Secure Firewall Management Center ohne Eth0 als Mgmt konfigurieren
Inhalt
Einleitung
In diesem Dokument wird beschrieben, wie Secure Firewall Management Center (FMC) anstelle der Eth0-Standardschnittstelle mit einem anderen Port konfiguriert wird.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
- Kenntnisse des Cisco Secure Firewall Management Center (ehemals FirePOWER Management Center)
- Grundlegende Netzwerkkenntnisse
Verwendete Komponenten
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
- Cisco Secure Firewall Management Center (FMC 1000, 1600, 2500, 2600, 4500, 4600 und virtuell) mit der Software-Version 5.x und höher
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Hintergrundinformationen
Informationen zur Management-Verbindung im Secure Firewall Management Center
Nachdem Sie das Gerät mit den FMC-Informationen konfiguriert und das Gerät dem FMC hinzugefügt haben, kann entweder das Gerät oder das FMC die Managementverbindung herstellen. Je nach Ersteinrichtung:
-
Entweder das Gerät oder das FMC kann initiieren.
-
Nur das Gerät kann initiieren.
-
Nur das FMC kann initiieren.
Die Initiierung beginnt immer mit eth0 auf dem FMC oder mit der Verwaltungsschnittstelle mit der niedrigsten Nummer auf dem Gerät. Wenn die Verbindung nicht hergestellt ist, werden zusätzliche Verwaltungsschnittstellen ausprobiert. Mehrere Verwaltungsschnittstellen auf dem FMC ermöglichen die Verbindung mit separaten Netzwerken oder die Trennung von Management- und Ereignisdatenverkehr. Der Initiator wählt jedoch basierend auf der Routing-Tabelle nicht die beste Schnittstelle aus.
Die als Management (Eth0) bezeichnete interne Schnittstelle ist ein 1-Gigabit-Ethernet, das in das Gerätegehäuse integriert ist. Einige Modelle von FMC-Chassis haben einen Erweiterungssteckplatz, der eine Netzwerkmodul-Erweiterungskarte (Kupfer oder Glasfaser) und bis zu 10 Gigabit aufnehmen kann. Einige Chassis-Embedded-Ports können 10-Gigabit-Ethernet-SFP+-Transceiver unterstützen.
Diese Abbildung zeigt die Rückseite des FMC 1000.
Abbildung 1. Rückseite des FMC 1000| 1 |
2 USB-Tastaturanschlüsse Sie können eine Tastatur anschließen und zusammen mit einem Monitor am VGA-Port auf die Konsole zugreifen. |
2 |
CIMC-Schnittstelle (mit "M" gekennzeichnet) Diese Schnittstelle wird nicht unterstützt. |
| 3 |
Serieller Konsolen-Port Dieser Port ist standardmäßig deaktiviert. Verwenden Sie stattdessen den VGA-Port und den USB-Port der Tastatur. |
4 |
eth0 Management-Schnittstelle (mit "1" gekennzeichnet) Gigabit Ethernet-Schnittstelle mit 10/100/1000 Mbit/s, RJ-45 eth0 ist die Standard-Management-Schnittstelle. |
| 5 |
eth1 Management-Schnittstelle (mit "2" gekennzeichnet) Gigabit Ethernet-Schnittstelle mit 10/100/1000 Mbit/s, RJ-45 |
6 |
VGA-Schnittstelle Standardmäßig aktiviert. |
| 7 |
Geräteidentifizierungstaste/LED |
8 |
Zwei 770-W-Wechselstromnetzteile |
Diese Abbildung zeigt die Rückseite des FMC 2500 und 4500.
Abbildung 2. Rückseite der FMC 2500 und 4500
| 1 |
2 USB-Tastaturanschlüsse Sie können eine Tastatur anschließen und zusammen mit einem Monitor am VGA-Port auf die Konsole zugreifen. |
2 |
CIMC-Schnittstelle (mit "M" gekennzeichnet) Diese Schnittstelle wird nicht unterstützt. |
| 3 |
Serieller Konsolen-Port Dieser Port ist standardmäßig deaktiviert. Verwenden Sie stattdessen den VGA-Port und den USB-Port der Tastatur. |
4 |
eth0 Management-Schnittstelle (mit "1" gekennzeichnet) Gigabit Ethernet-Schnittstelle mit 10/100/1000 Mbit/s, RJ-45 eth0 ist die Standard-Management-Schnittstelle. |
| 5 |
eth1 Management-Schnittstelle (mit "2" gekennzeichnet) Gigabit Ethernet-Schnittstelle mit 10/100/1000 Mbit/s, RJ-45 |
6 |
VGA-Schnittstelle Standardmäßig aktiviert. |
| 7 |
Geräteidentifizierungstaste/LED |
8 |
Zwei 770-W-Wechselstromnetzteile |
| 9 |
eth2 Management-Schnittstelle 
Hinweis: Verwenden Sie nur von Cisco unterstützte SFP+-Transceiver. |
10 |
eth3 Management-Schnittstelle
Hinweis: Verwenden Sie nur von Cisco unterstützte SFP+-Transceiver. |
Diese Abbildung zeigt die Rückseite des FMC 1600, 2600 und 4600.
Abbildung 3: Rückseite der FMC 1600, 2600 und 4600
| 1 |
USB 3.0 Typ A (USB 1) Sie können eine Tastatur anschließen und zusammen mit einem Monitor am VGA-Port auf die Konsole zugreifen. |
2 |
USB 3.0 Typ A (USB 2) Sie können eine Tastatur anschließen und zusammen mit einem Monitor am VGA-Port auf die Konsole zugreifen. |
| 3 |
eth0 Management-Schnittstelle (mit 1 gekennzeichnet) Unterstützt 100/1000/10000 Mbit/s, je nach Link-Partner-Funktion |
4 |
eth1 Verwaltungsschnittstelle (beschriftet mit 2) Gigabit Ethernet-Schnittstelle mit 100/1000/10000 Mbit/s, RJ-45, LAN2 |
| 5 |
VGA-Videoport (DB-15-Anschluss) |
6 |
CIMC-Schnittstelle (mit M gekennzeichnet)
Hinweis: CIMC wird nur für den LOM-Zugriff unterstützt. CIMC wird für keine anderen Schnittstellen unterstützt. |
| 7 |
Serieller Konsolen-Port (RJ-45-Anschluss) Standardmäßig deaktiviert. Verwenden Sie stattdessen den VGA-Anschluss und den USB-Anschluss der Tastatur. Weitere Informationen zum seriellen Anschluss finden Sie unter dem Thema "Seriellen Zugriff einrichten" im Cisco FirePOWER Management Center - Erste Schritte für die Modelle 1600, 2600 und 4600 . |
8 |
Einheitenidentifizierungsschaltfläche |
| 9 |
770-W-Wechselstrom-Netzteil (PSU 1) |
10 | 770-W-Wechselstrom-Netzteil (PSU 2) |
| 11 |
Gewindebohrungen für Erdungsöse mit zwei Löchern |
12 |
eth2 Management-Schnittstelle (Optional) 10-Gigabit-Ethernet SFP+-Unterstützung SFP-10G-SR und SFP-10G-LR sind für den Einsatz auf dem FMC qualifiziert. |
| 13 |
eth3 Management-Schnittstelle (Optional) 10-Gigabit-Ethernet SFP+-Unterstützung SFP-10G-SR und SFP-10G-LR sind für den Einsatz auf dem FMC qualifiziert. |
14 |
Riser-Griff Nicht unterstützt |
Zugehörige Dokumentation
Detaillierte Anweisungen zur Hardwareinstallation finden Sie im Cisco FirePOWER Management Center 1600, 2600 und 4600 Hardware Installation Guide.
Eine vollständige Liste der Dokumentation der Cisco Secure Firewall-Serie sowie Informationen zu den entsprechenden Orten finden Sie in der Dokumentations-Roadmap.
Vorkonfiguration
Installation von Secure Firewall Management Center für Version 6.5 und höher
Detaillierte Installationsanweisungen finden Sie im Cisco FirePOWER Management Center 1600, 2600 und 4600 Getting Started Guide bis zum Schritt Connect Cables Turn On Power Verify Status for Versions 6.5 and Later. Bitte schließen Sie das Kabel an die gemäß den Rückendiagrammen erforderliche Schnittstelle an.
Sichere Ersteinrichtung von Firewall Management Center mit der CLI für Version 6.5 und höher
Schließen Sie die anfängliche Management Center-Einrichtung mit der CLI ab, die im Dokument Management Center Initial Setup Using the CLI for Versions 6.5 and Later all the 8 Steps beschrieben ist.
Ändern der Verwaltungsschnittstelle mithilfe der Konsolen-CLI
Vorgehensweise
- Melden Sie sich mit admin als Benutzername und Kennwort für das Admin-Konto, das Sie bei der Ersteinrichtung definiert haben, virtuell bei der Management Center-Konsole an. Beachten Sie, dass beim Kennwort die Groß- und Kleinschreibung beachtet wird.
- Verwenden Sie den Befehl expert, um in den Linux-Shell-Modus zu wechseln.
- Bearbeiten Sie die Datei ims.conf mithilfe des vi-Editors mit dem Befehl sudo vi /etc/sf/ims.conf:
Abbildung 4
4. Verwenden Sie die Pfeiltasten auf Ihrer Tastatur und finden Sie die Zeile MANAGEMENT=eth0:
Abbildung 5
5. Geben Sie in den INSERT-Modus zu bearbeiten, indem Sie die Taste "I", die untere Zeile auf dem Bildschirm kann mit der Meldung INSERT bestätigen, dass wir uns im Bearbeitungsmodus, und eth0 ersetzen mit der Schnittstelle entworfen, verwenden Sie die vorherigen Tabellen als Referenz:
Abbildung 6
6. Drücken Sie die Esc-Taste auf der Tastatur, um den INSERT-Modus zu beenden, und verwenden Sie den Doppelpunkt ":", um in den Befehlsmodus zu wechseln, geben Sie "wq!" ein, um die Änderungen zu speichern und die Datei zu beenden:
Abbildung 7
7. Deaktivieren Sie die eth0-Schnittstelle mit dem Befehl sudo ip link set eth0 down:
Abbildung 8
8. Führen Sie den Netzwerkkonfigurations-Assistenten aus, um die IP-Adresse, die Netzwerkmaske und die Gateway-Adresse mit dem Befehl sudo usr/local/sf/bin/configure-network erneut einzugeben. Dieser Befehl kann die Schnittstelle erstellen und eine Standardroute zuweisen:
Abbildung 9
9. Beenden Sie den Linux-Shell-Modus mit dem Befehl exit.
Überprüfung
Gehen Sie folgendermaßen vor, um zu überprüfen, ob die ausgewählte Schnittstelle aktiviert wurde:
- Führen Sie im Linux Shell-Modus den Befehl sudo route -n aus, um die Standard-Routing-Tabelle für die neue Management-Schnittstelle zu bestätigen:
Abbildung 10
Fehlerbehebung
Wenn die neue Schnittstelle nicht in die Routing-Tabelle eingefügt wird, überprüfen Sie Folgendes:
- Bestätigen Sie, dass Sie eth0 interface mit dem Befehl sudo ifconfig deaktiviert haben.
- Wenn die Schnittstelle weiterhin aktiviert ist, führen Sie den Schritt 7 erneut aus.
- Führen Sie das Skript configure network erneut in Schritt 8 aus, um die Schnittstellenkonfiguration und die Standardroute zu generieren.
Revisionsverlauf
| Überarbeitung | Veröffentlichungsdatum | Kommentare |
|---|---|---|
1.0 |
26-Jul-2023 |
Erstveröffentlichung |
FeedbackCisco kontaktieren
- Eine Supportanfrage öffnen
- (Erfordert einen Cisco Servicevertrag)