Chiarisci ordine di impostazione in linea per FTD su FMC

Opzioni per il download

  • PDF     (2.4 MB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (2.5 MB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.9 MB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:13 febbraio 2024
ID documento:221641

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Questo documento descrive il motivo per cui l'ordine di interfaccia per i set inline è diverso anche se la convenzione di denominazione dell'interfaccia è uguale per tutti i set.

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • Secure Firewall Threat Defense (FTD)
    • Centro gestione firewall protetto (FMC)
    • Sistema operativo flessibile (FXOS) Secure Firewall
    • REST-API

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

    • Secure Firewall Threat Defense versione 7.2.5.1
    • Secure Firewall Manager Center versione 7.2.5.1
    • Secure Firewall Extensible Operating System 2.12(1.48)
    • Secure Firewall Chassis Manager (FCM)

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Analisi

    Esempio di caso

    In questo caso, un FTD con sei (6) interfacce è configurato in coppie inline:

    Ethernet1/1 (Inside-A)
Ethernet1/2 (Outside-A)
Ethernet1/3 (Inside-B)
Ethernet1/4 (Outside-B)
Ethernet1/5 (Inside-C)
Ethernet1/6 (Outside-C)

    Lista interfacce FTDLista interfacce FTD

    Per ogni coppia, è prevista la configurazione degli insiemi in linea da Interno a Esterno, che determina la configurazione successiva:

    Inline Set A: Inside-A <-> Outside-A
Inline Set B: Inside-B <-> Outside-B
Inline Set C: Inside-C <-> Outside-C

    Gli utenti si aspettano che l'ordine delle interfacce venga visualizzato in ordine alfabetico in base al nome logico dell'interfaccia o al nome fisico dell'interfaccia. Tuttavia, questa impostazione determina un ordine diverso, come mostrato nell'immagine seguente:

    Set inline FTDSet inline FTD

    Gli utenti notano che l'insieme in linea C ha un ordine diverso rispetto agli altri due insiemi in linea.

    note-icon

    Nota: è importante notare che l'ordine Inline Set Interface Pair non causa problemi di comunicazione o operativi, tuttavia può essere rilevante per scopi estetici.

    Spiegazione

    L'ordine dell'interfaccia per i set in linea non viene assegnato in base al nome ma in base all'ID, che viene verificato tramite REST-API.

    Passaggio 1. Per verificare questa condizione, è necessario accedere a Esplora API REST di FMC. A tale scopo, accedere alla sintassi dell'URL successiva:

    https://FMC  IP/api/api-explorer

    Esplora API REST FMCEsplora API REST FMC

    Passaggio 2. Passare a Dispositivi ed espandere il menu.

    Menu DispositiviMenu Dispositivi

    Passaggio 3. Passare all'opzione GET per:

    ​/api​/fmc_config​/v1​/domain​/{domainUUID}​/devices​/devicerecords​/{containerUUID}​/inlinesets

    Imposta in linea, opzione GETImposta in linea, opzione GET

    Passaggio 4. Fare clic sul pulsante Prova.

    Pulsante Inline Set GET Try it OutPulsante Inline Set GET Try it Out

    Passaggio 5. Sostituire il campo containerUUID con l'UUID FTD (visualizzato dal comando FTD nella riga di comando dellshow version'FTD) e fare clic su Execute.

    Esecuzione serie inlineEsecuzione serie inline

    Passaggio 6. Scorrere verso il basso fino al corpo della risposta e copiare l'ID dell'interfaccia necessaria per la risoluzione dei problemi, in questo caso Set in linea C.

    "id": "005056B3-BB52-0ed3-0000-021474837838",

    Corpo risposta GET Set inlineCorpo risposta GET Set inline

    Passaggio 7. Passare all'opzione GET per:

    /api/fmc_config/v1/domain/{domainUUID}/devices/devicerecords/{containerUUID}/inlinesets/{objectId}

    Inline Imposta l'ID oggetto GETInline Imposta l'ID oggetto GET

    Passaggio 8. Fare clic sul pulsante Prova.

    Inline Imposta l'ID dell'oggetto GET ProvaInline Imposta l'ID dell'oggetto GET Prova

    Passaggio 9. Sostituire il campo objectId con l'ID acquisito nel passaggio 6 e il contenitoreUUID con l'UUID FTD utilizzato nel passaggio 5. Quindi, fare clic sul pulsante Execute.

    Esecuzione Get Object ID set inlineEsecuzione Get Object ID set inline

    Passaggio 10. Convalidare il corpo della risposta della query REST-API.

    Corpo risposta GET Object ID set inlineCorpo risposta GET Object ID set inline

    L'interfaccia Ethernet1/6 viene aggiunta come primo componente dell'insieme inline, mentre Ethernet1/5 viene aggiunta come secondo componente. Ciò si verifica perché l'ID interfaccia assegnato per Ethernet1/6 è alfabeticamente inferiore a quello di Ethernet1/5. In questo modo viene convalidata la logica utilizzata dal CCP per l'assegnazione dell'interfaccia sui set inline.

    Soluzione alternativa

    Poiché l'ID di interfaccia viene assegnato da FXOS al momento della creazione del dispositivo logico, le interfacce devono essere rimosse a livello FXOS e lette nell'ordine desiderato affinché l'ID venga assegnato nuovamente.

    icona di avviso

    Avviso: la soluzione successiva è applicabile solo alle serie FPR4100 e FPR9300. È necessario ricreare l'immagine di qualsiasi altro hardware Secure Firewall. Inoltre, questa soluzione interrompe il traffico, in questo senso i backup FMC, FTD e FXOS sono fortemente consigliati, così come una finestra di manutenzione pianificata.

    Passaggio 1. Accedere al CCP ed eliminare il set in linea problematico sul percorso successivo:

    Devices > Device Management > Edit the desired FTD > Inline Sets.

    Eliminazione set inlineEliminazione set inline

    Passaggio 2. Salvare le modifiche e distribuire.

    Distribuzione eliminazione set inlineDistribuzione eliminazione set inline

    Passaggio 3. Accedere al dispositivo FCM, selezionare Logical Devices e modificare il dispositivo logico desiderato.

    Modifica dispositivo logicoModifica dispositivo logico

    Passaggio 4. Rimuovere entrambe le interfacce che appartengono al gruppo inline con problemi, che nell'esempio sono Ethernet1/5 ed Ethernet1/6, quindi salvare le modifiche.

    Rimozione interfaccia set inlineRimozione interfaccia set inline

    Passaggio 5. Dal FMC passare a Dispositivi > Gestione dispositivi, modificare l'FTD desiderato e passare alla scheda Interfacce, fare clic sul pulsante Sincronizza dispositivo, salvare le modifiche e distribuire.

    Imposta sincronizzazione FTD in linea dopo la rimozioneImposta sincronizzazione FTD in linea dopo la rimozione

    Passaggio 6. Modificare nuovamente la periferica logica, aggiungere nuovamente la prima interfaccia (Ethernet1/5) e salvare le modifiche.

    Aggiunta Inline Set First InterfaceAggiunta Inline Set First Interface

    Passaggio 7. Fare clic sul Sync Device pulsante, salvare le modifiche e ripetere la distribuzione.

    Sincronizzazione FTD dopo la prima aggiunta di interfacciaSincronizzazione FTD dopo la prima aggiunta di interfaccia

    Passaggio 8. Modificare di nuovo la periferica logica, aggiungere di nuovo la prima interfaccia (Ethernet1/6) e salvare le modifiche.

    Aggiunta Inline Set Second InterfaceAggiunta Inline Set Second Interface

    Passaggio 9. Ripetere il passaggio 5 facendo clic sul Sync Device pulsante, salvando le modifiche e quindi distribuendo.

    Sincronizzazione FTD dopo l'aggiunta della seconda interfacciaSincronizzazione FTD dopo l'aggiunta della seconda interfaccia

    Passaggio 10. Configurare le interfacce con gli stessi parametri di prima e aggiungere nuovamente il set in linea.

    Set inline ConfigurazioneSet inline Configurazione

    Questa volta, l'ordine dell'interfaccia dei set inline viene visualizzato nel modo previsto. Salvare le modifiche e distribuirle una volta sola.

    note-icon

    Nota: la sezione Esempio di richiesta di questo documento deve essere eseguita un'altra volta per verificare che gli ID delle interfacce siano nell'ordine corretto.

    Informazioni correlate

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    2.0
    13-Feb-2024
    Release iniziale
    1.0
    12-Feb-2024
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Carlos Eduardo Arteaga Portillo
      Tecnico di consulenza tecnica sulla sicurezza Cisco

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti