明确FMC上FTD的内联集顺序

下载选项

  • PDF     (2.6 MB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (2.5 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (1.9 MB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2024 年 2 月 13 日
文档 ID:221641

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档说明内联集的接口顺序不同的原因,即使接口命名约定对所有集都相同。

    先决条件

    要求

    Cisco 建议您了解以下主题:

    • 安全防火墙威胁防御(FTD)
    • 安全防火墙管理中心(FMC)
    • 安全防火墙可扩展操作系统(FXOS)
    • REST-API

    使用的组件

    本文档中的信息基于以下软件和硬件版本:

    • 安全防火墙威胁防御7.2.5.1版
    • 安全防火墙管理器中心版本7.2.5.1
    • 安全防火墙可扩展操作系统2.12(1.48)
    • 安全防火墙机箱管理器(FCM)

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    分析

    案例示例

    在本例中,以内联对形式设置具有六(6)个接口的FTD:

    Ethernet1/1 (Inside-A)
Ethernet1/2 (Outside-A)
Ethernet1/3 (Inside-B)
Ethernet1/4 (Outside-B)
Ethernet1/5 (Inside-C)
Ethernet1/6 (Outside-C)

    FTD接口列表FTD接口列表

    已计划为每对配置从InsideOutside的内联集,这会导致进行下一次设置:

    Inline Set A: Inside-A <-> Outside-A
Inline Set B: Inside-B <-> Outside-B
Inline Set C: Inside-C <-> Outside-C

    用户希望接口的顺序按接口逻辑名称或接口物理名称的字母顺序显示。但是,此设置会产生不同的顺序,如下图所示:

    FTD内联集FTD内联集

    用户注意到,内联集C的顺序与其他两个内联集不同。

    注释图标

    注意:请注意,内联集接口对的顺序不会导致任何通信或操作问题,但出于美学考虑,这可能令人担忧。

    说明

    内联集接口顺序不是按名称分配的,而是按ID分配的,通过REST-API进行验证。

    步骤1:要验证这一点,需要访问FMC REST-API资源管理器。这可以通过访问下一个URL语法来实现:

    https://FMC  IP/api/api-explorer

    FMC REST-API资源管理器FMC REST-API资源管理器

    第二步:导航到设备并展开菜单。

    Devices菜单Devices菜单

    第三步:导航到GET 选项可以:

    ​/api​/fmc_config​/v1​/domain​/{domainUUID}​/devices​/devicerecords​/{containerUUID}​/inlinesets

    内联集GET选项内联集GET选项

    第四步:单击Try it Out按钮。

    内联集GET Try it Out按钮内联集GET Try it Out按钮

    第五步:用FTD UUID替换containerUUID字段(可通过FTD命令行上的show version命令显示),然后单击Execute

    内联集执行内联集执行

    第六步:向下滚动到Response Body并复制故障排除所需的接口ID,在本例中为Inline Set C

    "id": "005056B3-BB52-0ed3-0000-021474837838",

    内联集GET响应正文内联集GET响应正文

    步骤 7. 导航到GET 选项可以:

    /api/fmc_config/v1/domain/{domainUUID}/devices/devicerecords/{containerUUID}/inlinesets/{objectId}

    内联集获取对象ID内联集获取对象ID

    步骤 8 单击Try it Out按钮。

    内联集GET对象ID试用内联集GET对象ID试用

    步骤 9使用步骤6中采取的ID替换objectId字段,使用步骤5中使用的FTD UUID替换containerUUID。之后,单击Execute按钮。

    内联集GET对象ID执行内联集GET对象ID执行

    步骤 10验证REST-API查询的响应正文

    内联集GET对象ID响应正文内联集GET对象ID响应正文

    接口Ethernet1/6被添加为内联集的第一个组件,而Ethernet1/5被添加为第二个组件。这是因为为Ethernet1/6分配的接口ID的字母顺序低于Ethernet1/5。这将验证FMC在内联集上进行接口分配所采用的逻辑。

    解决方法

    接口ID由FXOS在创建逻辑设备时分配,因此,需要在FXOS级别删除接口,然后按所需顺序读取,以便再次分配ID。

    警告图标

    警告:下一个解决方法仅适用于FPR4100和FPR9300系列,任何其他安全防火墙硬件都需要重新映像。此外,此解决方法会中断流量,从这个意义上说,强烈建议使用FMC、FTD和FXOS备份以及计划维护窗口。

    步骤1:登录FMC并删除下一个路径上的有问题的内联集:

    Devices > Device Management > Edit the desired FTD > Inline Sets.

    内联集删除内联集删除

    第二步:保存更改并进行部署。

    内联集删除部署内联集删除部署

    第三步:登录设备FCM并导航到逻辑设备并编辑所需的逻辑设备

    逻辑设备编辑逻辑设备编辑

    第四步:删除属于有问题的内联集的两个接口(在本例中为Ethernet1/5和Ethernet1/6),并保存更改。

    内联集接口删除内联集接口删除

    第五步:在FMC上,导航到设备>设备管理,编辑所需的FTD,然后导航到接口选项卡,点击同步设备按钮,保存更改并部署。

    删除后内联集FTD同步删除后内联集FTD同步

    第六步:再次编辑逻辑设备,再次添加第一个接口(Ethernet1/5),然后保存更改。

    内联集第一个接口添加内联集第一个接口添加

    步骤 7.点击 Sync Device 按钮,保存更改,然后再次部署。

    首次添加接口后的FTD同步首次添加接口后的FTD同步

    步骤 8再次编辑逻辑设备,再次添加第一个接口(Ethernet1/6),然后保存更改。

    内联集第二个接口添加内联集第二个接口添加

    步骤 9 通过点击Sync Device 按钮,保存更改,然后部署来重复第5步。

    添加第二个接口后的FTD同步添加第二个接口后的FTD同步

    步骤 10使用与之前相同的参数配置接口,然后再次添加内联集。

    内联集配置内联集配置

    此时,内联集接口顺序按预期方式显示。保存更改并最后一次部署。

    注释图标

    注意:将再次执行本文档的“案例示例”部分,以验证接口ID现在的顺序是否正确。

    相关信息

    修订历史记录

    版本 发布日期 备注
    2.0
    13-Feb-2024
    首次公开发布
    1.0
    12-Feb-2024
    初始版本
    TAC Authored

    由思科工程师提供

    • 卡洛斯·爱德华多·阿蒂阿加·波蒂略
      思科安全技术咨询工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品