Erstellen und Verwalten logischer Geräte im FXOS-Chassis-Manager
Einleitung
In diesem Dokument wird beschrieben, wie Sie logische Geräte in Cisco Firepower 4100/9300 FXOS mit dem Firepower Chassis Manager erstellen und verwalten.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
- Erste Chassis-Konfiguration für FirePOWER 4100/9300
- FirePOWER 4100/9300 FXOS-CLI-Konfiguration
Verwendete Komponenten
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
-
Cisco Firepower 4125 Security Appliance
- Cisco FirePOWER Extensible Operating System (FXOS) - 2.12(1.29)
- Cisco Secure Firepower Threat Defense (FTD) - 7.2.5-2008
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Zusätzliche Informationen
FTD-Produktversion auswählen
Bevor Sie beginnen, sollten Sie ein Upgrade auf die neueste FPR4145 FXOS-Version oder eine kompatible Version mit der logischen FTD-Zielinstanzversion in Betracht ziehen.
Die FTD-Zielversion für dieses Dokument ist 7.2.5-208. Daher ist die empfohlene FXOS-Version für das FPR4145-Gehäuse 2.12.0-519.
Hinweis: Lesen Sie dieses Dokument, um die FXOS- und FTD-Kompatibilität zu überprüfen: Abschnitt, Tabelle 14 - https://www.cisco.com/c/en/us/td/docs/security/secure-firewall/compatibility/threat-defense-compatibility.html#id_67425.
Konfigurieren
Zugriff auf die Cisco FCM-Benutzeroberfläche
Melden Sie sich beim Firepower Chassis Manager an, und geben Sie die URL in die Adressleiste ein (über einen unterstützten Browser):
https://
Zugriff auf die FMC-GUI
Laden Sie das entsprechende Secure FTD-Installationspaket für die Firepower 4100/9300 Serie von https://software.cisco.com/ herunter.
Der Abbildname lautet cisco-ftd.7.2.5.208.SPA.csp.
Paket hochladen
Laden Sie das FTD-Installationspaket in das FXOS-Chassis hoch. Navigieren Sie zu System > Updates.
Auswählen Upload image, dann durchsuchen und hochladen:
FTD-Bild hochladen
Tipp: Nach dem Hochladen des Images wird die Endbenutzer-Lizenzvereinbarung angezeigt. Sie können diese akzeptieren, indem Sie "I understand and accept the agreement" (Ich verstehe und akzeptiere die Vereinbarung) auswählen.
Das FTD-Installationspaket wurde erfolgreich in das Chassis hochgeladen:
FTD-Image erfolgreich in Chassis hochgeladen
Erstellen eines logischen Geräts
Jetzt können Sie ein logisches Gerät erstellen, indem Sie zum Logical Devices und klicken auf Add:
Logische Instanz hinzufügen auswählen
Weiter, wählen Standalone.
Eigenständige Instanz hinzufügen
Warnung: Wählen Sie Standalone für logische Geräte in HA oder Standalone. Wählen Sie für mehrere Container im Cluster-Modus Cluster aus. Beachten Sie, dass bei Auswahl von Cluster alle innerhalb des Clusters erstellten Module denselben Typ aufweisen müssen.
Geben Sie Device Name und Instance Type (Nativ oder Container):
Gerätename und Instanztyp angeben
Hinweis: Der Instanztyp kann als Nativ oder Container ausgewählt werden. Beim Erstellen einer nativen Instanz werden alle verfügbaren Ressourcen im Chassis und in den Sicherheitsmodulen wie CPU, RAM und Festplattenspeicher zugewiesen. Der Containerinstanztyp verwendet einen Bruchteil der verfügbaren Ressourcen. Dadurch können mehrere Container-FTD-Instanzen im gleichen Chassis installiert werden.
Vorsicht: Multi-Instance-Funktion wird nur für FTD mit FMC unterstützt; für die Adaptive Security Appliance (ASA) oder FTD mit Firepower Device Manager wird sie nicht unterstützt.
Der Bereitstellungsbildschirm wird anschließend geladen:
Bereitstellung logischer Geräte
Vorsicht: Stellen Sie sicher, dass mindestens eine Management-Schnittstelle für die von Ihnen erstellte logische FTD-Instanz vorhanden ist. Sie können dies validieren, indem Sie zum Interfaces Tab > Edit Interface > Type . Ändern Sie den Typ in management.
Im Bedienfeld "Data Ports" können Sie alle Management- und Datenschnittstellen auswählen, die für diese Instanz zugewiesen werden sollen, indem Sie auf Ethernet 1/1 klicken. Diese Schnittstelle ist der FTD-Instanz zugeordnet:
Sie können so viele Schnittstellen wie erforderlich auswählen. Wie Sie in diesem Beispiel sehen, Interfaces Ethernet 1/1 zu Ethernet 1/6 dieser FTD-Instanz zugeordnet sind:
Schnittstellen Eth1/1 bis Eth1/6 für FTD-Instanz
Weiter, wählen Click to configure. Als Nächstes wird die Bootstrap-Konfiguration mit dem General Information.
Geben Sie Management Interface, Address Type, Management IP, Network Mask und Gateway:
Allgemeine Informationen zu Bootstrap
Auswählen Ok und Sie können die Bootstrap-Einstellungen wie folgt konfigurieren:
- Verwaltungstyp der Anwendungsinstanz
- Domänen durchsuchen
- Firewall-Modus
- DNS-Server
- Kennwort
- Kennwort bestätigen
Bootstrap-Konfigurationseinstellungen.
Hinweis: Sie können die FMC-Einstellungen konfigurieren und das FTD zu diesem Zeitpunkt oder zu einem späteren Zeitpunkt mithilfe der FTD CLI-Erstkonfiguration registrieren.
Auswählen Okund Save:
Die Fehlermeldung Logical Device List wird automatisch angezeigt, und Ihr Anwendungsstatus wird angezeigt als Starting:
Liste logischer Geräte mit Anwendungsstatus als "Ausgehend".
Sie können den Status der logischen Instanz auch über die CLI bestätigen und verfolgen. Verbindung über SSH oder Konsole mit FPR4125-Chassis:
FPR4125# scope ssa
FPR4125 /ssa # show app-instance
Der Administratorstatus ist aktiviert, und der Betriebsstatus zeigt den Startstatus an:
Betriebsstatus beginnt.
Nach wenigen Minuten zeigt der Betriebsstatus Gestartet an:
Betriebsstatus erreicht "Gestartet"
Der Betriebsstatus der App-Instanz wird auf "Online" umgestellt. An diesem Punkt wurde die logische FTD Native-Instanz vollständig im FPR4125-Gehäuse installiert, und Sie können die Erstkonfiguration von FTD vornehmen.
Betriebsstatus ist auf "Online" umgeschaltet
FCM zeigt an, dass die logische FTD-Instanz Online ist.
Überprüfung
Schließlich können Sie mithilfe der folgenden Befehle überprüfen, ob der Zugriff auf das logische FTD-Gerät von der FXOS-CLI aus erfolgreich ist:
FPR4125# connect module 1 console
Firepower-module1>connect ftd
Connecting to ftd(FTD) console... enter exit to return to bootCLI
> show version
FTD Versionsausgabe anzeigen
Logische Instanz verwalten
Die Symbole Bearbeiten und Optionen sind auf der rechten Seite der Registerkarte Liste logischer Geräte verfügbar.
Die Optionen werden angezeigt:
- Löschen
- Version festlegen
- Linkstatus aktivieren
Optionssymbol auswählen
Mit der Option Löschen können Sie die logische FTD-Geräteinstanz vollständig aus dem Chassis entfernen und alle für die FTD-Instanz dedizierten Ressourcen freigeben. Dadurch wird auch das Sicherheitsmodul neu gestartet.
Wenn Sie das Symbol Set Version (Version festlegen) auswählen, wird das Versionsbanner Update Image (Image aktualisieren) angezeigt, und Sie können die New Version (Neue Version) auswählen, um FTD zu aktualisieren. Beachten Sie, dass Sie die FTD-Image-Datei zuvor auf das Gehäuse des FPR4125 hochladen müssen.
"Enable Link State" (Verbindungsstatus aktivieren) wird verwendet, wenn FTD mit einer Inline Set-Schnittstelle konfiguriert wurde und die Übertragung des Verbindungsstatus aktivieren kann.
Hinweis: Weitere Informationen finden Sie in diesem Dokument im Abschnitt Inline Set Link State Propagation for the FTD - https://www.cisco.com/c/en/us/td/docs/security/firepower/630/configuration/guide/fpmc-config-guide-v63/firepower_threat_defense_logical_devices.html.
Wie Sie sehen, Disable, Set Version, Restart Instanceund Reinstall Instance Symboloptionen, wie in diesem Bild gezeigt:
Symbole zum Deaktivieren, Festlegen der Version, Neustarten und Neuinstallieren
Warnung: Während des normalen Betriebs werden die Optionen Deaktivieren, Neustart und Neuinstallieren nicht empfohlen. Wenn Sie einen FTD-Neustart oder -Neustart planen, wird empfohlen, die genannten Aktionen über das Cisco Secure Firewall Management Center oder die FTD-CLI (ordnungsgemäßer Neustart) auszuführen.
- Deaktivieren
Symbol deaktivieren
Mit dieser Option wird die logische FTD-Instanz deaktiviert und heruntergefahren, ohne dass eine Konfiguration entfernt wird. Wenn Sie Deaktivieren auswählen, wird das Bestätigungsbanner angezeigt, wie in der folgenden Abbildung dargestellt:
Deaktivieren bestätigen.
Der Status der logischen Instanz wird in Beenden geändert:
Betriebsstatus: Stopp.
Der Status der logischen FTD-Instanz wird auf Offline gesetzt:
Betriebsstatus: Offline
- Instanz neu starten
Symbol Instanz neu starten.
Diese Option wird verwendet, um die Anwendungsinstanz sofort neu zu starten, und kann häufig nach der Änderung der Bootstrap-Einstellungen eines logischen Geräts verwendet werden.
- Instanz neu installieren
Neu installieren.
Mit dieser Option werden alle Anwendungskonfigurationen entfernt und die Werkseinstellungen der logischen FTD-Instanzsoftware zurückgesetzt. Ein Bestätigungsbanner wird angezeigt, bevor Sie fortfahren:
Bestätigen Sie die Neuinstallation.
Fehlerbehebung
Bei ungewöhnlichen Vorgängen, undankbaren oder unerwarteten Neustarts des Geräts kann der Betriebsstatus der logischen Instanz ungewöhnliche Zustände wie "Sicherheitsmodul reagiert nicht" anzeigen:
Betriebsstatus antwortet nicht.
Navigieren Sie zum Security Engine aus. Service-Status der Security Engine zeigt Not-responding.
Der Status der Security Engine reagiert nicht.
Sie können den Anwendungsinstanz-Betriebsstatus von der FXOS-CLI aus validieren, indem Sie den folgenden Befehl ausführen:
# show app-instance detail
Die Security Engine kann zurückgesetzt werden, wenn keine kritischen oder größeren Fehler im Sicherheitsmodul festgestellt werden und der Betriebsstatus der App-Instanz sich befindet. Starting. Auswählen Reinitialize Security Engine.
Warnung: Stellen Sie sicher, dass Sie über eine FTD-Konfigurationssicherung verfügen, bevor Sie fortfahren.
Sicherheits-Engine neu initialisieren
Nach 3-5 Minuten wechselt der Service-Status der Security Engine wieder in den Online-Status:
Status der Security Engine ist online.
Schließlich ist die logische FTD-Instanz ebenfalls wieder in den Online-Status versetzt:
Der Zustand der logischen Instanz ist wieder online.
Hinweis: Wenn der Grund oder das Szenario für den verschlechterten Betriebsstatus mit dem beschriebenen Beispiel übereinstimmt, führen Sie die folgenden Schritte aus, um das Problem zu beheben. Aus anderen Gründen wird empfohlen, sich an das TAC zu wenden.
Revisionsverlauf
| Überarbeitung | Veröffentlichungsdatum | Kommentare |
|---|---|---|
3.0 |
19-Oct-2023 |
Folgendes wurde aus "Anforderungen" entfernt:
Konsolenport, der physisch mit einem Computerterminal oder Konsolenserver verbunden ist
1 Gbit/s Ethernet-Management |
2.0 |
17-Oct-2023 |
Geänderte Anforderungen: Cisco empfiehlt, dass Sie über Kenntnisse in den folgenden Bereichen verfügen: |
1.0 |
11-Oct-2023 |
Erstveröffentlichung |
FeedbackCisco kontaktieren
- Eine Supportanfrage öffnen
- (Erfordert einen Cisco Servicevertrag)