FTD 7.6搭載Firepower 4200のコンテナ(MIモード)への変換
内容
はじめに
このドキュメントでは、FTD 7.6を搭載したFirepower 4200ファイアウォールシリーズでコンテナ(マルチインスタンスモード)を設定する方法と関連する詳細について説明します。
前提条件、サポートされるプラットフォーム、ライセンス
最低限のソフトウェアおよびハードウェアプラットフォーム
注意:マルチインスタンスは、どのプラットフォームでもFDMではサポートされていません。
ライセンス
- 機能ライセンスは各インスタンスに手動で割り当てられますが、使用するライセンスは4200シリーズのデバイスごとに機能ごとに1つだけです。
- たとえば、3つのFTDインスタンスを持つ1つの4200シリーズの場合、同じFMC上で使用すれば、使用中のインスタンス数に関係なく、必要なURLライセンスは1つだけです。
- すべてのライセンスは、同じFMC上にある場合、4200シリーズのデバイスごとに消費され、コンテナインスタンスごとに消費されることはありません。したがって、4200シリーズデバイス上のすべてのインスタンスでは、ライセンスの実装のために同じFMCを使用することを推奨します。
使用するコンポーネント
このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
- FTDでは、3100モデル(および9300および4100シリーズ)でマルチインスタンス(MI)がすでにサポートされていますが、4200シリーズではサポートされていません。
- 4200モデルは、FMCのネイティブモードでのみサポートされています。
- 4200の7.4.xには、複数のインスタンスを作成する機能はありません。
- 3100でのマルチインスタンス(MI)は7.4.1でサポートされています。
- インスタンスはFMCを使用して作成および管理できます(FCMを使用する必要がある9300および4100シリーズとは異なります)。
- FXOSは、MIモードのときは、FMCのUpgrade Chassis GUIを使用して更新できます。
- MIモードへの変換はCLIを介して行われます。
最新情報
- 4200シリーズでは、MIインスタンスをプロビジョニングおよび管理できます。
- FMC:4200シリーズ(MIモード)およびFTDインスタンス用の単一管理ソリューション
- 3100および4200シリーズのデバイスでは、FMC上でネイティブデバイスをMIモードにシングルおよびバルク変換できます。
- ターゲット市場:エンタープライズ/大規模企業 – インターネットエッジ、データセンター
FTDマルチインスタンスをサポートするプラットフォーム
3100シリーズと4200シリーズの違い
- 4200には2つの管理インターフェイスがあり、一方を管理用、もう一方をイベント用に使用できます。
- Management1/1インターフェイスとManagement1/2インターフェイスの両方が、すべてのFTDコンテナインスタンスにブートストラップされます。
- 一方または両方の管理インターフェイスをMIモードで使用できます。
- Management1/1(管理とイベントの両方)、または
- Management1/1は管理に使用され、Management1/2はイベントに使用されます。この場合、次のようになります。
- Management 1/2インターフェイスを使用してトラフィックをルーティングするには、スタティックルートを定義する必要があります。
- サイズが大きいため、3100よりも多くのインスタンスを4200で作成できます。
サポートされる展開
- スタンドアロンFTDインスタンスで4200シリーズ(MIモード)を管理
- HA FTDインスタンスを使用した4200シリーズ(MIモード)の管理*
注:FPR4100シリーズでは、FTD-HAの場合、プライマリノードとセカンダリノードは2つの異なる4200シリーズ(MIモード)デバイス上にある必要があります。また、このリリースではMIクラスタリングはサポートされていません。
機能説明とウォークスルー
7.6.0でのマルチインスタンス設定の変更:
- MIモードでの4200シリーズのサポート
- 3100シリーズのMIモード管理に関連するFMCの変更:
- FMCでのネイティブモードからMIモードへのデバイスの変換
- デバイスがMIモードに変換できるかどうかを確認する準備状況のチェック
- 変換後にFMCでFTDインスタンスを自動登録
4200シリーズインスタンスの仕様
最大インスタンスサポート
インスタンス密度は、次の2つの主な要因によって決まります。
1. 特定のプラットフォーム上のCPUコアの量とディスク容量
2. インスタンスにプロビジョニングできるリソースの数。最小のインスタンスサイズには、3つの物理CPU(6つの論理)コアと48 GBのディスク領域が必要です。
FTDインスタンスのサイズ
Lina(データプレーン)Snortコア割り当て
| 4215 |
4225 |
4245 |
||||
| インスタンスサイズ |
データプレーンコア |
Snortコア |
データプレーンコア |
Snortコア |
データプレーンコア |
Snortコア |
| 6 |
2 |
2 |
2 |
2 |
2 |
2 |
| 8 |
2 |
4 |
2 |
4 |
2 |
4 |
| 10 |
4 |
4 |
4 |
4 |
4 |
4 |
| 12 |
4 |
6 |
4 |
6 |
4 |
6 |
| 14 |
6 |
8 |
6 |
6 |
6 |
6 |
| 16 |
6 |
8 |
6 |
6 |
8 |
8 |
| 18 |
8 |
10 |
8 |
8 |
8 |
10 |
| 20 |
8 |
10 |
8 |
8 |
10 |
10 |
| 22 |
10 |
12 |
10 |
10 |
10 |
12 |
| 24 |
12 |
12 |
10 |
10 |
10 |
12 |
| 26 |
12 |
14 |
12 |
12 |
12 |
12 |
| 28 |
14 |
14 |
12 |
14 |
12 |
14 |
| 30 |
14 |
16 |
14 |
14 |
14 |
14 |
| 32 |
14 |
16 |
14 |
16 |
14 |
16 |
| 34 |
16 |
16 |
16 |
16 |
16 |
16 |
| 36 |
16 |
18 |
16 |
18 |
16 |
18 |
| 38 |
18 |
18 |
18 |
18 |
18 |
18 |
| 40 |
18 |
20 |
18 |
20 |
18 |
20 |
| 42 |
20 |
20 |
20 |
20 |
20 |
20 |
| 44 |
20 |
22 |
20 |
22 |
20 |
22 |
| 46 |
22 |
22 |
22 |
22 |
22 |
22 |
| 48 |
22 |
24 |
22 |
24 |
22 |
24 |
| 50 |
24 |
24 |
24 |
24 |
24 |
24 |
| 52 |
24 |
26 |
24 |
26 |
24 |
26 |
| 54 |
26 |
26 |
26 |
26 |
24 |
26 |
| 56 |
26 |
28 |
26 |
28 |
26 |
28 |
| 58 |
28 |
28 |
28 |
28 |
28 |
28 |
| 60 |
28 |
30 |
28 |
39 |
28 |
30 |
| 62 |
30 |
30 |
30 |
30 |
30 |
30 |
| 64 |
30 |
32 |
30 |
32 |
||
| 66 |
30 |
34 |
30 |
34 |
||
| 68 |
32 |
34 |
32 |
34 |
||
| 70 |
32 |
36 |
32 |
36 |
||
| 72 |
34 |
36 |
34 |
36 |
||
| 74 |
34 |
38 |
34 |
38 |
||
| 76 |
36 |
38 |
36 |
38 |
||
| 78 |
36 |
40 |
36 |
40 |
||
| 80 |
38 |
40 |
38 |
40 |
||
| 82 |
38 |
42 |
38 |
42 |
||
| 84 |
40 |
42 |
40 |
42 |
||
| 86 |
40 |
44 |
40 |
44 |
||
| 88 |
42 |
44 |
42 |
44 |
||
| 90 |
42 |
46 |
42 |
46 |
||
| 92 |
44 |
46 |
44 |
46 |
||
| 94 |
44 |
48 |
44 |
48 |
||
| 96 |
46 |
48 |
46 |
48 |
||
| 98 |
46 |
50 |
46 |
50 |
||
| 100 |
48 |
50 |
48 |
50 |
||
| 102 |
48 |
52 |
48 |
52 |
||
| 104 |
50 |
52 |
50 |
52 |
||
| 106 |
50 |
54 |
50 |
54 |
||
| 108 |
52 |
54 |
52 |
54 |
||
| 110 |
52 |
56 |
52 |
56 |
||
| 112 |
54 |
56 |
54 |
56 |
||
| 114 |
54 |
58 |
54 |
58 |
||
| 116 |
56 |
58 |
56 |
58 |
||
| 118 |
56 |
60 |
56 |
60 |
||
| 120 |
58 |
60 |
58 |
60 |
||
| 122 |
58 |
62 |
58 |
62 |
||
| 124 |
60 |
62 |
60 |
62 |
||
| 128 |
60 |
64 |
||||
| 130 |
60 |
66 |
||||
| 132 |
62 |
66 |
||||
| 134 |
62 |
68 |
||||
| 136 |
64 |
68 |
||||
| 138 |
64 |
70 |
||||
| 140 |
66 |
70 |
||||
| 142 |
66 |
72 |
||||
| 144 |
68 |
72 |
||||
| 146 |
68 |
74 |
||||
| 148 |
70 |
74 |
||||
| 150 |
70 |
76 |
||||
| 152 |
72 |
76 |
||||
| 154 |
72 |
78 |
||||
| 156 |
74 |
78 |
||||
| 158 |
74 |
80 |
||||
| 254 |
120 |
130 |
設定
設定の概要
- FMCに4200シリーズ(ネイティブモード)デバイスを登録します。
- 新しいFMCで、デバイスを選択し、ネイティブからMIモードに変換します。
- 新しいMIシャーシは、変換後にFMCに自動登録されます。
- 物理インターフェイスを更新します。
- FTDインスタンスを作成し、インターフェイスを割り当てます。
- FMCからポートチャネルとサブインターフェイスを作成/更新/削除します。
- プラットフォームの設定を行います。
- 設定変更をデバイスに導入します。
- FTDインスタンスがFMCに自動登録されます。
FMCで4200シリーズをマルチインスタンスモードに変換
デフォルトでは、4200はネイティブモードです。FMCで4200シリーズをマルチインスタンスモードに変換するには
- デバイスに接続し、マネージャを作成します(すでに文書化されています)。
- ネイティブデバイスをFMCに登録します(すでに文書化されています)。
- FMCを使用したマルチインスタンスへの変換
- FMCで、マルチインスタンスに変換する必要があるデバイスを選択し、変換をトリガーします。1つまたは複数のデバイスを選択できます。
注:ネイティブモードからMIモードに切り替えると、シャーシのすべての設定がリセットされます。MIモードからネイティブモードへの変換は、引き続きCLIを介して行われます。
単一のデバイスの変換
1. 変換を開始するには、デバイス>デバイス管理に移動します。
2. 選択したデバイスを検証し、Continueをクリックします。
選択したデバイスの検証
- 準備状況の確認と初期変換:
準備状況のチェック
複数のデバイスを変換する(一括変換)
- デバイスの選択:
- 選択の確認:
- 準備状況の確認と変換の開始:
進行状況の監視と完了
- 変換の開始通知:
- シャーシの自動登録:
- 変換後の通知:
4200シリーズ(MIモード)デバイスをリストした結果のデバイス管理ページ:
FMCシャーシの概要ページ
FMCシャーシ概要ページの概要
FMC Chassis Overviewページには、4200シリーズ(MIモード)デバイスの完全な要約が表示されます。内容は以下を含みます。
- 利用可能なネットワークモジュールを含む、デバイスの背面パネルの画像。
- 障害の概要、およびその重要度。
- インターフェイスの概要、ステータス。
- FTDインスタンスのサマリー、ステータス。
- ハードウェアの統計情報(ファン、電源、メモリ、CPU使用率、ストレージなど)。
Manageをクリックして、Chassis Overviewに移動します。
シャーシページの概要タブ:
ChassisページのSummaryタブセクション
[概要]タブにはセクションがあります。クリックして詳細を表示:
- バックプレーン
- 障害
- インターフェイス
- インスタンス
- ハードウェア統計
セクションは、次の図に示すように番号別にマッピングされます。
1. バックプレーンビュー:
2. 障害セクション:
3. インターフェイスセクション:
4. インスタンスセクション:
前の図に、オフラインからオンラインへのインスタンスの移行を示します。
- プロビジョニング後(1)
- インスタンスはオンラインになるまでオフラインである(2)
- 中間状態も反映される(3)
5. ハードウェア統計:
インターフェイスの管理
「インタフェース」タブでサポートされる操作:
- 物理インターフェイスのアップデート。
- サブインターフェイスの作成/更新/削除
- EtherChannelインターフェイスの作成、更新、削除
- インターフェイス設定を同期します。
- ネットワークモジュールのOIR。
- 物理インターフェイスの切断/結合。
「インタフェース」タブの要約
Interfacesタブのランディングページには、物理インターフェイス、サブインターフェイス、EtherChannel、EtherChannelサブインターフェイスなど、シャーシで管理されるすべてのタイプのインターフェイスが表示されます。
物理インターフェイス設定の変更
物理インターフェイスの次の属性を更新できます。
- 状態(有効/無効)
- ポートタイプ(データ|データ共有)
- 管理デュプレックス
- 管理速度
- 自動ネゴシエーション
サブインターフェイスの管理
Addボタンからサブインターフェイスオプションを選択して、新しいインターフェイスを追加します。
サブインターフェイスの次のアトリビュートを変更できます。
- 親インターフェイス
- ポートタイプ(データ/データ共有)
- サブインターフェイスID
- VLAN ID
EtherChannelの管理
新しいEtherChannelインターフェイスを作成するには、Addボタンの下にある「EtherChannel interface」を使用します。
EtherChannelに設定できる属性は次のとおりです。
- イーサチャネルID
- ポートタイプ(データ/データ共有)
- メンバーインターフェイス
- 管理速度
- 管理デュプレックス
- LACPモード
- LACPレート
- 自動ネゴシエーション
デバイス設定の同期
FMCの設定とデバイスの設定が同期されない場合があります。1つのケースは、ユーザがnetmodを削除または挿入した場合です。このような場合、同期デバイスを実行できます。
Netmodホットスワップ/ブレイクアウトサポート
ドキュメントで使用されている「ホットスワップ」は、他の内部ドキュメントでは活性挿抜(OIR)と呼ばれています。
ネットワークモジュールのイネーブル/ディセーブル時、またはインターフェイスのブレークや参加の際に、すぐに展開されます。マルチインスタンスモードは、ネイティブモードの4200シリーズと同じです。
FMCは、受信した応答を現在の設定と比較し、ユーザが確認応答するためのインターフェイス変更通知を作成します。
4200ネイティブはEPMホットスワップおよびブレークアウトをサポート
EPM OIRおよびブレークアウトは、スタンドアロンのネイティブモードのセキュアファイアウォール4200シリーズのスタンドアロンですでにサポートされています。
4200シリーズEPM OIRおよびブレークアウトFMCドキュメント:
OIR: EPMの有効化/無効化の確認
ユーザがモジュールの有効化に切り替えると、誤ってクリックしていないことを確認する警告が表示されます。
EPM使用可能完了:インタフェース通知を受信しました
- EPMを有効にすると、新しいインターフェイスがデバイスに関連付けられます。
- FMCは、関連付けられたインターフェイスに関する通知を受信します。
- FMCで、ユーザは変更を受け入れる必要があります。
次のスクリーンショットは、関連付けられたインターフェイスを表示するオプションを示しています。
EPMインタフェース変更通知
「インタフェースのリスト」ページには、EPMが使用可能なときに追加されるインタフェースがリストされます。詳細を確認するには、ここをクリックして[インターフェイスの変更]ダイアログを開きます。
保存後に詳細が利用できないかどうかを確認するには、ここをクリックします。
シャーシページのブレーク/参加オプション
インターフェイスのブレーク確認ウィザードは、ブレークオプションがトリガーされると起動します。
インターフェイスのブレークが確認された後、シャーシのページにインターフェイスのアップデート通知が表示されます。
ブレーク/ジョイン後のインターフェイスの変更
Accept Changesをクリックすると、使用するFMCで次のインターフェイスが使用可能になります。
インターフェイス変更によるインスタンスへの影響
インスタンス管理
Instance Managementでは、次のことが可能です。
- 4200シリーズ(MIモード)デバイス上の既存のすべてのFTDインスタンスとその詳細を表示します。
- 目的のCPUコアとソフトウェアバージョンでFTDインスタンスを作成/更新します。
- 既存のFTDインスタンスを削除します。
- ユーザはFTDポリシー(FTDインスタンスのアクセスポリシーとプラットフォーム設定ポリシー)を選択できます。
- FTDインスタンスがオンラインになったら、それをFMCに自動登録します。
インスタンスの作成
Add Instanceをクリックしてウィザードを起動します。
ステップ 1:契約:
ステップ 2:
- インスタンス設定の基本:
- インスタンス構成IP:
ステップ 3:インターフェイス割り当て:
ステップ 4:デバイス管理:
ステップ 5:要約:
設定を完了するには、保存して展開します。
導入の成功後のFTDインスタンスの自動登録:
Management Centerに登録されているインスタンス:
インスタンスの編集
鉛筆アイコンをクリックして、FTDインスタンスを編集します。
ステップ 1:FTDインスタンスの編集:
ステップ2:インスタンスのインターフェイス割り当てを編集する:
ステップ 3:編集インスタンスの概要:
インスタンスの削除
SNMP の設定(SNMP Configuration)
SNMPを設定するには、システム設定タブに移動します。
シャーシのインポート/エクスポート
設定のエクスポート
Manage Chassis > System Configuration > Import/Exportの順に選択します。
設定のインポート
Manage Chassis > System Configuration > Import/Exportの順に選択します。
シャーシのインポート/エクスポートに関する注意事項
- シャーシ上の既存の設定はすべて、インポートされたファイル内の設定に置き換えられます。
- 構成がインポートされるプラットフォームソフトウェアのバージョンは、エクスポートされたバージョンと同じである必要があります。
- 設定をインポートするシャーシには、エクスポートを実行したときにインストールされたネットワークモジュールの数と同じ数のモジュールが必要です。
- 設定がインポートされるシャーシには、論理デバイス用に同じアプリケーションイメージがインストールされている必要があります。
- アプリケーション固有の構成設定はエクスポートされません。シャーシ構成のみがエクスポートされます。
- FTDインスタンスのバックアップは個別に行う必要があります。
シャーシプラットフォーム設定ポリシー
シャーシプラットフォーム設定ポリシーを使用すると、次のプラットフォーム固有の設定を行うことができます。
- 時刻同期(NTP)
- DNS
- Syslog
- タイムゾーン
- 新しい「Chassis Platform Setting」ポリシーを作成し、複数の4200シリーズ(MIモード)シャーシに割り当てることができます。
ヒント:シャーシプラットフォームの設定は、シャーシにのみ適用されます。インスタンスにプラットフォーム設定を適用する場合は、脅威対策プラットフォーム設定ポリシーを使用できます。
1. シャーシプラットフォーム設定ポリシーに移動します。
2. シャーシプラットフォーム設定を作成します。
3. シャーシプラットフォーム設定ポリシーページ:
シャーシプラットフォームの設定:DNS
シャーシプラットフォーム設定ポリシーのDNSセクションのDNSサーバグループの有効化と追加:
シャーシプラットフォームの設定:SSH
- シャーシプラットフォーム設定ポリシーのSSHセクションでSSHサーバをイネーブルにして追加します。
- SSHクライアントの有効化と追加:
シャーシプラットフォームの設定:SSHアクセスリスト
このタブは、「シャーシプラットフォームの設定」の「SSH」セクションでSSHを有効にした後にのみ表示されます。
- SSHアクセスリストを作成します。
- SSHアクセスリストのネットワークオブジェクトを追加します。
- 新しいネットワークオブジェクトを追加します。
- ネットワークオブジェクトの表示:
- ネットワークオブジェクトを選択:
- ネットワークオブジェクトは、次の図に示すように作成できます。
- 追加されたネットワークオブジェクトの表示:
シャーシプラットフォームの設定:時刻の同期
時刻の同期は、次の2つの方法で実行できます。
- Management CenterからのNTP経由
- カスタムNTPサーバ
Management CenterからのNTP
カスタムNTPサーバ
シャーシプラットフォームの設定:タイムゾーン
タイムゾーンの設定:
シャーシプラットフォーム設定:Syslog
- Syslog Local Destinationsタブ:
- Syslogのリモート接続先タブ:
- Syslog Local Sourcesタブ:
シャーシプラットフォームの設定:保存と展開
シャーシプラットフォーム設定の変更を保存し、展開します。
シャーシの登録解除
FMCからシャーシの登録を解除するには、Devices > Device Management > deleteの順に選択します。
マルチインスタンスからネイティブモードへの変換
現在、FMCはネイティブからマルチインスタンスへの変換のみをサポートしています。したがって、デバイスをネイティブモードに戻すには、ユーザはCLIを使用する必要があります。
ステップ1:FMCからシャーシの登録を解除します。
ステップ2:次のCLIコマンドを使用して、4200シリーズのデバイスをネイティブモードに変換します。
firepower-4215# scope system
firepower-4215 /system # set deploymode native
FMC Rest API
FMCパブリックREST APIは、FMCからサポートされるすべての操作で使用できます。
ネイティブからマルチインスタンスへの変換のためのREST API
ネイティブ・デバイスがマルチインスタンス変換に対応しているかどうかを確認するためのPOST API:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/operational/switchmodereadinesscheck
サンプルPOSTリクエストJSON:
{
"devices": [
{
"id": "DeviceUUID",
"type": "Device"
}
],
"conversionType": "NATIVE_TO_MULTI_INSTANCE"
}シングルネイティブからマルチインスタンスへの変換をトリガーするPOST API:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/operational/switchmode
サンプルPOSTリクエストJSON:
{
"items": [
{
"id": "
", "displayName": "Sample_Chassis_Name1" } ], "conversionType": "NATIVE_TO_MULTI_INSTANCE" }
POST APIを使用して、ネイティブからマルチインスタンスへの一括の変換をトリガーする。
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/operational/switchmode
サンプルPOSTリクエストJSON:
{
"items": [
{
"id": "
", "displayName": "Sample_Chassis_Name1" }, { "id": "
", "displayName": "Sample_Chassis_Name2" } ], "conversionType": "NATIVE_TO_MULTI_INSTANCE" }
シャーシ管理用REST API
POST管理センターへのシャーシの追加:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis
すべてのシャーシを取得:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/
uuidによる特定のシャーシの取得:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{objectId}
uuidによるシャーシの削除:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{objectId}
サンプルPOSTリクエストJSON:
{
"type": "FMCManagedChassis",
"chassisName": "CHASSIS123",
"chassisHostName": "192.168.xx.74",
"regKey": "*****"
}Netmods(ネットワークモジュール)管理用のREST API
uuidによるネットワークモジュールの取得:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/networkmodules/{objectId}
すべてのネットワークモジュールを取得:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/networkmodules/
PUT:uuidによる既存のネットワークモジュールの編集:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/networkmodules/{objectId}
PUT - FXOSからネットワークモジュールデータを取得し、Management Centerを更新します。
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/operational/syncnetworkmodule
サンプルGET応答
{
"metadata": {
"timestamp": 1688670821060,
"domain": {
"name": "Global",
"id": "e276abec-e0f2-11e3-8169-************",
"type": "Domain"
}
},
"links": {
"self": "https://u32c01p10-vrouter.cisco.com:32300/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-************/chassis/fmcmanagedchassis/f0f11b69-4229-4025-b0b9-************/networkmodules/0050568A-3F3F-0ed3-0000-0************"
},
"id": "0050568A-3F3F-0ed3-0000-************",
"moduleState": "ENABLED",
"type": "NetworkModule",
"description": "Cisco FPR 8X1G 8X10G 1RU Module",
"model": "FPR-3120",
"operationState": "ok",
"numOfPorts": 16,
"slotId": "1",
"vendor": "Cisco Systems, Inc.",
"name": "Network Module 1"
}インスタンス管理用REST API
POST管理センターへのシャーシの追加:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/logicaldevices
すべてのシャーシを取得:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/logicaldevices
uuidによる特定のインスタンスの取得:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/logicaldevices/{objectId}
PUT - uuidによるインスタンスの編集:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/logicaldevices/{objectId}
uuidによるシャーシの削除:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/logicaldevices/{objectId}
サンプルPUT要求:
{
"name": "ftd1",
"operationalState": "string",
"deviceRegistration": {
"licenseCaps": [
"MALWARE",
"URLFilter",
"CARRIER",
"PROTECT"
],
"accessPolicy": {
"name": "AC Policy name",
"id": "
", "type": "AccessPolicy" }, "deviceGroup": { "name": "DeviceGroup name", "id": "
", "type": "DeviceGroup" } }, "managementBootstrap": { "ipv4": { "gateway": "192.168.xx.68", "ip": "192.168.xx.78", "mask": "255.255.255.0" }, "adminState": "enable", "firepowerManagerIP": "192.168.xx.32", "permitExpertMode": "yes", "searchDomain": "string", "firewallMode": "Routed", "dnsServers": "192.168.xx.123", "natId": "natId", "registrationKey": "regKey", "adminPassword": "adminPwd", "fqdn": "fqdn" }, "externalPortLink": [ { "name": "Ethernet1/1", "id": "
", "type": "ChassisInterface" }, { "name": "Ethernet2/2.1", "id": "
", "type": "ChassisInterface" } ], "type": "LogicalDevice" }
SNMP管理用REST API
uuidによるSNMP設定の取得:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/snmpsettings/{objectId}
すべてのSNMP設定を取得します。
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/snmpsettings/
PUT:既存のネットワークモジュールをuuidで編集します。
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/snmpsettings/{objectId}
GET応答の例:
{
"snmpAdminInstance": {
"id": "logicalDeviceUuid",
"type": "LogicalDevice",
"name": "ftd3"
},
"id": "snmpsettingsUUID2",
"type": "SnmpSetting"
}要約を取得するREST API
このリストには、サマリーをフェッチするためのREST APIに関する詳細情報が含まれています。
- 障害
- インスタンス
- インベントリ
- インターフェイス
- アプリ情報
シャーシのGET障害サマリー:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/faultsummary
サンプル応答:
{
"links": {
"self": "
/api/fmc_config/v1/domain/domainUUID/chassis/fmcmanagedchassis/containerUUID/faultsummary?offset=0&limit=25&expanded=true" }, "items": [ { "faultList": [ { "id": 27429, "isAcknowledged": "no", "cause": "device-registration-pending", "gateway": "3::1", "ip": "3::2", "prefixLength": "33" } ], "managementPort": "Management1", "operationalState": "online", "adminState": "enabled", "deployType": "container" } ], "modifiedTime": "2022-07-05T06:39:25Z", "type": "InstanceSummary" ], "paging": { "offset": 0, "limit": 25, "count": 1, "pages": 1 } }
シャーシのGETインスタンスの概要:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/instancesummary
サンプル応答:
{
"links": {
"self": "
/api/fmc_config/v1/domain/domainUUID/chassis/fmcmanagedchassis/containerUUID/instancesummary?offset=0&limit=25&expanded=true" }, "items": [ { "instanceList": [ { "name": "ftdmi2", "startupVersion": "7.3.0.1402", "coresUsed": 6, "ipv4": { "gateway": "192.168.xx.68", "ip": "192.168.xx.78", "mask": "255.255.255.0" }, "ipv6": { "gateway": "3::1", "ip": "3::2", "prefixLength": "33" }, "managementPort": "Management1", "operationalState": "online", "adminState": "enabled", "deployType": "container" } ], "modifiedTime": "2022-07-05T06:39:25Z", "type": "InstanceSummary" } ], "paging": { "offset": 0, "limit": 25, "count": 1, "pages": 1 } }
シャーシのインベントリの概要を取得:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/inventorysummary
サンプル応答:
{
"links": {
"self": "
/api/fmc_config/v1/domain/domainUUID/chassis/fmcmanagedchassis/containerUUID/inventorysummary?offset=0&limit=25&expanded=true" }, "items": [ { "fanList": [ { "operationalState": "operable", "operability": "operable", "power": "on", "thermalStatus": "ok", "module": 1, "tray": 1, "id": 1, "model": "N/A", "vendor": "N/A" }, { "operationalState": "operable", "operability": "operable", "power": "on", "thermalStatus": "ok", "module": 1, "tray": 1, "id": 2, "model": "N/A", "vendor": "N/A" } ], "powerSupplyList": [ { "id": 2, "operationalState": "operable", "operability": "operable", "serialNumber": "***********", "thermalStatus": "ok", "model": "FPR2K-PWR-AC-400", "vendor": "Cisco Systems, Inc" } ], "processorList": [ { "id": 1, "operationalState": "operable", "operability": "operable", "vendor": "AuthenticAMD", "model": "49 AMD EPYC 7282 16-Core Processor", "type": "CPU", "thermalStatus": "ok" } ], "securityModuleList": [ { "id": 1, "operationalState": "ok", "operability": "operable", "serialNumber": "***********", "vendor": "Cisco Systems, Inc", "model": "FPR-3120", "availableCores": 24, "totalCores": 32 } ], "memoryList": [ { "capacity": 65536, "id": 1, "array": 1, "bank": 0, "model": "HMAA8GR7AJR4N-XN", "operationalState": "operable", "operability": "operable", "performance": "ok", "power": "not-supported", "serialNumber": "********", "thermalStatus": "ok", "vendor": "Hynix" } ], "model": "FPR-3120", "availableCores": 24, "totalCores": 32 } ], "paging": { "offset": 0, "limit": 25, "count": 1, "pages": 1 } }
シャーシのインターフェイスサマリーを取得します。
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/interfacesummary
サンプル応答:
{
"links": {
"self": "
/api/fmc_config/v1/domain/domainUUID/chassis/fmcmanagedchassis/containerUUID/interfacesummary?offset=0&limit=25" }, "items": [ { "interfaceList": [ { "name": "Ethernet1/8", "operationalState": "up", "adminState": "disabled", "portType": "data", "operationalSpeed": "10mbps", "adminSpeed": "1gbps", "adminDuplex": "fullDuplex", "autoNegotiation": "yes", "mediaType": "rj45", "type": "PhysicalInterface" }, { "name": "Ethernet1/7", "operationalState": "up", "adminState": "disabled", "portType": "data", "operationalSpeed": "1gbps", "adminSpeed": "1gbps", "adminDuplex": "fullDuplex", "autoNegotiation": "yes", "mediaType": "rj45", "type": "PhysicalInterface" }, { "name": "Ethernet1/6", "operationalState": "up", "adminState": "disabled", "portType": "data", "operationalSpeed": "1gbps", "adminSpeed": "1gbps", "adminDuplex": "fullDuplex", "autoNegotiation": "yes", "mediaType": "rj45", "type": "PhysicalInterface" }, { "name": "Ethernet1/3", "operationalState": "up", "adminState": "disabled", "portType": "data", "operationalSpeed": "1gbps", "adminSpeed": "1gbps", "adminDuplex": "fullDuplex", "autoNegotiation": "yes", "mediaType": "rj45", "type": "PhysicalInterface" }, { "name": "Ethernet1/2", "operationalState": "up", "adminState": "enabled", "portType": "data", "operationalSpeed": "1gbps", "adminSpeed": "1gbps", "adminDuplex": "fullDuplex", "autoNegotiation": "yes", "mediaType": "rj45", "type": "PhysicalInterface" }, { "name": "Ethernet1/1", "operationalState": "up", "adminState": "enabled", "portType": "data", "operationalSpeed": "1gbps", "adminSpeed": "1gbps", "adminDuplex": "fullDuplex", "autoNegotiation": "yes", "mediaType": "rj45", "type": "PhysicalInterface" }, { "name": "Port-channel48", "operationalState": "up", "adminState": "enabled", "portType": "data", "operationalSpeed": "1gbps", "adminSpeed": "1gbps", "adminDuplex": "fullDuplex", "autoNegotiation": "yes", "mediaType": "rj45", "type": "EtherChannelInterface" } ], "modifiedTime": "2022-07-05T06:39:25Z", "type": "InterfaceSummary" } ], "paging": { "offset": 0, "limit": 25, "count": 1, "pages": 1 } }
シャーシのアプリ情報の取得:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID} /inventorysummary
サンプル応答:
{
"links": {
"self": "
/api/fmc_config/v1/domain/domainUUID/chassis/fmcmanagedchassis/containerUUID/appinfo?offset=0&limit=25&expanded=true" }, "items": [ { "appVersion": "7.4.0.1024", "type": "AppInfo" }, { "appVersion": "7.4.0.1075", "type": "AppInfo" } ], "paging": { "offset": 0, "limit": 25, "count": 1, "pages": 1 } }
インターフェイス管理用REST API
このセクションでは、インターフェイスコンフィギュレーション管理のREST APIについて詳しく説明します。
- インターフェイス設定の変更に使用されるURL
- インターフェイスのブレーク/ジョインに使用されるURL
- 同期デバイスの構成に使用するURL
物理インターフェイスの更新
物理インターフェイスのアップデートをサポートするために、次のURLが導入されました。
すべての物理インターフェイスの取得:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/physicalinterfaces
インターフェイスuuidによって特定の物理インターフェイスを取得します。
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/physicalinterface s/{interfaceUUID}
インターフェイスuuidでインターフェイスを更新します。
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/physicalinterface s/{interfaceUUID}
物理インターフェイスモデルは次のようになります。
{
"metadata": {
"supportedSpeed": "TEN_GBPS,ONE_GBPS,TWENTY_FIVE_GBPS,DETECT_SFP",
"mediaType": "sfp",
"sfpType": "none",
"isBreakoutCapable": false,
"isSplitInterface": false,
"timestamp": 1692344434067,
"domain": {
"name": "Global",
"id": "e276abec-e0f2-11e3-8169-**********",
"type": "Domain"
}
},
"type": "PhysicalInterface",
"name": "Ethernet2/2",
"portType": "DATA",
"adminState": "DISABLED",
"hardware": {
"flowControlSend": "OFF",
"fecMode": "AUTO",
"autoNegState": true,
"speed": "DETECT_SFP",
"duplex": "FULL"
},
"LLDP": {
"transmit": false,
"receive": false
},
"id": "*************************************"
}サブインターフェイスの設定
サブインターフェイスの管理をサポートするために、次のURLが導入されました。
すべてのサブインターフェイスを取得:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/subinterfaces
インターフェイスuuidによって特定のサブインターフェイスを取得します。
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/subinterfaces/{interfaceUUID}
新しいサブインターフェイスの投稿:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/subinterfaces
インターフェイスuuidによるインターフェイスの更新:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/subinterfaces/{interfaceUUID}
インターフェイスuuidによってサブインターフェイスを削除します。
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/subinterfaces/{interfaceUUID}
サブインターフェイスモデルは次のようになります。
{
"metadata": {
"isBreakoutCapable": false,
"isSplitInterface": false,
"timestamp": 1692536476265,
"domain": {
"name": "Global",
"id": "e276abec-e0f2-11e3-8169-**********",
"type": "Domain"
}
},
"type": "SubInterface",
"name": "Ethernet1/3.3",
"portType": "DATA",
"subIntfId": 3,
"parentInterface": {
"type": "PhysicalInterface",
"id": "00505686-9A51-0ed3-0000-**********",
"name": "Ethernet1/3"
},
"vlanId": 3,
"id": "*************************************"
}EtherChannelインターフェイスの設定
EtherChannel EtherChannelインターフェイスの管理をサポートするために、次のURLが導入されました。
すべてのEtherChannelインターフェイスを取得します。
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/etherchannelinterfaces/{interfaceUUID}
インターフェイスuuidによって特定のEtherChannelインターフェイスを取得します。
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/etherchannelinterfaces/{interfaceUUID}
新しいEtherChannelインターフェイスのPOST:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/etherchannelinterfaces
インターフェイスuuidによるインターフェイスの更新:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/etherchannelinterfaces/{interfaceUUID}
インターフェイスuuidによってEtherChannelインターフェイスを削除します。
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/etherchannelinterfaces/{interfaceUUID}
EtherChannelインターフェイスモデルは次のようになります。
{
"metadata": {
"supportedSpeed": "HUNDRED_MBPS,TEN_MBPS,ONE_GBPS",
"timestamp": 1692536640172,
"domain": {
"name": "Global",
"id": "e276abec-e0f2-11e3-8169-**********",
"type": "Domain"
}
},
"type": "EtherChannelInterface",
"name": "Port-channel45",
"portType": "DATA",
"etherChannelId": 45,
"selectedInterfaces": [
{
"type": "PhysicalInterface",
"id": "00505686-9A51-0ed3-0000-**********",
"name": "Ethernet1/4"
},
{
"type": "PhysicalInterface",
"id": "00505686-9A51-0ed3-0000-**********",
"name": "Ethernet1/5"
}
],
"lacpMode": "ON",
"lacpRate": "FAST",
"adminState": "DISABLED",
"hardware": {
"flowControlSend": "OFF",
"autoNegState": true,
"speed": "ONE_GBPS",
"duplex": "FULL"
},
"LLDP": {
"transmit": true,
"receive": true
},
"id": "00505686-9A51-0ed3-0000-**********"
}REST APIのBreak/Joinインターフェイス
4200シリーズのインターフェイスのブレークアウト/加入をサポートするには、次のURLを使用できます。
GET :
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/chassisinterfaces/{interfaceUUID}/evaluateoperation
インターフェイスのブレーク/ジョインの実行可能性を評価します。
POST:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/operational/breakoutinterfaces
インターフェイスを中断します。
POST:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/operational/joininterfaces
破損したインターフェイスのセットを結合します。
インターフェイス切断用のRESTフロー
1. fmcmanagedchassisエンドポイントを使用してFMC管理対象シャーシデバイス(4200)を見つけます。
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassisを取得
FMC管理対象シャーシデバイスのリストと、各デバイスのID、名前、モデルなどの詳細を含むマルチインスタンスデバイスを返します。「MULTIINSTANCE」デバイスを選択します。
サンプル応答:
{
"id": "fcaa9ca4-85e5-4bb0-b049-**********",
"type": "FMCManagedChassis",
"chassisName": "192.168.0.75",
"chassisMode": "MULTIINSTANCE",
"links": {
"self": "https://u32c01p06-vrouter.cisco.com:22512/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-**********/chassis/fmcmanagedchassis/fcaa9ca4-85e5-4bb0-b049-**********"
}
}2. interfaces/physicalinterfacesエンドポイントを使用して、インターフェイスがブレークアウト可能かどうかを確認します。
ブレークアウトは、「isBreakoutCapable」がtrueで、mediaTypeがQSFPの場合にのみ可能です。
GET /api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/interfaces
サンプル応答:
{
"metadata": {
"supportedSpeed": "FORTY_GBPS,DETECT_SFP", >>>>>>>>>
"mediaType": "qsfp", >>>>>>>>>
"sfpType": "none",
"isBreakoutCapable": true, >>>>>>>>>
"breakoutFactor": "4", >>>>>>>>>
"isSplitInterface": false,
"timestamp": 1692344434067,
"domain": {
"name": "Global",
"id": "e276abec-e0f2-11e3-8169-**********",
"type": "Domain"
}
},
"type": "PhysicalInterface",
"name": "Ethernet2/4",
"portType": "DATA",
"adminState": "DISABLED",
"hardware": {
"flowControlSend": "OFF",
"fecMode": "AUTO",
"autoNegState": true,
"speed": "DETECT_SFP",
"duplex": "FULL"
},
"LLDP": {
"transmit": false,
"receive": false
},
"id": "00505686-9A51-0ed3-0000-**********"
}3. インターフェイス上で、evaluateoperationエンドポイントを使用してブレーク操作の実行可能性を評価します。
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/chassisinterfaces/{interfaceUUID}/evaluateoperationを取得します
応答に警告やエラーがない場合、ユーザはブレーク操作を実行できます。
サンプル応答:
応答にエラーがある場合、ユーザはブレーク操作を実行できません。
{
"operationType": "BREAKOUT",
"interfaceUsages": [
{
"conflictType": "Interface usage on instance(s)",
"severity": "ERROR", >>>>>>>>>
"description": "Interface Ethernet2/4 can not be split. Remove it from instances [FTD1] and try again.\n"
}
],
"readinessState": "NOT_READY", >>>>>>>>>
"links": {
"self": "https://u32c01p06-vrouter.cisco.com:22542/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-**********/chassis/fmcmanagedchassis/19d967e6-ef81-4f2e-b311-**********/chassisinterfaces/00505686-662F-0ed3-0000-004294969274/evaluateoperation/00505686-662F-0ed3-0000-**********"
},
"type": "ChassisInterface",
"id": "00505686-662F-0ed3-0000-**********"
}4. インターフェイスがブレイクアウト対応で、準備状態が「READY」の場合、ブレイクアウトインターフェイスエンドポイントを使用してインターフェイスをブレイクします。
POST /api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/operational/breakoutinterfaces
要求::
{
"targetInterfaces": [
{
"id": "***************ed3-0000-004294969276",
"metadata": {
"type": "PhysicalInterface"
}
}
],
"type": "BreakoutInterface"
}レスポンス:
{
"id": "4294969716",
"type": "TaskStatus",
"links": {
"self": "https://u32c01p06-vrouter.cisco.com:22542/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-**********/job/taskstatuses/4294969716"
},
"taskType": "DEVICE_DEPLOYMENT",
"message": "Deployment status for ************************************: SUCCEEDED",
"status": "Interface notification received"
}5. ブレーク応答でタスクIDを使用して、タスク完了を追跡します。「Task status」を「Interface Notification received」に設定します。
GET /api/fmc_config/v1/domain/{domainUUID}/job/taskstatuses/{objectId}
{
"metadata": {
"task": {
"id": "4294969699",
"links": {
"self": "https://u32c01p06-vrouter.cisco.com:22542/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-**********/job/taskstatuses/4294969699"
}
}
},
"targetInterfaces": [
{
"id": "00505686-662F-0ed3-0000-**********",
"type": "PhysicalInterface"
}
],
"type": "BreakoutInterface"
}
{
"id": "4294969716",
"type": "TaskStatus",
"links": {
"self": "https://u32c01p06-vrouter.cisco.com:22542/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-**********/job/taskstatuses/4294969716"
},
"taskType": "DEVICE_DEPLOYMENT",
"message": "Deployment status for ************************************: SUCCEEDED",
"status": "Interface notification received"
}6. chassisinterfaceeventsエンドポイントを使用して、インターフェイスの変更を取得します。
/api/fmc_config/v1/domain/{domainUUID}/chassis/ fmcmanagedchassis/{containerUUID}/chassisinterfaceeventsを取得します。
サンプル応答:
[
{
"change": "Interface is deleted",
"type": "PhysicalInterface",
"state": "DISASSOCIATED",
"name": "Ethernet2/3"
},
{
"change": "Interface is associated",
"type": "PhysicalInterface",
"state": "ASSOCIATED",
"name": "Ethernet2/3/2"
},
{
"change": "Interface is associated",
"type": "PhysicalInterface",
"state": "ASSOCIATED",
"name": "Ethernet2/3/3"
},
{
"change": "Interface is associated",
"type": "PhysicalInterface",
"state": "ASSOCIATED",
"name": "Ethernet2/3/4"
}
]7. インターフェイス通知を受信しない場合は、chassisinterfaceeventsエンドポイントを使用してデバイスを同期し、保留中の変更があることを確認します。
POST /api/fmc_config/v1/domain/{domainUUID}/devices/devicerecords/{containerUUID}/ chassisinterfaceevents
要求::
{
"action": "SYNC_WITH_DEVICE"
}レスポンス:
{
"action": "SYNC_WITH_DEVICE",
"hasPendingChanges": true
}8. 通知を受信したら、chassisinterfaceeventsエンドポイントを使用して変更を受け入れます。
POST /api/fmc_config/v1/domain/{domainUUID}/devices/devicerecords/{containerUUID}/ chassisinterfaceevents
要求::
{
"action":"ACCEPT_CHANGES"
}
9. すべてのシャーシインターフェイスを取得し、インターフェイスエンドポイントを使用して分割された(破損した)インターフェイスを見つけます。
GET /api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/interfaces
1つの40Gインターフェイス(eth2/2など)は、4x10Gインターフェイス(eth2/2/1、eth2/2/2、eth2/2/3、およびeth2/2/4)に分割されます
インターフェイス結合のためのRESTフロー
1. interfaces/physicalinterfacesエンドポイントを使用して、インターフェイスが故障しているかどうかを確認します。
結合操作は、"isSplitInterface"がtrueで、mediaTypeがSFPの場合にのみ可能です
GET /api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/interfaces
{
"metadata": {
"supportedSpeed": "TEN_GBPS,DETECT_SFP",
"mediaType": "sfp",
"sfpType": "none",
"isBreakoutCapable": false,
"breakoutFactor": "4",
"isSplitInterface": true,
"timestamp": 1692541554935,
"domain": {
"name": "Global",
"id": "e276abec-e0f2-11e3-8169-**********",
"type": "Domain"
}
},
"type": "PhysicalInterface",
"name": "Ethernet2/3/4",
"portType": "DATA",
"adminState": "DISABLED",
"LLDP": {
"transmit": false,
"receive": false
},
"hardware": {
"flowControlSend": "OFF",
"speed": "DETECT_SFP",
"duplex": "FULL",
"fecMode": "AUTO",
"autoNegState": true
},
"id": "00505686-662F-0ed3-0001-**********"
}2. 4つの分割インターフェイスの1つに対してevaluateoperationエンドポイントを使用して、Join操作の実行可能性を評価します。
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/ch assisinterfaces/{interfaceUUID}/evaluateoperationを取得します
- 応答に警告やエラーがない場合、ユーザは参加操作を実行できます。
{
"operationType": "JOIN",
"readinessState": "READY",
"links": {
"self": "https://u32c01p06-vrouter.cisco.com:22542/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-**********/chassis/fmcmanagedchassis/19d967e6-ef81-4f2e-b311-**********/chassisinterfaces/00505686-662F-0ed3-0001-**********/evaluateoperation/00505686-662F-0ed3-0001-**********"
},
"type": "ChassisInterface",
"id": "00505686-662F-0ed*******************"
}- 応答にエラーがある場合、ユーザは参加操作を実行できません。
{
"operationType": "JOIN",
"interfaceUsages": [
{
"conflictType": "Interface used in EtherChannel Configuration",
"severity": "ERROR",
"description": "Interface (Ethernet2/3/4) referred to in Ether Channel Interface (Port-channel32) configurations will be impacted due to the JOIN operation."
}
],
"readinessState": "NOT_READY",
"links": {
"self": "https://u32c01p06-vrouter.cisco.com:22542/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-*********/chassis/fmcmanagedchassis/19d967e6-ef81-4f2e-b311-********/chassisinterfaces/00505686-662F-0ed3-0001-692539698200/evaluateoperation/00505686-662F-0ed3-0001-***********"
},
"type": "ChassisInterface",
"id": "00505686-662F-0ed*******************"
}3. インターフェイスが壊れ、準備状態が「READY」の場合、joininterfacesエンドポイントを使用してインターフェイスに参加します。interface_uuidは、4つの破損したインターフェイスのIDにすることができます。
POST/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/operational/joininterfaces
要求::
{
"targetInterfaces": [
{
"id": "***************ed3-0001-692539698200",
"type": "PhysicalInterface"
}
],
"type": "JoinInterface"
}レスポンス:
{
"metadata": {
"task": {
"id": "4294970217",
"links": {
"self": "
/api/fmc_config/v1/domain/e27"***************-8169-6d9ed49b625f/job/taskstatuses/4294970217" } } }, "targetInterfaces": [ { "id": "***************ed3-0001-692539698200", "type": "PhysicalInterface" }, { "id": "***************ed3-0001-692539698201", "type": "PhysicalInterface" }, { "id": "***************ed3-0001-692539698202", "type": "PhysicalInterface" }, { "id": "***************ed3-0001-692539698203", "type": "PhysicalInterface" } ], "type": "JoinInterface" }
4. 加入応答のタスクIDを使用してタスク完了を追跡します。「Task status」を「Interface Notification received」に設定します。
GET /api/fmc_config/v1/domain/{domainUUID}/job/taskstatuses/{objectId}
レスポンス:
{
"id": "4294970237",
"type": "TaskStatus",
"links": {
"self": "https://u32c01p06-vrouter.cisco.com:22542/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-6d9ed49b625f/job/taskstatuses/4294970237"
},
"taskType": "SSP_EPM_OIR",
"message": "Deployment status for 19d967e6-xxxx-xxxx-xxxx-85ff6cef6d3f: SUCCEEDED",
"status": "Interface notification received"
}5. chassisinterfaceeventsエンドポイントを使用して、インターフェイスの変更を取得します。
/api/fmc_config/v1/domain/{domainUUID}/devices/devicerecords/{containerUUID}/chassisinterfaceeventsを取得します。
回答:
[
{
"change": "Interface is associated",
"type": "PhysicalInterface",
"state": "ASSOCIATED",
"name": "Ethernet2/3"
},
{
"change": "Interface is deleted",
"type": "PhysicalInterface",
"state": "DISASSOCIATED",
"name": "Ethernet2/3/1"
},
{
"change": "Interface is deleted",
"type": "PhysicalInterface",
"state": "DISASSOCIATED",
"name": "Ethernet2/3/2"
},
{
"change": "Interface is deleted",
"type": "PhysicalInterface",
"state": "DISASSOCIATED",
"name": "Ethernet2/3/3"
},
{
"change": "Interface is deleted",
"type": "PhysicalInterface",
"state": "DISASSOCIATED",
"name": "Ethernet2/3/4"
}
]6. インターフェイス通知を受信しない場合は、chassisinterfaceeventsエンドポイントを使用してデバイスを同期し、保留中の変更があることを確認します。
POST /api/fmc_config/v1/domain/{domainUUID}/devices/devicerecords/{containerUUID}/chassisinterfaceevents
要求::
{
"action":"SYNC_WITH_DEVICE"
}
レスポンス:
{
"action":"SYNC_WITH_DEVICE",
"hasPendingChanges":true
}
7. 通知を受信したら、chassisinterfaceeventsエンドポイントを使用して変更を受け入れます。
/api/fmc_config/v1/domain/{domainUUID}/devices/devicerecords/{containerUUID}/chassisinterfac eeventsの後
要求::
{
"action":"ACCEPT_CHANGES"
}
8. すべてのシャーシインターフェイスを取得し、参加しているインターフェイス、およびインターフェイスエンドポイントを使用している他のインターフェイスを見つけます。
GET /api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/interfaces
たとえば、10Gインターフェイス(eth2/2/1)でJoinが開始されると、応答では40Gインターフェイスeth2/2が使用可能になります。
デバイスREST APIの同期
ネットワークモジュールとインターフェイスの同期をサポートするために、次のURLが導入されました。
POST:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/chassisinterface events
ペイロードあり
{"action": "SYNC_WITH_DEVICE"} - >同期をトリガーします
{"action": "ACCEPT_CHANGES"} - >変更を承諾します
GET :
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/chassisinterface events
生成された変更イベントを一覧表示します
トラブルシューティング/診断
FXOSロギング
登録が失敗した場合、これらのFXOS CLIを使用して、sftunnel、sfipproxyプロセスが起動しているかどうかを確認できます。
firepower# connect local-mgmt
firepower-4215(local-mgmt)# show processes | include sftunnel grep: (standard input): binary file matches
3323 root 20 0 80328 2024 1544 S 0.0 0.0 0:11.53 /opt/cisco/sftunnel/sfipproxy -d –f /etc/sf/sfipproxy.conf
22066 root 20 0 376880 7140 5944 S 0.0 0.0 0:41.18 /opt/cisco/sftunnel/sftunnel -d -f /etc/sf/sftunnel.conf
CLIでターミナルコンソールを使用している場合は、次に示すCLIを使用してターミナル幅を適切な値に設定することにより、show processesの出力が切り捨てられていないことを確認します。
firepower-4215(local-mgmt)# terminal width 100 SFTunnelプロセスが起動して実行されているにもかかわらず、登録が失敗する場合は、次のコマンドを使用して失敗の潜在的な原因を調べることができます。
/opt/cisco/platform/logs/sfmessagesでsyslogメッセージを表示するために、connect local-mgmtからFXOSに新しいCLIを導入
firepower# connect local-mgmt
firepower(local-mgmt)# tail-mgmt-log sfmessages
Dec 9 18:31:17 firepower Ipc [30483]: add ep: 1,0x5613aa0e2fe8 total = 1 Dec 9 18:31:17 firepower Ipc [30483]: add ep: 1,0x5613aa0ec528 total = 2 Dec 9 18:31:17 firepower Ipc [30483]: add ep: 1,0x5613aa0f5ea8 total = 3 Dec 9 18:31:18 firepower SF-IMS[12621]: [12625] sftunneld:SYNC_PROC [INFO] Change in directory /var/sf/sync detected (0 vs 1670610348)
FMCロギング
- デバイスの登録が失敗した場合は、この場所でusmsharedsvcs.logとvmssharedsvcs.logを検索し、文字列「CHASSIS DISCOVERY」または「NATIVE_TO_MULTI_INSTANCE」を検索して、失敗の潜在的な原因を見つけます。
- また、SFTunnelの問題については、/var/log/action_queue.logと/var/sf/messagesを参照してください。
- /var/opt/CSCOpx/MDC/log/operation/usmsharedsvcs.log /var/opt/CSCOpx/MDC/log/operation/vmssharedsvcs.log
- シャーシの自動登録が失敗した場合、usmsharedsvcs.logとvmssharedsvcs.logを検索し、文字列「CHASSIS DISCOVERY」と「NATIVE_TO_MULTI_INSTANCE」を検索して、失敗の潜在的な原因を見つけます。
- インスタンスの自動登録が失敗した場合、usmsharedsvcs.log およびvmssharedsvcs.log を検索し、文字列「MI_FTD_INSTANCE_AUTO_REGISTRATION」を検索して失敗の考えられる原因を見つけます。
- デバイスに導入エラーがある場合は、「導入 – >導入履歴 – >失敗した導入をクリック – >トランスクリプトを開く」に移動します。このファイルには失敗の理由が含まれています。
シャーシのトラブルシューティング
FMCは、デバイス管理ページからのシャーシトラブルシューティング(FPRM)の生成をサポートします。
- FTDデバイスと同様に、シャーシデバイスに使用できるトラブルシューティングオプションがあります。このオプションでは、シャーシのトラブルシューティングを生成し、ユーザがFMCからトラブルシューティングバンドルをダウンロードできます。
- これにより、シャーシから「show tech-support form」バンドルが収集されます。
シャーシのトラブルシューティングオプションと生成:
シャーシのトラブルシューティングの進行状況とダウンロード:
トラブルシューティングの手順に関する問題の例
FMCでのシャーシ障害の自動登録
問題:FMCでシャーシの自動登録が失敗する。
予想される結果:
- FMCから変換が始まると、FMCで登録解除されて自動登録されることが想定されます。
実際の結果
- シャーシの自動登録に失敗
問題のトラブルシューティング
1. 変換を確認します。
- FMCで変換がトリガーされたことを確認します。
- デバイスにログインし、デバイスがコンテナモードに変換されているかどうかを確認します。
- デバイスが変換されたかどうかを確認するには、次のコマンドを実行します。
firepower# scope sys
firepower /system # show
Systems:
Name Mode Deploy Mode System IP Address System IPv6 Address
---------- ----------- ----------- ----------------- -------------------
firepower Stand Alone Container 192.168.xx.xx ::2. デバイスマネージャを確認します。
- デバイスマネージャが正しく設定されているかどうかを確認します。
firepower# show device-manager
Device manager:
Name: manager
Hostname: 10.10.xx.xx
NAT id: 3ab4bb1a-d723-11ee-a694-89055xxxxxxx
Registration Status: Completed
Error Msg:
- 確認するログ:
3.1. /var/opt/CSCOpx/MDC/log/operation/vmssharedsvcs.logおよび/var/opt/CSCOpx/MDC/log/operation/usmsharedsvcs.logに移動します。
3.2.ファイル内で「NATIVE_TO_MI_CONVERSION」および「CHASSIS DISCOVERY」というキーワードを検索し、障害の原因を見つけます。
FMCにおけるインスタンスの自動登録
問題:FMCでインスタンスの自動登録が失敗します。
予想される結果:
- インスタンスがFMCからプロビジョニングされると、FMCに自動登録されます。
実際の結果
- インスタンスの自動登録に失敗しました
問題のトラブルシューティング
- インスタンスの作成後にデプロイがトリガーされたことを確認します。
- 展開が実行されない場合は、デバイスに変更を展開してください。
- 導入に失敗した場合は、「導入履歴 – >トランスクリプトをクリックする」に進みます。失敗の理由を確認し、修正して展開を再試行してください。
- インスタンスがインストールされており、その動作状態がオンラインであることを確認します。シャーシのサマリーページを使用して、インスタンスプロビジョニングのステータスを確認できます。
- 次のコマンドを使用して、インスタンスFTDでSFTunnelがアップ状態で実行中であることを確認します。
ps -ef | grep -i "sftunnel”- SFTunnelが実行されていない場合は、restartコマンドを実行してみてください。
pmtool restartById sftunnel- /var/opt/CSCOpx/MDC/log/operation/vmssharedsvcs.logおよび/var/opt/CSCOpx/MDC/log/operation/usmsharedsvcs.logに移動します。
- ファイル内でキーワード「MI_FTD_INSTANCE_AUTO_REGISTRATION」を検索して、失敗の理由を見つけます。
FMCでのネイティブデバイス登録
問題:デバイスをネイティブモードに戻した後、FMCでネイティブデバイス登録が失敗する
- ユーザがシャーシ(MIモード)をネイティブモードに戻しても、FMCからシャーシを削除し忘れた場合、デバイスはFMC上でオフラインになります。
- ユーザがこのネイティブデバイスをFMCに再登録しようとすると、登録が失敗します。
問題のトラブルシューティング
- デバイスをネイティブモードに戻す前に、FMCからシャーシエントリが削除されていることを確認してください。
- エントリが削除されたら、ネイティブデバイスをFMCに再登録してみてください。
参考リンク
- 共有インターフェイスに関する情報
- 3100マルチインスタンスページ(シスコサポートサイト):
インターフェイスオプションとハイアベイラビリティ
インターフェイスオプション
スタンドアロンまたは高可用性
デュアル管理インターフェイスの活用
- ネイティブモードの4200と同様に、2つの物理管理ポートは、管理トラフィック用にインターフェイスの冗長性をサポートするため、または管理とイベント用に個別のインターフェイスをサポートするために提供されます。
- 9300および4100デバイス、ならびに4200シリーズには、デュアル管理インターフェイスがあります。2つ目の管理インターフェイスであるManagement 1/2は、イベントに使用することを目的としています。
- マルチインスタンス(別名「コンテナ」)モードでは、各インスタンスの脅威対策CLIでこのインターフェイスを設定できます。各インスタンスに同じネットワーク上のIPアドレスを割り当てます。
- コンテナモードでは、各FTDインスタンスにManagement 1/1とManagement 1/2の両方のインターフェイスが自動的に割り当てられます。
- 2番目の管理インターフェイスは、デフォルトでは無効になっています。
- FMCを使用してManagement1/2を設定することはできません。FTD CLISHを使用して設定する必要があります(9300/4100ではFXOS CLIで行われます)。 目的のIPアドレスタイプ、アドレス、サブネット、およびスタティックルートを指定して次のコマンドを使用します。
configure network ipv4 manual 192.168.0.xx 255.255.255.0 192.168.0.1 management1 更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
29-Oct-2024 |
初版 |
フィードバック