Clarify Inline Set Order for FTD on FMC (Pedido de configuração em linha para FTD no FMC)

Opções de download

  • PDF     (2.4 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (2.5 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.9 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:13 de fevereiro de 2024
ID do documento:221641

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve por que a ordem da interface para conjuntos em linha é diferente, mesmo que a convenção de nomenclatura da interface seja igual para todos os conjuntos.

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Defesa contra ameaças de firewall (FTD) segura
    • Centro de gerenciamento seguro de firewall (FMC)
    • Sistema operacional extensível (FXOS) com firewall seguro
    • REST-API

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • Secure Firewall Threat Defense versão 7.2.5.1
    • Secure Firewall Manager Center versão 7.2.5.1
    • Sistema operacional extensível Secure Firewall 2.12(1.48)
    • Gerenciador de chassi de firewall seguro (FCM)

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Análise

    Exemplo de caso

    Para este exemplo de caso, um FTD com seis (6) interfaces é configurado em pares em linha:

    Ethernet1/1 (Inside-A)
Ethernet1/2 (Outside-A)
Ethernet1/3 (Inside-B)
Ethernet1/4 (Outside-B)
Ethernet1/5 (Inside-C)
Ethernet1/6 (Outside-C)

    Lista de interface de FTDLista de interface de FTD

    Os conjuntos em linha são planejados para serem configurados de Interno a Externo para cada par, o que resulta na próxima configuração:

    Inline Set A: Inside-A <-> Outside-A
Inline Set B: Inside-B <-> Outside-B
Inline Set C: Inside-C <-> Outside-C

    Os usuários esperam que a ordem das interfaces seja exibida em ordem alfabética pelo nome lógico ou pelo nome físico da interface. No entanto, essa configuração resulta em uma ordem diferente, conforme exibido na imagem a seguir:

    Conjuntos em Linha de FTDConjuntos em Linha de FTD

    Os usuários percebem que o conjunto em linha C tem uma ordem diferente dos outros dois conjuntos em linha.

    note-icon

    Observação: é importante observar que a ordem do par de interface do conjunto em linha não causa nenhum problema de comunicação ou operacional, no entanto, ela pode ser preocupante para fins estéticos.

    Explicação

    A ordem da interface dos conjuntos em linha não é atribuída pelo nome, mas pela ID, que é verificada via REST-API.

    Etapa 1. Para verificar isso, o explorador REST-API do FMC precisa ser acessado. Isso é feito acessando a próxima sintaxe de URL:

    https://FMC  IP/api/api-explorer

    FMC REST-API ExplorerFMC REST-API Explorer

    Etapa 2. Navegue até Devices e expanda o menu.

    Menu DispositivosMenu Dispositivos

    Etapa 3. Navegue até a opção GET para:

    ​/api​/fmc_config​/v1​/domain​/{domainUUID}​/devices​/devicerecords​/{containerUUID}​/inlinesets

    Opção GET de Conjuntos EmbutidosOpção GET de Conjuntos Embutidos

    Etapa 4. Clique no botão Try it Out.

    Botão de Teste de Configuração Embutida GETBotão de Teste de Configuração Embutida GET

    Etapa 5. Substitua o campo containerUUID pelo FTD UUID (exibido pelo comando show version na linha de comando do FTD) e clique em Executar.

    Execução de Conjuntos EmbutidosExecução de Conjuntos Embutidos

    Etapa 6. Role para baixo até o Corpo da resposta e copie o ID da interface que é necessário para solucionar o problema; nesse caso, é o Conjunto em linha C.

    "id": "005056B3-BB52-0ed3-0000-021474837838",

    Corpo da Resposta GET de Conjuntos EmbutidosCorpo da Resposta GET de Conjuntos Embutidos

    Passo 7. Navegue até a opção GET para:

    /api/fmc_config/v1/domain/{domainUUID}/devices/devicerecords/{containerUUID}/inlinesets/{objectId}

    Conjuntos Embutidos OBTER ID do ObjetoConjuntos Embutidos OBTER ID do Objeto

    Etapa 8. Clique no botão Try it Out.

    Conjuntos Embutidos OBTER ID de Objeto ExperimenteConjuntos Embutidos OBTER ID de Objeto Experimente

    Etapa 9. Substitua o campo objectId pela ID obtida na Etapa 6 e o containerUID pelo FTD UUID usado na Etapa 5. Depois disso, clique no botão Execute.

    Conjuntos Embutidos Obter Execução de ID de ObjetoConjuntos Embutidos Obter Execução de ID de Objeto

    Etapa 10. Valide o corpo de Resposta da consulta REST-API.

    Corpo da Resposta de Obter ID de Objeto de Conjuntos EmbutidosCorpo da Resposta de Obter ID de Objeto de Conjuntos Embutidos

    A interface Ethernet1/6 é adicionada como o primeiro componente do conjunto em linha, enquanto a Ethernet1/5 é adicionada como o segundo componente. Isso acontece porque o ID de interface atribuído para Ethernet1/6 é alfabeticamente menor que Ethernet1/5. Isso valida a lógica que o FMC está adotando para atribuição de interface em conjuntos em linha.

    Solução

    O ID da interface é atribuído pelo FXOS no momento da criação do dispositivo lógico, portanto, as interfaces precisam ser removidas no nível FXOS e lidas na ordem desejada para que o ID seja atribuído novamente.

    ícone de aviso

    Aviso: a próxima solução é aplicável somente para as séries FPR4100 e FPR9300, qualquer outro hardware do Firewall Seguro precisa ser recriado. Além disso, essa solução alternativa interrompe o tráfego. Nesse sentido, os backups de FMC, FTD e FXOS são altamente recomendados, bem como uma janela de manutenção planejada.

    Etapa 1. Inicie sessão no FMC e apague o inline set problemático no próximo caminho:

    Devices > Device Management > Edit the desired FTD > Inline Sets.

    Exclusão de Conjunto EmbutidoExclusão de Conjunto Embutido

    Etapa 2. Salvar alterações e implantar.

    Implantação de Exclusão de Conjunto EmbutidoImplantação de Exclusão de Conjunto Embutido

    Etapa 3. Faça login no dispositivo FCM e navegue até Logical Devices e edite o Logical Device desejado.

    Logical Device Edit (Edição de dispositivo lógico)Logical Device Edit (Edição de dispositivo lógico)

    Etapa 4. Remova as duas interfaces que pertencem ao conjunto embutido problemático, que são Ethernet1/5 e Ethernet1/6 para este exemplo, e salve as alterações.

    Remoção de interface de conjunto embutidoRemoção de interface de conjunto embutido

    Etapa 5. No FMC, navegue até Devices > Device Management, edite o FTD desejado e navegue até a guia Interfaces, clique no botão Sync Device, salve as alterações e implante.

    Sincronização FTD de Conjunto Embutido Após RemoçãoSincronização FTD de Conjunto Embutido Após Remoção

    Etapa 6. Edite o dispositivo lógico novamente, adicione a primeira interface (Ethernet1/5) novamente e salve as alterações.

    Inline Set First Interface AddingInline Set First Interface Adding

    Passo 7. Clique no Sync Device botão, salve as alterações e implante novamente.

    Sincronização de FTD após adição da primeira interfaceSincronização de FTD após adição da primeira interface

    Etapa 8. Edite o dispositivo lógico novamente, adicione a primeira interface (Ethernet1/6) mais uma vez e salve as alterações.

    Inline Set Second Interface AdicionandoInline Set Second Interface Adicionando

    Etapa 9. Repita a Etapa 5 clicando no Sync Device botão, salvando as alterações e implantando.

    Sincronização de FTD após adição da segunda interfaceSincronização de FTD após adição da segunda interface

    Etapa 10. Configure as interfaces com os mesmos parâmetros de antes e adicione o conjunto em linha novamente.

    Configuração do conjunto em linhaConfiguração do conjunto em linha

    Dessa vez, a ordem da interface dos conjuntos em linha é exibida da maneira esperada. Salvar alterações e implantar uma última vez.

    note-icon

    Observação: a seção Exemplo de caso deste documento deve ser executada mais uma vez para validar se as IDs das interfaces estão agora na ordem correta.

    Informações Relacionadas

    Histórico de revisões

    Revisão Data de publicação Comentários
    2.0
    13-Feb-2024
    Versão inicial
    1.0
    12-Feb-2024
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Carlos Eduardo Arteaga Portillo
      Engenheiro de consultoria técnica de segurança da Cisco

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos