Après avoir consulté des spécialistes dans ce domaine, des programmeurs de divers domaines et des enseignants, nous avons trouvé la réponse au dilemme et nous l'avons reflété dans cette publication.
Note
Ce plugin fait partie de la collection fortinet.fortimanager (version 2.0.1).
Pour l'installer, utilisez : ansible-galaxy collection install fortinet.fortimanager.
Pour l'utiliser dans un playbook, spécifiez : fortinet.fortimanager.fmgr_firewall_gtp.
Nouveau dans la version 2.10 : de fortinet.fortimanager
- Synopsis
- Paramètres
- Notes
- Exemples
- Valeurs de retour
Synopsis
- Ce module est capable de configurer un périphérique FortiManager.
- Les exemples comprennent tous les paramètres et valeurs qui doivent être ajustés aux sources de données avant l'utilisation.
Paramètres
| Paramètre | Choix/par défaut | Commentaires | ||
|---|---|---|---|---|
| adomchaîne de caractères / obligatoire | le paramètre (adom) dans l'url demandée | |||
| bypass_validationbooléen |
|
uniquement mis à True lorsque le schéma du module diffère avec la structure de l'API FortiManager, le module continue à s'exécuter sans valider les paramètres. | ||
| firewall_gtpdictionnaire | le jeu de paramètres de premier niveau | |||
| addr-notifychaîne de caractères | adresse de notification de surfacturation | |||
| apnliste / elements=string | pas de description | |||
| actionchaîne de caractères |
|
Action. | ||
| apnmemberchaîne de caractères | Membre APN. | |||
| idnombre entier | ID. | |||
| mode de sélectionliste / elements=chaîne |
|
pas de description | ||
| apn-filtrechaîne de caractères |
|
filtre apn | ||
| autorisé-ggsnschaîne de caractères | Groupe GGSN autorisé | |||
| autorisé-sgsnschaîne de caractères | Groupe SGSN autorisé | |||
| commentairechaîne de caractères | Commentaire. | |||
| context-identier | Contexte de surfacturation. | |||
| control-plane-message-rate-limitnombre entier | limite de débit des messages du plan de contrôle | |||
| action-apn par défautchaîne de caractères |
|
action apn par défaut | ||
| action imsi par défautchaîne de caractères |
|
action imsi par défaut | ||
| action imsi par défautchaîne de caractères |
|
action par défaut pour le trafic IP encapsulé | ||
| default-noip-actionchaîne de caractères |
|
action par défaut pour le trafic non-IP encapsulé | ||
| default-policy-actionchaîne de caractères |
|
Action de politique avancée par défaut | ||
| denied-logchaîne de caractères |
|
journal refusé | ||
| echo-request-intervallenombre entier | intervalle de requête d'écho (en secondes) | |||
| extension-logchaîne de caractères |
|
format de l'extension du journal de bord | ||
| journal transféréchaîne de caractères |
|
journal transféré | ||
| global-tunnel-limitchaîne de caractères | Limite globale du tunnel. | |||
| gtp-in-gtpchaîne de caractères |
|
gtp dans gtp | ||
| gtpu-denied-logchaîne de caractères |
|
Active/désactive la journalisation des paquets GTP-U refusés. | ||
| gtpu-forwarded-logchaîne de caractères |
|
Activez/désactivez la journalisation des paquets GTP-U transférés. | ||
| gtpu-log-freqnombre entier | Journalisation de la fréquence des paquets GTP-U. | |||
| half-close-timeoutnombre entier | Délai d'attente de demi-fermeture du tunnel (en secondes). | |||
| half-open-timeoutnombre entier | Délai d'expiration du tunnel semi-ouvert (en secondes). | |||
| handover-groupchaîne de caractères | Groupe SGSN de transfert | |||
| ie-remove-policyliste / elements=chaîne | pas de description | |||
| idnombre entier | ID. | |||
| remove-iesliste / elements=chaîne |
|
pas de description | ||
| sgsn-addrchaîne de caractères | Nom de l'adresse du SGSN. | |||
| ie-removerchaîne de caractères |
|
Politique de suppression d'IE. | ||
| ie-white-list-v0v1chaîne de caractères | Liste blanche de l'IE. | |||
| ie-white-list-v2chaîne de caractères | Liste blanche de l'IE. | |||
| imsiliste / elements=string | pas de description | |||
| actionchaîne de caractères |
|
Action. | ||
| apnmemberchaîne de caractères | Membre APN. | |||
| idnombre entier | ID. | |||
| mcc-mncchaîne de caractères | MCC MNC. | |||
| msisdn-prefixchaîne de caractères | Préfixe MSISDN. | |||
| mode de sélectionliste / elements=chaîne |
|
pas de description | ||
| imsi-filtrechaîne de caractères |
|
filtre imsi | ||
| interface-notifychaîne de caractères | interface de surfacturation | |||
| champ réservé non validechaîne de caractères |
|
Champ réservé non valide dans l'en-tête GTP | ||
| invalide-sgsns-to-logchaîne de caractères | Groupe SGSN invalide à journaliser | |||
| ip-filterchaîne de caractères |
|
Filtre IP pour le trafic encapsulé | ||
| ip-policyliste / elements=chaîne | pas de description | |||
| actionchaîne de caractères |
|
Action. | ||
| dstaddrchaîne de caractères | Nom de l'adresse de destination. | |||
| idnombre entier | ID. | |||
| srcaddrchaîne de caractères | Nom de l'adresse de la source. | |||
| log-freqnombre entier | Journalisation de la fréquence des paquets GTP-C. | |||
| log-gtpu-limitnombre entier | la limite du journal des données utilisateur (0-512 octets). | |||
| log-imsi-prefixchaîne de caractères | Préfixe IMSI pour la journalisation sélective. | |||
| log-msisdn-prefixchaîne de caractères | le préfixe msisdn pour la journalisation sélective. | |||
| longueur maximale du messagenombre entier | longueur maximale du message | |||
| filtre de message-v0v1chaîne de caractères | Filtre de message. | |||
| filtre-message-v2chaîne de caractères | Filtre de message. | |||
| longueur minimale du messagenombre entier | longueur minimale du message | |||
| miss-must-iechaîne de caractères |
|
Élément d'information obligatoire manquant | ||
| monitor-modechaîne de caractères |
|
Mode de surveillance GTP | ||
| nomchaîne de caractères | Nom du profil. | |||
| noip-filterchaîne de caractères |
|
filtre non-IP pour le trafic encapsulé | ||
| noip-policyliste / elements=chaîne | pas de description | |||
| actionchaîne de caractères |
|
Action. | ||
| finentier | Fin de la plage de protocoles (0 - 255). | |||
| idnombre entier | ID. | |||
| débutnombre entier | Début de la plage de protocoles (0 - 255). | |||
| typechaîne de caractères |
|
Type de champ de protocole. | ||
| out-of-state-iechaîne de caractères |
|
Élément d'information hors d'état. | ||
| message hors d'étatchaîne de caractères |
|
Message GTP hors d'état | ||
| par-apn-shaperliste / elements=chaîne | pas de description | |||
| apnchaîne de caractères | Nom de l'APN. | |||
| idnombre entier | ID. | |||
| Limite de vitessenombre entier | Limite de débit (paquets/s) pour créer une demande de contexte PDP. | |||
| versionnombre entier | Numéro de version du GTP : 0 ou 1. | |||
| politiqueliste / elements=chaîne | pas de description | |||
| actionchaîne de caractères |
|
Action. | ||
| apn-sel-modeliste / elements=string |
|
pas de description | ||
| apnmemberchaîne de caractères | Membre APN. | |||
| idnombre entier | ID. | |||
| imeichaîne de caractères | Modèle IMEI(SV). | |||
| imsichaîne de caractères | Préfixe IMSI. | |||
| max-apn-restrictionchaîne de caractères |
|
Valeur maximale de la restriction APN. | ||
| messagesliste / elements=chaîne |
|
pas de description | ||
| msisdnchaîne de caractères | Préfixe MSISDN. | |||
| raichaîne de caractères | Modèle RAI. | |||
| Type de ratliste / elements=chaîne |
|
pas de description | ||
| ulichaîne de caractères | Modèle ULI. | |||
| filtre de politiquechaîne de caractères |
|
Filtre de politique avancé | ||
| port-notifynombre entier | port de notification de surfacturation | |||
| rate-limit-modechaîne de caractères |
|
Mode de limitation du débit GTP. | ||
| rate-limited-logchaîne de caractères |
|
taux de journalisation limité | ||
| taux d'échantillonnage-intervallenombre entier | intervalle d'échantillonnage du taux (1-3600 secondes) | |||
| remove-if-echo-expireschaîne de caractères |
|
supprimer si la réponse de l'écho expire | ||
| remove-if-recovery-differchaîne de caractères |
|
supprimer lors d'une récupération différente de IE | ||
| réservé-iechaîne de caractères |
|
élément d'information réservé | ||
| send-delete-when-timeoutchaîne de caractères |
|
envoyer une requête DELETE aux points d'extrémité du chemin lorsque le tunnel GTPv0/v1 est en dépassement de temps. | ||
| send-delete-when-timeout-v2chaîne de caractères |
|
envoyer une requête DELETE aux points d'extrémité du chemin lorsque le tunnel GTPv2 est en dépassement de temps. | ||
| spoof-src-addrchaîne de caractères |
|
Adresse source usurpée pour la station mobile. | ||
| state-invalid-logchaîne de caractères |
|
état du journal invalide | ||
| traffic-count-logchaîne de caractères |
|
compteur de trafic du tunnel | ||
| tunnel-limitnombre entier | limite du tunnel | |||
| tunnel-limit-logchaîne de caractères |
|
limite du tunnel | ||
| tunnel-timeoutnombre entier | Délai d'attente établi pour le tunnel (en secondes). | |||
| action-version inconnuechaîne de caractères |
|
action pour version gtp inconnue | ||
| user-plane-message-rate-limitnombre entier | limite de débit des messages du plan utilisateur | |||
| seuil d'avertissementnombre entier | Seuil d'avertissement pour la limitation du taux (0 - 99 pour cent). | |||
| rc_failedliste / elements=string | la liste des codes rc avec lesquels les conditions d'échec seront remplacées. | |||
| rc_succèsliste / elements=string | la liste des codes rc avec lesquels les conditions de réussite seront remplacées. | |||
| étatchaîne de caractères / obligatoire |
|
la directive pour créer, mettre à jour ou supprimer un objet | ||
| espace de travail_blocage_adomchaîne de caractères | l'adom à verrouiller pour FortiManager fonctionnant en mode espace de travail, la valeur peut être globale et d'autres y compris root. | |||
| workspace_locking_timeoutentier | Par défaut : 300 |
le temps maximum en secondes à attendre pour qu'un autre utilisateur libère le verrouillage de l'espace de travail. | ||
Notes
Note
- L'exécution en mode de verrouillage de l'espace de travail est prise en charge dans ce module FortiManager, les paramètres de haut niveau workspace_locking_adom et workspace_locking_timeout aident à faire le travail.
- Pour créer ou mettre à jour un objet, utilisez la directive state present.
- Pour supprimer un objet, utilisez la directive state absent.
- Normalement, l'exécution d'un module peut échouer lorsqu'un rc non nul est renvoyé. vous pouvez également modifier les conditions d'échec ou de réussite avec les paramètres rc_failed et rc_succeeded.
Exemples
-hosts: fortimanager-inventory collections:- fortinet.fortimanager connection: httpapi vars:ansible_httpapi_use_ssl:Trueansible_httpapi_validate_certs:Falseansible_httpapi_port:443tasks:-name: Configure GTP. fmgr_firewall_gtp:bypass_validation:Falseworkspace_locking_adom:[global, custom adom including root]>workspace_locking_timeout:300rc_succeeded:[0,-2,-3,...]rc_failed:[-2,-3,...]adom: >state: [present, absent]>firewall_gtp:addr-notify: >apn:-action: [allow, deny]>apnmember: >id: >selection-mode:- ms - net - vrf apn-filter: [disable, enable]>authorized-ggsns: >authorized-sgsns: >comment: >context-id: >control-plane-message-rate-limit: >default-apn-action: [allow, deny]>default-imsi-action: [allow, deny]>default-ip-action: [allow, deny]>default-noip-action: [allow, deny]>default-policy-action: [allow, deny]>denied-log: [disable, enable]>echo-request-interval: >extension-log: [disable, enable]>forwarded-log: [disable, enable]>global-tunnel-limit: >gtp-in-gtp: [allow, deny]>gtpu-denied-log: [disable, enable]>gtpu-forwarded-log: [disable, enable]>gtpu-log-freq: >half-close-timeout: >half-open-timeout: >handover-group: >ie-remove-policy:-id: >remove-ies:- apn-restriction - rat-type - rai - uli - imei sgsn-addr: >ie-remover: [disable, enable]>ie-white-list-v0v1: >ie-white-list-v2: >imsi:-action: [allow, deny]>apnmember: >id: >mcc-mnc: >msisdn-prefix: >selection-mode:- ms - net - vrf imsi-filter: [disable, enable]>interface-notify: >invalid-reserved-field: [allow, deny]>invalid-sgsns-to-log: >ip-filter: [disable, enable]>ip-policy:-action: [allow, deny]>dstaddr: >id: >srcaddr: >log-freq: >log-gtpu-limit: >log-imsi-prefix: >log-msisdn-prefix: >max-message-length: >message-filter-v0v1: >message-filter-v2: >min-message-length: >miss-must-ie: [allow, deny]>monitor-mode: [disable, enable, vdom]>name: >noip-filter: [disable, enable]>noip-policy:-action: [allow, deny]>end: >id: >start: >type: [etsi, ietf]>out-of-state-ie: [allow, deny]>out-of-state-message: [allow, deny]>per-apn-shaper:-apn: >id: >rate-limit: >version: >policy:-action: [allow, deny]>apn-sel-mode:- ms - net - vrf apnmember: >id: >imei: >imsi: >max-apn-restriction: [all, public-1, public-2,...]>messages:- create-req - create-res - update-req - update-res msisdn: >rai: >rat-type:- any - utran - geran - wlan - gan - hspa - eutran - virtual - nbiot uli: >policy-filter: [disable, enable]>port-notify: >rate-limit-mode: [per-profile, per-stream, per-apn]>rate-limited-log: [disable, enable]>rate-sampling-interval: >remove-if-echo-expires: [disable, enable]>remove-if-recovery-differ: [disable, enable]>reserved-ie: [allow, deny]>send-delete-when-timeout: [disable, enable]>send-delete-when-timeout-v2: [disable, enable]>spoof-src-addr: [allow, deny]>state-invalid-log: [disable, enable]>traffic-count-log: [disable, enable]>tunnel-limit: >tunnel-limit-log: [disable, enable]>tunnel-timeout: >unknown-version-action: [allow, deny]>user-plane-message-rate-limit: >warning-threshold: >
Valeurs de retour
Les valeurs de retour courantes sont documentées ici, les champs suivants sont uniques à ce module :
| Clé | Retourné | Description |
|---|---|---|
| request_urlchaîne de caractères | toujours | L'url complète demandée Exemple :/sys/login/user |
| response_codenombre entier | toujours | Le statut de la demande api |
| response_messagechaîne de caractères | toujours | Le message descriptif de la réponse api. Exemple : OK. |
Auteurs
- Link Zheng (@chillancezen)
- Jie Xue (@JieX19)
- Frank Shen (@fshen01)
- Hongbin Lu (@fgtdev-hblu)