Converter em contêiner (modo MI) no Firepower 4200 com FTD 7.6
Contents
Introdução
Este documento descreve como configurar um contêiner (modo de várias instâncias) no Firepower 4200 série de firewall com FTD 7.6 e detalhes relacionados.
Pré-requisitos, plataformas suportadas, licenciamento
Plataformas mínimas de software e hardware
Note: Não há suporte para várias instâncias com o FDM em nenhuma plataforma.
Licenciamento
- As licenças de recursos são atribuídas manualmente a cada instância, mas você consome apenas uma licença por recurso por dispositivo 4200-series.
- Por exemplo, para uma série 4200 com 3 instâncias de FTD, você só precisa de uma licença de URL, independentemente do número de instâncias em uso, desde que esteja no mesmo FMC.
- Todas as licenças são consumidas por dispositivo 4200 Series e não por instância de contêiner, desde que estejam no mesmo FMC. Portanto, para todas as instâncias em dispositivos 4200 Series, é recomendável usar o mesmo FMC devido à implementação da licença.
Componentes Utilizados
Este documento não se restringe a versões de software e hardware específicas.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Informações de Apoio
- O FTD já suporta a Multi-Instância (MI) em modelos 3100 (assim como as séries 9300 e 4100), mas não há suporte para a série 4200.
- Os modelos 4200 são suportados apenas no modo nativo no FMC.
- Não há provisão para criar várias instâncias no 7.4.x no 4200.
- Várias Instâncias (MI) no 3100 eram suportadas a partir da versão 7.4.1.
- As instâncias podem ser criadas e gerenciadas usando o FMC (ao contrário das séries 9300 e 4100, em que o FCM deve ser usado).
- O FXOS pode ser atualizado, quando no modo MI, através da GUI do chassi de atualização do FMC.
- A conversão para o modo MI é feita por meio de uma CLI.
O que há de novo?
- Você pode provisionar e gerenciar instâncias de MI na série 4200.
- FMC - Solução única de gerenciamento para a série 4200 (modo MI) e instâncias de FTD
- Permitir a conversão em massa e única de dispositivos nativos para o modo MI no FMC para dispositivos das séries 3100 e 4200.
- Mercado-alvo: Empresa/Grande empresa - Borda da Internet, Data Center
Plataformas com suporte a várias instâncias de FTD
Diferenças entre as séries 3100 e 4200
- O 4200 tem duas interfaces de gerenciamento, permitindo o uso de uma para gerenciamento e outra para eventos.
- As interfaces Management1/1 e Management1/2 são inicializadas para todas as instâncias de contêiner de FTD.
- Uma ou ambas as interfaces de gerenciamento podem ser usadas no modo MI.
- Gerenciamento1/1 para Gerenciamento e Eventos ou
- Gerenciamento1/1 pode ser usado para gerenciamento e Gerenciamento1/2 para eventos, em que o caso:
- As rotas estáticas precisam ser definidas para rotear o tráfego usando a interface 1/2 de gerenciamento.
- Devido ao tamanho maior, mais instâncias podem ser criadas no 4200 do que no 3100.
Implantações suportadas
- Gerencie a Série 4200 (modo MI) com Instância(s) Autônoma(s) de FTD
- Gerenciar 4200 Series (modo MI) com Instância(s) HA FTD*
Note: Para o FPR4100 Series, no caso do FTD-HA, os nós primário e secundário devem estar em dois dispositivos 4200 Series (modo MI) diferentes. Além disso, o agrupamento MI não é suportado nesta versão.
Descrição do recurso e passo a passo
Alterações na configuração de várias instâncias na versão 7.6.0:
- Suporte para 4200 Series no modo MI
- Alterações do CVP relativas à gestão em modo IA da série 3100:
- Conversão do dispositivo do modo Nativo para o modo MI no FMC
- Readiness Verifica se o dispositivo pode ser convertido para o modo MI
- Autorregistrar instância de FTD no FMC após a conversão
Especificações da instância do 4200 Series
Máx. de suporte a instâncias
A densidade da instância é determinada por dois fatores principais:
1. A quantidade de núcleos de CPU e a quantidade de espaço em disco em uma determinada plataforma
2. Quantos desses recursos estão disponíveis para provisionamento em instâncias. O menor tamanho de instância requer 3 núcleos de CPU física (6 lógicos) e 48 GB de espaço em disco.
Tamanhos de Instância de FTD
Alocações de Núcleo Snort de Lina (Plano de Dados)
| 4215 |
4225 |
4245 |
||||
| Tamanho da Instância |
Núcleos do plano de dados |
Núcleos de Snort |
Núcleos do plano de dados |
Núcleos de Snort |
Núcleos do plano de dados |
Núcleos de Snort |
| 6 |
2 |
2 |
2 |
2 |
2 |
2 |
| 8 |
2 |
4 |
2 |
4 |
2 |
4 |
| 10 |
4 |
4 |
4 |
4 |
4 |
4 |
| 12 |
4 |
6 |
4 |
6 |
4 |
6 |
| 14 |
6 |
8 |
6 |
6 |
6 |
6 |
| 16 |
6 |
8 |
6 |
6 |
8 |
8 |
| 18 |
8 |
10 |
8 |
8 |
8 |
10 |
| 20 |
8 |
10 |
8 |
8 |
10 |
10 |
| 22 |
10 |
12 |
10 |
10 |
10 |
12 |
| 24 |
12 |
12 |
10 |
10 |
10 |
12 |
| 26 |
12 |
14 |
12 |
12 |
12 |
12 |
| 28 |
14 |
14 |
12 |
14 |
12 |
14 |
| 30 |
14 |
16 |
14 |
14 |
14 |
14 |
| 32 |
14 |
16 |
14 |
16 |
14 |
16 |
| 34 |
16 |
16 |
16 |
16 |
16 |
16 |
| 36 |
16 |
18 |
16 |
18 |
16 |
18 |
| 38 |
18 |
18 |
18 |
18 |
18 |
18 |
| 40 |
18 |
20 |
18 |
20 |
18 |
20 |
| 42 |
20 |
20 |
20 |
20 |
20 |
20 |
| 44 |
20 |
22 |
20 |
22 |
20 |
22 |
| 46 |
22 |
22 |
22 |
22 |
22 |
22 |
| 48 |
22 |
24 |
22 |
24 |
22 |
24 |
| 50 |
24 |
24 |
24 |
24 |
24 |
24 |
| 52 |
24 |
26 |
24 |
26 |
24 |
26 |
| 54 |
26 |
26 |
26 |
26 |
24 |
26 |
| 56 |
26 |
28 |
26 |
28 |
26 |
28 |
| 58 |
28 |
28 |
28 |
28 |
28 |
28 |
| 60 |
28 |
30 |
28 |
39 |
28 |
30 |
| 62 |
30 |
30 |
30 |
30 |
30 |
30 |
| 64 |
30 |
32 |
30 |
32 |
||
| 66 |
30 |
34 |
30 |
34 |
||
| 68 |
32 |
34 |
32 |
34 |
||
| 70 |
32 |
36 |
32 |
36 |
||
| 72 |
34 |
36 |
34 |
36 |
||
| 74 |
34 |
38 |
34 |
38 |
||
| 76 |
36 |
38 |
36 |
38 |
||
| 78 |
36 |
40 |
36 |
40 |
||
| 80 |
38 |
40 |
38 |
40 |
||
| 82 |
38 |
42 |
38 |
42 |
||
| 84 |
40 |
42 |
40 |
42 |
||
| 86 |
40 |
44 |
40 |
44 |
||
| 88 |
42 |
44 |
42 |
44 |
||
| 90 |
42 |
46 |
42 |
46 |
||
| 92 |
44 |
46 |
44 |
46 |
||
| 94 |
44 |
48 |
44 |
48 |
||
| 96 |
46 |
48 |
46 |
48 |
||
| 98 |
46 |
50 |
46 |
50 |
||
| 100 |
48 |
50 |
48 |
50 |
||
| 102 |
48 |
52 |
48 |
52 |
||
| 104 |
50 |
52 |
50 |
52 |
||
| 106 |
50 |
54 |
50 |
54 |
||
| 108 |
52 |
54 |
52 |
54 |
||
| 110 |
52 |
56 |
52 |
56 |
||
| 112 |
54 |
56 |
54 |
56 |
||
| 114 |
54 |
58 |
54 |
58 |
||
| 116 |
56 |
58 |
56 |
58 |
||
| 118 |
56 |
60 |
56 |
60 |
||
| 120 |
58 |
60 |
58 |
60 |
||
| 122 |
58 |
62 |
58 |
62 |
||
| 124 |
60 |
62 |
60 |
62 |
||
| 128 |
60 |
64 |
||||
| 130 |
60 |
66 |
||||
| 132 |
62 |
66 |
||||
| 134 |
62 |
68 |
||||
| 136 |
64 |
68 |
||||
| 138 |
64 |
70 |
||||
| 140 |
66 |
70 |
||||
| 142 |
66 |
72 |
||||
| 144 |
68 |
72 |
||||
| 146 |
68 |
74 |
||||
| 148 |
70 |
74 |
||||
| 150 |
70 |
76 |
||||
| 152 |
72 |
76 |
||||
| 154 |
72 |
78 |
||||
| 156 |
74 |
78 |
||||
| 158 |
74 |
80 |
||||
| 254 |
120 |
130 |
Configurar
Visão geral da configuração
- Registre o dispositivo 4200 Series (modo nativo) no FMC.
- Novo! No FMC, selecione e converta o dispositivo do modo Nativo para o modo MI.
- Novo! O IA registra-se automaticamente no FMC após a conversão.
- Atualizar interface(s) física(is).
- Crie instâncias de FTD e atribua interfaces.
- Criar/Atualizar/Excluir canal de porta e subinterfaces do FMC.
- Defina as configurações da plataforma.
- Implantar alterações de configuração no dispositivo.
- Instância(s) do FTD registra(m) automaticamente no FMC.
Converta o 4200 Series para o modo de várias instâncias no FMC
Por padrão, os 4200s estão no modo nativo. Para converter a série 4200 em modo de várias instâncias no FMC:
- Conecte-se ao dispositivo e crie um gerenciador (já documentado).
- Registrar o dispositivo nativo no CVP (já documentado).
- Converter em Várias Instâncias usando FMC.
- No FMC, selecione o(s) dispositivo(s) que precisa(m) ser convertido(s) em Várias instâncias e acione a conversão. É possível selecionar um ou mais de um dispositivo.
Note: Alternar entre o modo nativo para o modo MI redefine TODA a configuração no chassi. A conversão do modo MI para o modo nativo ainda é feita via CLI.
Converter um único dispositivo
1. Para iniciar a conversão, navegue até Devices > Device management.
2. Valide o dispositivo selecionado e clique em Continuar:
validar dispositivos selecionados
- Verificação de preparação e conversão inicial:
verificação de prontidão
Converter mais de um dispositivo (conversão em massa)
- Selecionar dispositivos:
- Confirmar seleção:
- Verificação de preparação e início da conversão:
Monitorando o Andamento e Finalizando
- Notificação de início de conversão:
- Autorregistro do chassis:
- Notificação pós-conversão:
Página de gerenciamento de dispositivos resultante listando os dispositivos da série 4200 (modo MI):
Página de visão geral do chassi do FMC
Visão geral da página de visão geral do chassi do FMC
A página de visão geral do chassi do FMC apresenta um resumo completo do dispositivo 4200 Series (modo MI). Ele inclui:
- Visão pictórica do painel traseiro do dispositivo, incluindo módulos de rede disponíveis.
- Resumo de falhas, com sua criticidade.
- Resumo da interface, status.
- Resumo da instância de FTD, status.
- Estatísticas de hardware - incluindo VENTILADOR, fonte de alimentação, memória, uso da CPU e armazenamento.
Clique em Gerenciar para navegar até Visão geral do chassi:
Guia de resumo da página do chassi:
Seções da guia Resumo da página Chassis
A guia Resumo contém seções. Clique para obter mais detalhes:
- Painel traseiro
- Falhas
- Interfaces
- Instâncias
- Estatísticas de hardware
As seções são mapeadas por número conforme mostrado nesta imagem:
1. Vista de retaguarda:
2. Seção das falhas:
3. Seção Interfaces:
4 .Seção Instâncias:
A transição de instâncias de off-line para on-line é mostrada na imagem anterior.
- Depois de provisionado (1)
- A instância fica offline até ficar online (2)
- Os estados intermédios também são refletidos (3)
5. Estatísticas de hardware:
Gerenciar interfaces
Operações suportadas na guia Interfaces:
- Atualização da interface física.
- Criar/Atualizar/Excluir subinterfaces.
- Criar/Atualizar/Excluir interfaces EtherChannel.
- Configurações da interface de sincronização.
- OIR do módulo de rede.
- Interrupção/junção da interface física.
Resumo da guia Interfaces
A página inicial da guia Interfaces mostra todos os tipos de interfaces que são gerenciadas para um chassi, como interfaces físicas, subinterfaces e subinterfaces EtherChannel e EtherChannel.
Modificar configurações de interface física
Estes atributos de uma interface física podem ser atualizados:
- Estado (Habilitado/Desabilitado)
- Tipo de porta (dados | Partilha de dados)
- Admin Duplex
- Velocidade do administrador
- Negociação automática
Gerenciar Subinterface
Selecione a opção de sub-interface no botão Add para adicionar uma nova interface.
Estes atributos de uma subinterface podem ser modificados:
- Interface pai
- Tipo de porta (dados / compartilhamento de dados)
- ID da subinterface
- ID da VLAN
Gerenciar EtherChannel
Para criar uma nova interface EtherChannel, use a "interface EtherChannel" no botão Add.
Os atributos que podem ser configurados para um EtherChannel são:
- ID do EtherChannel
- Tipo de porta (dados/ compartilhamento de dados)
- Interfaces de membro
- Velocidade do administrador
- Admin Duplex
- Modo LACP
- Taxa de LACP
- Negociação automática
Configurações do Dispositivo de Sincronização
Há casos em que a configuração do FMC e a configuração do dispositivo podem sair de sincronia. Um caso é quando um usuário remove ou insere um netmod. O dispositivo de sincronização pode ser feito nesses casos.
Suporte A Hot Swap/Break-Out Netmod
A opção "Hot Swap", usada em seus documentos, é conhecida como Inserção e Remoção On-line ou OIR em outra documentação interna.
Há uma implantação imediata ao Habilitar/Desabilitar o Módulo de Rede ou Interromper ou Unir interfaces. O modo de várias instâncias é igual ao 4200 Series no modo nativo.
O FMC compara a resposta recebida com a configuração atual e, em seguida, cria a notificação de alteração de interface para confirmação do usuário.
4200 nativo suporta EPM Hot Swap e Breakout
O EPM OIR e o Breakout já são suportados no modo autônomo e nativo do Secure Firewall 4200 Series autônomo.
Documentação do 4200 Series EPM OIR e Breakout FMC:
OIR: Habilitar/Desabilitar Confirmação do EPM
Quando o usuário alterna para habilitar o módulo, um aviso é exibido para garantir que este não seja um clique acidental.
Ativação Completa do EPM: Notificação de interface recebida
- Ao habilitar um EPM, novas interfaces são associadas ao dispositivo.
- O CVP recebe a notificação sobre as interfaces associadas.
- No FMC, o usuário deve aceitar as alterações.
Esta captura de tela mostra a opção de ver as interfaces associadas:
Notificação de Alteração da Interface do EPM
A página de listagem de interfaces lista as interfaces que são adicionadas quando o EPM está habilitado. Clique para saber mais inicia a caixa de diálogo Alterações de interface.
Clique para saber mais não está disponível após salvar.
Página Opções de quebra/junção no chassi
O assistente de confirmação de interrupção da interface é aberto quando a opção de interrupção é acionada.
A notificação de atualização da interface fica visível na página do chassi após a confirmação da interrupção da interface.
Alterações de interface após quebra/junção
Ao clicar em Aceitar alterações, essas interfaces ficam disponíveis no FMC para serem usadas:
Impacto de alterações de interface na instância
Gerenciamento de instâncias
O Gerenciamento de Instâncias permite:
- Exibir todas as instâncias de FTD existentes e seus detalhes em um dispositivo 4200 Series (modo MI).
- Crie/Atualize instâncias de FTD com o núcleo da CPU e a versão do software desejados.
- Excluir uma instância de FTD existente.
- Permite que o usuário escolha políticas de FTD - Política de acesso e política de Configurações de plataforma para a instância de FTD.
- Registre automaticamente a instância do FTD no FMC quando estiver online.
Criar uma instância
Inicie o assistente clicando em Adicionar instância.
Etapa 1. Contrato:
Etapa 2.
- Fundamentos da configuração da instância:
- IPs de Configuração de Instância:
Etapa 3. Atribuições de interface:
Etapa 4. Gerenciamento de dispositivos:
Etapa 5. Resumo:
Para concluir a configuração, Salvar e Implantar.
Registro automático de uma instância de FTD após a implantação bem-sucedida:
Instância registrada no Management Center:
Editar uma instância
Clique no ícone do lápis para editar uma instância de FTD:
Etapa 1. Editar instância de FTD:
Etapa 2. Editar atribuições de interface para uma instância:
Etapa 3. Resumo da instância de edição:
Excluir instância
Configuração de SNMP
Navegue até a guia de configuração do sistema para configurar o SNMP:
Importação/exportação de chassi
Exportar configuração
Navegue para Gerenciar chassis > Configuração do sistema > Importar/exportar:
Importar configuração
Navegue para Gerenciar chassis > Configuração do sistema > Importar/exportar:
O que você precisa saber sobre importação/exportação de chassis
- Todas as configurações existentes no chassi são substituídas pela configuração no arquivo importado.
- A versão do software da plataforma onde a configuração é importada deve ser a mesma da versão exportada.
- O chassi para o qual você está importando a configuração deve ter o mesmo número de módulos de rede instalados quando a exportação foi realizada.
- O chassi onde a configuração é importada deve ter a mesma imagem de aplicativo instalada para dispositivos lógicos.
- As configurações específicas do aplicativo não são exportadas. Somente as configurações de chassi são exportadas.
- O backup da(s) Instância(s) do FTD deve ser feito separadamente.
Política de configurações da plataforma do chassi
A política de configurações da plataforma do chassi permite que os usuários definam as seguintes configurações específicas da plataforma:
- Sincronização de horário (NTP)
- DNS
- Syslog
- Fuso horário
- O usuário pode criar uma nova política "Configuração da plataforma do chassi" e atribuí-la a vários chassis 4200 Series (modo MI).
Tip: As configurações da plataforma do chassi aplicam-se apenas ao chassi. Se o usuário quiser aplicar as configurações da plataforma às suas instâncias, poderá usar uma Política de configurações da plataforma Threat Defense.
1. Navegue até chassis Platform Settings policy:
2. Criar Configurações de Plataforma do Chassi:
3. Página Política de Configurações de Plataforma do Chassi:
Configurações da plataforma do chassi: DNS
Habilite e adicione grupos de servidores DNS na seção DNS da política de configurações da plataforma do chassi:
Configurações da plataforma do chassi: SSH
- Habilite e adicione o servidor SSH na seção SSH da política de configurações da plataforma de chassi:
- Habilitar e adicionar cliente SSH:
Configurações da plataforma do chassi: Lista de acesso SSH
Esta guia aparece somente após a ativação do SSH na seção SSH das configurações da plataforma do chassi.
- Criar lista de acesso SSH:
- Adicione objetos de rede à lista de acesso SSH:
- Adicionar um novo objeto de rede:
- Exibir objeto(s) de rede:
- Selecionar objeto(s) de rede:
- Objetos de rede podem ser criados como também mostrado nesta imagem:
- Exibir objetos de rede adicionados:
Configurações da plataforma do chassi: Sincronização de horário
A Sincronização de Tempo pode ser feita de duas maneiras:
- Via NTP do Management Center
- No servidor NTP personalizado
Do NTP do Management Center
No servidor NTP personalizado
Configurações da plataforma do chassi: Fusos Horários
Definir fusos horários:
Configurações da plataforma do chassi: Syslog
- Guia Destinos locais de Syslog:
- Guia Destinos remotos de Syslog:
- Guia Origens Locais de Syslog:
Configurações da plataforma do chassi: Salvar e implantar
Salve as alterações de configuração da plataforma do chassi e implante:
Cancelando o registro do chassi
Para cancelar o registro de um chassi no FMC, navegue para Devices > Device Management > delete.
Converter de Várias Instâncias para o Modo Nativo
Atualmente, o FMC só oferece suporte à conversão de Nativo para Várias Instâncias. Consequentemente, para converter um dispositivo de volta ao modo Nativo, o usuário precisa usar a CLI.
Passo 1: Cancele o registro do chassi no FMC.
Passo 2: Use este comando CLI para converter o dispositivo 4200 Series para o modo nativo:
firepower-4215# scope system
firepower-4215 /system # set deploymode native
APIs FMC Rest
As APIs REST públicas do FMC estão disponíveis para todas as operações apoiadas pelo FMC.
APIs REST para conversão de nativo em várias instâncias
API POST para verificar se o dispositivo nativo está pronto para a Conversão de Várias Instâncias:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/operational/switchmodereadinesscheck
Exemplo de solicitação POST JSON:
{
"devices": [
{
"id": "DeviceUUID",
"type": "Device"
}
],
"conversionType": "NATIVE_TO_MULTI_INSTANCE"
}API POST para disparar conversão nativa única em Várias Instâncias:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/operational/switchmode
Exemplo de solicitação POST JSON:
{
"items": [
{
"id": "
", "displayName": "Sample_Chassis_Name1" } ], "conversionType": "NATIVE_TO_MULTI_INSTANCE" }
API POST para disparar conversão em massa nativa em Várias Instâncias:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/operational/switchmode
Exemplo de solicitação POST JSON:
{
"items": [
{
"id": "
", "displayName": "Sample_Chassis_Name1" }, { "id": "
", "displayName": "Sample_Chassis_Name2" } ], "conversionType": "NATIVE_TO_MULTI_INSTANCE" }
APIs REST para gerenciamento de chassi
POST Adicione um chassi ao centro de gerenciamento:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis
OBTER todos os chassis:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/
OBTENHA um chassi específico pelo uuid:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{objectId}
Excluir um chassi pelo uuid:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{objectId}
Exemplo de solicitação POST JSON:
{
"type": "FMCManagedChassis",
"chassisName": "CHASSIS123",
"chassisHostName": "192.168.xx.74",
"regKey": "*****"
}APIs REST para gerenciamento de Netmods (módulos de rede)
OBTENHA um módulo de rede pelo uuid:
/api/fmc_config/v1/domain/{domainUID}/chassis/fmcmanagedchassis/{containerUID}/networkmodules/{objectId}
OBTENHA TODOS os módulos de rede:
/api/fmc_config/v1/domain/{domainUID}/chassis/fmcmanagedchassis/{containerUID}/networkmodules/
PUT - Edite um Módulo de Rede existente pelo uuid:
/api/fmc_config/v1/domain/{domainUID}/chassis/fmcmanagedchassis/{containerUID}/networkmodules/{objectId}
PUT - Recuperar dados do módulo de rede do FXOS e atualizar o Centro de Gerenciamento:
/api/fmc_config/v1/domain/{domainUID}/chassis/fmcmanagedchassis/{containerUID}/operational/syncnetworkmodule
Exemplo de resposta GET
{
"metadata": {
"timestamp": 1688670821060,
"domain": {
"name": "Global",
"id": "e276abec-e0f2-11e3-8169-************",
"type": "Domain"
}
},
"links": {
"self": "https://u32c01p10-vrouter.cisco.com:32300/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-************/chassis/fmcmanagedchassis/f0f11b69-4229-4025-b0b9-************/networkmodules/0050568A-3F3F-0ed3-0000-0************"
},
"id": "0050568A-3F3F-0ed3-0000-************",
"moduleState": "ENABLED",
"type": "NetworkModule",
"description": "Cisco FPR 8X1G 8X10G 1RU Module",
"model": "FPR-3120",
"operationState": "ok",
"numOfPorts": 16,
"slotId": "1",
"vendor": "Cisco Systems, Inc.",
"name": "Network Module 1"
}APIs REST para gerenciamento de instâncias
POST Adicione um chassi ao centro de gerenciamento:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUID}/logicaldevices
OBTER todos os chassis:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUID}/logicaldevices
OBTER uma instância específica por uuid:
/api/fmc_config/v1/domain/{domainUID}/chassis/fmcmanagedchassis/{containerUID}/logicaldevices/{objectId}
PUT - Editar uma Instância por uuid:
/api/fmc_config/v1/domain/{domainUID}/chassis/fmcmanagedchassis/{containerUID}/logicaldevices/{objectId}
Excluir um chassi pelo uuid:
/api/fmc_config/v1/domain/{domainUID}/chassis/fmcmanagedchassis/{containerUID}/logicaldevices/{objectId}
Exemplo de solicitação PUT:
{
"name": "ftd1",
"operationalState": "string",
"deviceRegistration": {
"licenseCaps": [
"MALWARE",
"URLFilter",
"CARRIER",
"PROTECT"
],
"accessPolicy": {
"name": "AC Policy name",
"id": "
", "type": "AccessPolicy" }, "deviceGroup": { "name": "DeviceGroup name", "id": "
", "type": "DeviceGroup" } }, "managementBootstrap": { "ipv4": { "gateway": "192.168.xx.68", "ip": "192.168.xx.78", "mask": "255.255.255.0" }, "adminState": "enable", "firepowerManagerIP": "192.168.xx.32", "permitExpertMode": "yes", "searchDomain": "string", "firewallMode": "Routed", "dnsServers": "192.168.xx.123", "natId": "natId", "registrationKey": "regKey", "adminPassword": "adminPwd", "fqdn": "fqdn" }, "externalPortLink": [ { "name": "Ethernet1/1", "id": "
", "type": "ChassisInterface" }, { "name": "Ethernet2/2.1", "id": "
", "type": "ChassisInterface" } ], "type": "LogicalDevice" }
APIs REST para gerenciamento SNMP
OBTER uma configuração SNMP por uuid:
/api/fmc_config/v1/domain/{domainUID}/chassis/fmcmanagedchassis/{containerUID}/snmpsettings/{objectId}
OBTER TODAS as configurações SNMP:
/api/fmc_config/v1/domain/{domainUID}/chassis/fmcmanagedchassis/{containerUID}/snmpsettings/
PUT - Edite um Módulo de Rede existente pelo uuid:
/api/fmc_config/v1/domain/{domainUID}/chassis/fmcmanagedchassis/{containerUID}/snmpsettings/{objectId}
Resposta GET de exemplo:
{
"snmpAdminInstance": {
"id": "logicalDeviceUuid",
"type": "LogicalDevice",
"name": "ftd3"
},
"id": "snmpsettingsUUID2",
"type": "SnmpSetting"
}Resumo de APIs REST para busca
Esta lista contém informações detalhadas sobre as APIs REST para buscar o resumo:
- Falhas
- Instâncias
- Inventário
- Interfaces
- Informações do aplicativo
Resumo de falhas GET para um chassi:
/api/fmc_config/v1/domain/{domainUID}/chassis/fmcmanagedchassis/{containerUID}/faultsummary
Resposta de exemplo:
{
"links": {
"self": "
/api/fmc_config/v1/domain/domainUUID/chassis/fmcmanagedchassis/containerUUID/faultsummary?offset=0&limit=25&expanded=true" }, "items": [ { "faultList": [ { "id": 27429, "isAcknowledged": "no", "cause": "device-registration-pending", "gateway": "3::1", "ip": "3::2", "prefixLength": "33" } ], "managementPort": "Management1", "operationalState": "online", "adminState": "enabled", "deployType": "container" } ], "modifiedTime": "2022-07-05T06:39:25Z", "type": "InstanceSummary" ], "paging": { "offset": 0, "limit": 25, "count": 1, "pages": 1 } }
Resumo de Instâncias GET para um chassi:
/api/fmc_config/v1/domain/{domainUID}/chassis/fmcmanagedchassis/{containerUID}/instancesummary
Resposta de exemplo:
{
"links": {
"self": "
/api/fmc_config/v1/domain/domainUUID/chassis/fmcmanagedchassis/containerUUID/instancesummary?offset=0&limit=25&expanded=true" }, "items": [ { "instanceList": [ { "name": "ftdmi2", "startupVersion": "7.3.0.1402", "coresUsed": 6, "ipv4": { "gateway": "192.168.xx.68", "ip": "192.168.xx.78", "mask": "255.255.255.0" }, "ipv6": { "gateway": "3::1", "ip": "3::2", "prefixLength": "33" }, "managementPort": "Management1", "operationalState": "online", "adminState": "enabled", "deployType": "container" } ], "modifiedTime": "2022-07-05T06:39:25Z", "type": "InstanceSummary" } ], "paging": { "offset": 0, "limit": 25, "count": 1, "pages": 1 } }
GET Resumo de inventário para um chassi:
/api/fmc_config/v1/domain/{domainUID}/chassis/fmcmanagedchassis/{containerUID}/inventorysummary
Resposta de exemplo:
{
"links": {
"self": "
/api/fmc_config/v1/domain/domainUUID/chassis/fmcmanagedchassis/containerUUID/inventorysummary?offset=0&limit=25&expanded=true" }, "items": [ { "fanList": [ { "operationalState": "operable", "operability": "operable", "power": "on", "thermalStatus": "ok", "module": 1, "tray": 1, "id": 1, "model": "N/A", "vendor": "N/A" }, { "operationalState": "operable", "operability": "operable", "power": "on", "thermalStatus": "ok", "module": 1, "tray": 1, "id": 2, "model": "N/A", "vendor": "N/A" } ], "powerSupplyList": [ { "id": 2, "operationalState": "operable", "operability": "operable", "serialNumber": "***********", "thermalStatus": "ok", "model": "FPR2K-PWR-AC-400", "vendor": "Cisco Systems, Inc" } ], "processorList": [ { "id": 1, "operationalState": "operable", "operability": "operable", "vendor": "AuthenticAMD", "model": "49 AMD EPYC 7282 16-Core Processor", "type": "CPU", "thermalStatus": "ok" } ], "securityModuleList": [ { "id": 1, "operationalState": "ok", "operability": "operable", "serialNumber": "***********", "vendor": "Cisco Systems, Inc", "model": "FPR-3120", "availableCores": 24, "totalCores": 32 } ], "memoryList": [ { "capacity": 65536, "id": 1, "array": 1, "bank": 0, "model": "HMAA8GR7AJR4N-XN", "operationalState": "operable", "operability": "operable", "performance": "ok", "power": "not-supported", "serialNumber": "********", "thermalStatus": "ok", "vendor": "Hynix" } ], "model": "FPR-3120", "availableCores": 24, "totalCores": 32 } ], "paging": { "offset": 0, "limit": 25, "count": 1, "pages": 1 } }
Resumo da interface GET para um chassi:
/api/fmc_config/v1/domain/{domainUID}/chassis/fmcmanagedchassis/{containerUID}/interfacesummary
Resposta de exemplo:
{
"links": {
"self": "
/api/fmc_config/v1/domain/domainUUID/chassis/fmcmanagedchassis/containerUUID/interfacesummary?offset=0&limit=25" }, "items": [ { "interfaceList": [ { "name": "Ethernet1/8", "operationalState": "up", "adminState": "disabled", "portType": "data", "operationalSpeed": "10mbps", "adminSpeed": "1gbps", "adminDuplex": "fullDuplex", "autoNegotiation": "yes", "mediaType": "rj45", "type": "PhysicalInterface" }, { "name": "Ethernet1/7", "operationalState": "up", "adminState": "disabled", "portType": "data", "operationalSpeed": "1gbps", "adminSpeed": "1gbps", "adminDuplex": "fullDuplex", "autoNegotiation": "yes", "mediaType": "rj45", "type": "PhysicalInterface" }, { "name": "Ethernet1/6", "operationalState": "up", "adminState": "disabled", "portType": "data", "operationalSpeed": "1gbps", "adminSpeed": "1gbps", "adminDuplex": "fullDuplex", "autoNegotiation": "yes", "mediaType": "rj45", "type": "PhysicalInterface" }, { "name": "Ethernet1/3", "operationalState": "up", "adminState": "disabled", "portType": "data", "operationalSpeed": "1gbps", "adminSpeed": "1gbps", "adminDuplex": "fullDuplex", "autoNegotiation": "yes", "mediaType": "rj45", "type": "PhysicalInterface" }, { "name": "Ethernet1/2", "operationalState": "up", "adminState": "enabled", "portType": "data", "operationalSpeed": "1gbps", "adminSpeed": "1gbps", "adminDuplex": "fullDuplex", "autoNegotiation": "yes", "mediaType": "rj45", "type": "PhysicalInterface" }, { "name": "Ethernet1/1", "operationalState": "up", "adminState": "enabled", "portType": "data", "operationalSpeed": "1gbps", "adminSpeed": "1gbps", "adminDuplex": "fullDuplex", "autoNegotiation": "yes", "mediaType": "rj45", "type": "PhysicalInterface" }, { "name": "Port-channel48", "operationalState": "up", "adminState": "enabled", "portType": "data", "operationalSpeed": "1gbps", "adminSpeed": "1gbps", "adminDuplex": "fullDuplex", "autoNegotiation": "yes", "mediaType": "rj45", "type": "EtherChannelInterface" } ], "modifiedTime": "2022-07-05T06:39:25Z", "type": "InterfaceSummary" } ], "paging": { "offset": 0, "limit": 25, "count": 1, "pages": 1 } }
OBTER Informações do aplicativo para um chassi:
/api/fmc_config/v1/domain/{domainUID}/chassis/fmcmanagedchassis/{containerUID} /inventorysummary
Resposta de exemplo:
{
"links": {
"self": "
/api/fmc_config/v1/domain/domainUUID/chassis/fmcmanagedchassis/containerUUID/appinfo?offset=0&limit=25&expanded=true" }, "items": [ { "appVersion": "7.4.0.1024", "type": "AppInfo" }, { "appVersion": "7.4.0.1075", "type": "AppInfo" } ], "paging": { "offset": 0, "limit": 25, "count": 1, "pages": 1 } }
APIs REST para gerenciamento de interface
Esta seção tem informações detalhadas sobre as APIs REST para gerenciamento de configuração de interface:
- URLs a serem usados para modificações de configuração de interface
- URLs a serem usados para Interrupção/Junção de interfaces
- URLs a serem usadas para configurações do Dispositivo de Sincronização
Atualizar interface física
Para suportar a atualização de interfaces físicas, esses URLs foram apresentados.
OBTER todas as interfaces físicas:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUID}/physicalinterfaces
OBTENHA uma interface física específica pelo uuid da interface:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/physicalinterface s/{interfaceUUID}
Atualizar interface pelo uuid da interface:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/physicalinterface s/{interfaceUUID}
O modelo de interface física é semelhante a este:
{
"metadata": {
"supportedSpeed": "TEN_GBPS,ONE_GBPS,TWENTY_FIVE_GBPS,DETECT_SFP",
"mediaType": "sfp",
"sfpType": "none",
"isBreakoutCapable": false,
"isSplitInterface": false,
"timestamp": 1692344434067,
"domain": {
"name": "Global",
"id": "e276abec-e0f2-11e3-8169-**********",
"type": "Domain"
}
},
"type": "PhysicalInterface",
"name": "Ethernet2/2",
"portType": "DATA",
"adminState": "DISABLED",
"hardware": {
"flowControlSend": "OFF",
"fecMode": "AUTO",
"autoNegState": true,
"speed": "DETECT_SFP",
"duplex": "FULL"
},
"LLDP": {
"transmit": false,
"receive": false
},
"id": "*************************************"
}Configurar subinterfaces
Para suportar o gerenciamento de subinterfaces, esses URLs foram apresentados.
OBTER todas as subinterfaces:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUID}/subinterfaces
OBTENHA uma sub-interface específica pelo uuid da interface:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUID}/subinterfaces/{interfaceUUID}
POST para uma nova sub-interface:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUID}/subinterfaces
ATUALIZE a interface pelo uuid da interface:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUID}/subinterfaces/{interfaceUUID}
EXCLUIR uma sub-interface pelo uuid da interface:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUID}/subinterfaces/{interfaceUUID}
O modelo de subinterface se parece com este:
{
"metadata": {
"isBreakoutCapable": false,
"isSplitInterface": false,
"timestamp": 1692536476265,
"domain": {
"name": "Global",
"id": "e276abec-e0f2-11e3-8169-**********",
"type": "Domain"
}
},
"type": "SubInterface",
"name": "Ethernet1/3.3",
"portType": "DATA",
"subIntfId": 3,
"parentInterface": {
"type": "PhysicalInterface",
"id": "00505686-9A51-0ed3-0000-**********",
"name": "Ethernet1/3"
},
"vlanId": 3,
"id": "*************************************"
}Configurar Interfaces EtherChannel
Para suportar o gerenciamento de interfaces EtherChannel EtherChannel, esses URLs foram apresentados.
OBTENHA todas as interfaces etherchannel:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/etherchannelinterfaces/{interfaceUUID}
OBTENHA uma interface etherchannel específica pelo uuid da interface:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/etherchannelinterfaces/{interfaceUUID}
POST para uma nova interface etherchannel:
/api/fmc_config/v1/domain/{domainUID}/chassis/fmcmanagedchassis/{containerUID}/etherchannelinterfaces
ATUALIZE a interface pelo uuid da interface:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/etherchannelinterfaces/{interfaceUUID}
EXCLUIR uma interface etherchannel pelo uuid da interface:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/etherchannelinterfaces/{interfaceUUID}
O modelo de interface EtherChannel se parece com isto:
{
"metadata": {
"supportedSpeed": "HUNDRED_MBPS,TEN_MBPS,ONE_GBPS",
"timestamp": 1692536640172,
"domain": {
"name": "Global",
"id": "e276abec-e0f2-11e3-8169-**********",
"type": "Domain"
}
},
"type": "EtherChannelInterface",
"name": "Port-channel45",
"portType": "DATA",
"etherChannelId": 45,
"selectedInterfaces": [
{
"type": "PhysicalInterface",
"id": "00505686-9A51-0ed3-0000-**********",
"name": "Ethernet1/4"
},
{
"type": "PhysicalInterface",
"id": "00505686-9A51-0ed3-0000-**********",
"name": "Ethernet1/5"
}
],
"lacpMode": "ON",
"lacpRate": "FAST",
"adminState": "DISABLED",
"hardware": {
"flowControlSend": "OFF",
"autoNegState": true,
"speed": "ONE_GBPS",
"duplex": "FULL"
},
"LLDP": {
"transmit": true,
"receive": true
},
"id": "00505686-9A51-0ed3-0000-**********"
}Interfaces de interrupção/junção de APIs REST
Para suportar a Divisão/Junção de interfaces no 4200 Series, estes URLs podem ser usados:
GET:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUID}/chassisinterfaces/{interfaceUUID}/valuateoperation
Avalia a viabilidade de interrupção/junção para uma interface
POST:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/operational/breakoutinterfaces
Interrompe uma interface
POST:
/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/operational/joininterfaces
Une um conjunto de interfaces quebradas
Fluxo REST para quebra de interface
1. Localize o dispositivo de chassi gerenciado do FMC (4200) usando o endpoint fmcmanagedchassis.
GET /api/fmc_config/v1/domain/{domainUID}/chassis/fmcmanagedchassis
Retorna a lista de dispositivos de chassi gerenciados do FMC junto com dispositivos de Várias Instâncias com detalhes como ID, nome e modelo de cada dispositivo. Escolha os dispositivos "MULTIINSTANCE".
Resposta de exemplo:
{
"id": "fcaa9ca4-85e5-4bb0-b049-**********",
"type": "FMCManagedChassis",
"chassisName": "192.168.0.75",
"chassisMode": "MULTIINSTANCE",
"links": {
"self": "https://u32c01p06-vrouter.cisco.com:22512/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-**********/chassis/fmcmanagedchassis/fcaa9ca4-85e5-4bb0-b049-**********"
}
}2. Verifique se a interface tem capacidade de breakout usando o ponto final interfaces/physical interfaces.
A reunião à parte só será possível se "isBreakoutCapable" for verdadeiro e mediaType for QSFP.
GET /api/fmc_config/v1/domain/{domainUID}/chassis/fmcmanagedchassis/{containerUID}/interfaces
Resposta de exemplo:
{
"metadata": {
"supportedSpeed": "FORTY_GBPS,DETECT_SFP", >>>>>>>>>
"mediaType": "qsfp", >>>>>>>>>
"sfpType": "none",
"isBreakoutCapable": true, >>>>>>>>>
"breakoutFactor": "4", >>>>>>>>>
"isSplitInterface": false,
"timestamp": 1692344434067,
"domain": {
"name": "Global",
"id": "e276abec-e0f2-11e3-8169-**********",
"type": "Domain"
}
},
"type": "PhysicalInterface",
"name": "Ethernet2/4",
"portType": "DATA",
"adminState": "DISABLED",
"hardware": {
"flowControlSend": "OFF",
"fecMode": "AUTO",
"autoNegState": true,
"speed": "DETECT_SFP",
"duplex": "FULL"
},
"LLDP": {
"transmit": false,
"receive": false
},
"id": "00505686-9A51-0ed3-0000-**********"
}3. Na interface, avalie a viabilidade da operação de quebra usando o ponto final de avaliaçãooperação.
GET /api/fmc_config/v1/domain/{domainUID}/chassis/fmcmanagedchassis/{containerUID}/chassisinterfaces/{interfaceUUID}/valuateoperation
Se não houver avisos/erros na resposta, o usuário poderá executar a operação de interrupção.
Resposta de exemplo:
Se houver erros na resposta, o usuário não poderá executar a operação de interrupção:
{
"operationType": "BREAKOUT",
"interfaceUsages": [
{
"conflictType": "Interface usage on instance(s)",
"severity": "ERROR", >>>>>>>>>
"description": "Interface Ethernet2/4 can not be split. Remove it from instances [FTD1] and try again.\n"
}
],
"readinessState": "NOT_READY", >>>>>>>>>
"links": {
"self": "https://u32c01p06-vrouter.cisco.com:22542/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-**********/chassis/fmcmanagedchassis/19d967e6-ef81-4f2e-b311-**********/chassisinterfaces/00505686-662F-0ed3-0000-004294969274/evaluateoperation/00505686-662F-0ed3-0000-**********"
},
"type": "ChassisInterface",
"id": "00505686-662F-0ed3-0000-**********"
}4. Se a interface for habilitada para breakout e o estado de prontidão for "READY", quebre a interface usando o ponto final breakoutinterfaces.
POST /api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/operational/breakoutinterfaces
Solicitação:
{
"targetInterfaces": [
{
"id": "***************ed3-0000-004294969276",
"metadata": {
"type": "PhysicalInterface"
}
}
],
"type": "BreakoutInterface"
}Resposta:
{
"id": "4294969716",
"type": "TaskStatus",
"links": {
"self": "https://u32c01p06-vrouter.cisco.com:22542/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-**********/job/taskstatuses/4294969716"
},
"taskType": "DEVICE_DEPLOYMENT",
"message": "Deployment status for ************************************: SUCCEEDED",
"status": "Interface notification received"
}5. Rastreie a conclusão da tarefa usando o id da tarefa na resposta à interrupção. Defina o status da tarefa como "Notificação de interface recebida".
GET /api/fmc_config/v1/domain/{domainUID}/job/taskstatuses/{objectId}
{
"metadata": {
"task": {
"id": "4294969699",
"links": {
"self": "https://u32c01p06-vrouter.cisco.com:22542/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-**********/job/taskstatuses/4294969699"
}
}
},
"targetInterfaces": [
{
"id": "00505686-662F-0ed3-0000-**********",
"type": "PhysicalInterface"
}
],
"type": "BreakoutInterface"
}
{
"id": "4294969716",
"type": "TaskStatus",
"links": {
"self": "https://u32c01p06-vrouter.cisco.com:22542/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-**********/job/taskstatuses/4294969716"
},
"taskType": "DEVICE_DEPLOYMENT",
"message": "Deployment status for ************************************: SUCCEEDED",
"status": "Interface notification received"
}6. Obtenha as alterações de interface usando o ponto de extremidade chassisinterfaceevents.
GET /api/fmc_config/v1/domain/{domainUID}/chassis/ fmcmanagedchassis/{containerUID}/chassisinterfaceevents
Resposta de exemplo:
[
{
"change": "Interface is deleted",
"type": "PhysicalInterface",
"state": "DISASSOCIATED",
"name": "Ethernet2/3"
},
{
"change": "Interface is associated",
"type": "PhysicalInterface",
"state": "ASSOCIATED",
"name": "Ethernet2/3/2"
},
{
"change": "Interface is associated",
"type": "PhysicalInterface",
"state": "ASSOCIATED",
"name": "Ethernet2/3/3"
},
{
"change": "Interface is associated",
"type": "PhysicalInterface",
"state": "ASSOCIATED",
"name": "Ethernet2/3/4"
}
]7. Se a notificação de interface não for recebida, sincronize o dispositivo usando o ponto de extremidade chassisinterfaceevents e verifique se há alterações pendentes.
POST /api/fmc_config/v1/domain/{domainUUID}/devices/devicerecords/{containerUUID}/ chassisinterfaceevents
Solicitação:
{
"action": "SYNC_WITH_DEVICE"
}Resposta:
{
"action": "SYNC_WITH_DEVICE",
"hasPendingChanges": true
}8. Quando a notificação for recebida, aceite as alterações usando o ponto final chassisinterfaceevents.
POST /api/fmc_config/v1/domain/{domainUUID}/devices/devicerecords/{containerUUID}/ chassisinterfaceevents
Solicitação:
{
"action":"ACCEPT_CHANGES"
}
9. Obtenha todas as interfaces do chassi e localize as interfaces divididas (quebradas) usando o endpoint de interfaces.
GET /api/fmc_config/v1/domain/{domainUID}/chassis/fmcmanagedchassis/{containerUID}/interfaces
Uma interface 40G, digamos eth2/2, é dividida em interfaces 4x10G - eth2/2/1, eth2/2/2, eth2/2/3 e eth2/2/4
Fluxo REST para junção de interface
1. Verifique se a interface está quebrada usando o endpoint interfaces/physicalinterfaces.
A operação de junção só será possível se "isSplitInterface" for verdadeiro e mediaType for SFP
GET /api/fmc_config/v1/domain/{domainUID}/chassis/fmcmanagedchassis/{containerUID}/interfaces
{
"metadata": {
"supportedSpeed": "TEN_GBPS,DETECT_SFP",
"mediaType": "sfp",
"sfpType": "none",
"isBreakoutCapable": false,
"breakoutFactor": "4",
"isSplitInterface": true,
"timestamp": 1692541554935,
"domain": {
"name": "Global",
"id": "e276abec-e0f2-11e3-8169-**********",
"type": "Domain"
}
},
"type": "PhysicalInterface",
"name": "Ethernet2/3/4",
"portType": "DATA",
"adminState": "DISABLED",
"LLDP": {
"transmit": false,
"receive": false
},
"hardware": {
"flowControlSend": "OFF",
"speed": "DETECT_SFP",
"duplex": "FULL",
"fecMode": "AUTO",
"autoNegState": true
},
"id": "00505686-662F-0ed3-0001-**********"
}2. Avalie a viabilidade da operação Join usando o ponto final de avaliaçãooperation em uma das quatro interfaces de divisão.
GET /api/fmc_config/v1/domain/{domainUID}/chassis/fmcmanagedchassis/{containerUID}/ch assisinterfaces/{interfaceUUID}/valuateoperation
- Se não houver avisos/erros na resposta, o usuário poderá executar a operação Ingressar.
{
"operationType": "JOIN",
"readinessState": "READY",
"links": {
"self": "https://u32c01p06-vrouter.cisco.com:22542/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-**********/chassis/fmcmanagedchassis/19d967e6-ef81-4f2e-b311-**********/chassisinterfaces/00505686-662F-0ed3-0001-**********/evaluateoperation/00505686-662F-0ed3-0001-**********"
},
"type": "ChassisInterface",
"id": "00505686-662F-0ed*******************"
}- Se houver erros na resposta, o usuário não poderá executar a operação de junção.
{
"operationType": "JOIN",
"interfaceUsages": [
{
"conflictType": "Interface used in EtherChannel Configuration",
"severity": "ERROR",
"description": "Interface (Ethernet2/3/4) referred to in Ether Channel Interface (Port-channel32) configurations will be impacted due to the JOIN operation."
}
],
"readinessState": "NOT_READY",
"links": {
"self": "https://u32c01p06-vrouter.cisco.com:22542/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-*********/chassis/fmcmanagedchassis/19d967e6-ef81-4f2e-b311-********/chassisinterfaces/00505686-662F-0ed3-0001-692539698200/evaluateoperation/00505686-662F-0ed3-0001-***********"
},
"type": "ChassisInterface",
"id": "00505686-662F-0ed*******************"
}3. Se a interface estiver quebrada e o estado de prontidão for "PRONTO", una-se à interface usando o ponto final joininterfaces. Interface_uuid pode ser o id de qualquer uma das 4 interfaces quebradas.
POST/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/operational/joininterfaces
Solicitação:
{
"targetInterfaces": [
{
"id": "***************ed3-0001-692539698200",
"type": "PhysicalInterface"
}
],
"type": "JoinInterface"
}Resposta:
{
"metadata": {
"task": {
"id": "4294970217",
"links": {
"self": "
/api/fmc_config/v1/domain/e27"***************-8169-6d9ed49b625f/job/taskstatuses/4294970217" } } }, "targetInterfaces": [ { "id": "***************ed3-0001-692539698200", "type": "PhysicalInterface" }, { "id": "***************ed3-0001-692539698201", "type": "PhysicalInterface" }, { "id": "***************ed3-0001-692539698202", "type": "PhysicalInterface" }, { "id": "***************ed3-0001-692539698203", "type": "PhysicalInterface" } ], "type": "JoinInterface" }
4. Rastreie a conclusão da tarefa usando o id da tarefa na resposta de junção. Defina o status da tarefa como "Notificação de interface recebida".
GET /api/fmc_config/v1/domain/{domainUID}/job/taskstatuses/{objectId}
Resposta:
{
"id": "4294970237",
"type": "TaskStatus",
"links": {
"self": "https://u32c01p06-vrouter.cisco.com:22542/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-6d9ed49b625f/job/taskstatuses/4294970237"
},
"taskType": "SSP_EPM_OIR",
"message": "Deployment status for 19d967e6-xxxx-xxxx-xxxx-85ff6cef6d3f: SUCCEEDED",
"status": "Interface notification received"
}5. Obtenha as alterações de interface usando o ponto de extremidade chassisinterfaceevents.
GET /api/fmc_config/v1/domain/{domainUID}/devices/devicerecords/{containerUID}/chassisinterfaceevents
Resposta:
[
{
"change": "Interface is associated",
"type": "PhysicalInterface",
"state": "ASSOCIATED",
"name": "Ethernet2/3"
},
{
"change": "Interface is deleted",
"type": "PhysicalInterface",
"state": "DISASSOCIATED",
"name": "Ethernet2/3/1"
},
{
"change": "Interface is deleted",
"type": "PhysicalInterface",
"state": "DISASSOCIATED",
"name": "Ethernet2/3/2"
},
{
"change": "Interface is deleted",
"type": "PhysicalInterface",
"state": "DISASSOCIATED",
"name": "Ethernet2/3/3"
},
{
"change": "Interface is deleted",
"type": "PhysicalInterface",
"state": "DISASSOCIATED",
"name": "Ethernet2/3/4"
}
]6. Se a notificação de interface não for recebida, sincronize o dispositivo usando o ponto de extremidade chassisinterfaceevents e verifique se há alterações pendentes.
POST /api/fmc_config/v1/domain/{domainUUID}/devices/devicerecords/{containerUUID}/chassisinterfaceevents
Solicitação:
{
"action":"SYNC_WITH_DEVICE"
}
Resposta:
{
"action":"SYNC_WITH_DEVICE",
"hasPendingChanges":true
}
7. Quando a notificação for recebida, aceite as alterações usando o ponto final chassisinterfaceevents.
POST /api/fmc_config/v1/domain/{domainUID}/devices/devicerecords/{containerUID}/chassisinterfac events
Solicitação:
{
"action":"ACCEPT_CHANGES"
}
8. Obtenha todas as interfaces do chassi e localize as interfaces unidas, bem como as outras interfaces, usando o endpoint de interfaces.
GET /api/fmc_config/v1/domain/{domainUID}/chassis/fmcmanagedchassis/{containerUID}/interfaces
Digamos que a união tenha sido iniciada na interface 10G, digamos eth2/2/1, então uma interface 40G eth2/2 estará disponível na resposta.
Sincronizar APIs REST de Dispositivo
Para suportar a Sincronização do Módulo de Rede e das Interfaces, esses URLs foram apresentados.
POST:
/api/fmc_config/v1/domain/{domainUID}/chassis/fmcmanagedchassis/{containerUID}/chassisinterface events
Com payload
{"ação": "SYNC_WITH_DEVICE"} - > Aciona a sincronização
{"ação": "ACCEPT_CHANGES"} - > Aceitar as alterações
GET:
/api/fmc_config/v1/domain/{domainUID}/chassis/fmcmanagedchassis/{containerUID}/chassisinterface events
Lista os eventos alterados gerados
Solução de problemas/diagnósticos
Log FXOS
Se o registro falhar, essas CLIs FXOS podem ser usadas para verificar se os processos sftunnel e sfipproxy estão ativos.
firepower# connect local-mgmt
firepower-4215(local-mgmt)# show processes | include sftunnel grep: (standard input): binary file matches
3323 root 20 0 80328 2024 1544 S 0.0 0.0 0:11.53 /opt/cisco/sftunnel/sfipproxy -d –f /etc/sf/sfipproxy.conf
22066 root 20 0 376880 7140 5944 S 0.0 0.0 0:41.18 /opt/cisco/sftunnel/sftunnel -d -f /etc/sf/sftunnel.conf
Se estiver usando o console do terminal para a CLI, certifique-se de que a saída de show processes não esteja truncada, definindo a largura do terminal com um valor apropriado usando esta CLI mostrada:
firepower-4215(local-mgmt)# terminal width 100 Se o processo SFTunnel estiver ativo e em execução, mas o registro estiver falhando, esses comandos podem ser usados para encontrar qualquer motivo potencial para a falha.
Introduziu a nova CLI no FXOS do connect local-mgmt para exibir mensagens de syslog em /opt/cisco/platform/logs/sfmessages
firepower# connect local-mgmt
firepower(local-mgmt)# tail-mgmt-log sfmessages
Dec 9 18:31:17 firepower Ipc [30483]: add ep: 1,0x5613aa0e2fe8 total = 1 Dec 9 18:31:17 firepower Ipc [30483]: add ep: 1,0x5613aa0ec528 total = 2 Dec 9 18:31:17 firepower Ipc [30483]: add ep: 1,0x5613aa0f5ea8 total = 3 Dec 9 18:31:18 firepower SF-IMS[12621]: [12625] sftunneld:SYNC_PROC [INFO] Change in directory /var/sf/sync detected (0 vs 1670610348)
Registro do CVP
- Se o registro do dispositivo falhar, localize usmsharedsvcs.log e vmssharedsvcs.log neste local e procure a string "CHASSIS DISCOVERY" ou "NATIVE_TO_MULTI_INSTANCE" para encontrar a causa potencial da falha.
- Além disso, procure em /var/log/action_queue.log e /var/sf/messages problemas de SFTunnel.
- /var/opt/CSCOpx/MDC/log/operation/usmsharedsvcs.log /var/opt/CSCOpx/MDC/log/operation/vmssharedsvcs.log
- Se o registro automático do chassi falhar, localize usmsharedsvcs.log e vmssharedsvcs.log e procure a string"CHASSIS DISCOVERY" e "NATIVE_TO_MULTI_INSTANCE" para encontrar a causa potencial da falha.
- Se o registro automático da instância falhar, localize usmsharedsvcs.log e vmssharedsvcs.log e procure a string "MI_FTD_INSTANCE_AUTO_REGISTRATION" para localizar a causa potencial da falha.
- Se houver uma falha de implantação no dispositivo, navegue para Implantar -> Histórico de implantação -> Clique na implantação com falha -> Abrir transcrição. Este arquivo contém o motivo da falha.
Solução de problemas do chassi
O FMC suporta a geração de solução de problemas de chassi (FPRM) na página de gerenciamento de dispositivos.
- Como o dispositivo FTD, há uma opção de solução de problemas disponível para o dispositivo de chassi que gera solução de problemas de chassi e permite que o usuário faça o download do pacote de solução de problemas do FMC.
- Isso coleta o pacote "show tech-support form" (mostrar formulário de suporte técnico) do chassi:
Opções de solução de problemas e geração de chassis:
Progresso e download da solução de problemas do chassi:
Exemplos de Problemas com Troubleshooting de Passo a Passo
Registro automático de falha de chassi no FMC
Problema: O registro automático do chassi está falhando no FMC.
Resultado esperado:
- Uma vez iniciada a conversão a partir do CVP, espera-se que não seja registrada e que seja registrada automaticamente no CVP.
Resultado real:
- Falha no registro automático do chassi
Solução de problemas
1. Verificar conversão:
- Verificar se a conversão foi desencadeada no CVP.
- Faça login no dispositivo e verifique se o dispositivo foi convertido para o modo de contêiner.
- Execute os comandos para ver se o dispositivo foi convertido:
firepower# scope sys
firepower /system # show
Systems:
Name Mode Deploy Mode System IP Address System IPv6 Address
---------- ----------- ----------- ----------------- -------------------
firepower Stand Alone Container 192.168.xx.xx ::2. Verifique o gerenciador de dispositivos:
- Verifique se o gerenciador de dispositivos foi definido corretamente:
firepower# show device-manager
Device manager:
Name: manager
Hostname: 10.10.xx.xx
NAT id: 3ab4bb1a-d723-11ee-a694-89055xxxxxxx
Registration Status: Completed
Error Msg:
- Logs a verificar:
3.1. Navegue até /var/opt/CSCOpx/MDC/log/operation/vmssharedsvcs.log e /var/opt/CSCOpx/MDC/log/operation/usmsharedsvcs.log
3.2. Procure as palavras-chave"NATIVE_TO_MI_CONVERSION" e"CHASSIS DISCOVERY" nos arquivos para encontrar o motivo da falha.
Autorregistro de instância no CVP
Problema: Falha no registro automático da instância no FMC.
Resultado esperado:
- Quando a instância for provisionada pelo FMC, ela deverá ser registrada automaticamente no FMC
Resultado real:
- Falha no registro automático da instância
Solução de problemas
- Verifique se a implantação foi disparada após a criação da instância.
- Se a implantação não estiver concluída, assegure-se de implantar as alterações no dispositivo.
- Se houver uma falha na implantação, vá para Histórico de implantação -> Clique em Transcrição. Verifique o motivo da falha, corrija e repita a implantação.
- Verifique se a instância está instalada e se seu estado operacional está online. Você pode usar a página de resumo do chassi para verificar o status do provisionamento da Instância.
- Verifique se o SFTunnel está ativo e em execução no FTD da instância usando este comando:
ps -ef | grep -i "sftunnel”- Se o SFTunnel não estiver em execução, tente executar um comando de reinicialização:
pmtool restartById sftunnel- Navegue até /var/opt/CSCOpx/MDC/log/operation/vmssharedsvcs.log e /var/opt/CSCOpx/MDC/log/operation/usmsharedsvcs.log
- Procure a palavra-chave "MI_FTD_INSTANCE_AUTO_REGISTRATION" no arquivo para encontrar o motivo da falha.
Registro de dispositivo nativo no FMC
Problema: O Native Device Registration está falhando no FMC após a conversão do dispositivo de volta ao modo nativo
- Caso o usuário converta o chassi (modo MI) de volta para o modo nativo, mas se esqueça de excluir o chassi do FMC, o dispositivo fica off-line no FMC.
- Se o usuário tentar registrar novamente esse dispositivo nativo no FMC, o registro falhará.
Solução de problemas
- Verifique se a entrada do chassi foi excluída do FMC antes de converter o dispositivo de volta ao modo nativo.
- Quando a entrada for excluída, tente registrar novamente o dispositivo nativo no FMC.
Referências úteis
- Informações sobre interfaces compartilhadas:
- 3100 Página de várias instâncias no site de suporte da Cisco:
Opções de interface e alta disponibilidade
Opções de interface
Independente ou alta disponibilidade
Aproveitando as interfaces de gerenciamento duplas
- Como o 4200 no modo nativo, as duas portas de gerenciamento físico são fornecidas para suportar redundância de interface para tráfego de gerenciamento ou para suportar interfaces separadas para gerenciamento e eventos.
- Os dispositivos 9300 e 4100, assim como o 4200 Series, têm interfaces de gerenciamento duplas. A segunda interface de gerenciamento, Gerenciamento 1/2, é destinada a ser usada para eventos.
- No modo de várias instâncias (também conhecido como "contêiner"), você pode configurar essa interface na CLI do Threat Defense em cada instância. Atribua um endereço IP na mesma rede para cada instância.
- Quando no modo de contêiner, cada instância de FTD tem interfaces de Gerenciamento 1/1 e Gerenciamento 1/2 automaticamente atribuídas a ela.
- A segunda interface de gerenciamento é desativada por padrão.
- Não é possível configurar o Management1/2 usando o FMC; você precisa configurá-lo por meio do FTD CLISH (no 9300/4100, que. por outro lado, é feito na CLI FXOS). Use este comando com o tipo de endereço IP, endereço, sub-rede e rota estática desejados:
configure network ipv4 manual 192.168.0.xx 255.255.255.0 192.168.0.1 management1 Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
1.0 |
29-Oct-2024 |
Versão inicial |
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)