Note

Ce plugin fait partie de la collection fortinet.fortimanager (version 2.0.1).

Pour l'installer, utilisez : ansible-galaxy collection install fortinet.fortimanager.

Pour l'utiliser dans un playbook, spécifiez : fortinet.fortimanager.fmgr_firewall_gtp.

Nouveau dans la version 2.10 : de fortinet.fortimanager

  • Synopsis
  • Paramètres
  • Notes
  • Exemples
  • Valeurs de retour

Synopsis

  • Ce module est capable de configurer un périphérique FortiManager.
  • Les exemples comprennent tous les paramètres et valeurs qui doivent être ajustés aux sources de données avant l'utilisation.

Paramètres

Paramètre Choix/par défaut Commentaires
adomchaîne de caractères / obligatoire le paramètre (adom) dans l'url demandée
bypass_validationbooléen
    Choix :

  • pas de
  • oui
uniquement mis à True lorsque le schéma du module diffère avec la structure de l'API FortiManager, le module continue à s'exécuter sans valider les paramètres.
firewall_gtpdictionnaire le jeu de paramètres de premier niveau
addr-notifychaîne de caractères adresse de notification de surfacturation
apnliste / elements=string pas de description
actionchaîne de caractères
    Choix :

  • autoriser
  • refuser
Action.
apnmemberchaîne de caractères Membre APN.
idnombre entier ID.
mode de sélectionliste / elements=chaîne
    Choix :

  • ms
  • net
  • vrf
pas de description
apn-filtrechaîne de caractères
    Choix :

  • désactiver
  • activer
filtre apn
autorisé-ggsnschaîne de caractères Groupe GGSN autorisé
autorisé-sgsnschaîne de caractères Groupe SGSN autorisé
commentairechaîne de caractères Commentaire.
context-identier Contexte de surfacturation.
control-plane-message-rate-limitnombre entier limite de débit des messages du plan de contrôle
action-apn par défautchaîne de caractères
    Choix :

  • autoriser
  • refuser
action apn par défaut
action imsi par défautchaîne de caractères
    Choix :

  • autoriser
  • refuser
action imsi par défaut
action imsi par défautchaîne de caractères
    Choix :

  • autoriser
  • refuser
action par défaut pour le trafic IP encapsulé
default-noip-actionchaîne de caractères
    Choix :

  • autoriser
  • refuser
action par défaut pour le trafic non-IP encapsulé
default-policy-actionchaîne de caractères
    Choix :

  • autoriser
  • refuser
Action de politique avancée par défaut
denied-logchaîne de caractères
    Choix :

  • désactiver
  • activer
journal refusé
echo-request-intervallenombre entier intervalle de requête d'écho (en secondes)
extension-logchaîne de caractères
    Choix :

  • désactiver
  • activer
format de l'extension du journal de bord
journal transféréchaîne de caractères
    Choix :

  • désactiver
  • activer
journal transféré
global-tunnel-limitchaîne de caractères Limite globale du tunnel.
gtp-in-gtpchaîne de caractères
    Choix :

  • autoriser
  • refuser
gtp dans gtp
gtpu-denied-logchaîne de caractères
    Choix :

  • désactiver
  • activer
Active/désactive la journalisation des paquets GTP-U refusés.
gtpu-forwarded-logchaîne de caractères
    Choix :

  • désactiver
  • activer
Activez/désactivez la journalisation des paquets GTP-U transférés.
gtpu-log-freqnombre entier Journalisation de la fréquence des paquets GTP-U.
half-close-timeoutnombre entier Délai d'attente de demi-fermeture du tunnel (en secondes).
half-open-timeoutnombre entier Délai d'expiration du tunnel semi-ouvert (en secondes).
handover-groupchaîne de caractères Groupe SGSN de transfert
ie-remove-policyliste / elements=chaîne pas de description
idnombre entier ID.
remove-iesliste / elements=chaîne
    Choix :

  • apn-restriction
  • type rat
  • rai
  • uli
  • imei
pas de description
sgsn-addrchaîne de caractères Nom de l'adresse du SGSN.
ie-removerchaîne de caractères
    Choix :

  • désactiver
  • activer
Politique de suppression d'IE.
ie-white-list-v0v1chaîne de caractères Liste blanche de l'IE.
ie-white-list-v2chaîne de caractères Liste blanche de l'IE.
imsiliste / elements=string pas de description
actionchaîne de caractères
    Choix :

  • autoriser
  • refuser
Action.
apnmemberchaîne de caractères Membre APN.
idnombre entier ID.
mcc-mncchaîne de caractères MCC MNC.
msisdn-prefixchaîne de caractères Préfixe MSISDN.
mode de sélectionliste / elements=chaîne
    Choix :

  • ms
  • net
  • vrf
pas de description
imsi-filtrechaîne de caractères
    Choix :

  • désactiver
  • activer
filtre imsi
interface-notifychaîne de caractères interface de surfacturation
champ réservé non validechaîne de caractères
    Choix :

  • autoriser
  • refuser
Champ réservé non valide dans l'en-tête GTP
invalide-sgsns-to-logchaîne de caractères Groupe SGSN invalide à journaliser
ip-filterchaîne de caractères
    Choix :

  • désactiver
  • activer
Filtre IP pour le trafic encapsulé
ip-policyliste / elements=chaîne pas de description
actionchaîne de caractères
    Choix :

  • autoriser
  • refuser
Action.
dstaddrchaîne de caractères Nom de l'adresse de destination.
idnombre entier ID.
srcaddrchaîne de caractères Nom de l'adresse de la source.
log-freqnombre entier Journalisation de la fréquence des paquets GTP-C.
log-gtpu-limitnombre entier la limite du journal des données utilisateur (0-512 octets).
log-imsi-prefixchaîne de caractères Préfixe IMSI pour la journalisation sélective.
log-msisdn-prefixchaîne de caractères le préfixe msisdn pour la journalisation sélective.
longueur maximale du messagenombre entier longueur maximale du message
filtre de message-v0v1chaîne de caractères Filtre de message.
filtre-message-v2chaîne de caractères Filtre de message.
longueur minimale du messagenombre entier longueur minimale du message
miss-must-iechaîne de caractères
    Choix :

  • autoriser
  • refuser
Élément d'information obligatoire manquant
monitor-modechaîne de caractères
    Choix :

  • désactiver
  • activer
  • vdom
Mode de surveillance GTP
nomchaîne de caractères Nom du profil.
noip-filterchaîne de caractères
    Choix :

  • désactiver
  • activer
filtre non-IP pour le trafic encapsulé
noip-policyliste / elements=chaîne pas de description
actionchaîne de caractères
    Choix :

  • autoriser
  • refuser
Action.
finentier Fin de la plage de protocoles (0 - 255).
idnombre entier ID.
débutnombre entier Début de la plage de protocoles (0 - 255).
typechaîne de caractères
    Choix :

  • etsi
  • ietf
Type de champ de protocole.
out-of-state-iechaîne de caractères
    Choix :

  • autoriser
  • refuser
Élément d'information hors d'état.
message hors d'étatchaîne de caractères
    Choix :

  • autoriser
  • refuser
Message GTP hors d'état
par-apn-shaperliste / elements=chaîne pas de description
apnchaîne de caractères Nom de l'APN.
idnombre entier ID.
Limite de vitessenombre entier Limite de débit (paquets/s) pour créer une demande de contexte PDP.
versionnombre entier Numéro de version du GTP : 0 ou 1.
politiqueliste / elements=chaîne pas de description
actionchaîne de caractères
    Choix :

  • autoriser
  • refuser
Action.
apn-sel-modeliste / elements=string
    Choix :

  • ms
  • net
  • vrf
pas de description
apnmemberchaîne de caractères Membre APN.
idnombre entier ID.
imeichaîne de caractères Modèle IMEI(SV).
imsichaîne de caractères Préfixe IMSI.
max-apn-restrictionchaîne de caractères
    Choix :

  • tout
  • public-1
  • public-2
  • private-1
  • private-2
Valeur maximale de la restriction APN.
messagesliste / elements=chaîne
    Choix :

  • create-req
  • create-res
  • update-req
  • update-res
pas de description
msisdnchaîne de caractères Préfixe MSISDN.
raichaîne de caractères Modèle RAI.
Type de ratliste / elements=chaîne
    Choix :

  • tout
  • utran
  • geran
  • wlan
  • gan
  • hspa
  • eutran
  • virtuel
  • nbiot
pas de description
ulichaîne de caractères Modèle ULI.
filtre de politiquechaîne de caractères
    Choix :

  • désactiver
  • activer
Filtre de politique avancé
port-notifynombre entier port de notification de surfacturation
rate-limit-modechaîne de caractères
    Choix :

  • par profil
  • par flux
  • per-apn
Mode de limitation du débit GTP.
rate-limited-logchaîne de caractères
    Choix :

  • désactiver
  • activer
taux de journalisation limité
taux d'échantillonnage-intervallenombre entier intervalle d'échantillonnage du taux (1-3600 secondes)
remove-if-echo-expireschaîne de caractères
    Choix :

  • désactiver
  • activer
supprimer si la réponse de l'écho expire
remove-if-recovery-differchaîne de caractères
    Choix :

  • désactiver
  • activer
supprimer lors d'une récupération différente de IE
réservé-iechaîne de caractères
    Choix :

  • autoriser
  • refuser
élément d'information réservé
send-delete-when-timeoutchaîne de caractères
    Choix :

  • désactiver
  • activer
envoyer une requête DELETE aux points d'extrémité du chemin lorsque le tunnel GTPv0/v1 est en dépassement de temps.
send-delete-when-timeout-v2chaîne de caractères
    Choix :

  • désactiver
  • activer
envoyer une requête DELETE aux points d'extrémité du chemin lorsque le tunnel GTPv2 est en dépassement de temps.
spoof-src-addrchaîne de caractères
    Choix :

  • autoriser
  • refuser
Adresse source usurpée pour la station mobile.
state-invalid-logchaîne de caractères
    Choix :

  • désactiver
  • activer
état du journal invalide
traffic-count-logchaîne de caractères
    Choix :

  • désactiver
  • activer
compteur de trafic du tunnel
tunnel-limitnombre entier limite du tunnel
tunnel-limit-logchaîne de caractères
    Choix :

  • désactiver
  • activer
limite du tunnel
tunnel-timeoutnombre entier Délai d'attente établi pour le tunnel (en secondes).
action-version inconnuechaîne de caractères
    Choix :

  • autoriser
  • refuser
action pour version gtp inconnue
user-plane-message-rate-limitnombre entier limite de débit des messages du plan utilisateur
seuil d'avertissementnombre entier Seuil d'avertissement pour la limitation du taux (0 - 99 pour cent).
rc_failedliste / elements=string la liste des codes rc avec lesquels les conditions d'échec seront remplacées.
rc_succèsliste / elements=string la liste des codes rc avec lesquels les conditions de réussite seront remplacées.
étatchaîne de caractères / obligatoire
    Choix :

  • présent
  • absent
la directive pour créer, mettre à jour ou supprimer un objet
espace de travail_blocage_adomchaîne de caractères l'adom à verrouiller pour FortiManager fonctionnant en mode espace de travail, la valeur peut être globale et d'autres y compris root.
workspace_locking_timeoutentier Par défaut :
300
le temps maximum en secondes à attendre pour qu'un autre utilisateur libère le verrouillage de l'espace de travail.

Notes

Note

  • L'exécution en mode de verrouillage de l'espace de travail est prise en charge dans ce module FortiManager, les paramètres de haut niveau workspace_locking_adom et workspace_locking_timeout aident à faire le travail.
  • Pour créer ou mettre à jour un objet, utilisez la directive state present.
  • Pour supprimer un objet, utilisez la directive state absent.
  • Normalement, l'exécution d'un module peut échouer lorsqu'un rc non nul est renvoyé. vous pouvez également modifier les conditions d'échec ou de réussite avec les paramètres rc_failed et rc_succeeded.

Exemples

-hosts: fortimanager-inventory
  collections:- fortinet.fortimanager
  connection: httpapi
  vars:ansible_httpapi_use_ssl:Trueansible_httpapi_validate_certs:Falseansible_httpapi_port:443tasks:-name: Configure GTP.
     fmgr_firewall_gtp:bypass_validation:Falseworkspace_locking_adom: [global, custom adom including root]>workspace_locking_timeout:300rc_succeeded:[0,-2,-3,...]rc_failed:[-2,-3,...]adom: >state: [present, absent]>firewall_gtp:addr-notify: >apn:-action: [allow, deny]>apnmember: >id: >selection-mode:- ms
                   - net
                   - vrf
           apn-filter: [disable, enable]>authorized-ggsns: >authorized-sgsns: >comment: >context-id: >control-plane-message-rate-limit: >default-apn-action: [allow, deny]>default-imsi-action: [allow, deny]>default-ip-action: [allow, deny]>default-noip-action: [allow, deny]>default-policy-action: [allow, deny]>denied-log: [disable, enable]>echo-request-interval: >extension-log: [disable, enable]>forwarded-log: [disable, enable]>global-tunnel-limit: >gtp-in-gtp: [allow, deny]>gtpu-denied-log: [disable, enable]>gtpu-forwarded-log: [disable, enable]>gtpu-log-freq: >half-close-timeout: >half-open-timeout: >handover-group: >ie-remove-policy:-id: >remove-ies:- apn-restriction
                   - rat-type
                   - rai
                   - uli
                   - imei
                 sgsn-addr: >ie-remover: [disable, enable]>ie-white-list-v0v1: >ie-white-list-v2: >imsi:-action: [allow, deny]>apnmember: >id: >mcc-mnc: >msisdn-prefix: >selection-mode:- ms
                   - net
                   - vrf
           imsi-filter: [disable, enable]>interface-notify: >invalid-reserved-field: [allow, deny]>invalid-sgsns-to-log: >ip-filter: [disable, enable]>ip-policy:-action: [allow, deny]>dstaddr: >id: >srcaddr: >log-freq: >log-gtpu-limit: >log-imsi-prefix: >log-msisdn-prefix: >max-message-length: >message-filter-v0v1: >message-filter-v2: >min-message-length: >miss-must-ie: [allow, deny]>monitor-mode: [disable, enable, vdom]>name: >noip-filter: [disable, enable]>noip-policy:-action: [allow, deny]>end: >id: >start: >type: [etsi, ietf]>out-of-state-ie: [allow, deny]>out-of-state-message: [allow, deny]>per-apn-shaper:-apn: >id: >rate-limit: >version: >policy:-action: [allow, deny]>apn-sel-mode:- ms
                   - net
                   - vrf
                 apnmember: >id: >imei: >imsi: >max-apn-restriction: [all, public-1, public-2,...]>messages:- create-req
                   - create-res
                   - update-req
                   - update-res
                 msisdn: >rai: >rat-type:- any
                   - utran
                   - geran
                   - wlan
                   - gan
                   - hspa
                   - eutran
                   - virtual
                   - nbiot
                 uli: >policy-filter: [disable, enable]>port-notify: >rate-limit-mode: [per-profile, per-stream, per-apn]>rate-limited-log: [disable, enable]>rate-sampling-interval: >remove-if-echo-expires: [disable, enable]>remove-if-recovery-differ: [disable, enable]>reserved-ie: [allow, deny]>send-delete-when-timeout: [disable, enable]>send-delete-when-timeout-v2: [disable, enable]>spoof-src-addr: [allow, deny]>state-invalid-log: [disable, enable]>traffic-count-log: [disable, enable]>tunnel-limit: >tunnel-limit-log: [disable, enable]>tunnel-timeout: >unknown-version-action: [allow, deny]>user-plane-message-rate-limit: >warning-threshold: >

Valeurs de retour

Les valeurs de retour courantes sont documentées ici, les champs suivants sont uniques à ce module :

Clé Retourné Description
request_urlchaîne de caractères toujours L'url complète demandée
Exemple :/sys/login/user
response_codenombre entier toujours Le statut de la demande api
response_messagechaîne de caractères toujours Le message descriptif de la réponse api.
Exemple : OK.

Auteurs

  • Link Zheng (@chillancezen)
  • Jie Xue (@JieX19)
  • Frank Shen (@fshen01)
  • Hongbin Lu (@fgtdev-hblu)