在搭載FTD 7.6的Firepower 4200中轉換為容器（MI模式）

簡介

本文說明如何使用FTD 7.6在Firepower 4200防火牆系列中設定容器（多例項模式），並提供相關詳細資訊。

必要條件、支援的平台、許可

最低軟體和硬體平台

授權

• 功能許可證手動分配給每個例項，但每個4200系列裝置每個功能僅使用一個許可證。
  • 例如，對於一個具有3個FTD例項的4200系列，只要您位於同一個FMC上，您只需要一個URL許可證，而不管使用的例項數如何。
• 所有許可證按4200系列裝置使用，而不是按容器例項使用，前提是它們位於同一個FMC上。因此，對於4200系列裝置上的所有例項，由於實施許可，建議您使用相同的FMC。

採用元件

本文件所述內容不限於特定軟體和硬體版本。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

• FTD已經在3100型號（以及9300和4100系列）上支援多執行例(MI)，但並不支援4200系列。
• 在FMC中，僅在本機模式下支援4200型號。
• 在4200中沒有在7.4.x中建立多個例項的設定。
• 自7.4.1起，支援3100上的多例項(MI)。
  • 例項可以使用FMC建立和管理（與9300和4100系列不同，必須使用FCM）。
  • 當處於MI模式時，可通過FMC的升級機箱GUI更新FXOS。
  • 轉換到MI模式通過CLI完成。

新增內容

• 您可以調配和管理4200系列上的MI例項。
• FMC — 適用於4200系列（MI模式）和FTD例項的單一管理解決方案
• 允許在FMC上為3100和4200系列裝置將本機裝置單次和批次轉換為MI模式。
• 目標市場：企業/大型企業 — 網際網路邊緣、資料中心

含FTD多例項支援的平台

3100和4200系列之間的差異

• 4200有兩個管理介面，一個用於管理，另一個用於事件。
  • Management1/1和Management1/2介面均已引導到所有FTD容器例項。
  • 一個或兩個管理介面可在MI模式下使用。
    • Management1/1同時適用於Management和Events，或
    • Management1/1可用於管理，Management1/2可用於事件，在這種情況下：
      • 需要定義靜態路由，以使用管理1/2介面路由流量。
• 由於大小較大，因此在4200上建立的例項比3100上建立的例項多。

支援的部署

• 使用獨立FTD例項管理4200系列（MI模式）
• 使用高可用性FTD例項管理4200系列（MI模式）*

功能說明和演練

在7.6.0中對多例項配置的更改：

• 在MI模式下支援4200系列
• FMC中的更改，也與3100系列的MI模式管理有關：
  • 在FMC中裝置從本地模式轉換到MI模式
  • 準備情況檢查，檢查裝置是否可以轉換為MI模式
  • 轉換後在FMC中自動註冊FTD例項

4200系列例項規格

最大例項支援

例項密度由兩個主要因素驅動：

1.給定平台上的CPU核心數量和磁碟空間量

2.這些資源中有多少可用於向例項提供資源。最小的例項大小需要3個物理CPU（6個邏輯）核心和48 GB的磁碟空間。

FTD例項大小

Lina（資料平面）Snort核心分配  

	4215	4225	4245
例項大小	資料平面核心	Snort核心	資料平面核心	Snort核心	資料平面核心	Snort核心
6	2	2	2	2	2	2
8	2	4	2	4	2	4
10	4	4	4	4	4	4
12	4	6	4	6	4	6
14	6	8	6	6	6	6
16	6	8	6	6	8	8
18	8	10	8	8	8	10
20	8	10	8	8	10	10
22	10	12	10	10	10	12
24	12	12	10	10	10	12
26	12	14	12	12	12	12
28	14	14	12	14	12	14
30	14	16	14	14	14	14
32	14	16	14	16	14	16
34	16	16	16	16	16	16
36	16	18	16	18	16	18
38	18	18	18	18	18	18
40	18	20	18	20	18	20
42	20	20	20	20	20	20
44	20	22	20	22	20	22
46	22	22	22	22	22	22
48	22	24	22	24	22	24
50	24	24	24	24	24	24
52	24	26	24	26	24	26
54	26	26	26	26	24	26
56	26	28	26	28	26	28
58	28	28	28	28	28	28
60	28	30	28	39	28	30
62	30	30	30	30	30	30
64			30	32	30	32
66			30	34	30	34
68			32	34	32	34
70			32	36	32	36
72			34	36	34	36
74			34	38	34	38
76			36	38	36	38
78			36	40	36	40
80			38	40	38	40
82			38	42	38	42
84			40	42	40	42
86			40	44	40	44
88			42	44	42	44
90			42	46	42	46
92			44	46	44	46
94			44	48	44	48
96			46	48	46	48
98			46	50	46	50
100			48	50	48	50
102			48	52	48	52
104			50	52	50	52
106			50	54	50	54
108			52	54	52	54
110			52	56	52	56
112			54	56	54	56
114			54	58	54	58
116			56	58	56	58
118			56	60	56	60
120			58	60	58	60
122			58	62	58	62
124			60	62	60	62
128					60	64
130					60	66
132					62	66
134					62	68
136					64	68
138					64	70
140					66	70
142					66	72
144					68	72
146					68	74
148					70	74
150					70	76
152					72	76
154					72	78
156					74	78
158					74	80
254					120	130

設定

組態概觀

1. 在FMC中註冊4200系列（本機模式）裝置。
2. 新增！在FMC上，選擇裝置並將其從本機模式轉換為MI模式。
3. 新增！MI機箱在轉換後自動註冊到FMC。
4. 更新物理介面。
5. 建立FTD例項並分配介面。
6. 從FMC建立/更新/刪除埠通道和子介面。
7. 配置平台設定。
8. 將配置更改部署到裝置。
9. FTD例項自動註冊到FMC。

在FMC中將4200系列轉換為多例項模式

預設情況下，4200處於本機模式。要在FMC中將4200系列轉換為多例項模式，請執行以下操作：

1. 連線到裝置並建立管理器（已記錄）。
2. 將本機裝置註冊到FMC（已記錄）。
3. 使用FMC轉換為多例項。
4. 在FMC上，選擇需要轉換為多例項的裝置，並觸發轉換。可以選擇一個或多個裝置。

轉換單個裝置

1.要開始轉換，請導航至Devices > Device management。

2.驗證所選裝置，然後按一下Continue:

驗證所選裝置

3. 就緒性檢查和初始轉換：

就緒性檢查

轉換多個裝置（批次轉換）

1. 選擇裝置：

2. 確認選擇：

3. 就緒性檢查並啟動轉換：

監控進度和完成

1. 轉換開始通知：

2. 機箱的自動註冊：

3. 轉換後通知：

生成的裝置管理頁面列出4200系列（MI模式）裝置：

FMC機箱概述頁面

FMC機箱概述頁面概述

FMC機箱概述頁面提供了4200系列（MI模式）裝置的完整摘要。它包括：

• 裝置的圖形後面板檢視，包括可用的網路模組。
• 故障摘要及其重要性。
• 介面摘要、狀態。
• FTD例項摘要、狀態。
• 硬體統計資料 — 包括風扇、電源、記憶體、CPU使用率和儲存。

按一下Manage導航至Chassis Overview:

機箱頁面摘要頁籤：

機箱頁面摘要頁籤部分

「摘要」頁籤包含多個部分。按一下以獲取更多詳細資訊：

• 背板
• 故障
• 介面
• 例項
• 硬體統計資訊

節按編號進行對映，如下圖所示：

1.背板檢視：

2.故障部分：

3. Interfaces部分：

4 .Instances部分：

例項從離線狀態到聯機狀態的轉換如前一圖所示。

• 調配後(1)
• 例項處於離線狀態，直到其聯機(2)
• 也反映了中間狀態(3)

5.硬體統計：

管理介面

Interfaces頁籤支援的操作：

• 更新物理介面。
• 建立/更新/刪除子介面。
• 建立/更新/刪除EtherChannel介面。
• 同步介面配置。
• 網路模組的OIR。
• 物理介面中斷/連線。

Interfaces頁籤摘要

Interfaces頁籤的登入頁顯示了為機箱管理的所有型別的介面，例如物理介面、子介面以及EtherChannel和EtherChannel子介面。

修改物理介面配置

可以更新物理介面的以下屬性：

• 狀態（啟用/禁用）
• 埠型別（資料） |資料共用)
• 管理雙工
• 管理速度
• 自動交涉

管理子介面

從Add按鈕選擇子介面選項以新增新介面。

可以修改子介面的以下屬性：

• 父介面
• 埠型別（資料/資料共用）
• 子介面ID
• VLAN ID

管理EtherChannel

要建立新的EtherChannel介面，請使用Add按鈕下的「EtherChannel interface」。

可以為EtherChannel配置的屬性包括：

•  EtherChannel ID
•  Port-Type（資料/資料共用）
• 成員介面
• 管理速度
• 管理雙工
• LACP模式
• LACP速率
• 自動交涉

同步裝置配置

在某些情況下，FMC配置和裝置配置可能會不同步。一種情況是使用者刪除或插入netmod。在這種情況下可以執行同步裝置。

Netmod熱交換/中斷支援

在文檔中使用的「熱插拔」在其他內部文檔中稱為「線上插入和刪除」或OIR。

啟用/禁用網路模組或中斷或加入介面時可以立即進行部署。多例項模式與本機模式中的4200系列模式相同。

FMC將收到的響應與當前配置進行比較，然後建立介面更改通知供使用者確認。

4200本地支援EPM熱插拔和分支

EPM OIR和Breakout已在獨立本地模式安全防火牆4200系列上受支援。

4200系列EPM OIR和分支FMC文檔：

• https://www.cisco.com/c/en/us/td/docs/security/secure-firewall/hardware/4200/fw-4200-install/m-overview.html

OIR:啟用/禁用EPM確認

使用者切換到啟用模組時，會顯示警告，以確保這不是偶然按一下。

EPM啟用完成：已收到介面通知

• 啟用EPM時，會在裝置上關聯新介面。
• FMC接收有關關聯介面的通知。
• 在FMC上，使用者必須接受更改。

此螢幕截圖顯示了檢視關聯介面的選項：

EPM介面更改通知

介面清單頁列出了啟用EPM時新增的介面。按一下瞭解更多內容，啟動「介面更改」對話方塊。
儲存後，按一下瞭解更多資訊不可用。

「機箱」頁中的中斷/加入選項

Interface break confirmation wizard openup on break選項被觸發。 

確認介面中斷後，介面更新通知會在機箱頁面上顯示。

中斷/加入後介面更改

按一下Accept Changes後，這些介面在要使用的FMC中變為可用：

介面更改對例項的影響

例項管理

「例項管理」使您能夠：

• 在4200系列（MI模式）裝置上檢視所有現有FTD例項及其詳細資訊。
• 建立/更新具有所需CPU核心和軟體版本的FTD例項。
• 刪除現有FTD例項。
• 允許使用者為FTD例項選擇FTD策略 — 訪問策略和平台設定策略。
• 在FMC上線後，自動向FTD註冊例項。

建立例項

按一下Add Instance以啟動嚮導。

步驟1.協定：

步驟 2.

• 例項配置基礎知識：

• 例項配置IP:

步驟3.介面分配：

步驟4.裝置管理：

步驟5.總結：

要完成配置，請儲存並部署。

成功部署後自動註冊FTD例項：

註冊到Management Center的例項：

編輯例項

點選鉛筆圖示編輯FTD例項：

步驟1.編輯FTD例項：

步驟2.編輯例項的介面分配：

步驟3.編輯例項摘要：

刪除例項

SNMP組態

導航到用於配置SNMP的系統配置頁籤：

機箱匯入/匯出

匯出配置

導覽至Manage Chassis > System Configuration > Import/Export:

匯入配置

導覽至Manage Chassis > System Configuration > Import/Export:

有關機箱匯入/匯出的注意事項

• 機箱上的所有現有配置都將由匯入檔案中的配置替換。
• 匯入配置的平台軟體版本必須與匯出的版本相同。
• 進行匯出時，匯入配置的機箱必須安裝相同數量的網路模組。
• 匯入配置的機箱必須為邏輯裝置安裝相同的應用程式映像。
• 不匯出特定於應用程式的配置設定。僅匯出機箱配置。
• 需要單獨進行FTD例項備份。

機箱平台設定策略

機箱平台設定策略允許使用者配置以下平台特定配置：

• 時間同步(NTP)
• DNS
• 系統日誌
• 時區
• 使用者可以建立新的「機箱平台設定」策略，並將其分配到多個4200系列（MI模式）機箱。

1.導航到機箱平台設定策略：

2.建立機箱平台設定：

3.機箱平台設定策略頁：

機箱平台設定：DNS

在機箱平台設定策略的DNS部分下啟用和新增DNS伺服器組：

機箱平台設定：SSH

• 在機箱平台設定策略的SSH部分下啟用和新增SSH伺服器：

• 啟用和新增SSH客戶端：

機箱平台設定：SSH訪問清單

此頁籤僅在機箱平台設定的SSH部分下啟用SSH後顯示。

• 建立SSH訪問清單：

• 為SSH訪問清單新增網路對象：

• 新增新網路對象：

• 檢視網路對象：

• 選取網路對象：

• 可以建立網路對象，如下圖所示：

• 檢視新增的網路對象：

機箱平台設定：時間同步

時間同步可通過兩種方式完成：

1. 通過管理中心的NTP
2. 在自定義NTP伺服器上

從管理中心的NTP

在自定義NTP伺服器上

機箱平台設定：時區

設定時區：

機箱平台設定：系統日誌

• Syslog Local Destinations頁籤：

• Syslog Remote Destinations頁籤：

• Syslog Local Sources頁籤：

機箱平台設定：儲存和部署

儲存機箱平台設定更改，然後部署：

正在註銷機箱

要從FMC註銷機箱，請導航到Devices > Device Management > delete。

從多例項轉換為本機模式

目前，FMC僅支援從本機到多例項的轉換。因此，要將裝置轉換回本機模式，使用者必須使用CLI。

步驟 1:從FMC中註銷機箱。

步驟 2:使用此CLI命令將4200系列裝置轉換為本機模式：

firepower-4215# scope system
firepower-4215 /system # set deploymode native 

FMC Rest API

FMC公共REST API可用於FMC支援的所有操作。

用於原生到多例項轉換的REST API

POST API驗證本地裝置是否準備好進行多例項轉換：

/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/operational/switchmodereadinescheck

POST請求JSON示例：

{
  "devices": [
    {
      "id": "DeviceUUID",
      "type": "Device"
    }
  ],
  "conversionType": "NATIVE_TO_MULTI_INSTANCE"
}

POST API以觸發單個本機到多例項轉換：

/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/operational/switchmode

POST請求JSON示例：

{
  "items": [
    {
      "id": "
    
    
      ", "displayName": "Sample_Chassis_Name1" } ], "conversionType": "NATIVE_TO_MULTI_INSTANCE" } 
    

POST API以觸發批次本機多例項轉換：

/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/operational/switchmode

POST請求JSON示例：

{
  "items": [
    {
      "id": "
    
    
      ", "displayName": "Sample_Chassis_Name1" }, { "id": " 
     
       ", "displayName": "Sample_Chassis_Name2" } ], "conversionType": "NATIVE_TO_MULTI_INSTANCE" } 
      
    

適用於機箱管理的REST API

POST向管理中心新增機箱：

/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis

獲取所有機箱：

/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/

通過uuid獲取特定機箱：

/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{objectId}

通過uuid刪除機箱：

/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{objectId}

POST請求JSON示例：

{
  "type": "FMCManagedChassis",
  "chassisName": "CHASSIS123",
  "chassisHostName": "192.168.xx.74",
  "regKey": "*****"
}

用於管理網路模組（網路模組）的REST API

通過uuid獲取網路模組：

/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/networkmodules/{objectId}

獲取所有網路模組：

/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/networkmodules/

PUT — 按uuid編輯現有網路模組：

/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/networkmodules/{objectId}

PUT — 從FXOS檢索網路模組資料並更新管理中心：

/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/operational/syncnetworkmodule

GET響應示例

{
  "metadata": {
    "timestamp": 1688670821060,
    "domain": {
      "name": "Global",
      "id": "e276abec-e0f2-11e3-8169-************",
      "type": "Domain"
    }
  },
  "links": {
    "self": "https://u32c01p10-vrouter.cisco.com:32300/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-************/chassis/fmcmanagedchassis/f0f11b69-4229-4025-b0b9-************/networkmodules/0050568A-3F3F-0ed3-0000-0************"
  },
  "id": "0050568A-3F3F-0ed3-0000-************",
  "moduleState": "ENABLED",
  "type": "NetworkModule",
  "description": "Cisco FPR 8X1G 8X10G 1RU Module",
  "model": "FPR-3120",
  "operationState": "ok",
  "numOfPorts": 16,
  "slotId": "1",
  "vendor": "Cisco Systems, Inc.",
  "name": "Network Module 1"
}

用於例項管理的REST API

POST向管理中心新增機箱：

/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/logicaldevices

獲取所有機箱：

/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/logicaldevices

通過uuid獲取特定例項：

/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/logicaldevices/{objectId}

PUT — 按uuid編輯例項：

/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/logicaldevices/{objectId}

通過uuid刪除機箱：

/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/logicaldevices/{objectId}

PUT請求示例：

{
  "name": "ftd1",
  "operationalState": "string",
  "deviceRegistration": {
    "licenseCaps": [
      "MALWARE",
      "URLFilter",
      "CARRIER",
      "PROTECT"
    ],
    "accessPolicy": {
      "name": "AC Policy name",
      "id": "
    
    
      ", "type": "AccessPolicy" }, "deviceGroup": { "name": "DeviceGroup name", "id": " 
     ", "type": "DeviceGroup" } }, "managementBootstrap": { "ipv4": { "gateway": "192.168.xx.68", "ip": "192.168.xx.78", "mask": "255.255.255.0" }, "adminState": "enable", "firepowerManagerIP": "192.168.xx.32", "permitExpertMode": "yes", "searchDomain": "string", "firewallMode": "Routed", "dnsServers": "192.168.xx.123", "natId": "natId", "registrationKey": "regKey", "adminPassword": "adminPwd", "fqdn": "fqdn" }, "externalPortLink": [ { "name": "Ethernet1/1", "id": " 
      
        ", "type": "ChassisInterface" }, { "name": "Ethernet2/2.1", "id": " 
       
         ", "type": "ChassisInterface" } ], "type": "LogicalDevice" } 
        
       
    

適用於SNMP管理的REST API

通過uuid獲取SNMP設定：

/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/snmpsettings/{objectId}

獲取所有SNMP設定：

/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/snmpsettings/

PUT — 按uuid編輯現有網路模組：

/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/snmpsettings/{objectId}

GET響應示例：

{
  "snmpAdminInstance": {
    "id": "logicalDeviceUuid",
    "type": "LogicalDevice",
    "name": "ftd3"
  },
  "id": "snmpsettingsUUID2",
  "type": "SnmpSetting"
}

用於獲取摘要的REST API

此清單包含有關用於獲取摘要的REST API的詳細資訊：

• 故障
• 例項
• 庫存
• 介面
• 應用資訊

獲取機箱的GET故障摘要：

/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/faultsummary

響應示例：

{
  "links": {
    "self": "
    
    
      /api/fmc_config/v1/domain/domainUUID/chassis/fmcmanagedchassis/containerUUID/faultsummary?offset=0&limit=25&expanded=true" }, "items": [ { "faultList": [ { "id": 27429, "isAcknowledged": "no", "cause": "device-registration-pending", "gateway": "3::1", "ip": "3::2", "prefixLength": "33" } ], "managementPort": "Management1", "operationalState": "online", "adminState": "enabled", "deployType": "container" } ], "modifiedTime": "2022-07-05T06:39:25Z", "type": "InstanceSummary" ], "paging": { "offset": 0, "limit": 25, "count": 1, "pages": 1 } } 
    

機箱的GET例項摘要：

/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/instancesummary

響應示例：

{
  "links": {
    "self": "
    
    
      /api/fmc_config/v1/domain/domainUUID/chassis/fmcmanagedchassis/containerUUID/instancesummary?offset=0&limit=25&expanded=true" }, "items": [ { "instanceList": [ { "name": "ftdmi2", "startupVersion": "7.3.0.1402", "coresUsed": 6, "ipv4": { "gateway": "192.168.xx.68", "ip": "192.168.xx.78", "mask": "255.255.255.0" }, "ipv6": { "gateway": "3::1", "ip": "3::2", "prefixLength": "33" }, "managementPort": "Management1", "operationalState": "online", "adminState": "enabled", "deployType": "container" } ], "modifiedTime": "2022-07-05T06:39:25Z", "type": "InstanceSummary" } ], "paging": { "offset": 0, "limit": 25, "count": 1, "pages": 1 } } 
    

獲取機箱的庫存摘要：

/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/inventorysummary

響應示例：

{
  "links": {
    "self": "
    
    
      /api/fmc_config/v1/domain/domainUUID/chassis/fmcmanagedchassis/containerUUID/inventorysummary?offset=0&limit=25&expanded=true" }, "items": [ { "fanList": [ { "operationalState": "operable", "operability": "operable", "power": "on", "thermalStatus": "ok", "module": 1, "tray": 1, "id": 1, "model": "N/A", "vendor": "N/A" }, { "operationalState": "operable", "operability": "operable", "power": "on", "thermalStatus": "ok", "module": 1, "tray": 1, "id": 2, "model": "N/A", "vendor": "N/A" } ], "powerSupplyList": [ { "id": 2, "operationalState": "operable", "operability": "operable", "serialNumber": "***********", "thermalStatus": "ok", "model": "FPR2K-PWR-AC-400", "vendor": "Cisco Systems, Inc" } ], "processorList": [ { "id": 1, "operationalState": "operable", "operability": "operable", "vendor": "AuthenticAMD", "model": "49 AMD EPYC 7282 16-Core Processor", "type": "CPU", "thermalStatus": "ok" } ], "securityModuleList": [ { "id": 1, "operationalState": "ok", "operability": "operable", "serialNumber": "***********", "vendor": "Cisco Systems, Inc", "model": "FPR-3120", "availableCores": 24, "totalCores": 32 } ], "memoryList": [ { "capacity": 65536, "id": 1, "array": 1, "bank": 0, "model": "HMAA8GR7AJR4N-XN", "operationalState": "operable", "operability": "operable", "performance": "ok", "power": "not-supported", "serialNumber": "********", "thermalStatus": "ok", "vendor": "Hynix" } ], "model": "FPR-3120", "availableCores": 24, "totalCores": 32 } ], "paging": { "offset": 0, "limit": 25, "count": 1, "pages": 1 } } 
    

獲取機箱的GET介面摘要：

/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/interface摘要

響應示例：

{
  "links": {
    "self": "
    
    
      /api/fmc_config/v1/domain/domainUUID/chassis/fmcmanagedchassis/containerUUID/interfacesummary?offset=0&limit=25" }, "items": [ { "interfaceList": [ { "name": "Ethernet1/8", "operationalState": "up", "adminState": "disabled", "portType": "data", "operationalSpeed": "10mbps", "adminSpeed": "1gbps", "adminDuplex": "fullDuplex", "autoNegotiation": "yes", "mediaType": "rj45", "type": "PhysicalInterface" }, { "name": "Ethernet1/7", "operationalState": "up", "adminState": "disabled", "portType": "data", "operationalSpeed": "1gbps", "adminSpeed": "1gbps", "adminDuplex": "fullDuplex", "autoNegotiation": "yes", "mediaType": "rj45", "type": "PhysicalInterface" }, { "name": "Ethernet1/6", "operationalState": "up", "adminState": "disabled", "portType": "data", "operationalSpeed": "1gbps", "adminSpeed": "1gbps", "adminDuplex": "fullDuplex", "autoNegotiation": "yes", "mediaType": "rj45", "type": "PhysicalInterface" }, { "name": "Ethernet1/3", "operationalState": "up", "adminState": "disabled", "portType": "data", "operationalSpeed": "1gbps", "adminSpeed": "1gbps", "adminDuplex": "fullDuplex", "autoNegotiation": "yes", "mediaType": "rj45", "type": "PhysicalInterface" }, { "name": "Ethernet1/2", "operationalState": "up", "adminState": "enabled", "portType": "data", "operationalSpeed": "1gbps", "adminSpeed": "1gbps", "adminDuplex": "fullDuplex", "autoNegotiation": "yes", "mediaType": "rj45", "type": "PhysicalInterface" }, { "name": "Ethernet1/1", "operationalState": "up", "adminState": "enabled", "portType": "data", "operationalSpeed": "1gbps", "adminSpeed": "1gbps", "adminDuplex": "fullDuplex", "autoNegotiation": "yes", "mediaType": "rj45", "type": "PhysicalInterface" }, { "name": "Port-channel48", "operationalState": "up", "adminState": "enabled", "portType": "data", "operationalSpeed": "1gbps", "adminSpeed": "1gbps", "adminDuplex": "fullDuplex", "autoNegotiation": "yes", "mediaType": "rj45", "type": "EtherChannelInterface" } ], "modifiedTime": "2022-07-05T06:39:25Z", "type": "InterfaceSummary" } ], "paging": { "offset": 0, "limit": 25, "count": 1, "pages": 1 } } 
    

獲取機箱的應用資訊：

/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID} /inventorysummary

響應示例：

{
  "links": {
    "self": "
    
    
      /api/fmc_config/v1/domain/domainUUID/chassis/fmcmanagedchassis/containerUUID/appinfo?offset=0&limit=25&expanded=true" }, "items": [ { "appVersion": "7.4.0.1024", "type": "AppInfo" }, { "appVersion": "7.4.0.1075", "type": "AppInfo" } ], "paging": { "offset": 0, "limit": 25, "count": 1, "pages": 1 } } 
    

適用於介面管理的REST API

本節提供了有關用於介面配置管理的REST API的詳細資訊：

• 用於修改介面配置的URL
• 用於介面中斷/加入的URL
• 用於同步裝置配置的URL

更新物理介面

為了支援物理介面的更新，引入了這些URL。

GET all physical interfaces:

/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/物理介面

通過介面uuid獲取特定物理介面：

/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/physicalinterface s/{interfaceUUID}

按介面uuid更新介面：

/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/physicalinterface s/{interfaceUUID}

物理介面模型如下所示：

{
  "metadata": {
    "supportedSpeed": "TEN_GBPS,ONE_GBPS,TWENTY_FIVE_GBPS,DETECT_SFP",
    "mediaType": "sfp",
    "sfpType": "none",
    "isBreakoutCapable": false,
    "isSplitInterface": false,
    "timestamp": 1692344434067,
    "domain": {
      "name": "Global",
      "id": "e276abec-e0f2-11e3-8169-**********",
      "type": "Domain"
    }
  },
  "type": "PhysicalInterface",
  "name": "Ethernet2/2",
  "portType": "DATA",
  "adminState": "DISABLED",
  "hardware": {
    "flowControlSend": "OFF",
    "fecMode": "AUTO",
    "autoNegState": true,
    "speed": "DETECT_SFP",
    "duplex": "FULL"
  },
  "LLDP": {
    "transmit": false,
    "receive": false
  },
  "id": "*************************************"
}

配置子介面

為了支援子介面管理，引入了這些URL。

GET all sub interfaces:

/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/子介面

通過介面uuid獲取特定子介面：

/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/subinterfaces/{interfaceUUID}

POST新子介面：

/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/子介面

UPDATE interface by interface uuid :

/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/subinterfaces/{interfaceUUID}

通過介面uuid刪除子介面：

/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/subinterfaces/{interfaceUUID}

子介面模型如下所示：

{
  "metadata": {
    "isBreakoutCapable": false,
    "isSplitInterface": false,
    "timestamp": 1692536476265,
    "domain": {
      "name": "Global",
      "id": "e276abec-e0f2-11e3-8169-**********",
      "type": "Domain"
    }
  },
  "type": "SubInterface",
  "name": "Ethernet1/3.3",
  "portType": "DATA",
  "subIntfId": 3,
  "parentInterface": {
    "type": "PhysicalInterface",
    "id": "00505686-9A51-0ed3-0000-**********",
    "name": "Ethernet1/3"
  },
  "vlanId": 3,
  "id": "*************************************"
}

配置EtherChannel介面

為了支援etherchannel EtherChannel介面的管理，引入了這些URL。

GET所有etherchannel介面：

/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/etherchannelinterfaces/{interfaceUUID}

通過介面uuid獲取特定的etherchannel介面：

/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/etherchannelinterfaces/{interfaceUUID}

對新的etherchannel介面進行開機自檢：

/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/etherchannel介面

UPDATE interface by interface uuid :

/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/etherchannelinterfaces/{interfaceUUID}

通過介面uuid刪除etherchannel介面：

/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/etherchannelinterfaces/{interfaceUUID}

EtherChannel介面模型如下所示：

{
  "metadata": {
    "supportedSpeed": "HUNDRED_MBPS,TEN_MBPS,ONE_GBPS",
    "timestamp": 1692536640172,
    "domain": {
      "name": "Global",
      "id": "e276abec-e0f2-11e3-8169-**********",
      "type": "Domain"
    }
  },
  "type": "EtherChannelInterface",
  "name": "Port-channel45",
  "portType": "DATA",
  "etherChannelId": 45,
  "selectedInterfaces": [
    {
      "type": "PhysicalInterface",
      "id": "00505686-9A51-0ed3-0000-**********",
      "name": "Ethernet1/4"
    },
    {
      "type": "PhysicalInterface",
      "id": "00505686-9A51-0ed3-0000-**********",
      "name": "Ethernet1/5"
    }
  ],
  "lacpMode": "ON",
  "lacpRate": "FAST",
  "adminState": "DISABLED",
  "hardware": {
    "flowControlSend": "OFF",
    "autoNegState": true,
    "speed": "ONE_GBPS",
    "duplex": "FULL"
  },
  "LLDP": {
    "transmit": true,
    "receive": true
  },
  "id": "00505686-9A51-0ed3-0000-**********"
}

REST API中斷/加入介面

為了支援4200系列中介面的分組/連線，可以使用以下URL:

GET:

/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/chassisinterfaces/{interfaceUUID}/evaluateoperation

評估介面中斷/連線的可行性

POST:

/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/operational/breakoutinterfaces

中斷介面

POST:

/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/operational/joininterfaces
連線一組斷開的介面

用於介面中斷的REST流

1.使用fmcmanagedchassis終結點查詢FMC管理的機箱裝置(4200)。

GET /api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis

返回FMC管理的機箱裝置清單以及多例項裝置，並返回每個裝置的ID、名稱、型號等詳細資訊。選擇「多例項」裝置。

響應示例：

{
  "id": "fcaa9ca4-85e5-4bb0-b049-**********",
  "type": "FMCManagedChassis",
  "chassisName": "192.168.0.75",
  "chassisMode": "MULTIINSTANCE",
  "links": {
    "self": "https://u32c01p06-vrouter.cisco.com:22512/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-**********/chassis/fmcmanagedchassis/fcaa9ca4-85e5-4bb0-b049-**********"
  }
}

2.使用介面/物理介面端點檢查介面是否支援中斷。

只有當「isBreakoutCapable」為true且mediaType為QSFP時，才能進行中斷。

GET /api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/interfaces

響應示例：

{
  "metadata": {
    "supportedSpeed": "FORTY_GBPS,DETECT_SFP",  >>>>>>>>>
    "mediaType": "qsfp",                        >>>>>>>>>
    "sfpType": "none",
    "isBreakoutCapable": true,                  >>>>>>>>>
    "breakoutFactor": "4",                      >>>>>>>>>
    "isSplitInterface": false,
    "timestamp": 1692344434067,
    "domain": {
      "name": "Global",
      "id": "e276abec-e0f2-11e3-8169-**********",
      "type": "Domain"
    }
  },
  "type": "PhysicalInterface",
  "name": "Ethernet2/4",
  "portType": "DATA",
  "adminState": "DISABLED",
  "hardware": {
    "flowControlSend": "OFF",
    "fecMode": "AUTO",
    "autoNegState": true,
    "speed": "DETECT_SFP",
    "duplex": "FULL"
  },
  "LLDP": {
    "transmit": false,
    "receive": false
  },
  "id": "00505686-9A51-0ed3-0000-**********"
}

3.在介面上，使用evaluateoperation端點評估break操作的可行性。

GET /api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/chassisinterfaces/{interfaceUUID}/evaluateoperation

如果響應中沒有警告/錯誤，使用者可以執行中斷操作。

響應示例：

如果響應中存在錯誤，則不允許使用者執行break操作：

{
  "operationType": "BREAKOUT",
  "interfaceUsages": [
    {
      "conflictType": "Interface usage on instance(s)",
      "severity": "ERROR",              >>>>>>>>>
      "description": "Interface Ethernet2/4 can not be split. Remove it from instances [FTD1] and try again.\n"
    }
  ],
  "readinessState": "NOT_READY",        >>>>>>>>>
  "links": {
    "self": "https://u32c01p06-vrouter.cisco.com:22542/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-**********/chassis/fmcmanagedchassis/19d967e6-ef81-4f2e-b311-**********/chassisinterfaces/00505686-662F-0ed3-0000-004294969274/evaluateoperation/00505686-662F-0ed3-0000-**********"
  },
  "type": "ChassisInterface",
  "id": "00505686-662F-0ed3-0000-**********"
}

4.如果介面支援中斷，並且就緒狀態為「就緒」，請使用中斷介面終結點中斷介面。

POST /api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/operational/breakoutinterfaces

請求：

{
  "targetInterfaces": [
    {
      "id": "***************ed3-0000-004294969276",
      "metadata": {
        "type": "PhysicalInterface"
      }
    }
  ],
  "type": "BreakoutInterface"
}

回應：

{
  "id": "4294969716",
  "type": "TaskStatus",
  "links": {
    "self": "https://u32c01p06-vrouter.cisco.com:22542/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-**********/job/taskstatuses/4294969716"
  },
  "taskType": "DEVICE_DEPLOYMENT",
  "message": "Deployment status for ************************************: SUCCEEDED",
  "status": "Interface notification received"
}

5.使用中斷響應中的任務ID跟蹤任務完成情況。將Task狀態設定為「 Interface Notification received 」。

GET /api/fmc_config/v1/domain/{domainUUID}/job/taskstatuses/{objectId}

{
  "metadata": {
    "task": {
      "id": "4294969699",
      "links": {
        "self": "https://u32c01p06-vrouter.cisco.com:22542/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-**********/job/taskstatuses/4294969699"
      }
    }
  },
  "targetInterfaces": [
    {
      "id": "00505686-662F-0ed3-0000-**********",
      "type": "PhysicalInterface"
    }
  ],
  "type": "BreakoutInterface"
}

{
  "id": "4294969716",
  "type": "TaskStatus",
  "links": {
    "self": "https://u32c01p06-vrouter.cisco.com:22542/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-**********/job/taskstatuses/4294969716"
  },
  "taskType": "DEVICE_DEPLOYMENT",
  "message": "Deployment status for ************************************: SUCCEEDED",
  "status": "Interface notification received"
}

6.使用chassisinterfaceevents端點獲取介面更改。

GET /api/fmc_config/v1/domain/{domainUUID}/chassis/ fmcmanagedchassis/{containerUUID}/chassisinterfaceevents

響應示例：

[
  {
    "change": "Interface is deleted",
    "type": "PhysicalInterface",
    "state": "DISASSOCIATED",
    "name": "Ethernet2/3"
  },
  {
    "change": "Interface is associated",
    "type": "PhysicalInterface",
    "state": "ASSOCIATED",
    "name": "Ethernet2/3/2"
  },
  {
    "change": "Interface is associated",
    "type": "PhysicalInterface",
    "state": "ASSOCIATED",
    "name": "Ethernet2/3/3"
  },
  {
    "change": "Interface is associated",
    "type": "PhysicalInterface",
    "state": "ASSOCIATED",
    "name": "Ethernet2/3/4"
  }
]

7.如果未收到介面通知，請使用機箱介面事件終結點同步裝置，並檢查是否有掛起的更改。

POST /api/fmc_config/v1/domain/{domainUUID}/devices/devicereces/{containerUUID}/機箱介面事件

請求：

{
  "action": "SYNC_WITH_DEVICE"
}

回應：

{
  "action": "SYNC_WITH_DEVICE",
  "hasPendingChanges": true
}

8.收到通知後，使用chassisinterfaceevents端點接受更改。

POST /api/fmc_config/v1/domain/{domainUUID}/devices/devicereces/{containerUUID}/機箱介面事件

請求：

{
   "action":"ACCEPT_CHANGES"
} 

9.獲取所有機箱介面，並使用介面端點查詢拆分（中斷）介面。

GET /api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/interfaces

一個40G介面（如eth2/2）被拆分為4x10G介面 — eth2/2/1、eth2/2/2、eth2/2/3和eth2/2/4

用於介面連線的REST流

1.使用介面/物理介面終結點檢查介面是否已斷開。

只有當「isSplitInterface」為true且mediaType為SFP時，才能執行加入操作

GET /api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/interfaces

{
  "metadata": {
    "supportedSpeed": "TEN_GBPS,DETECT_SFP",
    "mediaType": "sfp",
    "sfpType": "none",
    "isBreakoutCapable": false,
    "breakoutFactor": "4",
    "isSplitInterface": true,
    "timestamp": 1692541554935,
    "domain": {
      "name": "Global",
      "id": "e276abec-e0f2-11e3-8169-**********",
      "type": "Domain"
    }
  },
  "type": "PhysicalInterface",
  "name": "Ethernet2/3/4",
  "portType": "DATA",
  "adminState": "DISABLED",
  "LLDP": {
    "transmit": false,
    "receive": false
  },
  "hardware": {
    "flowControlSend": "OFF",
    "speed": "DETECT_SFP",
    "duplex": "FULL",
    "fecMode": "AUTO",
    "autoNegState": true
  },
  "id": "00505686-662F-0ed3-0001-**********"
}

2.使用四個拆分介面之一上的evaluateoperation終結點評估Join操作的可行性。

GET /api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/ch assisinterfaces/{interfaceUUID}/evaluateoperation

• 如果響應中沒有警告/錯誤，使用者可以執行加入操作。

{
  "operationType": "JOIN",
  "readinessState": "READY",
  "links": {
    "self": "https://u32c01p06-vrouter.cisco.com:22542/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-**********/chassis/fmcmanagedchassis/19d967e6-ef81-4f2e-b311-**********/chassisinterfaces/00505686-662F-0ed3-0001-**********/evaluateoperation/00505686-662F-0ed3-0001-**********"
  },
  "type": "ChassisInterface",
  "id": "00505686-662F-0ed*******************"
}

• 如果響應中存在錯誤，則不允許使用者執行加入操作。

{
  "operationType": "JOIN",
  "interfaceUsages": [
    {
      "conflictType": "Interface used in EtherChannel Configuration",
      "severity": "ERROR",
      "description": "Interface (Ethernet2/3/4) referred to in Ether Channel Interface (Port-channel32) configurations will be impacted due to the JOIN operation."
    }
  ],
  "readinessState": "NOT_READY",
  "links": {
    "self": "https://u32c01p06-vrouter.cisco.com:22542/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-*********/chassis/fmcmanagedchassis/19d967e6-ef81-4f2e-b311-********/chassisinterfaces/00505686-662F-0ed3-0001-692539698200/evaluateoperation/00505686-662F-0ed3-0001-***********"
  },
  "type": "ChassisInterface",
  "id": "00505686-662F-0ed*******************"
}

3.如果介面已損壞，並且就緒狀態為「READY」，則使用joininterfaces端點加入介面。Interface_uuid可以是4個中斷介面中任意一個的ID。

POST/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/operational/joininterfaces

請求：

{
  "targetInterfaces": [
    {
      "id": "***************ed3-0001-692539698200",
      "type": "PhysicalInterface"
    }
  ],
  "type": "JoinInterface"
}

回應：

{
  "metadata": {
    "task": {
      "id": "4294970217",
      "links": {
        "self": "
    
    
      /api/fmc_config/v1/domain/e27"***************-8169-6d9ed49b625f/job/taskstatuses/4294970217" } } }, "targetInterfaces": [ { "id": "***************ed3-0001-692539698200", "type": "PhysicalInterface" }, { "id": "***************ed3-0001-692539698201", "type": "PhysicalInterface" }, { "id": "***************ed3-0001-692539698202", "type": "PhysicalInterface" }, { "id": "***************ed3-0001-692539698203", "type": "PhysicalInterface" } ], "type": "JoinInterface" } 
    

4.使用加入響應中的任務ID跟蹤任務完成情況。將Task狀態設定為「 Interface Notification received 」。

GET /api/fmc_config/v1/domain/{domainUUID}/job/taskstatuses/{objectId}

回應：

{
  "id": "4294970237",
  "type": "TaskStatus",
  "links": {
    "self": "https://u32c01p06-vrouter.cisco.com:22542/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-6d9ed49b625f/job/taskstatuses/4294970237"
  },
  "taskType": "SSP_EPM_OIR",
  "message": "Deployment status for 19d967e6-xxxx-xxxx-xxxx-85ff6cef6d3f: SUCCEEDED",
  "status": "Interface notification received"
}

5.使用chassisinterfaceevents端點獲取介面更改。

GET /api/fmc_config/v1/domain/{domainUUID}/devices/devicereces/{containerUUID}/chassisinterfaceevents

回應：

[
  {
    "change": "Interface is associated",
    "type": "PhysicalInterface",
    "state": "ASSOCIATED",
    "name": "Ethernet2/3"
  },
  {
    "change": "Interface is deleted",
    "type": "PhysicalInterface",
    "state": "DISASSOCIATED",
    "name": "Ethernet2/3/1"
  },
  {
    "change": "Interface is deleted",
    "type": "PhysicalInterface",
    "state": "DISASSOCIATED",
    "name": "Ethernet2/3/2"
  },
  {
    "change": "Interface is deleted",
    "type": "PhysicalInterface",
    "state": "DISASSOCIATED",
    "name": "Ethernet2/3/3"
  },
  {
    "change": "Interface is deleted",
    "type": "PhysicalInterface",
    "state": "DISASSOCIATED",
    "name": "Ethernet2/3/4"
  }
]

6.如果未收到介面通知，請使用chassisinterfaceevents終結點同步裝置，並檢查是否有掛起的更改。

POST /api/fmc_config/v1/domain/{domainUUID}/devices/devicereces/{containerUUID}/chassisinterfaceevents

請求：

{
   "action":"SYNC_WITH_DEVICE"
} 

回應：

{
   "action":"SYNC_WITH_DEVICE",
   "hasPendingChanges":true
} 

7.收到通知後，使用chassisinterfaceevents端點接受更改。

POST /api/fmc_config/v1/domain/{domainUUID}/devices/devicereces/{containerUUID}/chassisinterfaces事件

請求：

{
   "action":"ACCEPT_CHANGES"
} 

8.獲取所有機箱介面，並使用介面端點查詢連線的介面以及其他介面。

GET /api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/interfaces

假設在10G介面eth2/2/1上啟動了Join，則響應中會有一個40G介面eth2/2。

同步裝置REST API

為了支援網路模組和介面的同步，引入了這些URL。

POST:

/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/chassisinterface事件

有負載

{"action":"SYNC_WITH_DEVICE"} - >觸發同步

{"action":"ACCEPT_CHANGES"} - >接受更改

GET:

/api/fmc_config/v1/domain/{domainUUID}/chassis/fmcmanagedchassis/{containerUUID}/chassisinterface事件

列出生成的已更改事件

疑難排解/診斷

FXOS記錄

如果註冊失敗，這些FXOS CLI可用於檢查sftunnel和sfipproxy進程是否已啟動。

firepower# connect local-mgmt
firepower-4215(local-mgmt)# show processes | include sftunnel grep: (standard input): binary file matches 
3323 root 20 0 80328 2024 1544 S 0.0 0.0 0:11.53 /opt/cisco/sftunnel/sfipproxy -d –f /etc/sf/sfipproxy.conf 
22066 root 20 0 376880 7140 5944 S 0.0 0.0 0:41.18 /opt/cisco/sftunnel/sftunnel -d -f /etc/sf/sftunnel.conf 

如果使用終端控制檯作為CLI，則通過使用所示的此CLI將終端寬度設定為適當的值，確保show processes的輸出不會被截斷：

firepower-4215(local-mgmt)# terminal width 100 

如果SFTunnel進程已啟動且正在運行，但註冊失敗，則可以使用這些命令來查詢失敗的任何潛在原因。

從connect local-mgmt在FXOS中引入新的CLI，以便檢視/opt/cisco/platform/logs/sfmessages中的系統日誌消息

firepower# connect local-mgmt
firepower(local-mgmt)# tail-mgmt-log sfmessages

    
    
      Dec 9 18:31:17 firepower Ipc [30483]: add ep: 1,0x5613aa0e2fe8 total = 1 Dec 9 18:31:17 firepower Ipc [30483]: add ep: 1,0x5613aa0ec528 total = 2 Dec 9 18:31:17 firepower Ipc [30483]: add ep: 1,0x5613aa0f5ea8 total = 3 Dec 9 18:31:18 firepower SF-IMS[12621]: [12625] sftunneld:SYNC_PROC [INFO] Change in directory /var/sf/sync detected (0 vs 1670610348) 
    

FMC記錄

• 如果裝置註冊失敗，請在此位置找到usmsharedsvcs.log和vmssharedsvcs.log，並查詢字串「CHASSIS DISCOVERY」或「NATIVE_TO_MULTI_INSTANCE」以查詢失敗的可能原因。
  • 此外，請檢視/var/log/action_queue.log和/var/sf/messages以瞭解SFTunnel問題。
  • /var/opt/CSCOpx/MDC/log/operation/usmsharedsvcs.log /var/opt/CSCOpx/MDC/log/operation/vmssharedsvcs.log
• 如果機箱自動註冊失敗，請查詢usmsharedsvcs.log和vmssharedsvcs.log，然後查詢字串「CHASSIS DISCOVERY」和「NATIVE_TO_MULTI_INSTANCE」以查詢可能的失敗原因。
• 如果例項自動註冊失敗，請查詢usmsharedsvcs.log和vmssharedsvcs.log，然後查詢字串「MI_FTD_INSTANCE_AUTO_REGISTRATION」以查詢失敗的可能原因。
• 如果裝置上存在部署失敗，請導航到部署 — >部署歷史記錄 — >按一下失敗的部署 — >開啟指令碼。此檔案包含失敗的原因。

機箱疑難排解

FMC支援從裝置管理頁面生成機箱故障排除(FPRM)。

• 與FTD裝置類似，機箱裝置也有疑難排解選項，可產生機箱疑難排解，並允許使用者從FMC下載疑難排解套件組合。
• 這將從機箱收集「show tech-support form」捆綁包：

機箱故障排除選項和生成：

機箱故障排除進度及下載：

排查演練中的問題示例

在FMC中自動註冊機箱故障

問題:在FMC中自動註冊機箱失敗。

預期結果：

• 轉換從FMC開始後，預計在FMC中取消註冊和自動註冊。

實際結果：

• 機箱自動註冊失敗

疑難排解

1.檢查轉換：

• 確保已在FMC上觸發轉換。
• 登入到裝置並檢查裝置是否已轉換為容器模式。
• 運行命令檢視裝置是否已轉換：

firepower# scope sys
firepower /system # show
Systems:
Name Mode Deploy Mode System IP Address System IPv6 Address
---------- ----------- ----------- ----------------- -------------------
firepower Stand Alone Container 192.168.xx.xx ::

2.檢查裝置管理器：

• 檢查裝置管理器是否已正確設定：

firepower# show device-manager 
    Device manager:
        Name: manager
        Hostname: 10.10.xx.xx
        NAT id: 3ab4bb1a-d723-11ee-a694-89055xxxxxxx
        Registration Status: Completed
        Error Msg:

3. 要檢查的日誌：

3.1.導航至/var/opt/CSCOpx/MDC/log/operation/vmssharedsvcs.log和/var/opt/CSCOpx/MDC/log/operation/usmsharedsvcs.log

3.2.在檔案中搜尋關鍵字「NATIVE_TO_MI_CONVERSION」和「CHASSIS DISCOVERY」，查詢失敗的原因。

在FMC中自動註冊例項

問題:在FMC中例項自動註冊失敗。

預期結果：

• 從FMC調配例項後，該例項預計在FMC中自動註冊

實際結果：

• 例項自動註冊失敗

疑難排解

• 確保在建立例項後觸發部署。
  • 如果未完成部署，請確保將更改部署到裝置。
  • 如果部署失敗，請轉到Deployment History ->按一下Transcript。檢查失敗原因，修復並重試部署。

• 確保該例項已安裝且其運行狀態為聯機。您可以使用機箱的摘要頁面檢查例項調配的狀態。

• 使用以下命令檢查SFTunnel是否已在例項FTD上啟動並運行：

ps -ef | grep -i "sftunnel”

• 如果SFTunnel未運行，請嘗試執行重新啟動命令：

pmtool restartById sftunnel

• 導航至/var/opt/CSCOpx/MDC/log/operation/vmssharedsvcs.log和/var/opt/CSCOpx/MDC/log/operation/usmsharedsvcs.log
• 在檔案中搜尋關鍵字「MI_FTD_INSTANCE_AUTO_REGISTRATION」，查詢失敗的原因。

FMC中的本機裝置註冊

問題:將裝置轉換回本機模式後，FMC中的本機裝置註冊失敗

• 如果使用者將機箱（MI模式）轉換回本機模式，但忘記從FMC中刪除機箱，則裝置會在FMC上離線。
• 如果使用者嘗試將此本機裝置重新註冊回FMC，則註冊失敗。

疑難排解

• 在將裝置轉換回本機模式之前，確保已從FMC中刪除了機箱條目。
• 刪除條目後，嘗試將本機裝置重新註冊到FMC。

有用的參考

• 有關共用介面的資訊：

https://www.cisco.com/c/en/us/td/docs/security/secure-firewall/threat-defense/use-case/multi-instance-sec-fw/multi-instance-sec-fw.html#shared-interface-scalability-WGUIEF

• 思科支援網站上的「3100多例項」頁面：

https://www.cisco.com/c/en/us/td/docs/security/secure-firewall/threat-defense/use-case/multi-instance-sec-fw/multi-instance-sec-fw.html

介面選項和高可用性

介面選項

獨立或高可用性

利用雙管理介面

• 與本機模式中的4200類似，提供兩個物理管理埠以支援管理流量的介面冗餘，或支援用於管理和事件的獨立介面。
  • 9300和4100裝置以及4200系列具有雙管理介面。第二個管理介面Management 1/2專供您用於事件。
• 在多例項（也稱為「容器」）模式下，您可以在每個例項中的威脅防禦CLI上配置此介面。為每個例項分配同一網路上的IP地址。
• 當處於容器模式時，每個FTD例項都自動分配了管理1/1和管理1/2介面。
  • 第二個管理介面預設處於禁用狀態。
  • 無法使用FMC設定Management1/2;您必須透過FTD CLISH（在9300/4100上）對其進行設定。相反，在FXOS CLI中完成)。 將此命令與所需的IP地址型別、地址、子網和靜態路由配合使用：

configure network ipv4 manual 192.168.0.xx 255.255.255.0 192.168.0.1 management1