Klärung der Inline-Set-Bestellung für FTD auf FMC
Einleitung
In diesem Dokument wird beschrieben, warum die Schnittstellenreihenfolge für Inline-Sets unterschiedlich ist, auch wenn die Schnittstellenbenennungskonvention für alle Sets gleich ist.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
- Sichere Firewall-Bedrohungsabwehr (FTD)
- Secure Firewall Management Center (FMC)
- Erweiterbares Secure Firewall-Betriebssystem (FXOS)
- REST-API
Verwendete Komponenten
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
- Secure Firewall Threat Defense Version 7.2.5.1
- Secure Firewall Manager Center Version 7.2.5.1
- Erweiterbares Secure Firewall-Betriebssystem 2.12(1.48)
- Secure Firewall Chassis Manager (FCM)
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Analyse
Fallbeispiel
Für dieses Beispiel wird ein FTD mit sechs (6) Schnittstellen in Inline-Paaren aufgebaut:
Ethernet1/1 (Inside-A)
Ethernet1/2 (Outside-A)
Ethernet1/3 (Inside-B)
Ethernet1/4 (Outside-B)
Ethernet1/5 (Inside-C)
Ethernet1/6 (Outside-C)
FTD-Schnittstellenliste
Die Inline-Sets sollen für jedes Paar von Innen nach Außen konfiguriert werden. Daraus ergibt sich die folgende Konfiguration:
Inline Set A: Inside-A <-> Outside-A
Inline Set B: Inside-B <-> Outside-B
Inline Set C: Inside-C <-> Outside-CBenutzer erwarten, dass die Reihenfolge der Schnittstellen in alphabetischer Reihenfolge durch den logischen Namen der Schnittstelle oder den physischen Namen der Schnittstelle angezeigt wird. Diese Einstellung führt jedoch zu einer anderen Reihenfolge, wie sie im nächsten Bild angezeigt wird:
FTD-Inline-Sets
Benutzer stellen fest, dass die Inline-Gruppe C eine andere Reihenfolge als die beiden anderen Inline-Gruppen hat.
Hinweis: Es ist wichtig zu beachten, dass die Inline Set Interface Pair-Bestellung keine Kommunikations- oder Betriebsprobleme verursacht, sie kann jedoch aus ästhetischen Gründen bedenklich sein.
Erläuterung
Die Reihenfolge der Inline-Sets wird nicht anhand des Namens, sondern anhand der ID zugewiesen, die über die REST-API überprüft wird.
Schritt 1: Um dies zu überprüfen, muss auf den FMC REST-API-Explorer zugegriffen werden. Dies wird durch Zugriff auf die nächste URL-Syntax erreicht:
https://FMC IP/api/api-explorer
FMC REST-API-Explorer
Schritt 2: Navigieren Sie zu Geräte, und erweitern Sie das Menü.
Menü Geräte
Schritt 3: Navigieren Sie zur GET-Option für:
/api/fmc_config/v1/domain/{domainUUID}/devices/devicerecords/{containerUUID}/inlinesets
Inline Sets GET-Option
Schritt 4: Klicke auf die Schaltfläche "Try it Out".
Inline Set GET Try Out-Taste
Schritt 5: Ersetzen Sie das Feld containerUUID durch die FTD UUID (diese wird durch den Befehl in dershow version FTD-Befehlszeile angezeigt) und klicken Sie auf Ausführen.
Ausführung von Inline Sets
Schritt 6: Blättern Sie nach unten zum Antworttext, und kopieren Sie die ID der Schnittstelle, die für die Fehlerbehebung erforderlich ist. In diesem Fall handelt es sich um Inline Set C.
"id": "005056B3-BB52-0ed3-0000-021474837838",
Inline-Sets GET-Antworttext
Schritt 7. Navigieren Sie zur GET-Option für:
/api/fmc_config/v1/domain/{domainUUID}/devices/devicerecords/{containerUUID}/inlinesets/{objectId}
Inline-Sets GET-Objekt-ID
Schritt 8: Klicke auf die Schaltfläche "Try it Out".
Inline Sets GET-Objekt-ID Ausprobieren
Schritt 9. Ersetzen Sie das objectId-Feld durch die in Schritt 6 verwendete ID und die containerUUID durch die in Schritt 5 verwendete FTD-UUID. Klicken Sie anschließend auf die Schaltfläche Ausführen.
Ausführung der Inline Sets GET-Objekt-ID
Schritt 10. Validieren Sie den Antworttext der REST-API-Abfrage.
Inline-Sets GET-Objekt-ID Antworttext
Die Schnittstelle Ethernet1/6 wird als erste Komponente des Inline-Sets hinzugefügt, während Ethernet1/5 als zweite Komponente hinzugefügt wird. Dies liegt daran, dass die zugewiesene Schnittstellen-ID für Ethernet1/6 alphabetisch niedriger ist als Ethernet1/5. Dies validiert die Logik, die das FMC für die Schnittstellenzuweisung bei Inline-Sets verwendet.
Problemumgehung
Die Schnittstellen-ID wird von FXOS zum Zeitpunkt der Erstellung des logischen Geräts zugewiesen, sodass die Schnittstellen auf FXOS-Ebene entfernt und in der gewünschten Reihenfolge gelesen werden müssen, damit die ID erneut zugewiesen werden kann.
Warnung: Die nächste Problemumgehung gilt nur für die Serien FPR4100 und FPR9300. Für jede andere Secure Firewall-Hardware muss ein Image erstellt werden. Außerdem führt diese Problemumgehung zu einer Unterbrechung des Datenverkehrs. In diesem Sinne werden FMC-, FTD- und FXOS-Backups sowie ein geplantes Wartungsfenster dringend empfohlen.
Schritt 1: Melden Sie sich beim FMC an, und löschen Sie die problematische Inline-Gruppe auf dem nächsten Pfad:
Devices > Device Management > Edit the desired FTD > Inline Sets.
Löschen der Inline-Gruppe
Schritt 2: Speichern und Bereitstellen von Änderungen
Bereitstellung von Inline Set-Löschung
Schritt 3: Melden Sie sich beim FCM des Geräts an, navigieren Sie zu Logical Devices (Logische Geräte), und bearbeiten Sie das gewünschte Logical Device (Logisches Gerät).
Bearbeiten logischer Geräte
Schritt 4: Entfernen Sie beide Schnittstellen des problematischen Inline-Sets, in diesem Beispiel Ethernet1/5 und Ethernet1/6, und speichern Sie die Änderungen.
Entfernen der Inline Set-Schnittstelle
Schritt 5: Navigieren Sie auf FMC zu Devices > Device Management (Geräte > Geräteverwaltung), bearbeiten Sie die gewünschte FTD, und navigieren Sie zur Registerkarte Interfaces (Schnittstellen), klicken Sie auf die Schaltfläche Sync Device (Gerät synchronisieren), speichern Sie die Änderungen, und stellen Sie sie bereit.
FTD-Inline-Synchronisierung nach Entfernung
Schritt 6: Bearbeiten Sie das logische Gerät erneut, fügen Sie die erste Schnittstelle (Ethernet1/5) erneut hinzu, und speichern Sie die Änderungen.
Erste Inline Set-Schnittstelle hinzufügen
Schritt 7. Klicken Sie auf die Sync Device Schaltfläche, speichern Sie die Änderungen, und stellen Sie sie erneut bereit.
FTD-Synchronisierung nach dem Hinzufügen der ersten Schnittstelle
Schritt 8: Bearbeiten Sie das logische Gerät erneut, fügen Sie die erste Schnittstelle (Ethernet1/6) noch einmal hinzu, und speichern Sie die Änderungen.
Zweite Inline Set-Schnittstelle hinzufügen
Schritt 9. Wiederholen Sie Schritt 5, indem Sie auf die Sync Device Schaltfläche klicken, die Änderungen speichern und dann bereitstellen.
FTD-Synchronisierung nach dem Hinzufügen der zweiten Schnittstelle
Schritt 10. Konfigurieren Sie die Schnittstellen mit den gleichen Parametern wie zuvor, und fügen Sie den Inline-Satz erneut hinzu.
Konfiguration des Inline-Sets
Diesmal wird die Reihenfolge der Inline-Sets der Schnittstelle auf die erwartete Weise angezeigt. Speichern Sie die Änderungen, und stellen Sie sie ein letztes Mal bereit.
Hinweis: Der Fallbeispiel-Abschnitt dieses Dokuments muss noch einmal ausgeführt werden, um zu überprüfen, ob die Schnittstellen-IDs jetzt in der richtigen Reihenfolge vorliegen.
Zugehörige Informationen
Zugehörige Informationen Revisionsverlauf
| Überarbeitung | Veröffentlichungsdatum | Kommentare |
|---|---|---|
2.0 |
13-Feb-2024 |
Erstveröffentlichung |
1.0 |
12-Feb-2024 |
Erstveröffentlichung |
FeedbackCisco kontaktieren
- Eine Supportanfrage öffnen
- (Erfordert einen Cisco Servicevertrag)