cisco.meraki.meraki_mx_site_to_site_firewall 模块 – 管理站点到站点 VPN 的 MX 设备防火墙规则

注意

此模块是 cisco.meraki 集合（版本 2.18.3）的一部分。

如果您使用的是 ansible 包，您可能已经安装了此集合。 它不包含在 ansible-core 中。 要检查是否已安装，请运行 ansible-galaxy collection list。

要安装它，请使用：ansible-galaxy collection install cisco.meraki。

要在 playbook 中使用它，请指定：cisco.meraki.meraki_mx_site_to_site_firewall。

cisco.meraki 1.0.0 中的新功能

已弃用

已移除于:

版本 3.0.0

原因:

更新的模块发布，具有增强的功能

替代方案:

cisco.meraki.organizations_appliance_vpn_vpn_firewall_rules

概要

• 允许创建、管理和查看在 Meraki MX 防火墙上实现的站点到站点 VPN 的防火墙规则。

参数

参数	注释
auth_key 字符串 / 必需	仪表板提供的身份验证密钥。 如果未设置环境变量 MERAKI_KEY，则为必需。
host 字符串	Meraki 仪表板的主机名。 可用于访问区域性 Meraki 环境，例如中国。 默认值： "api.meraki.com"
internal_error_retry_time 整数	如果服务器返回内部服务器错误，则重试的秒数。 默认值： 60
org_id 字符串	组织 ID。
org_name 别名：organization 字符串	组织名称。
output_format 字符串	指示模块响应键应使用蛇形命名法（例如，net_id）还是驼峰命名法（例如，netId）。 选择 "snakecase" ← (默认) "camelcase"
output_level 字符串	设置模块执行期间的调试输出量。 选择 "debug" "normal" ← (默认)
rate_limit_retry_time 整数	如果触发了速率限制器，则重试的秒数。 默认值： 165
rules 列表 / elements=字典	防火墙规则列表。
comment 字符串	描述防火墙规则的可选注释。
dest_cidr 字符串	以逗号分隔的 CIDR 表示法目标网络列表。 Any 必须大写。
dest_port 字符串	以逗号分隔的要匹配的目标端口号列表。 Any 必须大写。
policy 字符串	如果命中规则，则应用策略。 选择 "allow" "deny"
protocol 字符串	要匹配的协议。 选择 "any" "icmp" "tcp" "udp"
src_cidr 字符串	以逗号分隔的 CIDR 表示法源网络列表。 Any 必须大写。
src_port 字符串	以逗号分隔的要匹配的源端口号列表。 Any 必须大写。
syslog_enabled 布尔值	是否记录针对防火墙规则的提示。 仅当针对网络指定了 syslog 服务器时才适用。 选择 false ← (默认) true
state 字符串	创建或修改组织。 选择 "present" ← (默认) "query"
syslog_default_rule 布尔值	是否记录针对默认防火墙规则的命中。 仅当针对网络指定了 syslog 服务器时才适用。 这不会显示在 Meraki 的响应中。 相反，请参考默认规则中的 syslog_enabled 值。 选择 false true
timeout 整数	HTTP 请求超时的时间。 默认值： 30
use_https 布尔值	如果为 no，它将使用 HTTP。 否则，它将使用 HTTPS。 仅对 Meraki 内部开发人员有用。 选择 false true ← (默认)
use_proxy 布尔值	如果为 no，即使在目标主机上的环境变量中定义了代理，它也不会使用代理。 选择 false ← (默认) true
validate_certs 布尔值	是否验证 HTTP 证书。 选择 false true ← (默认)

注释

注意

• 模块假设完整的防火墙规则列表作为参数传递。

• 有关 Meraki API 的更多信息，请访问 https://dashboard.meraki.com/api_docs。

• 某些选项可能仅供 Meraki 内部的开发人员使用。

• 从 Ansible 2.9 开始，Meraki 模块将键输出为蛇形命名法。 要使用驼峰命名法，请将 ANSIBLE_MERAKI_FORMAT 环境变量设置为 camelcase。

• Ansible 的 Meraki 模块将在 Ansible 2.13 中停止支持驼峰命名法输出。 请更新您的 playbook。

• 检查模式从仪表板下载当前配置，然后将更改与此下载进行比较。 如果配置存在差异，检查模式将报告已更改，但不会将更改提交到 API 以进行更改验证。

示例

- name: Query firewall rules
  meraki_mx_site_to_site_firewall:
    auth_key: abc123
    org_name: YourOrg
    state: query
  delegate_to: localhost

- name: Set two firewall rules
  meraki_mx_site_to_site_firewall:
    auth_key: abc123
    org_name: YourOrg
    state: present
    rules:
      - comment: Block traffic to server
        src_cidr: 192.0.1.0/24
        src_port: any
        dest_cidr: 192.0.2.2/32
        dest_port: any
        protocol: any
        policy: deny
      - comment: Allow traffic to group of servers
        src_cidr: 192.0.1.0/24
        src_port: any
        dest_cidr: 192.0.2.0/24
        dest_port: any
        protocol: any
        policy: permit
  delegate_to: localhost

- name: Set one firewall rule and enable logging of the default rule
  meraki_mx_site_to_site_firewall:
    auth_key: abc123
    org_name: YourOrg
    state: present
    rules:
      - comment: Block traffic to server
        src_cidr: 192.0.1.0/24
        src_port: any
        dest_cidr: 192.0.2.2/32
        dest_port: any
        protocol: any
        policy: deny
    syslog_default_rule: yes
  delegate_to: localhost

返回值

此处记录了常见的返回值 here，以下是此模块独有的字段

键	描述
数据 复杂	与网络关联的防火墙规则。 返回值： 成功
rules 复杂	与网络关联的防火墙规则列表。 返回值： 成功
comment 字符串	描述防火墙规则的注释。 返回值： 始终 示例： "阻止 到服务器的 流量"
dest_cidr 字符串	以逗号分隔的 CIDR 表示法目标网络列表。 返回值： 始终 示例： "192.0.1.1/32,192.0.1.2/32"
dest_port 字符串	逗号分隔的目标端口列表。 返回值： 始终 示例： "80,443"
policy 字符串	匹配规则时要采取的动作。 返回值： 始终
protocol 字符串	要匹配的网络协议。 返回值： 始终 示例： "tcp"
src_cidr 字符串	以逗号分隔的 CIDR 表示法源网络列表。 返回值： 始终 示例： "192.0.1.1/32,192.0.1.2/32"
src_port 字符串	逗号分隔的源端口列表。 返回值： 始终 示例： "80,443"
syslog_enabled 布尔值	规则匹配时是否记录到系统日志。 返回值： 始终 示例： true

状态

• 此模块将在 3.0.0 版本中删除。[已弃用]

• 有关详细信息，请参阅 已弃用。

作者

• Kevin Breit (@kbreit)

集合链接

• 问题跟踪器
• 存储库（源代码）