FMCでのFTDのインラインセット注文の明確化
はじめに
このドキュメントでは、インターフェイスの命名規則がすべてのセットで等しい場合でも、インラインセットのインターフェイス順序が異なる理由について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- セキュアファイアウォール脅威対策(FTD)
- セキュアファイアウォール管理センター(FMC)
- Secure Firewall Extensible Operating System(FXOS)
- REST-API
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- Secure Firewall Threat Defenseバージョン7.2.5.1
- Secure Firewall Manager Center(FMC)バージョン7.2.5.1
- Secure Firewall Extensible Operating System 2.12(1.48)
- Secure Firewall Chassis Manager(FCM)
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
分析
ケース例
この例では、6つのインターフェイスを持つFTDがインラインペアで設定されています。
Ethernet1/1 (Inside-A)
Ethernet1/2 (Outside-A)
Ethernet1/3 (Inside-B)
Ethernet1/4 (Outside-B)
Ethernet1/5 (Inside-C)
Ethernet1/6 (Outside-C)
FTDインターフェイスリスト
インラインセットは、各ペアについて内部から外部への設定が計画されているため、次の設定になります。
Inline Set A: Inside-A <-> Outside-A
Inline Set B: Inside-B <-> Outside-B
Inline Set C: Inside-C <-> Outside-Cユーザは、インターフェイスの順序が、インターフェイスの論理名またはインターフェイスの物理名によってアルファベット順に表示されることを期待します。ただし、この設定では、次の図に示すように異なる順序になります。
FTDインラインセット
インラインセットCの順序が他の2つのインラインセットの順序と異なることにユーザが気付きます。
注:インラインセットインターフェイスペアの順序によって通信や動作の問題が発生することはありませんが、美観上の理由から発生する可能性があることに注意してください。
説明
インラインセットインターフェイスの順序は、名前ではなくIDによって割り当てられます。IDはREST-APIを介して検証されます。
ステップ 1:これを確認するには、FMC REST-APIエクスプローラにアクセスする必要があります。これは、次のURL構文にアクセスすることで実現されます。
https://FMC IP/api/api-explorer
FMC REST-APIエクスプローラ
ステップ 2:Devicesに移動し、メニューを展開します。
デバイスメニュー
ステップ 3:次の項目のGETオプションに移動します。
/api/fmc_config/v1/domain/{domainUUID}/devices/devicerecords/{containerUUID}/inlinesets
インラインセットGETオプション
ステップ 4:Try it Outボタンをクリックします。
インラインセットGET Try it Outボタン
ステップ 5:containerUUIDフィールドをFTD UUID(これは、FTDコマンドラインでshow versionコマンドを発行すると表示されます)に置き換え、Executeをクリックします。
インラインセットの実行
手順 6:Response Bodyまでスクロールダウンし、トラブルシューティングを行う必要があるインターフェイス(この場合はインラインセットC)のIDをコピーします。
"id": "005056B3-BB52-0ed3-0000-021474837838",
インラインセットGET応答本文
手順 7: 次の項目のGETオプションに移動します。
/api/fmc_config/v1/domain/{domainUUID}/devices/devicerecords/{containerUUID}/inlinesets/{objectId}
インラインセットGETオブジェクトID
ステップ 8: Try it Outボタンをクリックします。
インラインセットGETオブジェクトID試行
ステップ 9:objectIdフィールドをステップ6で取得したIDに置き換え、containerUUIDをステップ5で使用したFTD UUIDに置き換えます。その後、Executeボタンをクリックします。
インラインセットGETオブジェクトIDの実行
ステップ 10:REST-APIクエリの応答本文を検証します。
インラインセットGETオブジェクトID応答本文
インターフェイスEthernet1/6はインラインセットの最初のコンポーネントとして追加され、Ethernet1/5は2番目のコンポーネントとして追加されます。これは、Ethernet1/6に割り当てられているインターフェイスIDがEthernet1/5よりもアルファベット順で小さいために発生します。これにより、インラインセットでのインターフェイス割り当てに対してFMCが実行しているロジックが検証されます。
回避策
論理デバイスの作成時にインターフェイスIDがFXOSによって割り当てられるため、IDが再度割り当てられるようにするには、インターフェイスをFXOSレベルで削除し、適切な順序で読み取る必要があります。
警告:次の回避策はFPR4100およびFPR9300シリーズにだけ適用可能です。他のセキュアファイアウォールハードウェアのイメージを変更する必要があります。また、この回避策はトラフィックを中断させます。この意味では、計画されたメンテナンス期間だけでなく、FMC、FTD、およびFXOSのバックアップを強く推奨します。
ステップ 1:FMCにログインし、次のパスで問題のあるインラインセットを削除します。
Devices > Device Management > Edit the desired FTD > Inline Sets.
インラインセットの削除
ステップ 2:変更を保存して展開します。
インラインセット削除展開
ステップ 3:デバイスFCMにログインし、Logical Devicesに移動して、目的のLogical Deviceを編集します。
論理デバイスの編集
ステップ 4:問題のあるインラインセット(この例ではEthernet1/5とEthernet1/6)に属する両方のインターフェイスを削除し、変更を保存します。
インラインセットインターフェイスの削除
ステップ 5:FMCで、Devices > Device Managementの順に移動し、目的のFTDを編集して、Interfacesタブに移動し、Sync Deviceボタンをクリックして、変更を保存し、展開します。
削除後のインラインセットFTD同期
手順 6:論理デバイスを再度編集し、最初のインターフェイス(Ethernet1/5)を再度追加して、変更を保存します。
インラインセットの最初のインターフェイス追加
手順 7:ボタ Sync Device ンをクリックし、変更を保存して、もう一度展開します。
最初のインターフェイス追加後のFTD同期
ステップ 8:論理デバイスを再度編集し、最初のインターフェイス(Ethernet1/6)をもう一度追加して、変更を保存します。
インラインセット2番目のインターフェイス追加
ステップ 9: ボタSync Device ンをクリックし、変更を保存してから展開して、手順5を繰り返します。
2回目のインターフェイス追加後のFTD同期
ステップ 10:前と同じパラメータでインターフェイスを設定し、インラインセットを再度追加します。
インラインセット設定
今回は、インラインセットインターフェイスの順序が予想どおりに表示されます。変更を保存し、最終的に1回展開します。
注:このドキュメントの「ケースの例」セクションをもう一度実行して、インターフェイスIDが正しい順序になっていることを確認してください。
関連情報
関連情報 更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
2.0 |
13-Feb-2024 |
初版リリース |
1.0 |
12-Feb-2024 |
初版 |
フィードバック