cisco.meraki.meraki_mx_l3_firewall 模块 – 管理 Meraki 云中 MX 设备的第 3 层防火墙

注意

此模块是 cisco.meraki 集合 (版本 2.18.3) 的一部分。

如果您使用的是 ansible 包，则可能已安装此集合。它不包含在 ansible-core 中。要检查它是否已安装，请运行 ansible-galaxy collection list。

要安装它，请使用：ansible-galaxy collection install cisco.meraki。

要在 playbook 中使用它，请指定：cisco.meraki.meraki_mx_l3_firewall。

已弃用

在以下版本中移除：

3.0.0 版本

原因：

发布了具有增强功能的更新模块

替代方案：

cisco.meraki.networks_appliance_firewall_l3_firewall_rules

概要

• 允许创建、管理和查看在 Meraki MX 防火墙上实现的第 3 层防火墙。

参数

参数	注释
auth_key 字符串 / 必需	仪表盘提供的身份验证密钥。如果未设置环境变量 MERAKI_KEY，则需要此密钥。
host 字符串	Meraki 仪表盘的主机名。 可用于访问区域性 Meraki 环境，例如中国。 默认值： "api.meraki.com"
internal_error_retry_time 整数	如果服务器返回内部服务器错误，则重试的秒数。 默认值： 60
net_id 字符串	包含 MX 防火墙的网络 ID。
net_name 字符串	包含 MX 防火墙的网络名称。
org_id 字符串	组织 ID。
org_name 别名：organization 字符串	组织名称。
output_format 字符串	指示模块响应键是否应为蛇形命名法 (例如 net_id) 或驼峰命名法 (例如 netId)。 选项 "snakecase" ← (默认) "camelcase"
output_level 字符串	设置模块执行期间的调试输出量。 选项 "debug" "normal" ← (默认)
rate_limit_retry_time 整数	如果触发速率限制器，则重试的秒数。 默认值： 165
rules 列表 / 元素=字典	防火墙规则列表。
comment 字符串	描述防火墙规则的可选注释。
dest_cidr 字符串	逗号分隔的 CIDR 表示法目标网络列表。 Any 必须大写。
dest_port 字符串	逗号分隔的目标端口号列表，用于与之匹配。 Any 必须大写。
policy 字符串	如果命中规则，则应用的策略。 选项 "allow" "deny"
protocol 字符串	要匹配的协议。 选项 "any" "icmp" "tcp" "udp"
src_cidr 字符串	逗号分隔的 CIDR 表示法源网络列表。 Any 必须大写。
src_port 字符串	逗号分隔的源端口号列表，用于与之匹配。 Any 必须大写。
syslog_enabled 布尔值	是否记录针对防火墙规则的提示。 仅当针对网络指定了 syslog 服务器时才适用。 选项 false ← (默认) true
state 字符串	创建或修改组织。 选项 "present" ← (默认) "query"
syslog_default_rule 布尔值	是否记录针对默认防火墙规则的命中。 仅当针对网络指定了 syslog 服务器时才适用。 这不会显示在 Meraki 的响应中。相反，请参考默认规则中的 syslog_enabled 值。 选项 false true
timeout 整数	HTTP 请求的超时时间。 默认值： 30
use_https 布尔值	如果为 no，则将使用 HTTP。否则将使用 HTTPS。 仅对 Meraki 内部开发者有用。 选项 false true ← (默认)
use_proxy 布尔值	如果为 no，则即使在目标主机上定义了环境变量中的代理，也不会使用代理。 选项 false ← (默认) true
validate_certs 布尔值	是否验证 HTTP 证书。 选项 false true ← (默认)

备注

注意

• 模块假设完整的防火墙规则列表作为参数传递。

• 如果您有兴趣让此模块允许操作单个防火墙规则，请针对此模块提交问题。

• 更多关于Meraki API的信息，请访问 https://dashboard.meraki.com/api_docs。

• 某些选项可能仅供Meraki内部开发者使用。

• 从Ansible 2.9开始，Meraki模块将键输出为蛇形命名法（snake case）。要使用驼峰命名法（camel case），请将ANSIBLE_MERAKI_FORMAT环境变量设置为camelcase。

• Ansible的Meraki模块将在Ansible 2.13中停止支持驼峰命名法输出。请更新您的剧本。

• 检查模式会从仪表板下载当前配置，然后将更改与下载的配置进行比较。如果配置存在差异，检查模式将报告已更改，但不会将更改提交到API以进行更改验证。

示例

- name: Query firewall rules
  meraki_mx_l3_firewall:
    auth_key: abc123
    org_name: YourOrg
    net_name: YourNet
    state: query
  delegate_to: localhost

- name: Set two firewall rules
  meraki_mx_l3_firewall:
    auth_key: abc123
    org_name: YourOrg
    net_name: YourNet
    state: present
    rules:
      - comment: Block traffic to server
        src_cidr: 192.0.1.0/24
        src_port: any
        dest_cidr: 192.0.2.2/32
        dest_port: any
        protocol: any
        policy: deny
      - comment: Allow traffic to group of servers
        src_cidr: 192.0.1.0/24
        src_port: any
        dest_cidr: 192.0.2.0/24
        dest_port: any
        protocol: any
        policy: allow
  delegate_to: localhost

- name: Set one firewall rule and enable logging of the default rule
  meraki_mx_l3_firewall:
    auth_key: abc123
    org_name: YourOrg
    net_name: YourNet
    state: present
    rules:
      - comment: Block traffic to server
        src_cidr: 192.0.1.0/24
        src_port: any
        dest_cidr: 192.0.2.2/32
        dest_port: any
        protocol: any
        policy: deny
    syslog_default_rule: yes
  delegate_to: localhost

返回值

常见的返回值已在 此处 记录，以下是此模块特有的字段

键	描述
数据 复杂数据	与网络关联的防火墙规则。 返回：成功
rules 复杂数据	防火墙规则列表。 返回：成功
comment 字符串	描述防火墙规则的注释。 返回：始终返回 示例： "Block traffic to server"
dest_cidr 字符串	逗号分隔的 CIDR 表示法目标网络列表。 返回：始终返回 示例： "192.0.1.1/32,192.0.1.2/32"
dest_port 字符串	目标端口的逗号分隔列表。 返回：始终返回 示例： "80,443"
policy 字符串	匹配规则时要采取的操作。 返回：始终返回
protocol 字符串	要匹配的网络协议。 返回：始终返回 示例： "tcp"
src_cidr 字符串	逗号分隔的 CIDR 表示法源网络列表。 返回：始终返回 示例： "192.0.1.1/32,192.0.1.2/32"
src_port 字符串	源端口的逗号分隔列表。 返回：始终返回 示例： "80,443"
syslog_enabled 布尔值	匹配规则时是否记录到syslog。 返回：始终返回 示例： true

状态

• 此模块将在3.0.0版本中移除。[已弃用]

• 更多信息请参见 已弃用。

作者

• Kevin Breit (@kbreit)

资源链接

• 问题跟踪
• 代码库（源代码）