résumé de l’interface, état.
- Résumé d'instance FTD, état.
- Statistiques matérielles : ventilateur, bloc d'alimentation, mémoire, utilisation du processeur et stockage.
Cliquez sur Manage pour accéder à Chassis Overview :
Onglet Résumé de la page Châssis :
Onglet Résumé de la page Châssis
L'onglet Résumé contient des sections. Cliquez pour obtenir plus de détails :
- Fond de panier
- Défauts
- Interfaces
- Instances
- Statistiques matérielles
Les sections sont mappées par numéro, comme le montre cette image :
1. Vue du fond de panier :
2. Section Défauts :
3. Section Interfaces :
4. Section Instances :
La transition des instances de l'état hors connexion à l'état en ligne est illustrée dans l'image précédente.
- Une fois provisionné (1)
- L'instance est hors ligne jusqu'à ce qu'elle soit en ligne (2)
- Les états intermédiaires sont également reflétés (3)
5. Statistiques matérielles :
Gérer les interfaces
Opérations prises en charge depuis l'onglet Interfaces :
- Mise à jour de l’interface physique.
- Créer/Mettre à jour/Supprimer des sous-interfaces.
- Créer/Mettre à jour/Supprimer des interfaces EtherChannel.
- Configurations d'interface de synchronisation.
- OIR du module de réseau.
- Interruption/jonction de l'interface physique.
Résumé de l'onglet Interfaces
La page d'accueil de l'onglet Interfaces affiche tous les types d'interfaces gérés pour un châssis, tels que les interfaces physiques, les sous-interfaces et les sous-interfaces EtherChannel et EtherChannel.
Modifier les configurations des interfaces physiques
Les attributs suivants d'une interface physique peuvent être mis à jour :
- État (Activé/Désactivé)
- Type de port (données) | Partage de données)
- Duplex admin
- Vitesse Admin
- Négociation automatique
Sous-interface de gestion
Sélectionnez l'option de sous-interface dans le bouton Add pour ajouter une nouvelle interface.
Les attributs suivants d'une sous-interface peuvent être modifiés :
- Interface parent
- Type de port (données / partage de données)
- ID de sous-interface
- ID de VLAN
Gérer EtherChannel
Pour créer une nouvelle interface EtherChannel, utilisez l'« interface EtherChannel » sous le bouton Add.
Les attributs pouvant être configurés pour un EtherChannel sont les suivants :
- ID EtherChannel
- Type de port (données/partage de données)
- Interfaces membres
- Vitesse Admin
- Duplex admin
- Mode LACP
- Taux LACP
- Négociation automatique
Synchroniser les configurations des périphériques
Dans certains cas, la configuration FMC et la configuration du périphérique peuvent être désynchronisées. Dans un cas, un utilisateur supprime ou insère un module netmod. Le périphérique de synchronisation peut être effectué dans de tels cas.
Prise en charge de la commutation/déconnexion à chaud Netmod
« Hot Swap », utilisé dans vos documents, est appelé insertion et retrait en ligne ou OIR dans une autre documentation interne.
Il y a un déploiement immédiat lors de l'activation/la désactivation du module réseau ou de l'interruption ou de la jonction des interfaces. Le mode Multi-Instance est identique à la gamme 4200 en mode natif.
FMC compare la réponse reçue à la configuration actuelle, puis crée une notification de modification d’interface pour que l’utilisateur accuse réception.
4200 Native prend en charge EPM Hot Swap et Breakout
EPM OIR et Breakout sont déjà pris en charge sur le pare-feu autonome en mode natif de la gamme Secure Firewall 4200.
Documentation EPM OIR et Breakout FMC de la gamme 4200 :
OIR : Activer/Désactiver la confirmation EPM
Lorsque l'utilisateur bascule pour activer le module, un avertissement s'affiche pour s'assurer qu'il ne s'agit pas d'un clic accidentel.
Activation EPM terminée : Notification d'interface reçue
- Lors de l'activation d'un EPM, de nouvelles interfaces sont associées au périphérique.
- FMC reçoit la notification relative aux interfaces associées.
- Sur FMC, l'utilisateur doit accepter les modifications.
Cette capture d'écran montre l'option permettant de voir les interfaces associées :
Notification de changement d'interface EPM
La page de liste des interfaces répertorie les interfaces qui sont ajoutées lorsque EPM est activé. Cliquez pour en savoir plus ouvre la boîte de dialogue Changements d'interface.
Cliquez pour en savoir plus n'est pas disponible après l'enregistrement.
Page Options d'interruption/de connexion dans le châssis
L'assistant de confirmation d'interruption de l'interface s'ouvre lorsque l'option est déclenchée.
La notification de mise à jour de l'interface est visible sur la page du châssis une fois que l'interruption de l'interface est confirmée.
Changements d'interface après interruption/jonction
Lorsque vous cliquez sur Accepter les modifications, ces interfaces deviennent disponibles dans le FMC à utiliser :
Impact des modifications d'interface sur l'instance
Gestion des instances
Instance Management vous permet de :
- Affichez toutes les instances FTD existantes et leurs détails sur un périphérique de la gamme 4200 (mode MI).
- Créez/mettez à jour des instances FTD avec la version logicielle et le coeur du processeur souhaités.
- Supprimer une instance FTD existante.
- Permet à l'utilisateur de choisir des stratégies FTD - Stratégie d'accès et stratégie Paramètres de plateforme pour l'instance FTD.
- Enregistrement automatique de l'instance FTD sur FMC une fois qu'elle est en ligne.
Créer une instance
Lancez l'assistant en cliquant sur Add Instance.
Étape 1. Accord :
Étape 2.
- Notions de base sur la configuration des instances
- IP de configuration d'instance :
Étape 3. Affectations des interfaces :
Étape 4. Gestion des périphériques :
Étape 5. Résumé :
Pour terminer la configuration, enregistrez et déployez.
Enregistrement automatique d'une instance FTD après un déploiement réussi :
Instance enregistrée dans Management Center :
Modifier une instance
Cliquez sur l'icône représentant un crayon pour modifier une instance FTD :
Étape 1 : modification de l'instance FTD
Étape 2. Modifier les affectations d'interface pour une instance :
Étape 3. Résumé de la modification de l'instance :
Supprimer une instance
Configuration SNMP
Accédez à l'onglet de configuration du système pour configurer SNMP :
Importation/exportation de châssis
Exporter la configuration
Naviguez jusqu'à Manage Chassis > System Configuration > Import/Export :
Importer la configuration
Naviguez jusqu'à Manage Chassis > System Configuration > Import/Export :
À savoir sur l'importation/l'exportation de châssis
- Toutes les configurations existantes sur le châssis sont remplacées par la configuration du fichier importé.
- La version du logiciel de la plate-forme sur laquelle la configuration est importée doit être identique à la version exportée.
- Le châssis sur lequel vous importez la configuration doit avoir le même nombre de modules réseau installés lors de l'exportation.
- La même image d'application doit être installée sur le châssis sur lequel la configuration est importée pour les périphériques logiques.
- Les paramètres de configuration spécifiques à l'application ne sont pas exportés. Seules les configurations de châssis sont exportées.
- La ou les instances FTD doivent être sauvegardées séparément.
Stratégie des paramètres de plate-forme du châssis
La stratégie des paramètres de la plate-forme du châssis permet aux utilisateurs de configurer ces configurations spécifiques à la plate-forme :
- Synchronisation temporelle (NTP)
- DNS
- Syslog
- Fuseau horaire
- L'utilisateur peut créer une nouvelle stratégie « Paramètre de plate-forme de châssis » et l'attribuer à plusieurs châssis de la gamme 4200 (mode MI).
Conseil : Les paramètres de la plate-forme du châssis s'appliquent uniquement au châssis. Si l'utilisateur souhaite appliquer des paramètres de plate-forme à ses instances, il peut utiliser une stratégie de paramètres de plate-forme de défense contre les menaces.
1. Accédez à la stratégie Paramètres de la plate-forme du châssis :
2. Créez les paramètres de la plate-forme du châssis :
3. Page Politique des paramètres de la plate-forme du châssis :
Paramètres de plate-forme du châssis : DNS
Activez et ajoutez des groupes de serveurs DNS sous la section DNS de la stratégie des paramètres de la plate-forme de châssis :
Paramètres de plate-forme du châssis : SSH
- Activez et ajoutez un serveur SSH sous SSH section de la stratégie des paramètres de la plate-forme du châssis :
- Activer et ajouter un client SSH :
Paramètres de plate-forme du châssis : Liste d'accès SSH
Cet onglet apparaît uniquement après l'activation de SSH sous SSH section des paramètres de la plate-forme du châssis.
- Créer une liste d'accès SSH :
- Ajouter des objets réseau pour la liste d'accès SSH :
- Ajouter un nouvel objet réseau :
- Afficher le ou les objets réseau :
- Choisir un ou plusieurs objets réseau :
- Les objets réseau peuvent être créés comme illustré dans cette image :
- Afficher les objets réseau ajoutés :
Paramètres de plate-forme du châssis : Synchronisation temporelle
La synchronisation temporelle peut être effectuée de deux manières :
- Via le protocole NTP depuis le Management Center
- Sur le serveur NTP personnalisé
À partir de NTP depuis Management Center
Sur le serveur NTP personnalisé
Paramètres de plate-forme du châssis : Fuseaux horaires
Définir les fuseaux horaires :
Paramètres de plate-forme du châssis : Syslog
- Onglet Destinations locales Syslog :
- Onglet Destinations distantes Syslog :
- Onglet Sources locales Syslog :
Paramètres de plate-forme du châssis : Enregistrer et déployer
Enregistrez les modifications apportées aux paramètres de la plate-forme du châssis, puis déployez :
Désinscription du châssis
Pour annuler l'enregistrement d'un châssis dans FMC, accédez à Périphériques > Gestion des périphériques > Supprimer.
Conversion d'une instance multiple en mode natif
Actuellement, FMC prend uniquement en charge la conversion de Native en Multi-Instance. Par conséquent, pour reconvertir un périphérique en mode natif, l'utilisateur doit utiliser l'interface de ligne de commande.
Étape 1 : Désenregistrez le châssis du FMC.
Étape 2 : Utilisez cette commande CLI pour convertir le périphérique de la gamme 4200 en mode natif :
firepower-4215# scope system
firepower-4215 /system # set deploymode native
API de redémarrage FMC
Les API REST publiques de FMC sont disponibles pour toutes les opérations prises en charge par FMC.
API REST pour la conversion native en instance multiple
API POST pour vérifier si le périphérique natif est prêt pour la conversion de plusieurs instances :
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/operational/switchmodereadinesscheck
Exemple de demande POST JSON :
{
"devices": [
{
"id": "DeviceUUID",
"type": "Device"
}
],
"conversionType": "NATIVE_TO_MULTI_INSTANCE"
}API POST pour déclencher une conversion native unique vers Multi-Instance :
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/operational/switchmode
Exemple de demande POST JSON :
{
"items": [
{
"id": "
", "displayName": "Sample_Chassis_Name1" } ], "conversionType": "NATIVE_TO_MULTI_INSTANCE" }
API POST pour déclencher la conversion native en masse vers Multi-Instance :
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/operational/switchmode
Exemple de demande POST JSON :
{
"items": [
{
"id": "
", "displayName": "Sample_Chassis_Name1" }, { "id": "
", "displayName": "Sample_Chassis_Name2" } ], "conversionType": "NATIVE_TO_MULTI_INSTANCE" }
API REST pour la gestion des châssis
POST Ajouter un châssis au centre de gestion :
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis
Obtenir tous les châssis :
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/
OBTENIR un châssis spécifique par uuid :
/api/fmc_config/v1/domain/{domainUID}/chassis/fmcmanagedchassis/{objectId}
Supprimer un châssis par uuid :
/api/fmc_config/v1/domain/{domainUID}/chassis/fmcmanagedchassis/{objectId}
Exemple de demande POST JSON :
{
"type": "FMCManagedChassis",
"chassisName": "CHASSIS123",
"chassisHostName": "192.168.xx.74",
"regKey": "*****"
}API REST pour la gestion des modules réseau
OBTENIR un module de réseau par uuid :
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/networkmodules/{objectId}
OBTENIR TOUS les modules de réseau :
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/networkmodules/
PUT - Modifier un module de réseau existant par uuid :
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/networkmodules/{objectId}
PUT - Récupérer les données du module réseau depuis FXOS et mettre à jour Management Center :
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/operational/syncnetworkmodule
Exemple de réponse GET
{
"metadata": {
"timestamp": 1688670821060,
"domain": {
"name": "Global",
"id": "e276abec-e0f2-11e3-8169-************",
"type": "Domain"
}
},
"links": {
"self": "https://u32c01p10-vrouter.cisco.com:32300/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-************/chassis/fmcmanagedchassis/f0f11b69-4229-4025-b0b9-************/networkmodules/0050568A-3F3F-0ed3-0000-0************"
},
"id": "0050568A-3F3F-0ed3-0000-************",
"moduleState": "ENABLED",
"type": "NetworkModule",
"description": "Cisco FPR 8X1G 8X10G 1RU Module",
"model": "FPR-3120",
"operationState": "ok",
"numOfPorts": 16,
"slotId": "1",
"vendor": "Cisco Systems, Inc.",
"name": "Network Module 1"
}API REST pour Instance Management
POST Ajouter un châssis au centre de gestion :
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/logicaldevices
Obtenir tous les châssis :
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/logicaldevices
OBTENIR une instance spécifique par uuid :
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/logicaldevices/{objectId}
PUT - Modifier une instance par uuid :
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/logicaldevices/{objectId}
Supprimer un châssis par uuid :
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/logicaldevices/{objectId}
Exemple de demande PUT :
{
"name": "ftd1",
"operationalState": "string",
"deviceRegistration": {
"licenseCaps": [
"MALWARE",
"URLFilter",
"CARRIER",
"PROTECT"
],
"accessPolicy": {
"name": "AC Policy name",
"id": "
", "type": "AccessPolicy" }, "deviceGroup": { "name": "DeviceGroup name", "id": "
", "type": "DeviceGroup" } }, "managementBootstrap": { "ipv4": { "gateway": "192.168.xx.68", "ip": "192.168.xx.78", "mask": "255.255.255.0" }, "adminState": "enable", "firepowerManagerIP": "192.168.xx.32", "permitExpertMode": "yes", "searchDomain": "string", "firewallMode": "Routed", "dnsServers": "192.168.xx.123", "natId": "natId", "registrationKey": "regKey", "adminPassword": "adminPwd", "fqdn": "fqdn" }, "externalPortLink": [ { "name": "Ethernet1/1", "id": "
", "type": "ChassisInterface" }, { "name": "Ethernet2/2.1", "id": "
", "type": "ChassisInterface" } ], "type": "LogicalDevice" }
API REST pour la gestion SNMP
GET an SNMP Setting by uuid :
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/snmpsettings/{objectId}
GET ALL SNMP Settings :
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/snmpsettings/
PUT - Modifier un module de réseau existant par uuid :
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/snmpsettings/{objectId}
Exemple de réponse GET :
{
"snmpAdminInstance": {
"id": "logicalDeviceUuid",
"type": "LogicalDevice",
"name": "ftd3"
},
"id": "snmpsettingsUUID2",
"type": "SnmpSetting"
}API REST pour extraire le résumé
Cette liste contient des informations détaillées sur les API REST pour l'extraction du résumé :
- Défauts
- Instances
- Stocks
- Interfaces
- Infos application
Récapitulatif des défaillances GET pour un châssis :
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/faultsummary
Exemple de réponse :
{
"links": {
"self": "
/api/fmc_config/v1/domain/domainUUID/chassis/fmcmanagedchassis/containerUUID/faultsummary?offset=0&limit=25&expanded=true" }, "items": [ { "faultList": [ { "id": 27429, "isAcknowledged": "no", "cause": "device-registration-pending", "gateway": "3::1", "ip": "3::2", "prefixLength": "33" } ], "managementPort": "Management1", "operationalState": "online", "adminState": "enabled", "deployType": "container" } ], "modifiedTime": "2022-07-05T06:39:25Z", "type": "InstanceSummary" ], "paging": { "offset": 0, "limit": 25, "count": 1, "pages": 1 } }
Récapitulatif des instances GET pour un châssis :
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/instancessummary
Exemple de réponse :
{
"links": {
"self": "
/api/fmc_config/v1/domain/domainUUID/chassis/fmcmanagedchassis/containerUUID/instancesummary?offset=0&limit=25&expanded=true" }, "items": [ { "instanceList": [ { "name": "ftdmi2", "startupVersion": "7.3.0.1402", "coresUsed": 6, "ipv4": { "gateway": "192.168.xx.68", "ip": "192.168.xx.78", "mask": "255.255.255.0" }, "ipv6": { "gateway": "3::1", "ip": "3::2", "prefixLength": "33" }, "managementPort": "Management1", "operationalState": "online", "adminState": "enabled", "deployType": "container" } ], "modifiedTime": "2022-07-05T06:39:25Z", "type": "InstanceSummary" } ], "paging": { "offset": 0, "limit": 25, "count": 1, "pages": 1 } }
Récapitulatif d'inventaire pour un châssis :
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/inventorysummary
Exemple de réponse :
{
"links": {
"self": "
/api/fmc_config/v1/domain/domainUUID/chassis/fmcmanagedchassis/containerUUID/inventorysummary?offset=0&limit=25&expanded=true" }, "items": [ { "fanList": [ { "operationalState": "operable", "operability": "operable", "power": "on", "thermalStatus": "ok", "module": 1, "tray": 1, "id": 1, "model": "N/A", "vendor": "N/A" }, { "operationalState": "operable", "operability": "operable", "power": "on", "thermalStatus": "ok", "module": 1, "tray": 1, "id": 2, "model": "N/A", "vendor": "N/A" } ], "powerSupplyList": [ { "id": 2, "operationalState": "operable", "operability": "operable", "serialNumber": "***********", "thermalStatus": "ok", "model": "FPR2K-PWR-AC-400", "vendor": "Cisco Systems, Inc" } ], "processorList": [ { "id": 1, "operationalState": "operable", "operability": "operable", "vendor": "AuthenticAMD", "model": "49 AMD EPYC 7282 16-Core Processor", "type": "CPU", "thermalStatus": "ok" } ], "securityModuleList": [ { "id": 1, "operationalState": "ok", "operability": "operable", "serialNumber": "***********", "vendor": "Cisco Systems, Inc", "model": "FPR-3120", "availableCores": 24, "totalCores": 32 } ], "memoryList": [ { "capacity": 65536, "id": 1, "array": 1, "bank": 0, "model": "HMAA8GR7AJR4N-XN", "operationalState": "operable", "operability": "operable", "performance": "ok", "power": "not-supported", "serialNumber": "********", "thermalStatus": "ok", "vendor": "Hynix" } ], "model": "FPR-3120", "availableCores": 24, "totalCores": 32 } ], "paging": { "offset": 0, "limit": 25, "count": 1, "pages": 1 } }
GET Interface Summary pour un châssis :
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/interfacessummary
Exemple de réponse :
{
"links": {
"self": "
/api/fmc_config/v1/domain/domainUUID/chassis/fmcmanagedchassis/containerUUID/interfacesummary?offset=0&limit=25" }, "items": [ { "interfaceList": [ { "name": "Ethernet1/8", "operationalState": "up", "adminState": "disabled", "portType": "data", "operationalSpeed": "10mbps", "adminSpeed": "1gbps", "adminDuplex": "fullDuplex", "autoNegotiation": "yes", "mediaType": "rj45", "type": "PhysicalInterface" }, { "name": "Ethernet1/7", "operationalState": "up", "adminState": "disabled", "portType": "data", "operationalSpeed": "1gbps", "adminSpeed": "1gbps", "adminDuplex": "fullDuplex", "autoNegotiation": "yes", "mediaType": "rj45", "type": "PhysicalInterface" }, { "name": "Ethernet1/6", "operationalState": "up", "adminState": "disabled", "portType": "data", "operationalSpeed": "1gbps", "adminSpeed": "1gbps", "adminDuplex": "fullDuplex", "autoNegotiation": "yes", "mediaType": "rj45", "type": "PhysicalInterface" }, { "name": "Ethernet1/3", "operationalState": "up", "adminState": "disabled", "portType": "data", "operationalSpeed": "1gbps", "adminSpeed": "1gbps", "adminDuplex": "fullDuplex", "autoNegotiation": "yes", "mediaType": "rj45", "type": "PhysicalInterface" }, { "name": "Ethernet1/2", "operationalState": "up", "adminState": "enabled", "portType": "data", "operationalSpeed": "1gbps", "adminSpeed": "1gbps", "adminDuplex": "fullDuplex", "autoNegotiation": "yes", "mediaType": "rj45", "type": "PhysicalInterface" }, { "name": "Ethernet1/1", "operationalState": "up", "adminState": "enabled", "portType": "data", "operationalSpeed": "1gbps", "adminSpeed": "1gbps", "adminDuplex": "fullDuplex", "autoNegotiation": "yes", "mediaType": "rj45", "type": "PhysicalInterface" }, { "name": "Port-channel48", "operationalState": "up", "adminState": "enabled", "portType": "data", "operationalSpeed": "1gbps", "adminSpeed": "1gbps", "adminDuplex": "fullDuplex", "autoNegotiation": "yes", "mediaType": "rj45", "type": "EtherChannelInterface" } ], "modifiedTime": "2022-07-05T06:39:25Z", "type": "InterfaceSummary" } ], "paging": { "offset": 0, "limit": 25, "count": 1, "pages": 1 } }
Obtenir des informations sur les applications pour un châssis :
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID} /inventorysummary
Exemple de réponse :
{
"links": {
"self": "
/api/fmc_config/v1/domain/domainUUID/chassis/fmcmanagedchassis/containerUUID/appinfo?offset=0&limit=25&expanded=true" }, "items": [ { "appVersion": "7.4.0.1024", "type": "AppInfo" }, { "appVersion": "7.4.0.1075", "type": "AppInfo" } ], "paging": { "offset": 0, "limit": 25, "count": 1, "pages": 1 } }
API REST pour la gestion des interfaces
Cette section contient des informations détaillées sur les API REST pour la gestion de la configuration d'interface :
- URL à utiliser pour les modifications de configuration d'interface
- URL à utiliser pour l'interruption/la jonction d'interfaces
- URL à utiliser pour la configuration des périphériques de synchronisation
Mettre à jour l'interface physique
Pour prendre en charge la mise à jour des interfaces physiques, ces URL ont été introduites.
OBTENIR toutes les interfaces physiques :
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/physicalinterfaces
OBTENIR une interface physique spécifique par uuid d'interface :
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/physicalinterface s/{interfaceUUID}
Mettre à jour l’interface par interface uuid :
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/physicalinterface s/{interfaceUUID}
Le modèle d'interface physique ressemble à ceci :
{
"metadata": {
"supportedSpeed": "TEN_GBPS,ONE_GBPS,TWENTY_FIVE_GBPS,DETECT_SFP",
"mediaType": "sfp",
"sfpType": "none",
"isBreakoutCapable": false,
"isSplitInterface": false,
"timestamp": 1692344434067,
"domain": {
"name": "Global",
"id": "e276abec-e0f2-11e3-8169-**********",
"type": "Domain"
}
},
"type": "PhysicalInterface",
"name": "Ethernet2/2",
"portType": "DATA",
"adminState": "DISABLED",
"hardware": {
"flowControlSend": "OFF",
"fecMode": "AUTO",
"autoNegState": true,
"speed": "DETECT_SFP",
"duplex": "FULL"
},
"LLDP": {
"transmit": false,
"receive": false
},
"id": "*************************************"
}Configuration des sous-interfaces
Pour prendre en charge la gestion des sous-interfaces, ces URL ont été introduites.
GET all sub interfaces :
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/subinterfaces
GET a specific sub interface by interface uuid:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/subinterfaces/{interfaceUUID}
POST d’une nouvelle sous-interface :
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/subinterfaces
UPDATE interface par interface uuid :
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/subinterfaces/{interfaceUUID}
SUPPRIMER une sous-interface par uuid d'interface :
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/subinterfaces/{interfaceUUID}
Le modèle de sous-interface ressemble à ceci :
{
"metadata": {
"isBreakoutCapable": false,
"isSplitInterface": false,
"timestamp": 1692536476265,
"domain": {
"name": "Global",
"id": "e276abec-e0f2-11e3-8169-**********",
"type": "Domain"
}
},
"type": "SubInterface",
"name": "Ethernet1/3.3",
"portType": "DATA",
"subIntfId": 3,
"parentInterface": {
"type": "PhysicalInterface",
"id": "00505686-9A51-0ed3-0000-**********",
"name": "Ethernet1/3"
},
"vlanId": 3,
"id": "*************************************"
}Configuration des interfaces EtherChannel
Pour prendre en charge la gestion des interfaces EtherChannel EtherChannel, ces URL ont été introduites.
OBTENIR toutes les interfaces etherchannel :
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/etherchannelinterfaces/{interfaceUID}
OBTENIR une interface etherchannel spécifique par uuid d'interface :
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/etherchannelinterfaces/{interfaceUID}
POST d'une nouvelle interface etherchannel :
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/etherchannelinterfaces
UPDATE interface par interface uuid :
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/etherchannelinterfaces/{interfaceUID}
SUPPRIMER une interface etherchannel par l'uuid d'interface :
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/etherchannelinterfaces/{interfaceUID}
Le modèle d'interface EtherChannel ressemble à ceci :
{
"metadata": {
"supportedSpeed": "HUNDRED_MBPS,TEN_MBPS,ONE_GBPS",
"timestamp": 1692536640172,
"domain": {
"name": "Global",
"id": "e276abec-e0f2-11e3-8169-**********",
"type": "Domain"
}
},
"type": "EtherChannelInterface",
"name": "Port-channel45",
"portType": "DATA",
"etherChannelId": 45,
"selectedInterfaces": [
{
"type": "PhysicalInterface",
"id": "00505686-9A51-0ed3-0000-**********",
"name": "Ethernet1/4"
},
{
"type": "PhysicalInterface",
"id": "00505686-9A51-0ed3-0000-**********",
"name": "Ethernet1/5"
}
],
"lacpMode": "ON",
"lacpRate": "FAST",
"adminState": "DISABLED",
"hardware": {
"flowControlSend": "OFF",
"autoNegState": true,
"speed": "ONE_GBPS",
"duplex": "FULL"
},
"LLDP": {
"transmit": true,
"receive": true
},
"id": "00505686-9A51-0ed3-0000-**********"
}API REST Interfaces de rupture/jointure
Pour prendre en charge la séparation/jonction des interfaces de la gamme 4200, vous pouvez utiliser les URL suivantes :
GET :
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/chassisinterfaces/{interfaceUUID}/evaluationoperation
Évalue la faisabilité d’une interruption/jointure pour une interface
POST :
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/operational/breakoutinterfaces
Casse une interface
POST :
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/operating/joininterfaces
Rejoint un ensemble d’interfaces rompues
Débit REST pour interruption d'interface
1. Recherchez le périphérique de châssis géré par FMC (4200) à l'aide du point d'extrémité de châssis géré par FMC.
GET /api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis
Retourne la liste des périphériques de châssis gérés FMC avec les périphériques Multi Instance avec les détails comme l'ID, le nom, le modèle de chaque périphérique. Sélectionnez les périphériques « MULTIINSTANCE ».
Exemple de réponse :
{
"id": "fcaa9ca4-85e5-4bb0-b049-**********",
"type": "FMCManagedChassis",
"chassisName": "192.168.0.75",
"chassisMode": "MULTIINSTANCE",
"links": {
"self": "https://u32c01p06-vrouter.cisco.com:22512/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-**********/chassis/fmcmanagedchassis/fcaa9ca4-85e5-4bb0-b049-**********"
}
}2. Vérifiez si l’interface est capable de se séparer à l’aide des interfaces/du point d’extrémité des interfaces physiques.
Breakout n'est possible que si « isBreakoutCapable » est vrai et que mediaType est QSFP.
GET /api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/interfaces
Exemple de réponse :
{
"metadata": {
"supportedSpeed": "FORTY_GBPS,DETECT_SFP", >>>>>>>>>
"mediaType": "qsfp", >>>>>>>>>
"sfpType": "none",
"isBreakoutCapable": true, >>>>>>>>>
"breakoutFactor": "4", >>>>>>>>>
"isSplitInterface": false,
"timestamp": 1692344434067,
"domain": {
"name": "Global",
"id": "e276abec-e0f2-11e3-8169-**********",
"type": "Domain"
}
},
"type": "PhysicalInterface",
"name": "Ethernet2/4",
"portType": "DATA",
"adminState": "DISABLED",
"hardware": {
"flowControlSend": "OFF",
"fecMode": "AUTO",
"autoNegState": true,
"speed": "DETECT_SFP",
"duplex": "FULL"
},
"LLDP": {
"transmit": false,
"receive": false
},
"id": "00505686-9A51-0ed3-0000-**********"
}3. Sur l'interface, évaluez la faisabilité de l'opération d'interruption à l'aide de la commande evaluation operation endpoint.
GET /api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/chassisinterfaces/{interfaceUUID}/evaluationoperation
S'il n'y a aucun avertissement/erreur dans la réponse, l'utilisateur peut effectuer une opération d'interruption.
Exemple de réponse :
Si la réponse comporte des erreurs, l'utilisateur n'est pas autorisé à effectuer l'opération d'interruption :
{
"operationType": "BREAKOUT",
"interfaceUsages": [
{
"conflictType": "Interface usage on instance(s)",
"severity": "ERROR", >>>>>>>>>
"description": "Interface Ethernet2/4 can not be split. Remove it from instances [FTD1] and try again.\n"
}
],
"readinessState": "NOT_READY", >>>>>>>>>
"links": {
"self": "https://u32c01p06-vrouter.cisco.com:22542/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-**********/chassis/fmcmanagedchassis/19d967e6-ef81-4f2e-b311-**********/chassisinterfaces/00505686-662F-0ed3-0000-004294969274/evaluateoperation/00505686-662F-0ed3-0000-**********"
},
"type": "ChassisInterface",
"id": "00505686-662F-0ed3-0000-**********"
}4. Si l’interface est capable d’être séparée et que l’état de préparation est « PRÊT », séparez l’interface à l’aide du point d’extrémité des interfaces séparées.
POST /api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/operational/breakoutinterfaces
Demande :
{
"targetInterfaces": [
{
"id": "***************ed3-0000-004294969276",
"metadata": {
"type": "PhysicalInterface"
}
}
],
"type": "BreakoutInterface"
}Réponse :
{
"id": "4294969716",
"type": "TaskStatus",
"links": {
"self": "https://u32c01p06-vrouter.cisco.com:22542/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-**********/job/taskstatuses/4294969716"
},
"taskType": "DEVICE_DEPLOYMENT",
"message": "Deployment status for ************************************: SUCCEEDED",
"status": "Interface notification received"
}5. Suivez l'achèvement de la tâche à l'aide de l'ID de tâche dans la réponse aux interruptions. Définissez l'état de la tâche sur « Notification d'interface reçue ».
GET /api/fmc_config/v1/domain/{domainUUID}/job/taskstatus/{objectId}
{
"metadata": {
"task": {
"id": "4294969699",
"links": {
"self": "https://u32c01p06-vrouter.cisco.com:22542/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-**********/job/taskstatuses/4294969699"
}
}
},
"targetInterfaces": [
{
"id": "00505686-662F-0ed3-0000-**********",
"type": "PhysicalInterface"
}
],
"type": "BreakoutInterface"
}
{
"id": "4294969716",
"type": "TaskStatus",
"links": {
"self": "https://u32c01p06-vrouter.cisco.com:22542/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-**********/job/taskstatuses/4294969716"
},
"taskType": "DEVICE_DEPLOYMENT",
"message": "Deployment status for ************************************: SUCCEEDED",
"status": "Interface notification received"
}6. Récupérez les modifications des interfaces à l’aide du point de terminaison chassisinterfaceevents.
GET /api/fmc_config/v1/domain/{domainUUID}/chassis/ fmcmanagedchassis/{containerUUID}/chassisinterfaceevents
Exemple de réponse :
[
{
"change": "Interface is deleted",
"type": "PhysicalInterface",
"state": "DISASSOCIATED",
"name": "Ethernet2/3"
},
{
"change": "Interface is associated",
"type": "PhysicalInterface",
"state": "ASSOCIATED",
"name": "Ethernet2/3/2"
},
{
"change": "Interface is associated",
"type": "PhysicalInterface",
"state": "ASSOCIATED",
"name": "Ethernet2/3/3"
},
{
"change": "Interface is associated",
"type": "PhysicalInterface",
"state": "ASSOCIATED",
"name": "Ethernet2/3/4"
}
]7. Si la notification d'interface n'est pas reçue, synchronisez le périphérique à l'aide du point de terminaison chassisinterfaceevents et vérifiez que des modifications sont en attente.
POST /api/fmc_config/v1/domain/{domainUUID}/devices/devicerrecords/{containerUUID}/ chassisinterfaceevents
Demande :
{
"action": "SYNC_WITH_DEVICE"
}Réponse :
{
"action": "SYNC_WITH_DEVICE",
"hasPendingChanges": true
}8. Une fois la notification reçue, acceptez les modifications à l'aide du point de terminaison d'événements d'interface de châssis.
POST /api/fmc_config/v1/domain/{domainUUID}/devices/devicerrecords/{containerUUID}/ chassisinterfaceevents
Demande :
{
"action":"ACCEPT_CHANGES"
}
9. Récupérez toutes les interfaces du châssis et recherchez les interfaces séparées (cassées) à l’aide du point d’extrémité des interfaces.
GET /api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/interfaces
Une interface 40G, par exemple eth2/2, est divisée en interfaces 4x10G : eth2/2/1, eth2/2/2, eth2/2/3 et eth2/2/4
Flux REST pour jonction d'interface
1. Vérifiez si l’interface est cassée à l’aide des interfaces/du point d’extrémité des interfaces physiques.
L'opération de jointure est possible uniquement si « isSplitInterface » a la valeur true et mediaType la valeur SFP
GET /api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/interfaces
{
"metadata": {
"supportedSpeed": "TEN_GBPS,DETECT_SFP",
"mediaType": "sfp",
"sfpType": "none",
"isBreakoutCapable": false,
"breakoutFactor": "4",
"isSplitInterface": true,
"timestamp": 1692541554935,
"domain": {
"name": "Global",
"id": "e276abec-e0f2-11e3-8169-**********",
"type": "Domain"
}
},
"type": "PhysicalInterface",
"name": "Ethernet2/3/4",
"portType": "DATA",
"adminState": "DISABLED",
"LLDP": {
"transmit": false,
"receive": false
},
"hardware": {
"flowControlSend": "OFF",
"speed": "DETECT_SFP",
"duplex": "FULL",
"fecMode": "AUTO",
"autoNegState": true
},
"id": "00505686-662F-0ed3-0001-**********"
}2. Évaluez la faisabilité de l'opération Joindre à l'aide du point de terminaison d'opération Évaluer sur l'une des quatre interfaces divisées.
GET /api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/ch assisinterfaces/{interfaceUUID}/evaluationoperation
- S'il n'y a aucun avertissement/erreur dans la réponse, l'utilisateur peut effectuer l'opération Joindre.
{
"operationType": "JOIN",
"readinessState": "READY",
"links": {
"self": "https://u32c01p06-vrouter.cisco.com:22542/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-**********/chassis/fmcmanagedchassis/19d967e6-ef81-4f2e-b311-**********/chassisinterfaces/00505686-662F-0ed3-0001-**********/evaluateoperation/00505686-662F-0ed3-0001-**********"
},
"type": "ChassisInterface",
"id": "00505686-662F-0ed*******************"
}- Si la réponse comporte des erreurs, l'utilisateur n'est pas autorisé à effectuer l'opération de jointure.
{
"operationType": "JOIN",
"interfaceUsages": [
{
"conflictType": "Interface used in EtherChannel Configuration",
"severity": "ERROR",
"description": "Interface (Ethernet2/3/4) referred to in Ether Channel Interface (Port-channel32) configurations will be impacted due to the JOIN operation."
}
],
"readinessState": "NOT_READY",
"links": {
"self": "https://u32c01p06-vrouter.cisco.com:22542/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-*********/chassis/fmcmanagedchassis/19d967e6-ef81-4f2e-b311-********/chassisinterfaces/00505686-662F-0ed3-0001-692539698200/evaluateoperation/00505686-662F-0ed3-0001-***********"
},
"type": "ChassisInterface",
"id": "00505686-662F-0ed*******************"
}3. Si l’interface est endommagée et que l’état de préparation est « READY », connectez-vous à l’interface à l’aide du point de terminaison de jointures. Interface_uuid peut être l'ID de l'une des 4 interfaces cassées.
POST/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/operational/jointinterfaces
Demande :
{
"targetInterfaces": [
{
"id": "***************ed3-0001-692539698200",
"type": "PhysicalInterface"
}
],
"type": "JoinInterface"
}Réponse :
{
"metadata": {
"task": {
"id": "4294970217",
"links": {
"self": "
/api/fmc_config/v1/domain/e27"***************-8169-6d9ed49b625f/job/taskstatuses/4294970217" } } }, "targetInterfaces": [ { "id": "***************ed3-0001-692539698200", "type": "PhysicalInterface" }, { "id": "***************ed3-0001-692539698201", "type": "PhysicalInterface" }, { "id": "***************ed3-0001-692539698202", "type": "PhysicalInterface" }, { "id": "***************ed3-0001-692539698203", "type": "PhysicalInterface" } ], "type": "JoinInterface" }
4. Suivez l'achèvement de la tâche à l'aide de l'ID de tâche dans la réponse de jointure. Définissez l'état de la tâche sur « Notification d'interface reçue ».
GET /api/fmc_config/v1/domain/{domainUUID}/job/taskstatus/{objectId}
Réponse :
{
"id": "4294970237",
"type": "TaskStatus",
"links": {
"self": "https://u32c01p06-vrouter.cisco.com:22542/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-6d9ed49b625f/job/taskstatuses/4294970237"
},
"taskType": "SSP_EPM_OIR",
"message": "Deployment status for 19d967e6-xxxx-xxxx-xxxx-85ff6cef6d3f: SUCCEEDED",
"status": "Interface notification received"
}5. Récupérez les modifications d’interface à l’aide du point de terminaison chassisinterfaceevents.
GET /api/fmc_config/v1/domain/{domainUUID}/devices/devicerrecords/{containerUUID}/chassisinterfaceevents
Réponse :
[
{
"change": "Interface is associated",
"type": "PhysicalInterface",
"state": "ASSOCIATED",
"name": "Ethernet2/3"
},
{
"change": "Interface is deleted",
"type": "PhysicalInterface",
"state": "DISASSOCIATED",
"name": "Ethernet2/3/1"
},
{
"change": "Interface is deleted",
"type": "PhysicalInterface",
"state": "DISASSOCIATED",
"name": "Ethernet2/3/2"
},
{
"change": "Interface is deleted",
"type": "PhysicalInterface",
"state": "DISASSOCIATED",
"name": "Ethernet2/3/3"
},
{
"change": "Interface is deleted",
"type": "PhysicalInterface",
"state": "DISASSOCIATED",
"name": "Ethernet2/3/4"
}
]6. Si la notification d'interface n'est pas reçue, synchronisez le périphérique à l'aide du point de terminaison chassisinterfaceevents et vérifiez que des modifications sont en attente.
POST /api/fmc_config/v1/domain/{domainUUID}/devices/devicerrecords/{containerUUID}/chassisinterfaceevents
Demande :
{
"action":"SYNC_WITH_DEVICE"
}
Réponse :
{
"action":"SYNC_WITH_DEVICE",
"hasPendingChanges":true
}
7. Une fois la notification reçue, acceptez les modifications à l'aide du point de terminaison d'événements d'interface de châssis.
POST /api/fmc_config/v1/domain/{domainUUID}/devices/devicerrecords/{containerUUID}/chassisinterface events
Demande :
{
"action":"ACCEPT_CHANGES"
}
8. Procurez-vous toutes les interfaces du châssis et recherchez les interfaces jointes ainsi que les autres interfaces à l’aide des points d’extrémité des interfaces.
GET /api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/interfaces
Say Join a été lancé sur l'interface 10G dites eth2/2/1, puis une interface 40G eth2/2 est disponible dans la réponse.
API REST du périphérique de synchronisation
Pour prendre en charge la synchronisation du module de réseau ainsi que les interfaces, ces URL ont été introduites.
POST :
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/chassisinterface events
Avec charge utile
{"action" : "SYNC_WITH_DEVICE"} - > Déclenche la synchronisation
{"action" : "ACCEPT_CHANGES"} - > Accepter les modifications
GET :
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/chassisinterface events
Liste les événements modifiés générés
Dépannage / Diagnostics
Journalisation FXOS
Si l'enregistrement échoue, ces CLI FXOS peuvent être utilisées pour vérifier si sftunnel, les processus sfipproxy sont actifs.
firepower# connect local-mgmt
firepower-4215(local-mgmt)# show processes | include sftunnel grep: (standard input): binary file matches
3323 root 20 0 80328 2024 1544 S 0.0 0.0 0:11.53 /opt/cisco/sftunnel/sfipproxy -d –f /etc/sf/sfipproxy.conf
22066 root 20 0 376880 7140 5944 S 0.0 0.0 0:41.18 /opt/cisco/sftunnel/sftunnel -d -f /etc/sf/sftunnel.conf
Si vous utilisez la console de terminal pour l'interface de ligne de commande, assurez-vous que le résultat de la commande show processes n'est pas tronqué en définissant la largeur du terminal sur une valeur appropriée à l'aide de l'interface de ligne de commande suivante :
firepower-4215(local-mgmt)# terminal width 100 Si le processus SFTunnel est en cours d'exécution, mais que l'enregistrement échoue, ces commandes peuvent être utilisées pour rechercher une cause potentielle d'échec.
Introduction d'une nouvelle interface CLI dans FXOS à partir de connect local-mgmt pour afficher les messages syslog dans /opt/cisco/platform/logs/sfmessages
firepower# connect local-mgmt
firepower(local-mgmt)# tail-mgmt-log sfmessages
Dec 9 18:31:17 firepower Ipc [30483]: add ep: 1,0x5613aa0e2fe8 total = 1 Dec 9 18:31:17 firepower Ipc [30483]: add ep: 1,0x5613aa0ec528 total = 2 Dec 9 18:31:17 firepower Ipc [30483]: add ep: 1,0x5613aa0f5ea8 total = 3 Dec 9 18:31:18 firepower SF-IMS[12621]: [12625] sftunneld:SYNC_PROC [INFO] Change in directory /var/sf/sync detected (0 vs 1670610348)
Journalisation FMC
- Si l'enregistrement du périphérique échoue, recherchez usmsharedsvcs.log et vmssharedsvcs.log à cet emplacement et recherchez la chaîne « CHASSIS DISCOVERY » ou « NATIVE_TO_MULTI_INSTANCE » pour trouver la cause potentielle de l'échec.
- Recherchez également dans /var/log/action_queue.log et /var/sf/messages des problèmes de tunnel SFT.
- /var/opt/CSCOpx/MDC/log/operation/usmsharedsvcs.log /var/opt/CSCOpx/MDC/log/operation/vmssharedsvcs.log
- Si l'enregistrement automatique du châssis échoue, recherchez usmsharedsvcs.log et vmssharedsvcs.log et recherchez la chaîne « CHASSIS DISCOVERY » et « NATIVE_TO_MULTI_INSTANCE » pour trouver la cause potentielle de l'échec.
- Si l'enregistrement automatique d'instance échoue, recherchez usmsharedsvcs.log et vmssharedsvcs.log et recherchez la chaîne "MI_FTD_INSTANCE_AUTO_REGISTRATION" pour trouver la cause potentielle de l'échec.
- En cas d'échec de déploiement sur le périphérique, accédez à Déployer -> Historique de déploiement -> Cliquez sur l'échec de déploiement -> Ouvrir la transcription. Ce fichier contient la raison de l'échec.
Dépannage du châssis
FMC prend en charge la génération du dépannage du châssis (FPRM) à partir de la page de gestion des périphériques.
- Comme pour le périphérique FTD, une option de dépannage est disponible pour le périphérique châssis. Elle génère un dépannage du châssis et permet à l'utilisateur de télécharger le bundle de dépannage depuis FMC.
- Le bundle « show tech-support form » du châssis est ainsi collecté :
Options de dépannage du châssis et génération :
Progression et téléchargement du dépannage du châssis :
Exemples de problèmes liés aux procédures pas à pas de dépannage
Enregistrement automatique des défaillances du châssis dans FMC
Problème : L'enregistrement automatique du châssis échoue dans FMC.
Résultat prévu :
- Une fois la conversion démarrée à partir de FMC, il est prévu qu'elle soit désenregistrée et auto-enregistrée dans FMC.
Résultat réel :
- Échec de l'enregistrement automatique du châssis
Résolution du problème
1. Vérifiez la conversion :
- Assurez-vous que la conversion a été déclenchée sur FMC.
- Connectez-vous au périphérique et vérifiez si celui-ci a été converti en mode conteneur.
- Exécutez les commandes pour vérifier si le périphérique a été converti :
firepower# scope sys
firepower /system # show
Systems:
Name Mode Deploy Mode System IP Address System IPv6 Address
---------- ----------- ----------- ----------------- -------------------
firepower Stand Alone Container 192.168.xx.xx ::2. Vérifiez le gestionnaire de périphériques :
- Vérifiez si le gestionnaire de périphériques a été configuré correctement :
firepower# show device-manager
Device manager:
Name: manager
Hostname: 10.10.xx.xx
NAT id: 3ab4bb1a-d723-11ee-a694-89055xxxxxxx
Registration Status: Completed
Error Msg:
- Journaux à vérifier :
3.1. Accédez à /var/opt/CSCOpx/MDC/log/operation/vmssharedsvcs.log et /var/opt/CSCOpx/MDC/log/operation/usmsharedsvcs.log
3.2. Recherchez les mots clés « NATIVE_TO_MI_CONVERSION » et « CHASSIS DISCOVERY » dans les fichiers pour trouver la raison de l’échec.
Enregistrement automatique de l'instance dans FMC
Problème : L'enregistrement automatique de l'instance échoue dans FMC.
Résultat prévu :
- Une fois l'instance provisionnée à partir de FMC, elle doit être automatiquement enregistrée dans FMC
Résultat réel :
- Échec de l'inscription automatique des instances
Résolution du problème
- Assurez-vous que le déploiement a été déclenché après la création de l'instance.
- Si le déploiement n'est pas effectué, assurez-vous de déployer les modifications sur le périphérique.
- En cas d'échec du déploiement, passez à Historique du déploiement -> Cliquez sur Transcription. Vérifiez la raison de l'échec, corrigez et réessayez le déploiement.
- Assurez-vous que l'instance est installée et que son état opérationnel est en ligne. Vous pouvez utiliser la page récapitulative du châssis pour vérifier l'état du provisionnement de l'instance.
- Vérifiez que SFTunnel est actif et en cours d'exécution sur le FTD d'instance à l'aide de cette commande :
ps -ef | grep -i "sftunnel”- Si SFTunnel n'est pas exécuté, essayez d'exécuter une commande de redémarrage :
pmtool restartById sftunnel- Accédez à /var/opt/CSCOpx/MDC/log/operation/vmssharedsvcs.log et /var/opt/CSCOpx/MDC/log/operation/usmsharedsvcs.log
- Recherchez le mot clé « MI_FTD_INSTANCE_AUTO_REGISTRATION » dans le fichier pour trouver la raison de l'échec.
Enregistrement des périphériques natifs dans FMC
Problème : L'enregistrement du périphérique natif échoue dans FMC après la reconversion du périphérique en mode natif
- Si l'utilisateur repasse le châssis (mode MI) en mode natif mais oublie de supprimer le châssis du FMC, le périphérique se déconnecte du FMC.
- Si l'utilisateur tente de réenregistrer ce périphérique natif auprès du FMC, l'enregistrement échoue.
Résolution du problème
- Assurez-vous que l'entrée de châssis a été supprimée du FMC avant de reconvertir le périphérique en mode natif.
- Une fois l'entrée supprimée, essayez de réenregistrer le périphérique natif dans FMC.
Références utiles
- Informations sur les interfaces partagées :
- Page 3100 Multi-Instance sur le site d'assistance Cisco :
Options d'interface et haute disponibilité
Options d'interface
Autonome ou haute disponibilité
Exploitation des deux interfaces de gestion
- Comme le 4200 en mode natif, les deux ports de gestion physiques sont fournis pour prendre en charge la redondance d'interface pour le trafic de gestion, ou pour prendre en charge des interfaces distinctes pour la gestion et les événements.
- Les périphériques 9300 et 4100, ainsi que la gamme 4200, disposent de deux interfaces de gestion. La deuxième interface de gestion, Management 1/2, est conçue pour vous permettre d'utiliser des événements.
- En mode multi-instance (également appelé « conteneur »), vous pouvez configurer cette interface dans l'interface de ligne de commande Threat Defense de chaque instance. Attribuez une adresse IP sur le même réseau pour chaque instance.
- En mode conteneur, les interfaces Management 1/1 et Management 1/2 sont automatiquement attribuées à chaque instance FTD.
- La deuxième interface de gestion est désactivée par défaut.
- Vous ne pouvez pas configurer Management1/2 à l'aide de FMC ; vous devez le configurer via le FTD CLISH (sur le 9300/4100, qui en revanche, se fait dans l'interface de ligne de commande de FXOS). Utilisez cette commande avec le type d'adresse IP, l'adresse, le sous-réseau et la route statique souhaités :
configure network ipv4 manual 192.168.0.xx 255.255.255.0 192.168.0.1 management1 Historique de révision
| Révision | Date de publication | Commentaires |
|---|---|---|
1.0 |
29-Oct-2024 |
Première publication |
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)