fortinet.fortimanager.fmgr_firewall_vip6 模块 – 配置 IPv6 虚拟 IP。

注意

此模块是 fortinet.fortimanager 集合 (版本 2.8.2) 的一部分。

如果您使用的是 ansible 包,则可能已安装此集合。它不包含在 ansible-core 中。要检查它是否已安装,请运行 ansible-galaxy collection list

要安装它,请使用: ansible-galaxy collection install fortinet.fortimanager

要在剧本中使用它,请指定: fortinet.fortimanager.fmgr_firewall_vip6

fortinet.fortimanager 2.0.0 中的新增功能

概要

  • 此模块能够配置 FortiManager 设备。

  • 示例包含所有参数和值,在使用前需要根据数据源进行调整。

参数

参数

注释

access_token

字符串

无需使用用户名和密码即可访问 FortiManager 的令牌。

adom

字符串 / 必需

请求 URL 中的参数 (adom)。

bypass_validation

布尔值

仅当模块模式与 FortiManager API 结构不同时设置为 True,模块将继续执行而无需验证参数。

选项

  • false ← (默认)

  • true

enable_log

布尔值

启用/禁用任务日志记录。

选项

  • false ← (默认)

  • true

firewall_vip6

字典

设置的顶级参数。

add_nat64_route

别名:add-nat64-route

字符串

启用/禁用添加 NAT64 路由。

选项

  • "disable"

  • "enable"

arp_reply

别名:arp-reply

字符串

启用对该虚拟 IP 地址的 ARP 请求的响应。

选项

  • "disable"

  • "enable"

color

整数

GUI 上图标的颜色。

comment

字符串

注释。

dynamic_mapping

列表 / 元素=字典

动态映射。

_scope

列表 / 元素=字典

范围。

name

字符串

名称。

vdom

字符串

Vdom。

add_nat64_route

别名:add-nat64-route

字符串

启用/禁用添加 NAT64 路由。

选项

  • "disable"

  • "enable"

arp_reply

别名:arp-reply

字符串

ARP 响应。

选项

  • "disable"

  • "enable"

color

整数

颜色。

comment

字符串

注释。

embedded_ipv4_address

别名:embedded-ipv4-address

字符串

启用/禁用将外部 IPv6 地址的低 32 位用作映射的 IPv4 地址。

选项

  • "disable"

  • "enable"

extip

字符串

外部 IP。

extport

字符串

外部端口。

h2_support

别名:h2-support

字符串

启用/禁用 HTTP2 支持

选项

  • "disable"

  • "enable"

h3_support

别名:h3-support

字符串

启用/禁用 HTTP3/QUIC 支持

选项

  • "disable"

  • "enable"

http_cookie_age

别名:http-cookie-age

整数

HTTP cookie 年龄。

http_cookie_domain

别名:http-cookie-domain

字符串

HTTP cookie 域名。

http_cookie_domain_from_host

别名:http-cookie-domain-from-host

字符串

HTTP cookie 域名来自主机。

选项

  • "disable"

  • "enable"

http_cookie_generation

别名:http-cookie-generation

整数

HTTP cookie 生成。

http_cookie_path

别名:http-cookie-path

字符串

HTTP cookie 路径。

http_cookie_share

别名:http-cookie-share

字符串

HTTP cookie 共享。

选项

  • "disable"

  • "same-ip"

http_ip_header

别名:http-ip-header

字符串

HTTP IP 头。

选项

  • "disable"

  • "enable"

http_ip_header_name

别名:http-ip-header-name

字符串

HTTP IP 头名称。

http_multiplex

别名:http-multiplex

字符串

HTTP 多路复用。

选项

  • "disable"

  • "enable"

http_redirect

别名:http-redirect

字符串

HTTP 重定向。

选项

  • "disable"

  • "enable"

https_cookie_secure

别名:https-cookie-secure

字符串

HTTPS cookie 安全。

选项

  • "disable"

  • "enable"

id

整数

ID。

ipv4_mappedip

别名:ipv4-mappedip

字符串

映射的 IP 地址范围。

ipv4_mappedport

别名:ipv4-mappedport

字符串

目标网络上将外部端口号范围映射到的 IPv4 端口号范围。

ldb_method

别名:ldb-method

字符串

LDB 方法。

选项

  • "static"

  • "round-robin"

  • "weighted"

  • "least-session"

  • "least-rtt"

  • "first-alive"

  • "http-host"

mappedip

字符串

映射的 IP。

mappedport

字符串

映射的端口。

max_embryonic_connections

别名:max-embryonic-connections

整数

最大初始连接数。

monitor

任意

(列表或字符串) 监控。

nat64

字符串

启用/禁用 DNAT64。

选项

  • "disable"

  • "enable"

nat66

字符串

启用/禁用 DNAT66。

选项

  • "disable"

  • "enable"

nat_source_vip

别名:nat-source-vip

字符串

NAT 源 VIP。

选项

  • "disable"

  • "enable"

ndp_reply

别名:ndp-reply

字符串

启用/禁用此 FortiGate 设备响应此虚拟 IP 地址的 NDP 请求的能力

选项

  • "disable"

  • "enable"

outlook_web_access

别名:outlook-web-access

字符串

Outlook 网页访问。

选项

  • "disable"

  • "enable"

persistence

字符串

持久性。

选项

  • "none"

  • "http-cookie"

  • "ssl-session-id"

portforward

字符串

端口转发。

选项

  • "disable"

  • "enable"

protocol

字符串

协议。

选项

  • "tcp"

  • "udp"

  • "sctp"

realservers

列表 / 元素=字典

真实服务器。

client_ip

别名:client-ip

字符串

只有在此 IP 范围内的客户端才能连接到此真实服务器。

healthcheck

字符串

启用后,在转发流量之前检查真实服务器的响应能力。

选项

  • "disable"

  • "enable"

  • "vip"

holddown_interval

别名:holddown-interval

整数

健康检查监控器持续监控无响应服务器的时间(以秒为单位)……

http_host

别名:http-host

字符串

HTTP 头中的 HTTP 服务器域名。

id

整数

真实服务器 ID。

ip

字符串

真实服务器的 IP 地址。

max_connections

别名:max-connections

整数

可以定向到真实服务器的最大活动连接数。

monitor

任意

(列表或字符串) 轮询以确定虚拟服务器连接时要使用的健康检查监控器的名称……

port

整数

与真实服务器通信的端口。

status

字符串

将真实服务器的状态设置为活动状态,以便它可以接受流量,或者设置为备用或禁用状态,以便不……

选项

  • "active"

  • "standby"

  • "disable"

translate_host

别名:translate-host

字符串

启用/禁用从虚拟服务器到真实服务器的主机名/IP 地址转换。

选项

  • "disable"

  • "enable"

weight

整数

真实服务器的权重。

server_type

别名:server-type

字符串

服务器类型。

选项

  • "http"

  • "https"

  • "ssl"

  • "tcp"

  • "udp"

  • "ip"

  • "imaps"

  • "pop3s"

  • "smtps"

src_filter

别名:src-filter

任意

(列表) 源过滤器。

src_vip_filter

别名:src-vip-filter

字符串

启用/禁用使用 src-filter 来匹配反向 SNAT 规则的目标。

选项

  • "disable"

  • "enable"

ssl_accept_ffdhe_groups

别名:ssl-accept-ffdhe-groups

字符串

启用/禁用 SSL 密钥交换的 FFDHE 密码套件。

选项

  • "disable"

  • "enable"

ssl_algorithm

别名:ssl-algorithm

字符串

SSL 算法。

选项

  • "high"

  • "low"

  • "medium"

  • "custom"

ssl_certificate

别名:ssl-certificate

字符串

SSL 证书。

ssl_cipher_suites

别名:ssl-cipher-suites

列表 / 元素=字典

SSL 密码套件。

cipher

字符串

密码套件名称。

选项

  • "TLS-RSA-WITH-RC4-128-MD5"

  • "TLS-RSA-WITH-RC4-128-SHA"

  • "TLS-RSA-WITH-DES-CBC-SHA"

  • "TLS-RSA-WITH-3DES-EDE-CBC-SHA"

  • "TLS-RSA-WITH-AES-128-CBC-SHA"

  • "TLS-RSA-WITH-AES-256-CBC-SHA"

  • "TLS-RSA-WITH-AES-128-CBC-SHA256"

  • "TLS-RSA-WITH-AES-256-CBC-SHA256"

  • "TLS-RSA-WITH-CAMELLIA-128-CBC-SHA"

  • "TLS-RSA-WITH-CAMELLIA-256-CBC-SHA"

  • "TLS-RSA-WITH-CAMELLIA-128-CBC-SHA256"

  • "TLS-RSA-WITH-CAMELLIA-256-CBC-SHA256"

  • "TLS-RSA-WITH-SEED-CBC-SHA"

  • "TLS-RSA-WITH-ARIA-128-CBC-SHA256"

  • "TLS-RSA-WITH-ARIA-256-CBC-SHA384"

  • "TLS-DHE-RSA-WITH-DES-CBC-SHA"

  • "TLS-DHE-RSA-WITH-3DES-EDE-CBC-SHA"

  • "TLS-DHE-RSA-WITH-AES-128-CBC-SHA"

  • "TLS-DHE-RSA-WITH-AES-256-CBC-SHA"

  • "TLS-DHE-RSA-WITH-AES-128-CBC-SHA256"

  • "TLS-DHE-RSA-WITH-AES-256-CBC-SHA256"

  • "TLS-DHE-RSA-WITH-CAMELLIA-128-CBC-SHA"

  • "TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA"

  • "TLS-DHE-RSA-WITH-CAMELLIA-128-CBC-SHA256"

  • "TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA256"

  • "TLS-DHE-RSA-WITH-SEED-CBC-SHA"

  • "TLS-DHE-RSA-WITH-ARIA-128-CBC-SHA256"

  • "TLS-DHE-RSA-WITH-ARIA-256-CBC-SHA384"

  • "TLS-ECDHE-RSA-WITH-RC4-128-SHA"

  • "TLS-ECDHE-RSA-WITH-3DES-EDE-CBC-SHA"

  • "TLS-ECDHE-RSA-WITH-AES-128-CBC-SHA"

  • "TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA"

  • "TLS-ECDHE-RSA-WITH-CHACHA20-POLY1305-SHA256"

  • "TLS-ECDHE-ECDSA-WITH-CHACHA20-POLY1305-SHA256"

  • "TLS-DHE-RSA-WITH-CHACHA20-POLY1305-SHA256"

  • "TLS-DHE-RSA-WITH-AES-128-GCM-SHA256"

  • "TLS-DHE-RSA-WITH-AES-256-GCM-SHA384"

  • "TLS-DHE-DSS-WITH-AES-128-CBC-SHA"

  • "TLS-DHE-DSS-WITH-AES-256-CBC-SHA"

  • "TLS-DHE-DSS-WITH-AES-128-CBC-SHA256"

  • "TLS-DHE-DSS-WITH-AES-128-GCM-SHA256"

  • "TLS-DHE-DSS-WITH-AES-256-CBC-SHA256"

  • "TLS-DHE-DSS-WITH-AES-256-GCM-SHA384"

  • "TLS-ECDHE-RSA-WITH-AES-128-CBC-SHA256"

  • "TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256"

  • "TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA384"

  • "TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384"

  • "TLS-ECDHE-ECDSA-WITH-AES-128-CBC-SHA"

  • "TLS-ECDHE-ECDSA-WITH-AES-128-CBC-SHA256"

  • "TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256"

  • "TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA384"

  • "TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384"

  • "TLS-RSA-WITH-AES-128-GCM-SHA256"

  • "TLS-RSA-WITH-AES-256-GCM-SHA384"

  • "TLS-DHE-DSS-WITH-CAMELLIA-128-CBC-SHA"

  • "TLS-DHE-DSS-WITH-CAMELLIA-256-CBC-SHA"

  • "TLS-DHE-DSS-WITH-CAMELLIA-128-CBC-SHA256"

  • "TLS-DHE-DSS-WITH-CAMELLIA-256-CBC-SHA256"

  • "TLS-DHE-DSS-WITH-SEED-CBC-SHA"

  • "TLS-DHE-DSS-WITH-ARIA-128-CBC-SHA256"

  • "TLS-DHE-DSS-WITH-ARIA-256-CBC-SHA384"

  • "TLS-ECDHE-RSA-WITH-ARIA-128-CBC-SHA256"

  • "TLS-ECDHE-RSA-WITH-ARIA-256-CBC-SHA384"

  • "TLS-ECDHE-ECDSA-WITH-ARIA-128-CBC-SHA256"

  • "TLS-ECDHE-ECDSA-WITH-ARIA-256-CBC-SHA384"

  • "TLS-DHE-DSS-WITH-3DES-EDE-CBC-SHA"

  • "TLS-DHE-DSS-WITH-DES-CBC-SHA"

  • "TLS-AES-128-GCM-SHA256"

  • "TLS-AES-256-GCM-SHA384"

  • "TLS-CHACHA20-POLY1305-SHA256"

  • "TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA"

priority

整数

SSL/TLS 密码套件优先级。

versions

列表 / 元素=字符串

密码套件可使用的 SSL/TLS 版本。

选项

  • "ssl-3.0"

  • "tls-1.0"

  • "tls-1.1"

  • "tls-1.2"

  • "tls-1.3"

ssl_client_fallback

别名:ssl-client-fallback

字符串

SSL 客户端回退。

选项

  • "disable"

  • "enable"

ssl_client_rekey_count

别名:ssl-client-rekey-count

整数

SSL 客户端重新加密计数。

ssl_client_renegotiation

别名:ssl-client-renegotiation

字符串

SSL 客户端重新协商。

选项

  • "deny"

  • "allow"

  • "secure"

ssl_client_session_state_max

别名:ssl-client-session-state-max

整数

SSL 客户端会话状态最大值。

ssl_client_session_state_timeout

别名:ssl-client-session-state-timeout

整数

SSL 客户端会话状态超时。

ssl_client_session_state_type

别名:ssl-client-session-state-type

字符串

SSL 客户端会话状态类型。

选项

  • "disable"

  • "time"

  • "count"

  • "both"

ssl_dh_bits

别名:ssl-dh-bits

字符串

SSL DH 比特数。

选项

  • "768"

  • "1024"

  • "1536"

  • "2048"

  • "3072"

  • "4096"

ssl_hpkp

别名:ssl-hpkp

字符串

SSL HPKP。

选项

  • "disable"

  • "enable"

  • "report-only"

ssl_hpkp_age

别名:ssl-hpkp-age

整数

SSL HPKP 年龄。

ssl_hpkp_backup

别名:ssl-hpkp-backup

字符串

SSL HPKP 备份。

ssl_hpkp_include_subdomains

别名:ssl-hpkp-include-subdomains

字符串

SSL HPKP 包含子域名。

选项

  • "disable"

  • "enable"

ssl_hpkp_primary

别名:ssl-hpkp-primary

字符串

SSL HPKP 主密钥。

ssl_hpkp_report_uri

别名:ssl-hpkp-report-uri

字符串

SSL HPKP 报告 URI。

ssl_hsts

别名:ssl-hsts

字符串

SSL HSTS。

选项

  • "disable"

  • "enable"

ssl_hsts_age

别名:ssl-hsts-age

整数

SSL HSTS 年龄。

ssl_hsts_include_subdomains

别名:ssl-hsts-include-subdomains

字符串

SSL HSTS 包含子域名。

选项

  • "disable"

  • "enable"

ssl_http_location_conversion

别名:ssl-http-location-conversion

字符串

SSL HTTP 位置转换。

选项

  • "disable"

  • "enable"

ssl_http_match_host

别名:ssl-http-match-host

字符串

SSL HTTP 匹配主机。

选项

  • "disable"

  • "enable"

ssl_max_version

别名:ssl-max-version

字符串

SSL 最大版本。

选项

  • "ssl-3.0"

  • "tls-1.0"

  • "tls-1.1"

  • "tls-1.2"

  • "tls-1.3"

ssl_min_version

别名:ssl-min-version

字符串

SSL 最小版本。

选项

  • "ssl-3.0"

  • "tls-1.0"

  • "tls-1.1"

  • "tls-1.2"

  • "tls-1.3"

ssl_mode

别名:ssl-mode

字符串

SSL 模式。

选项

  • "half"

  • "full"

ssl_pfs

别名:ssl-pfs

字符串

SSL PFS。

选项

  • "require"

  • "deny"

  • "allow"

ssl_send_empty_frags

别名:ssl-send-empty-frags

字符串

SSL 发送空片段。

选项

  • "disable"

  • "enable"

ssl_server_algorithm

别名:ssl-server-algorithm

字符串

SSL 服务器算法。

选项

  • "high"

  • "low"

  • "medium"

  • "custom"

  • "client"

ssl_server_max_version

别名:ssl-server-max-version

字符串

SSL 服务器最大版本。

选项

  • "ssl-3.0"

  • "tls-1.0"

  • "tls-1.1"

  • "tls-1.2"

  • "client"

  • "tls-1.3"

ssl_server_min_version

别名:ssl-server-min-version

字符串

SSL 服务器最小版本。

选项

  • "ssl-3.0"

  • "tls-1.0"

  • "tls-1.1"

  • "tls-1.2"

  • "client"

  • "tls-1.3"

ssl_server_renegotiation

别名:ssl-server-renegotiation

字符串

启用/禁用安全重新协商以符合 RFC 5746。

选项

  • "disable"

  • "enable"

ssl_server_session_state_max

别名:ssl-server-session-state-max

整数

SSL 服务器会话状态最大值。

ssl_server_session_state_timeout

别名:ssl-server-session-state-timeout

整数

SSL 服务器会话状态超时。

ssl_server_session_state_type

别名:ssl-server-session-state-type

字符串

SSL 服务器会话状态类型。

选项

  • "disable"

  • "time"

  • "count"

  • "both"

type

字符串

类型。

选项

  • "static-nat"

  • "server-load-balance"

  • "access-proxy"

uuid

字符串

UUID。

weblogic_server

别名:weblogic-server

字符串

WebLogic 服务器。

选项

  • "disable"

  • "enable"

websphere_server

别名:websphere-server

字符串

WebSphere 服务器。

选项

  • "disable"

  • "enable"

embedded_ipv4_address

别名:embedded-ipv4-address

字符串

启用/禁用将外部 IPv6 地址的低 32 位用作映射的 IPv4 地址。

选项

  • "disable"

  • "enable"

extip

字符串

您想要映射到目标地址或地址范围的外部接口上的 IP 地址或地址范围……

extport

字符串

您要映射到目标网络上端口号范围的入站端口号范围。

h2_support

别名:h2-support

字符串

启用/禁用 HTTP2 支持

选项

  • "disable"

  • "enable"

h3_support

别名:h3-support

字符串

启用/禁用 HTTP3/QUIC 支持

选项

  • "disable"

  • "enable"

http_cookie_age

别名:http-cookie-age

整数

客户端Web浏览器应保留Cookie的时间(以分钟为单位)。

http_cookie_domain

别名:http-cookie-domain

字符串

HTTP Cookie持久性应应用到的域。

http_cookie_domain_from_host

别名:http-cookie-domain-from-host

字符串

启用/禁用使用HTTP中的主机字段中的HTTP Cookie域。

选项

  • "disable"

  • "enable"

http_cookie_generation

别名:http-cookie-generation

整数

要接受的HTTP Cookie的生成。

http_cookie_path

别名:http-cookie-path

字符串

将HTTP Cookie持久性限制为指定的路径。

http_cookie_share

别名:http-cookie-share

字符串

控制在虚拟服务器之间共享Cookie。

选项

  • "disable"

  • "same-ip"

http_ip_header

别名:http-ip-header

字符串

对于HTTP多路复用,启用此选项可在XForwarded-For HTTP标头中添加原始客户端IP地址。

选项

  • "disable"

  • "enable"

http_ip_header_name

别名:http-ip-header-name

字符串

对于HTTP多路复用,输入自定义HTTPS标头名称。

http_multiplex

别名:http-multiplex

字符串

启用/禁用HTTP多路复用。

选项

  • "disable"

  • "enable"

http_redirect

别名:http-redirect

字符串

启用/禁用将HTTP重定向到HTTPS

选项

  • "disable"

  • "enable"

https_cookie_secure

别名:https-cookie-secure

字符串

启用/禁用验证插入的HTTPS Cookie是否安全。

选项

  • "disable"

  • "enable"

id

整数

自定义ID。

ipv4_mappedip

别名:ipv4-mappedip

字符串

映射的 IP 地址范围。

ipv4_mappedport

别名:ipv4-mappedport

字符串

目标网络上将外部端口号范围映射到的 IPv4 端口号范围。

ldb_method

别名:ldb-method

字符串

用于将会话分发到真实服务器的方法。

选项

  • "static"

  • "round-robin"

  • "weighted"

  • "least-session"

  • "least-rtt"

  • "first-alive"

  • "http-host"

mappedip

字符串

映射的IP地址范围,格式为startIP-endIP。

mappedport

字符串

目标网络上的端口号范围,外部端口号范围将映射到该范围。

max_embryonic_connections

别名:max-embryonic-connections

整数

不完整连接的最大数量。

monitor

任意

(列表或字符串)轮询以确定虚拟服务器连接状态时要使用的运行状况检查监视器的名称。

name

字符串 / 必需

虚拟ip6名称。

nat64

字符串

启用/禁用 DNAT64。

选项

  • "disable"

  • "enable"

nat66

字符串

启用/禁用 DNAT66。

选项

  • "disable"

  • "enable"

nat_source_vip

别名:nat-source-vip

字符串

启用此选项可在所有出站接口上对来自mappedip到extip的流量执行SNAT。

选项

  • "disable"

  • "enable"

ndp_reply

别名:ndp-reply

字符串

启用/禁用此 FortiGate 设备响应此虚拟 IP 地址的 NDP 请求的能力

选项

  • "disable"

  • "enable"

outlook_web_access

别名:outlook-web-access

字符串

启用此选项可为Microsoft Outlook Web Access添加Front-End-Https标头。

选项

  • "disable"

  • "enable"

persistence

字符串

配置如何确保客户端每次发出属于同一…的请求时都连接到同一服务器。

选项

  • "none"

  • "http-cookie"

  • "ssl-session-id"

portforward

字符串

启用端口转发。

选项

  • "disable"

  • "enable"

protocol

字符串

转发数据包时使用的协议。

选项

  • "tcp"

  • "udp"

  • "sctp"

quic

字典

Quic。

ack_delay_exponent

别名:ack-delay-exponent

整数

支持元变量

ACK延迟指数

active_connection_id_limit

别名:active-connection-id-limit

整数

支持元变量

活动连接ID限制

active_migration

别名:active-migration

字符串

启用/禁用主动迁移

选项

  • "disable"

  • "enable"

grease_quic_bit

别名:grease-quic-bit

字符串

启用/禁用润滑QUIC位

选项

  • "disable"

  • "enable"

max_ack_delay

别名:max-ack-delay

整数

支持元变量

最大ACK延迟(毫秒)

max_datagram_frame_size

别名:max-datagram-frame-size

整数

支持元变量

最大数据报帧大小(字节)

max_idle_timeout

别名:max-idle-timeout

整数

支持元变量

最大空闲超时(毫秒)

max_udp_payload_size

别名:max-udp-payload-size

整数

支持元变量

最大UDP有效负载大小(字节)

realservers

列表 / 元素=字典

真实服务器。

client_ip

别名:client-ip

字符串

只有在此 IP 范围内的客户端才能连接到此真实服务器。

healthcheck

字符串

启用后,在转发流量之前检查真实服务器的响应能力。

选项

  • "disable"

  • "enable"

  • "vip"

holddown_interval

别名:holddown-interval

整数

运行状况检查监视器继续监视应处于活动状态的无响应服务器的时间(以秒为单位)。

http_host

别名:http-host

字符串

HTTP 头中的 HTTP 服务器域名。

id

整数

真实服务器 ID。

ip

字符串

真实服务器的IPv6地址。

max_connections

别名:max-connections

整数

可以定向到真实服务器的最大活动连接数。

monitor

任意

(列表或字符串)轮询以确定虚拟服务器连接状态时要使用的运行状况检查监视器的名称。

port

整数

与真实服务器通信的端口。

status

字符串

将真实服务器的状态设置为活动状态,以便它可以接受流量,或者设置为待机状态或禁用状态,以便没有流量…

选项

  • "active"

  • "standby"

  • "disable"

translate_host

别名:translate-host

字符串

启用/禁用从虚拟服务器到真实服务器的主机名/IP 地址转换。

选项

  • "disable"

  • "enable"

weight

整数

真实服务器的权重。

server_type

别名:server-type

字符串

虚拟服务器要负载均衡的协议

选项

  • "http"

  • "https"

  • "ssl"

  • "tcp"

  • "udp"

  • "ip"

  • "imaps"

  • "pop3s"

  • "smtps"

src_filter

别名:src-filter

任意

(列表)源IP6过滤器

src_vip_filter

别名:src-vip-filter

字符串

启用/禁用使用 src-filter 来匹配反向 SNAT 规则的目标。

选项

  • "disable"

  • "enable"

ssl_accept_ffdhe_groups

别名:ssl-accept-ffdhe-groups

字符串

启用/禁用 SSL 密钥交换的 FFDHE 密码套件。

选项

  • "disable"

  • "enable"

ssl_algorithm

别名:ssl-algorithm

字符串

根据加密强度允许的SSL会话加密算法。

选项

  • "high"

  • "low"

  • "medium"

  • "custom"

ssl_certificate

别名:ssl-certificate

字符串

要用于SSL加速的SSL证书的名称。

ssl_cipher_suites

别名:ssl-cipher-suites

列表 / 元素=字典

SSL 密码套件。

cipher

字符串

密码套件名称。

选项

  • "TLS-RSA-WITH-RC4-128-MD5"

  • "TLS-RSA-WITH-RC4-128-SHA"

  • "TLS-RSA-WITH-DES-CBC-SHA"

  • "TLS-RSA-WITH-3DES-EDE-CBC-SHA"

  • "TLS-RSA-WITH-AES-128-CBC-SHA"

  • "TLS-RSA-WITH-AES-256-CBC-SHA"

  • "TLS-RSA-WITH-AES-128-CBC-SHA256"

  • "TLS-RSA-WITH-AES-256-CBC-SHA256"

  • "TLS-RSA-WITH-CAMELLIA-128-CBC-SHA"

  • "TLS-RSA-WITH-CAMELLIA-256-CBC-SHA"

  • "TLS-RSA-WITH-CAMELLIA-128-CBC-SHA256"

  • "TLS-RSA-WITH-CAMELLIA-256-CBC-SHA256"

  • "TLS-RSA-WITH-SEED-CBC-SHA"

  • "TLS-RSA-WITH-ARIA-128-CBC-SHA256"

  • "TLS-RSA-WITH-ARIA-256-CBC-SHA384"

  • "TLS-DHE-RSA-WITH-DES-CBC-SHA"

  • "TLS-DHE-RSA-WITH-3DES-EDE-CBC-SHA"

  • "TLS-DHE-RSA-WITH-AES-128-CBC-SHA"

  • "TLS-DHE-RSA-WITH-AES-256-CBC-SHA"

  • "TLS-DHE-RSA-WITH-AES-128-CBC-SHA256"

  • "TLS-DHE-RSA-WITH-AES-256-CBC-SHA256"

  • "TLS-DHE-RSA-WITH-CAMELLIA-128-CBC-SHA"

  • "TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA"

  • "TLS-DHE-RSA-WITH-CAMELLIA-128-CBC-SHA256"

  • "TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA256"

  • "TLS-DHE-RSA-WITH-SEED-CBC-SHA"

  • "TLS-DHE-RSA-WITH-ARIA-128-CBC-SHA256"

  • "TLS-DHE-RSA-WITH-ARIA-256-CBC-SHA384"

  • "TLS-ECDHE-RSA-WITH-RC4-128-SHA"

  • "TLS-ECDHE-RSA-WITH-3DES-EDE-CBC-SHA"

  • "TLS-ECDHE-RSA-WITH-AES-128-CBC-SHA"

  • "TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA"

  • "TLS-ECDHE-RSA-WITH-CHACHA20-POLY1305-SHA256"

  • "TLS-ECDHE-ECDSA-WITH-CHACHA20-POLY1305-SHA256"

  • "TLS-DHE-RSA-WITH-CHACHA20-POLY1305-SHA256"

  • "TLS-DHE-RSA-WITH-AES-128-GCM-SHA256"

  • "TLS-DHE-RSA-WITH-AES-256-GCM-SHA384"

  • "TLS-DHE-DSS-WITH-AES-128-CBC-SHA"

  • "TLS-DHE-DSS-WITH-AES-256-CBC-SHA"

  • "TLS-DHE-DSS-WITH-AES-128-CBC-SHA256"

  • "TLS-DHE-DSS-WITH-AES-128-GCM-SHA256"

  • "TLS-DHE-DSS-WITH-AES-256-CBC-SHA256"

  • "TLS-DHE-DSS-WITH-AES-256-GCM-SHA384"

  • "TLS-ECDHE-RSA-WITH-AES-128-CBC-SHA256"

  • "TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256"

  • "TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA384"

  • "TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384"

  • "TLS-ECDHE-ECDSA-WITH-AES-128-CBC-SHA"

  • "TLS-ECDHE-ECDSA-WITH-AES-128-CBC-SHA256"

  • "TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256"

  • "TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA384"

  • "TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384"

  • "TLS-RSA-WITH-AES-128-GCM-SHA256"

  • "TLS-RSA-WITH-AES-256-GCM-SHA384"

  • "TLS-DHE-DSS-WITH-CAMELLIA-128-CBC-SHA"

  • "TLS-DHE-DSS-WITH-CAMELLIA-256-CBC-SHA"

  • "TLS-DHE-DSS-WITH-CAMELLIA-128-CBC-SHA256"

  • "TLS-DHE-DSS-WITH-CAMELLIA-256-CBC-SHA256"

  • "TLS-DHE-DSS-WITH-SEED-CBC-SHA"

  • "TLS-DHE-DSS-WITH-ARIA-128-CBC-SHA256"

  • "TLS-DHE-DSS-WITH-ARIA-256-CBC-SHA384"

  • "TLS-ECDHE-RSA-WITH-ARIA-128-CBC-SHA256"

  • "TLS-ECDHE-RSA-WITH-ARIA-256-CBC-SHA384"

  • "TLS-ECDHE-ECDSA-WITH-ARIA-128-CBC-SHA256"

  • "TLS-ECDHE-ECDSA-WITH-ARIA-256-CBC-SHA384"

  • "TLS-DHE-DSS-WITH-3DES-EDE-CBC-SHA"

  • "TLS-DHE-DSS-WITH-DES-CBC-SHA"

  • "TLS-AES-128-GCM-SHA256"

  • "TLS-AES-256-GCM-SHA384"

  • "TLS-CHACHA20-POLY1305-SHA256"

  • "TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA"

priority

整数

SSL/TLS 密码套件优先级。

versions

列表 / 元素=字符串

密码套件可使用的 SSL/TLS 版本。

选项

  • "ssl-3.0"

  • "tls-1.0"

  • "tls-1.1"

  • "tls-1.2"

  • "tls-1.3"

ssl_client_fallback

别名:ssl-client-fallback

字符串

启用/禁用支持防止客户端连接上的降级攻击。

选项

  • "disable"

  • "enable"

ssl_client_rekey_count

别名:ssl-client-rekey-count

整数

触发客户端重新加密之前的数据最大长度(MB)。

ssl_client_renegotiation

别名:ssl-client-renegotiation

字符串

允许、拒绝或要求安全重新协商客户端会话以符合RFC 5746。

选项

  • "deny"

  • "allow"

  • "secure"

ssl_client_session_state_max

别名:ssl-client-session-state-max

整数

要保留的客户端到FortiGate SSL会话状态的最大数量。

ssl_client_session_state_timeout

别名:ssl-client-session-state-timeout

整数

保留客户端到FortiGate SSL会话状态的分钟数。

ssl_client_session_state_type

别名:ssl-client-session-state-type

字符串

如何使客户端与FortiGate之间的SSL连接段的SSL会话过期。

选项

  • "disable"

  • "time"

  • "count"

  • "both"

ssl_dh_bits

别名:ssl-dh-bits

字符串

在用于RSA加密SSL会话的Diffie-Hellman交换中使用的位数。

选项

  • "768"

  • "1024"

  • "1536"

  • "2048"

  • "3072"

  • "4096"

ssl_hpkp

别名:ssl-hpkp

字符串

启用/禁用在响应中包含HPKP标头。

选项

  • "disable"

  • "enable"

  • "report-only"

ssl_hpkp_age

别名:ssl-hpkp-age

整数

Web浏览器应保留HPKP的分钟数。

ssl_hpkp_backup

别名:ssl-hpkp-backup

字符串

用于生成备份HPKP pin的证书。

ssl_hpkp_include_subdomains

别名:ssl-hpkp-include-subdomains

字符串

指示HPKP标头应用于所有子域。

选项

  • "disable"

  • "enable"

ssl_hpkp_primary

别名:ssl-hpkp-primary

字符串

用于生成主HPKP pin的证书。

ssl_hpkp_report_uri

别名:ssl-hpkp-report-uri

字符串

向其报告HPKP违规的URL。

ssl_hsts

别名:ssl-hsts

字符串

启用/禁用在响应中包含HSTS标头。

选项

  • "disable"

  • "enable"

ssl_hsts_age

别名:ssl-hsts-age

整数

客户端应遵守HSTS设置的秒数。

ssl_hsts_include_subdomains

别名:ssl-hsts-include-subdomains

字符串

指示HSTS标头应用于所有子域。

选项

  • "disable"

  • "enable"

ssl_http_location_conversion

别名:ssl-http-location-conversion

字符串

启用此选项可在回复的Location HTTP标头字段中将HTTP替换为HTTPS。

选项

  • "disable"

  • "enable"

ssl_http_match_host

别名:ssl-http-match-host

字符串

启用/禁用位置转换的HTTP主机匹配。

选项

  • "disable"

  • "enable"

ssl_max_version

别名:ssl-max-version

字符串

客户端可接受的最高SSL/TLS版本。

选项

  • "ssl-3.0"

  • "tls-1.0"

  • "tls-1.1"

  • "tls-1.2"

  • "tls-1.3"

ssl_min_version

别名:ssl-min-version

字符串

客户端可接受的最低SSL/TLS版本。

选项

  • "ssl-3.0"

  • "tls-1.0"

  • "tls-1.1"

  • "tls-1.2"

  • "tls-1.3"

ssl_mode

别名:ssl-mode

字符串

在客户端和FortiGate之间应用SSL卸载。

选项

  • "half"

  • "full"

ssl_pfs

别名:ssl-pfs

字符串

选择可用于SSL完美前向保密性的密码套件。

选项

  • "require"

  • "deny"

  • "allow"

ssl_send_empty_frags

别名:ssl-send-empty-frags

字符串

启用/禁用发送空片段以避免 CBC IV 攻击

选项

  • "disable"

  • "enable"

ssl_server_algorithm

别名:ssl-server-algorithm

字符串

根据加密强度,允许用于 SSL 全模式会话服务器端的加密算法。

选项

  • "high"

  • "low"

  • "medium"

  • "custom"

  • "client"

ssl_server_cipher_suites

别名:ssl-server-cipher-suites

列表 / 元素=字典

SSL 服务器密码套件。

cipher

字符串

密码套件名称。

选项

  • "TLS-RSA-WITH-RC4-128-MD5"

  • "TLS-RSA-WITH-RC4-128-SHA"

  • "TLS-RSA-WITH-DES-CBC-SHA"

  • "TLS-RSA-WITH-3DES-EDE-CBC-SHA"

  • "TLS-RSA-WITH-AES-128-CBC-SHA"

  • "TLS-RSA-WITH-AES-256-CBC-SHA"

  • "TLS-RSA-WITH-AES-128-CBC-SHA256"

  • "TLS-RSA-WITH-AES-256-CBC-SHA256"

  • "TLS-RSA-WITH-CAMELLIA-128-CBC-SHA"

  • "TLS-RSA-WITH-CAMELLIA-256-CBC-SHA"

  • "TLS-RSA-WITH-CAMELLIA-128-CBC-SHA256"

  • "TLS-RSA-WITH-CAMELLIA-256-CBC-SHA256"

  • "TLS-RSA-WITH-SEED-CBC-SHA"

  • "TLS-RSA-WITH-ARIA-128-CBC-SHA256"

  • "TLS-RSA-WITH-ARIA-256-CBC-SHA384"

  • "TLS-DHE-RSA-WITH-DES-CBC-SHA"

  • "TLS-DHE-RSA-WITH-3DES-EDE-CBC-SHA"

  • "TLS-DHE-RSA-WITH-AES-128-CBC-SHA"

  • "TLS-DHE-RSA-WITH-AES-256-CBC-SHA"

  • "TLS-DHE-RSA-WITH-AES-128-CBC-SHA256"

  • "TLS-DHE-RSA-WITH-AES-256-CBC-SHA256"

  • "TLS-DHE-RSA-WITH-CAMELLIA-128-CBC-SHA"

  • "TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA"

  • "TLS-DHE-RSA-WITH-CAMELLIA-128-CBC-SHA256"

  • "TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA256"

  • "TLS-DHE-RSA-WITH-SEED-CBC-SHA"

  • "TLS-DHE-RSA-WITH-ARIA-128-CBC-SHA256"

  • "TLS-DHE-RSA-WITH-ARIA-256-CBC-SHA384"

  • "TLS-ECDHE-RSA-WITH-RC4-128-SHA"

  • "TLS-ECDHE-RSA-WITH-3DES-EDE-CBC-SHA"

  • "TLS-ECDHE-RSA-WITH-AES-128-CBC-SHA"

  • "TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA"

  • "TLS-ECDHE-RSA-WITH-CHACHA20-POLY1305-SHA256"

  • "TLS-ECDHE-ECDSA-WITH-CHACHA20-POLY1305-SHA256"

  • "TLS-DHE-RSA-WITH-CHACHA20-POLY1305-SHA256"

  • "TLS-DHE-RSA-WITH-AES-128-GCM-SHA256"

  • "TLS-DHE-RSA-WITH-AES-256-GCM-SHA384"

  • "TLS-DHE-DSS-WITH-AES-128-CBC-SHA"

  • "TLS-DHE-DSS-WITH-AES-256-CBC-SHA"

  • "TLS-DHE-DSS-WITH-AES-128-CBC-SHA256"

  • "TLS-DHE-DSS-WITH-AES-128-GCM-SHA256"

  • "TLS-DHE-DSS-WITH-AES-256-CBC-SHA256"

  • "TLS-DHE-DSS-WITH-AES-256-GCM-SHA384"

  • "TLS-ECDHE-RSA-WITH-AES-128-CBC-SHA256"

  • "TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256"

  • "TLS-ECDHE-RSA-WITH-AES-256-CBC-SHA384"

  • "TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384"

  • "TLS-ECDHE-ECDSA-WITH-AES-128-CBC-SHA"

  • "TLS-ECDHE-ECDSA-WITH-AES-128-CBC-SHA256"

  • "TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256"

  • "TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA384"

  • "TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384"

  • "TLS-RSA-WITH-AES-128-GCM-SHA256"

  • "TLS-RSA-WITH-AES-256-GCM-SHA384"

  • "TLS-DHE-DSS-WITH-CAMELLIA-128-CBC-SHA"

  • "TLS-DHE-DSS-WITH-CAMELLIA-256-CBC-SHA"

  • "TLS-DHE-DSS-WITH-CAMELLIA-128-CBC-SHA256"

  • "TLS-DHE-DSS-WITH-CAMELLIA-256-CBC-SHA256"

  • "TLS-DHE-DSS-WITH-SEED-CBC-SHA"

  • "TLS-DHE-DSS-WITH-ARIA-128-CBC-SHA256"

  • "TLS-DHE-DSS-WITH-ARIA-256-CBC-SHA384"

  • "TLS-ECDHE-RSA-WITH-ARIA-128-CBC-SHA256"

  • "TLS-ECDHE-RSA-WITH-ARIA-256-CBC-SHA384"

  • "TLS-ECDHE-ECDSA-WITH-ARIA-128-CBC-SHA256"

  • "TLS-ECDHE-ECDSA-WITH-ARIA-256-CBC-SHA384"

  • "TLS-DHE-DSS-WITH-3DES-EDE-CBC-SHA"

  • "TLS-DHE-DSS-WITH-DES-CBC-SHA"

  • "TLS-AES-128-GCM-SHA256"

  • "TLS-AES-256-GCM-SHA384"

  • "TLS-CHACHA20-POLY1305-SHA256"

  • "TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA"

priority

整数

SSL/TLS 密码套件优先级。

versions

列表 / 元素=字符串

密码套件可使用的 SSL/TLS 版本。

选项

  • "ssl-3.0"

  • "tls-1.0"

  • "tls-1.1"

  • "tls-1.2"

  • "tls-1.3"

ssl_server_max_version

别名:ssl-server-max-version

字符串

服务器可接受的最高 SSL/TLS 版本。

选项

  • "ssl-3.0"

  • "tls-1.0"

  • "tls-1.1"

  • "tls-1.2"

  • "client"

  • "tls-1.3"

ssl_server_min_version

别名:ssl-server-min-version

字符串

服务器可接受的最低 SSL/TLS 版本。

选项

  • "ssl-3.0"

  • "tls-1.0"

  • "tls-1.1"

  • "tls-1.2"

  • "client"

  • "tls-1.3"

ssl_server_renegotiation

别名:ssl-server-renegotiation

字符串

启用/禁用安全重新协商以符合 RFC 5746。

选项

  • "disable"

  • "enable"

ssl_server_session_state_max

别名:ssl-server-session-state-max

整数

FortiGate 与服务器之间需要保持的最大 SSL 会话状态数。

ssl_server_session_state_timeout

别名:ssl-server-session-state-timeout

整数

保持 FortiGate 与服务器之间 SSL 会话状态的分钟数。

ssl_server_session_state_type

别名:ssl-server-session-state-type

字符串

如何使服务器和 FortiGate 之间 SSL 连接段的 SSL 会话过期。

选项

  • "disable"

  • "time"

  • "count"

  • "both"

type

字符串

配置静态 NAT VIP。

选项

  • "static-nat"

  • "server-load-balance"

  • "access-proxy"

uuid

字符串

通用唯一标识符 (UUID)

weblogic_server

别名:weblogic-server

字符串

启用后,将添加 HTTP 头以指示 WebLogic 服务器的 SSL 卸载。

选项

  • "disable"

  • "enable"

websphere_server

别名:websphere-server

字符串

启用后,将添加 HTTP 头以指示 WebSphere 服务器的 SSL 卸载。

选项

  • "disable"

  • "enable"

forticloud_access_token

字符串

使用 FortiCloud API 访问令牌验证 Ansible 客户端。

proposed_method

字符串

底层 Json RPC 请求的覆盖方法。

选项

  • "update"

  • "set"

  • "add"

rc_failed

列表 / 元素=整数

将被覆盖的失败条件的 rc 代码列表。

rc_succeeded

列表 / 元素=整数

将被覆盖的成功条件的 rc 代码列表。

state

字符串 / 必需

创建、更新或删除对象的指令。

选项

  • "present"

  • "absent"

workspace_locking_adom

字符串

在工作区模式下运行 FortiManager 时需要锁定的 ADOM,值可以是 global 和其他值,包括 root。

workspace_locking_timeout

整数

等待其他用户释放工作区锁定的最大时间(秒)。

默认值: 300

注释

注意

  • 从 2.4.0 版本开始,所有输入参数都使用下划线命名约定 (snake_case)。请将诸如“var-name”之类的参数更改为“var_name”。旧的参数名称仍然可用,但您会收到弃用警告。您可以通过在 ansible.cfg 中设置 deprecation_warnings=False 来忽略此警告。

  • 此 FortiManager 模块支持在工作区锁定模式下运行,顶级参数 workspace_locking_adom 和 workspace_locking_timeout 有助于完成此工作。

  • 要创建或更新对象,请使用 state present 指令。

  • 要删除对象,请使用 state absent 指令。

  • 通常,当返回非零 rc 时,运行一个模块可能会失败。您还可以使用参数 rc_failed 和 rc_succeeded 覆盖失败或成功的条件。

示例

- name: Example playbook
  hosts: fortimanagers
  connection: httpapi
  vars:
    ansible_httpapi_use_ssl: true
    ansible_httpapi_validate_certs: false
    ansible_httpapi_port: 443
  tasks:
    - name: Configure virtual IP for IPv6.
      fortinet.fortimanager.fmgr_firewall_vip6:
        bypass_validation: false
        adom: ansible
        state: present
        firewall_vip6:
          arp-reply: disable
          color: 1
          comment: "ansible-comment"
          id: 1
          name: "ansible-test-vip6"

- name: Gathering fortimanager facts
  hosts: fortimanagers
  gather_facts: false
  connection: httpapi
  vars:
    ansible_httpapi_use_ssl: true
    ansible_httpapi_validate_certs: false
    ansible_httpapi_port: 443
  tasks:
    - name: Retrieve all the scripts
      fortinet.fortimanager.fmgr_fact:
        facts:
          selector: "firewall_vip6"
          params:
            adom: "ansible"
            vip6: "your_value"

返回值

常用返回值已在此处记录,以下是此模块特有的字段

描述

meta

字典

请求的结果。

返回:始终

request_url

字符串

请求的完整 URL。

返回:始终

示例: "/sys/login/user"

response_code

整数

API 请求的状态。

返回:始终

示例: 0

response_data

列表 / 元素=字符串

API 响应。

返回:始终

response_message

字符串

API 响应的描述性消息。

返回:始终

示例: "OK."

system_information

字典

目标系统的信息。

返回:始终

rc

整数

请求的状态。

返回:始终

示例: 0

version_check_warning

列表 / 元素=字符串

如果剧本中使用的参数不受当前 FortiManager 版本支持,则会发出警告。

返回:复杂类型

作者

  • 杜欣伟 (@dux-fortinet)

  • 李星 (@lix-fortinet)

  • 薛杰 (@JieX19)

  • 郑琳 (@chillancezen)

  • 沈方 (@fshen01)

  • 陆宏斌 (@fgtdev-hblu)