Erstellen Sie ein neues Image einer sicheren FTD für die Serien 1000, 2100 und 3100

Einleitung

In diesem Dokument wird ein Beispiel für ein Verfahren zur Erstellung eines neuen Images für die Secure Firewall Threat Defense (FTD) beschrieben.

Voraussetzungen

Anforderungen

Es gibt keine spezifischen Anforderungen für dieses Dokument.

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

• Cisco Secure Firewall Threat Defense 2110 Version 7.2.4

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Hintergrundinformationen

Spezifische Anforderungen für dieses Dokument:

•  Ein Konsolenkabel, das mit dem FTD verbunden ist.
• Ein TFTP-Server mit dem Installationspaket (.SPA) wurde bereits hochgeladen.

Diese Neuabbildungsprozedur wird auf folgenden Appliances unterstützt:

• Cisco Secure Firewall Threat Defense der Serie 1000
• Cisco Secure Firewall Threat Defense der Serie 2100
• Cisco Secure Firewall Threat Defense der Serie 3100

Vorbereitungen

1. Bei einem erneuten Image werden alle vorherigen Konfigurationen gelöscht. Um Konfigurationen wiederherzustellen, erstellen Sie vor dem Starten dieses Verfahrens ein Backup.
2. Dieses Verfahren gilt nur für Firewalls mit FTD-Software.
3. Überprüfen Sie, ob das Modell mit diesem Verfahren kompatibel ist.

Konfigurieren

Schritt 1. Formatieren Sie die Appliance:

I. Verbinden Sie sich mit dem Konsolenport Ihrer Appliance, und stellen Sie eine Konsolenverbindung her.

II. Melden Sie sich bei der CLI des FXOS-Chassis an.

III. Geben Sie connect local-mgmt ein, um zur Verwaltungskonsole zu wechseln.

III. Verwenden Sie den Befehl format everything, um alle Konfigurationen und Boot-Images auf der Appliance zu löschen.

III. Geben Sie yes ein, um den Vorgang zu bestätigen.

Schritt 2: Unterbrechen Sie den Bootvorgang, indem Sie die ESC-Taste drücken, um in den ROMMON-Modus zu wechseln:

Schritt 3: Füllen Sie die Netzwerk- und Remote-Storage-Parameter mit Ihren Konfigurationen aus, um den TFTP-Download vorzubereiten.

I. Folgende Parameter müssen ausgefüllt werden:

A. ADDRESS = ip_address

B. NETMASK = Netzmaske

C. GATEWAY = gateway_ip

D. SERVER = remote_storage_server

E. IMAGE = Pfad zur Datei

Vorsicht: Der ROMMON-Modus unterstützt das TFTP-Protokoll und USB. FTP, SCP und SFTP werden beim ersten Boot-Vorgang nicht unterstützt.

Schritt 4. Geben Sie set ein, um die angegebenen Konfigurationen zu bestätigen:

Anmerkung: Überprüfen Sie, ob die angegebenen Informationen richtig sind. Wenn Sie einen Fehler feststellen, passen Sie den Parameter an, und geben Sie set erneut ein.

Schritt 5. Geben Sie sync ein, um die Netzwerk- und Remote-Speicherkonfigurationen anzuwenden:

Schritt 6. Starten Sie den Bootvorgang mit dem Befehl tftp -b:

Anmerkung: Wenn der Download für das Boot-Image erfolgreich ist, werden mehrere Ausrufezeichen (!) angezeigt, die den Download bestätigen. Überprüfen Sie andernfalls, ob Ihre Konfigurationen korrekt sind, oder validieren Sie, ob Ihr Gerät den Remote-Storage-Server erreichen kann.

Schritt 7: Melden Sie sich nach dem Systemstart mit den Standardanmeldeinformationen (admin/admin123) beim Gerät an, und ändern Sie das Kennwort der Appliance:

Anmerkung: Dieser Fehler kann während der Ersteinrichtung angezeigt werden. Er wird jedoch nach der Installation der Threat Defence-Software gelöscht, wie in späteren Schritten beschrieben.

Schritt 8: Konfigurieren Sie die IP-Adresse der Verwaltungsschnittstelle:

I. Wechseln Sie mit dem Befehl scope fabric-interconnect a zum Fabric-Bereich.

II. Legen Sie die IP-Verwaltungskonfiguration mit dem Befehl set out-of-band static ip ip netmasknetmask gwgateway fest.

Schritt 9: Laden Sie das Threat Defence-Installationspaket herunter:

I. Wechseln Sie mit dem Befehl scope firmware zum Firmware-Bereich.

II. Installationspaket herunterladen:

A. Wenn Sie einen USB-Port verwenden, können Sie den Befehl download image usbA:package_name verwenden.

B. Wenn Sie einen unterstützten Remote-Speicherserver verwenden, können Sie den Befehl download image tftp/ftp/scp/sftp://path_to_your_package verwenden.

Anmerkung: Bei der Verwendung von Remotespeicherservern müssen absolute Pfade für die Syntax des Befehls verwendet werden, wie im Beispiel gezeigt.

Schritt 10.  Überprüfen Sie den Download-Fortschritt mit dem Befehl show download-task:

Anmerkung: Sobald der Download-Status in "Heruntergeladen" wechselt, können Sie mit dem nächsten Schritt fortfahren.

Schritt 11. Überprüfen Sie, ob das Paket bereits in der Firmware-Liste enthalten ist, und verwenden Sie den Befehl show package:

Anmerkung: Kopieren Sie die Paketversion, wie sie bei der Installation der Threat Defence-Software verwendet werden soll.

Schritt 12: Installieren Sie die Threat Defense-Software, um das neue Image abzuschließen:

I. Wechseln Sie zum Installationsbereich mit der automatischen Befehlsbereichsinstallation.

II. Fahren Sie mit der Installation der Threat Defense-Software mit dem Befehl install security-pack version version force.

III. In der Konsole werden zwei Bestätigungsaufforderungen angezeigt. Bestätigen Sie beide durch Eingabe von yes.

Vorsicht: Der Vorgang zum erneuten Abspielen des Images dauert bis zu 45 Minuten. Beachten Sie, dass die Firewall während der Installation neu gestartet wird.

Validierung

Validieren Sie den Upgrade-Prozess mit dem Befehl show detail:

Zugehörige Informationen

• Cisco Secure Firewall ASA Upgrade-Leitfaden
• Cisco FXOS-Fehlerbehebungshandbuch für Firepower 1000/2100 und Secure Firewall 1200/3100/4200 mit Threat Defense