check_point.mgmt.cp_mgmt_vsx_provisioning_tool 模块 – 使用指定参数运行 VSX 配置工具。

注意

此模块是 check_point.mgmt 集合(版本 6.2.1)的一部分。

如果您使用的是 ansible 包,您可能已经安装了此集合。它不包含在 ansible-core 中。要检查是否已安装,请运行 ansible-galaxy collection list

要安装它,请使用: ansible-galaxy collection install check_point.mgmt

要在 playbook 中使用它,请指定:check_point.mgmt.cp_mgmt_vsx_provisioning_tool

check_point.mgmt 6.0.0 中的新增功能

概要

  • 使用指定参数运行 VSX 配置工具。注意 - 自动会话发布是此 API 中所有操作的一部分。

  • 所有操作都通过 Web Services API 执行。

参数

参数

注释

add_physical_interface_params

字典

将物理接口添加到 VSX 网关或 VSX 集群的操作的参数。

name

字符串

接口的名称。

vlan_trunk

布尔值

如果此接口是 VLAN 中继,则为 True。

选项

  • false

  • true

vsx_name

字符串

VSX 网关或集群对象的名称。

add_route_params

字典

将路由添加到虚拟系统或虚拟路由器的操作的参数。

destination

字符串

路由目的地。要指定默认路由,IPv4 使用“default”,IPv6 使用“default6”。

leads_to

字符串

此路由的虚拟路由器<br/>此 VD 必须具有与 VR 的现有连接。

netmask

字符串

此路由的子网掩码。

next_hop

字符串

下一跳 IP 地址。

prefix

字符串

此路由的 CIDR 前缀。

propagate

布尔值

将此路由传播到相邻的虚拟设备。

选项

  • false

  • true

vd

字符串

虚拟系统、虚拟交换机或虚拟路由器的名称。

add_vd_interface_params

字典

将新接口添加到虚拟设备的操作的参数。

anti_spoofing

字符串

此接口的反欺骗强制设置。

选项

  • “prevent”

  • “detect”

  • “off”

anti_spoofing_tracking

字符串

此接口的反欺骗跟踪设置。

选项

  • “none”

  • “alert”

  • “log”

ipv4_address

字符串

此接口的 IPv4 地址,带有可选的 CIDR 前缀。<br/>如果此接口属于虚拟系统或虚拟路由器,则为必需。

ipv4_netmask

字符串

此接口的 IPv4 子网掩码。

ipv4_prefix

字符串

此接口的 IPv4 CIDR 前缀。

ipv6_address

字符串

此接口的 IPv6 地址<br/>如果此接口属于虚拟系统或虚拟路由器,则为必需。

ipv6_netmask

字符串

此接口的 IPv6 子网掩码。

ipv6_prefix

字符串

此接口的 IPv6 CIDR 前缀。

leads_to

字符串

此接口的虚拟交换机或虚拟路由器。

mtu

整数

此接口的 MTU。

name

字符串

接口的名称。

propagate

布尔值

将 IPv4 路由传播到相邻的虚拟设备。

选项

  • false

  • true

propagate6

布尔值

将 IPv6 路由传播到相邻的虚拟设备。

选项

  • false

  • true

specific_group

字符串

接口拓扑的特定组。<br/>仅用于拓扑选项“internal_specific”。

topology

字符串

此接口的拓扑。<br/>必须为此 VS 禁用基于路由的自动拓扑计算。

选项

  • “external”

  • “internal_undefined”

  • “internal_this_network”

  • “internal_specific”

  • “defined_by_routes”

vd

字符串

虚拟系统、虚拟交换机或虚拟路由器的名称。

vti_settings

字典

此接口的 VTI 设置。此虚拟系统必须启用 VPN 功能。

local_ipv4_address

字符串

此虚拟系统上 VPN 隧道的 IPv4 地址。

peer_name

字符串

VPN 社区中定义的远程对等对象的名称。

remote_ipv4_address

字符串

远程 VPN 对等方上 VPN 隧道的 IPv4 地址。

tunnel_id

字符串

可选的唯一隧道 ID。<br/>如果为空,则由系统自动分配。

add_vd_params

字典

添加新的虚拟设备 (VS/VSB/VSW/VR) 的操作的参数。

calc_topology_auto

布尔值

根据路由自动计算接口拓扑。<br/>仅与虚拟系统相关。<br/>请勿用于虚拟设备。

选项

  • false

  • true

interfaces

列表 / 元素=字典

此新虚拟设备的接口列表。<br/>如果此新 VD 是虚拟交换机,则为可选。

anti_spoofing

字符串

此接口的反欺骗强制设置。

选项

  • “prevent”

  • “detect”

  • “off”

anti_spoofing_tracking

字符串

此接口的反欺骗跟踪设置。

选项

  • “none”

  • “alert”

  • “log”

ipv4_address

字符串

此接口的 IPv4 地址,带有可选的 CIDR 前缀。<br/>如果此接口属于虚拟系统或虚拟路由器,则为必需。

ipv4_netmask

字符串

此接口的 IPv4 子网掩码。

ipv4_prefix

字符串

此接口的 IPv4 CIDR 前缀。

ipv6_address

字符串

此接口的 IPv6 地址<br/>如果此接口属于虚拟系统或虚拟路由器,则为必需。

ipv6_netmask

字符串

此接口的 IPv6 子网掩码。

ipv6_prefix

字符串

此接口的 IPv6 CIDR 前缀。

leads_to

字符串

此接口的虚拟交换机或虚拟路由器。

mtu

整数

此接口的 MTU。

name

字符串

接口的名称。

propagate

布尔值

将 IPv4 路由传播到相邻的虚拟设备。

选项

  • false

  • true

propagate6

布尔值

将 IPv6 路由传播到相邻的虚拟设备。

选项

  • false

  • true

specific_group

字符串

接口拓扑的特定组。<br/>仅用于拓扑选项“internal_specific”。

topology

字符串

此接口的拓扑。<br/>必须为此 VS 禁用基于路由的自动拓扑计算。

选项

  • “external”

  • “internal_undefined”

  • “internal_this_network”

  • “internal_specific”

  • “defined_by_routes”

ipv4_address

字符串

主 IPv4 地址。<br/>如果此设备是虚拟系统,则为必需。<br/>请勿用于其他虚拟设备。

ipv4_instances

整数

虚拟系统的 IPv4 实例数。<br/>必须大于或等于 1。<br/>仅与虚拟系统和桥接模式下的虚拟系统相关。

ipv6_address

字符串

主 IPv6 地址。<br/>如果此设备是虚拟系统,则为必需。<br/>请勿用于其他虚拟设备。

ipv6_instances

整数

虚拟系统的 IPv6 实例数。<br/>仅与虚拟系统和桥接模式下的虚拟系统相关。

routes

列表 / 元素=字典

此新虚拟设备(仅限 VS 或 VR)的路由列表。

destination

字符串

路由目的地。要指定默认路由,IPv4 使用“default”,IPv6 使用“default6”。

leads_to

字符串

此路由的虚拟路由器<br/>此 VD 必须具有与 VR 的现有连接。

netmask

字符串

此路由的子网掩码。

next_hop

字符串

下一跳 IP 地址。

prefix

字符串

此路由的 CIDR 前缀。

propagate

布尔值

将此路由传播到相邻的虚拟设备。

选项

  • false

  • true

type

字符串

虚拟设备的类型 <br><br>vs - 虚拟防火墙<br>vr - 虚拟路由器<br>vsw - 虚拟交换机<br>vsbm - 桥接模式下的虚拟防火墙。

选项

  • “vs”

  • "vr"

  • "vsw"

  • "vsbm"

vd

字符串

虚拟系统、虚拟交换机或虚拟路由器的名称。

vs_mtu

整数

虚拟系统的 MTU。<br/>仅适用于桥接模式下的虚拟系统。<br/>请勿用于其他虚拟设备。

vsx_name

字符串

VSX 网关或集群对象的名称。

add_vsx_cluster_params

字典

用于添加新的 VSX 集群的操作参数。

cluster_type

字符串

VSX 集群对象的集群类型。<br/>从 R81.10 开始,只能在集群创建期间配置 VSLS。<br/>要使用高可用性(‘ha’),请先将集群创建为 VSLS,然后在管理服务器上运行 vsx_util。

选项

  • "vsls"

  • "ha"

ipv4_address

字符串

VSX 网关或集群对象的主要 IPv4 地址。<br/>如果定义了主要的 IPv6 地址,则为可选。

ipv6_address

字符串

VSX 网关或集群对象的主要 IPv6 地址。<br/>如果定义了主要的 IPv4 地址,则为可选。

members

列表 / 元素=字典

此新 VSX 集群的集群成员列表。最少 2 个。

ipv4_address

字符串

VSX 集群成员的主要 IPv4 地址。<br/>如果 VSX 集群具有 IPv4 地址,则为必填项。

ipv6_address

字符串

VSX 集群成员的主要 IPv6 地址。<br/>如果 VSX 集群具有 IPv6 地址,则为必填项。

name

字符串

新 VSX 集群成员的名称。

sic_otp

字符串

VSX 网关或集群成员的 SIC 一次性密码。<br/>密码长度必须在 4 到 127 个字符之间。

sync_ip

字符串

VSX 集群成员的同步 IP 地址。

rule_drop

字符串

将默认丢弃规则添加到 VSX 网关或集群的初始策略。

选项

  • "enable"

  • "disable"

rule_https

字符串

添加允许 HTTPS 流量到 VSX 网关或集群初始策略的规则。

选项

  • "enable"

  • "disable"

rule_ping

字符串

添加允许 ping 流量到 VSX 网关或集群初始策略的规则。

选项

  • "enable"

  • "disable"

rule_ping6

字符串

添加允许 ping6 流量到 VSX 网关或集群初始策略的规则。

选项

  • "enable"

  • "disable"

rule_snmp

字符串

添加允许 SNMP 流量到 VSX 网关或集群初始策略的规则。

选项

  • "enable"

  • "disable"

rule_ssh

字符串

添加允许 SSH 流量到 VSX 网关或集群初始策略的规则。

选项

  • "enable"

  • "disable"

sync_if_name

字符串

VSX 集群的同步接口名称。

sync_netmask

字符串

VSX 集群的同步接口网络掩码。

vsx_name

字符串

VSX 网关或集群对象的名称。

vsx_version

字符串

VSX 网关或集群对象的版本。

add_vsx_gateway_params

字典

用于添加新的 VSX 网关的操作参数。

ipv4_address

字符串

VSX 网关或集群对象的主要 IPv4 地址。<br/>如果定义了主要的 IPv6 地址,则为可选。

ipv6_address

字符串

VSX 网关或集群对象的主要 IPv6 地址。<br/>如果定义了主要的 IPv4 地址,则为可选。

rule_drop

字符串

将默认丢弃规则添加到 VSX 网关或集群的初始策略。

选项

  • "enable"

  • "disable"

rule_https

字符串

添加允许 HTTPS 流量到 VSX 网关或集群初始策略的规则。

选项

  • "enable"

  • "disable"

rule_ping

字符串

添加允许 ping 流量到 VSX 网关或集群初始策略的规则。

选项

  • "enable"

  • "disable"

rule_ping6

字符串

添加允许 ping6 流量到 VSX 网关或集群初始策略的规则。

选项

  • "enable"

  • "disable"

rule_snmp

字符串

添加允许 SNMP 流量到 VSX 网关或集群初始策略的规则。

选项

  • "enable"

  • "disable"

rule_ssh

字符串

添加允许 SSH 流量到 VSX 网关或集群初始策略的规则。

选项

  • "enable"

  • "disable"

sic_otp

字符串

VSX 网关或集群成员的 SIC 一次性密码。<br/>密码长度必须在 4 到 127 个字符之间。

vsx_name

字符串

VSX 网关或集群对象的名称。

vsx_version

字符串

VSX 网关或集群对象的版本。

attach_bridge_params

字典

用于将新的桥接接口附加到虚拟系统的操作参数。

ifs1

字符串

桥接的第一个接口的名称。

ifs2

字符串

桥接的第二个接口的名称。

vd

字符串

虚拟系统、虚拟交换机或虚拟路由器的名称。

auto_publish_session

布尔值

如果在任务完成后进行了更改,则发布当前会话。

选项

  • false ← (默认)

  • true

operation

字符串

要运行的配置操作的名称。每个操作都有其特定的参数。<br> 可用的操作包括:<ul><li><i>add-vsx-gateway</i> - 添加新的 VSX 网关</li><li><i>add-vsx-cluster</i> - 添加新的 VSX 集群*</li><li><i>add-vsx-cluster-member</i> - 添加新的 VSX 集群成员*</li><li><i>add-vd</i> - 向 VSX 网关或 VSX 集群添加新的虚拟设备(VS/VSB/VSW/VR)</li><li><i>add-vd-interface</i> - 向虚拟设备添加新的虚拟接口</li><li><i>add-physical-interface</i> - 向 VSX 网关或 VSX 集群添加物理接口</li><li><i>add-route</i> - 向虚拟设备添加路由</li><li><i>attach-bridge</i> - 将桥接接口附加到虚拟系统</li><li><i>remove-vsx</i> - 删除 VSX 网关或 VSX 集群</li><li><i>remove-vd</i> - 删除虚拟设备</li><li><i>remove-vd-interface</i> - 从虚拟设备中删除接口</li><li><i>remove-physical-interface</i> - 从 VSX 网关或 VSX 集群中删除物理接口</li><li><i>remove-route</i> - 从虚拟设备中删除路由</li><li><i>set-vd</i> - 修改虚拟设备</li><li><i>set-vd-interface</i> - 修改虚拟设备上的接口</li><li><i>set-physical-interface</i> - 修改 VSX 集群或 VSX 网关上的物理接口</li></ul><br> * 添加 VSX 集群时,还必须至少添加 2 个集群成员<br> * 仅在添加新的 VSX 集群时才允许添加集群成员<br> * 要向现有集群添加成员,请使用 vsx-run-operation。

选项

  • "attach-bridge"

  • "add-route"

  • "add-physical-interface"

  • "add-vd-interface"

  • "add-vsx-gateway"

  • "add-vsx-cluster"

  • "add-vd"

  • "remove-route"

  • "remove-vd"

  • "remove-vsx"

  • "remove-physical-interface"

  • "remove-vd-interface"

  • "set-vd"

  • "set-physical-interface"

  • "set-vd-interface"

remove_physical_interface_params

字典

用于从 VSX(网关或集群)中删除物理接口的操作参数。

name

字符串

接口的名称。

vsx_name

字符串

VSX 网关或集群对象的名称。

remove_route_params

字典

用于从虚拟系统或虚拟路由器中删除路由的操作参数。

destination

字符串

路由目的地。要指定默认路由,IPv4 使用“default”,IPv6 使用“default6”。

netmask

字符串

此路由的子网掩码。

prefix

字符串

此路由的 CIDR 前缀。

vd

字符串

虚拟系统、虚拟交换机或虚拟路由器的名称。

remove_vd_interface_params

字典

用于从虚拟设备中删除逻辑接口的操作参数。

leads_to

字符串

此接口的虚拟交换机或虚拟路由器。

name

字符串

接口的名称。

vd

字符串

虚拟系统、虚拟交换机或虚拟路由器的名称。

remove_vd_params

字典

用于删除虚拟设备的操作参数。

vd

字符串

虚拟系统、虚拟交换机或虚拟路由器的名称。

remove_vsx_params

字典

用于删除 VSX 网关或 VSX 集群的操作参数。

vsx_name

字符串

VSX 网关或集群对象的名称。

set_physical_interface_params

字典

用于更改物理接口配置的操作参数。

name

字符串

接口的名称。

vlan_trunk

布尔值

如果此接口是 VLAN 中继,则为 True。

选项

  • false

  • true

vsx_name

字符串

VSX 网关或集群对象的名称。

set_vd_interface_params

字典

用于更改逻辑接口配置的操作参数。

anti_spoofing

字符串

此接口的反欺骗强制设置。

选项

  • “prevent”

  • “detect”

  • “off”

anti_spoofing_tracking

字符串

此接口的反欺骗跟踪设置。

选项

  • “none”

  • “alert”

  • “log”

ipv4_address

字符串

此接口的 IPv4 地址,带有可选的 CIDR 前缀。<br/>如果此接口属于虚拟系统或虚拟路由器,则为必需。

ipv6_address

字符串

此接口的 IPv6 地址<br/>如果此接口属于虚拟系统或虚拟路由器,则为必需。

leads_to

字符串

此接口的虚拟交换机或虚拟路由器。

mtu

整数

此接口的 MTU。

name

字符串

接口的名称。

new_leads_to

字符串

此接口的新虚拟交换机或虚拟路由器。

propagate

布尔值

将 IPv4 路由传播到相邻的虚拟设备。

选项

  • false

  • true

propagate6

布尔值

将 IPv6 路由传播到相邻的虚拟设备。

选项

  • false

  • true

specific_group

字符串

接口拓扑的特定组。<br/>仅用于拓扑选项“internal_specific”。

topology

字符串

此接口的拓扑。<br/>必须为此 VS 禁用基于路由的自动拓扑计算。

选项

  • “external”

  • “internal_undefined”

  • “internal_this_network”

  • “internal_specific”

  • “defined_by_routes”

vd

字符串

虚拟系统、虚拟交换机或虚拟路由器的名称。

set_vd_params

字典

用于更改虚拟设备配置的操作参数。

calc_topology_auto

布尔值

根据路由自动计算接口拓扑。<br/>仅与虚拟系统相关。<br/>请勿用于虚拟设备。

选项

  • false

  • true

ipv4_address

字符串

主要 IPv4 地址。<br/>仅当此设备为虚拟系统时才相关。<br/>请勿用于其他虚拟设备。

ipv4_instances

整数

虚拟系统的 IPv4 实例数。<br/>必须大于或等于 1。<br/>仅与虚拟系统和桥接模式下的虚拟系统相关。

ipv6_address

字符串

主要 IPv6 地址。<br/>仅当此设备为虚拟系统时才相关。<br/>请勿用于其他虚拟设备。

ipv6_instances

整数

虚拟系统的 IPv6 实例数。<br/>仅与虚拟系统和桥接模式下的虚拟系统相关。

vd

字符串

虚拟系统、虚拟交换机或虚拟路由器的名称。

vs_mtu

整数

虚拟系统的 MTU。<br/>仅适用于桥接模式下的虚拟系统。<br/>请勿用于其他虚拟设备。

version

字符串

Check Point 的版本。如果未给出版本,则采用最新版本。

wait_for_task

布尔值

等待任务结束。例如发布任务。

选项

  • false

  • true ← (默认)

wait_for_task_timeout

整数

等待多长时间(分钟)后抛出超时错误。

默认值: 30

示例

- name: vsx-provisioning-tool
  cp_mgmt_vsx_provisioning_tool:
    add_vsx_cluster_params:
      cluster_type: vsls
      ipv4_address: 10.1.1.15
      members:
      - ipv4_address: 10.1.1.1
        name: VSX1
        sic_otp: sicotp123
        sync_ip: 192.168.1.1
      - ipv4_address: 10.1.1.2
        name: VSX2
        sic_otp: sicotp123
        sync_ip: 192.168.1.2
      rule_drop: enable
      rule_ping: enable
      sync_if_name: eth3
      sync_netmask: 255.255.255.0
      vsx_version: R81.10
      vsx_name: VSX_CLUSTER
    operation: add-vsx-cluster

返回值

通用返回值在此处有文档记录此处,以下是此模块独有的字段

描述

cp_mgmt_vsx_provisioning_tool

字典

Check Point vsx-provisioning-tool 的输出。

已返回: 始终。

作者

  • Eden Brillant (@chkp-edenbr)