FMC에서 FTD에 대한 인라인 설정 주문 확인

소개

이 문서에서는 인터페이스 명명 규칙이 모든 세트에 대해 동일한 경우에도 인라인 세트의 인터페이스 순서가 다른 이유에 대해 설명합니다.

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

• FTD(보안 방화벽 위협 방어)
• FMC(Secure Firewall Management Center)
• FXOS(Secure Firewall Extensible Operating System)
• REST-API

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• Secure Firewall Threat Defense 버전 7.2.5.1
• Secure Firewall Manager Center 버전 7.2.5.1
• Secure Firewall Extensible Operating System 2.12(1.48)
• FCM(보안 방화벽 섀시 관리자)

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

분석

사례 예

이 경우 6개의 인터페이스가 있는 FTD가 인라인 쌍으로 설정됩니다.

Ethernet1/1 (Inside-A)
Ethernet1/2 (Outside-A)
Ethernet1/3 (Inside-B)
Ethernet1/4 (Outside-B)
Ethernet1/5 (Inside-C)
Ethernet1/6 (Outside-C)

FTD 인터페이스 목록

각 쌍에 대해 Inside에서 Outside로 Inline 세트를 구성할 계획이며, 이렇게 하면 다음 설정이 이루어집니다.

Inline Set A: Inside-A <-> Outside-A
Inline Set B: Inside-B <-> Outside-B
Inline Set C: Inside-C <-> Outside-C

사용자는 인터페이스의 순서가 인터페이스 논리적 이름 또는 인터페이스 물리적 이름의 알파벳 순서로 표시되어야 합니다. 그러나 이 설정을 수행하면 다음 이미지에 표시된 것과 다른 순서가 생성됩니다.

FTD 인라인 집합

사용자는 인라인 집합 C가 다른 두 인라인 집합과 순서가 다르다는 것을 알 수 있습니다.

설명

인라인 집합 인터페이스 순서는 이름이 아니라 ID로 할당되며, 이는 REST-API를 통해 확인됩니다.

1단계. 이를 확인하려면 FMC REST-API 탐색기에 액세스해야 합니다. 이는 다음 URL 구문에 액세스함으로써 구현됩니다.

https://FMC  IP/api/api-explorer

FMC REST-API 탐색기

2단계. Devices(디바이스)로 이동하고 메뉴를 확장합니다.

Devices 메뉴

3단계. 다음에 대한 GET 옵션으로 이동합니다.

​/api​/fmc_config​/v1​/domain​/{domainUUID}​/devices​/devicerecords​/{containerUUID}​/inlinesets

인라인 집합 GET 옵션

4단계. Try it Out(트라이 아웃) 버튼을 클릭합니다.

Inline Set GET Try it Out(인라인 설정 GET TRY IT 발신) 버튼

5단계. containerUUID 필드를 FTD UUID로 바꾸고(FTD 명령줄의 명령에show version 의해 표시됨) Execute를 클릭합니다.

인라인 집합 실행

6단계. Response Body(응답 본문)로 스크롤하여 문제 해결에 필요한 인터페이스의 ID를 복사합니다. 이 경우에는 Inline Set C입니다.

"id": "005056B3-BB52-0ed3-0000-021474837838",

인라인 집합 GET 응답 본문

7단계. 다음에 대한 GET 옵션으로 이동합니다.

/api/fmc_config/v1/domain/{domainUUID}/devices/devicerecords/{containerUUID}/inlinesets/{objectId}

인라인 집합 GET 개체 ID

8단계. Try it Out(트라이 아웃) 버튼을 클릭합니다.

인라인 집합 GET 개체 ID 시도

9단계. objectId 필드를 6단계에서 가져온 ID로 교체하고 containerUUID를 5단계에서 사용한 FTD UUID로 교체합니다. 그런 다음 Execute(실행) 버튼을 클릭합니다.

인라인 집합 GET 개체 ID 실행

10단계. REST-API 쿼리의 응답 본문을 검증합니다.

인라인 집합 GET 개체 ID 응답 본문

Interface Ethernet1/6은 인라인 집합의 첫 번째 구성 요소로 추가되고, Ethernet1/5는 두 번째 구성 요소로 추가됩니다. 이는 Ethernet1/6에 할당된 인터페이스 ID가 Ethernet1/5보다 알파벳순으로 낮기 때문에 발생합니다. 이렇게 하면 FMC가 인라인 집합의 인터페이스 할당을 위해 수행하는 논리가 검증됩니다.

해결 방법

논리적 디바이스 생성 시 FXOS에서 인터페이스 ID를 할당하므로 FXOS 레벨에서 인터페이스를 제거하고 원하는 순서로 읽어야 ID를 다시 할당할 수 있습니다.

1단계. FMC에 로그인하고 다음 경로에서 문제가 있는 인라인 집합을 삭제합니다.

Devices > Device Management > Edit the desired FTD > Inline Sets.

인라인 집합 삭제

2단계. 변경 사항을 저장하고 구축합니다.

인라인 집합 삭제 배포

3단계. 디바이스 FCM에 로그인하고 Logical Devices(논리적 디바이스)로 이동하여 원하는 Logical Device(논리적 디바이스)를 편집합니다.

논리적 디바이스 수정

4단계. 문제가 있는 인라인 집합(이 예에서는 Ethernet1/5 및 Ethernet1/6)에 속하는 두 인터페이스를 모두 제거하고 변경 사항을 저장합니다.

인라인 집합 인터페이스 제거

5단계. FMC에서 Devices(디바이스) > Device Management(디바이스 관리)로 이동하고, 원하는 FTD를 편집하고 Interfaces(인터페이스) 탭으로 이동하여 Sync Device(디바이스 동기화) 버튼을 클릭하고 변경 사항을 저장하고 구축합니다.

제거 후 인라인 집합 FTD 동기화

6단계. 논리적 디바이스를 다시 편집하고 첫 번째 인터페이스(Ethernet1/5)를 다시 추가한 다음 변경 사항을 저장합니다.

인라인 집합 첫 번째 인터페이스 추가

7단계. 버튼을 Sync Device 클릭하고 변경 사항을 저장한 후 다시 구축합니다.

첫 번째 인터페이스 추가 후 FTD 동기화

8단계. 논리적 디바이스를 다시 편집하고, 첫 번째 인터페이스(Ethernet1/6)를 한 번 더 추가한 다음 변경 사항을 저장합니다.

인라인 집합 두 번째 인터페이스 추가

9단계. 버튼을 클릭하고 변경 사항을 Sync Device 저장한 다음 구축하여 5단계를 반복합니다.

두 번째 인터페이스 추가 후 FTD 동기화

10단계. 이전과 동일한 매개변수로 인터페이스를 구성하고 인라인 집합을 다시 추가합니다.

인라인 집합 구성

이번에는 인라인 집합 인터페이스 순서가 예상한 방식으로 표시됩니다. 변경 사항을 저장하고 최종 한 번 구축합니다.

관련 정보

• Cisco 기술 지원 및 다운로드