Creación y administración de dispositivos lógicos en el administrador de chasis FXOS
Introducción
Este documento describe cómo crear y administrar dispositivos lógicos en Cisco Firepower 4100/9300 FXOS usando Firepower Chassis Manager.
Prerequisites
Requirements
Cisco recomienda que tenga conocimiento sobre estos temas:
- Configuración inicial del chasis de Firepower 4100/9300.
- Configuración CLI de Firepower FXOS 4100/9300.
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
-
Dispositivo De Seguridad Cisco Firepower 4125.
- Sistema operativo ampliable (FXOS) Cisco Firepower - 2.12(1.29)
- Cisco Secure Firepower Threat Defence (FTD) - 7.2.5-2008
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Additional Information
Elija la versión del producto FTD
Antes de comenzar, considere actualizar a la última versión de FXOS FPR4145 o a una versión compatible con su versión de instancia lógica FTD de destino.
La versión de FTD objetivo para este documento es 7.2.5-2008. Por lo tanto, la versión FXOS recomendada para el chasis FPR4145 es 2.12.0-519.
Nota: Consulte este documento para revisar la compatibilidad de FXOS y FTD: Tabla 14 de la sección - https://www.cisco.com/c/en/us/td/docs/security/secure-firewall/compatibility/threat-defense-compatibility.html#id_67425.
Configurar
Acceder a la GUI de Cisco FCM
Inicie sesión en Firepower Chassis Manager e introduzca la URL en la barra de direcciones (desde un navegador compatible):
https://
Acceso a GUI de FMC
Descargue el paquete de instalación de FTD seguro correspondiente para las series Firepower 4100/9300 desde https://software.cisco.com/.
El nombre de la imagen es cisco-ftd.7.2.5.208.SPA.csp.
Cargar paquete
Cargue el paquete de instalación de FTD en el chasis FXOS. Desplácese hasta System > Updates.
Elegir Upload image, busque y cargue:
Cargar imagen FTD
Consejo: Una vez cargada la imagen, se muestra el Acuerdo de licencia de usuario final, y puede aceptar seleccionando "Entiendo y acepto el acuerdo".
El paquete de instalación de FTD se ha cargado correctamente en el chasis:
Imagen FTD cargada correctamente en el chasis
Creación de un dispositivo lógico
Ahora puede crear un dispositivo lógico accediendo a la Logical Devices y haciendo clic en Add:
Seleccione Agregar instancia lógica
A continuación, seleccione Standalone.
Agregar instancia independiente
Advertencia: Elija Independiente para Dispositivos Lógicos en HA o Independiente. Para varios contenedores en modo de clúster, elija Clúster. Tenga en cuenta que si selecciona Clúster, todos los módulos creados dentro del clúster deben tener el mismo tipo.
Especifique el Device Name y Instance Type (nativo o contenedor):
Especificar nombre de dispositivo y tipo de instancia
Nota: El tipo de instancia se puede seleccionar como nativo o contenedor. La creación de una instancia nativa asigna todos los recursos disponibles en el chasis y los módulos de seguridad, como la CPU, la RAM y el espacio en disco. El tipo de instancia de contenedor utiliza una fracción de los recursos disponibles. Esto permite la capacidad de instalar varias instancias de FTD de contenedor en el mismo chasis.
Precaución: la capacidad multiinstancia solo se admite para el FTD con FMC; no se admite para el dispositivo de seguridad adaptable (ASA) o el FTD con Firepower Device Manager.
La pantalla Provisioning (Aprovisionamiento) se carga después:
Aprovisionamiento de dispositivos lógicos
Cuidado: Asegúrese de que existe al menos una interfaz de gestión para la instancia lógica de FTD que está creando. Para validarlo, acceda a la página Interfaces Tab > Edit Interface > Type . Cambie el tipo a administración.
Desde el panel Puertos de Datos, puede elegir todas las interfaces de administración y de datos para asignar para esta instancia haciendo clic en Ethernet 1/1. Dicha interfaz se asigna a la instancia de FTD:
Puede elegir tantas interfaces como sea necesario. En este ejemplo, puede ver Interfaces Ethernet 1/1 a Ethernet 1/6 están asignados a esta instancia de FTD:
Interfaces Eth1/1 a Eth1/6 asignadas a la instancia de FTD
En el futuro, elija Click to configure. La configuración de Bootstrap se muestra a continuación con el General Information.
Especifique el Management Interface, Address Type, Management IP, Network Mask y Gateway:
Información general de Bootstrap
Elegir Ok y puede configurar los ajustes de Bootstrap utilizando estos:
- Tipo de administración de la instancia de aplicación
- Buscar dominios
- Modo Firewall
- Servidores DNS
- Contraseña
- Confirmar contraseña
Configuración de Bootstrap.
Nota: Puede configurar los parámetros de FMC y registrar el FTD en esta fase o más adelante mediante la configuración inicial de la CLI de FTD.
Elegir Ok,y Save:
Logical Device List se muestra automáticamente y el estado de la aplicación se muestra como Starting:
Lista de dispositivos lógicos con el estado de la aplicación como inicio.
También puede confirmar y realizar un seguimiento del estado de la instancia lógica mediante la CLI. Conexión mediante SSH o consola al chasis FPR4125:
FPR4125# scope ssa
FPR4125 /ssa # show app-instance
El estado del administrador es habilitado y el estado operativo muestra inicio:
El estado operativo está comenzando.
Después de unos minutos, el estado operativo muestra Iniciado:
El estado operativo progresó a Iniciado
El estado operativo de la instancia de la aplicación se cambia a En línea. En este punto, la instancia lógica nativa de FTD se ha instalado completamente en el chasis FPR4125 y puede realizar la configuración inicial de FTD.
El estado operativo se cambia a En línea
FCM muestra que la instancia lógica de FTD está en línea.
Verificación
Por último, puede validar que el acceso al dispositivo lógico FTD se realiza correctamente desde la CLI de FXOS con estos comandos:
FPR4125# connect module 1 console
Firepower-module1>connect ftd
Connecting to ftd(FTD) console... enter exit to return to bootCLI
> show version
FTD Mostrar salida de versión
Administrar instancia lógica
Los iconos Edit y Options están disponibles en la pestaña Logical Device List en el lado derecho.
Al elegir las opciones, se muestra:
- Eliminar
- Establecer versión
- Habilitar estado de link
Seleccione el icono Opciones.
Con la opción Delete, puede quitar por completo la instancia de dispositivo lógico FTD del chasis y liberar todos los recursos dedicados a la instancia FTD. Esto también hace que el módulo de seguridad se reinicie.
Si se selecciona el icono Definir versión, se mostrará el banner Actualizar versión de imagen y se podrá seleccionar la Nueva versión para actualizar el FTD. Tenga en cuenta que debe cargar el archivo de imagen FTD en el chasis FPR4125 con antelación.
Habilitar estado de link se utiliza cuando FTD se configura con una interfaz de conjunto en línea y puede habilitar la propagación del estado de link.
Nota: Para obtener más información, consulte este documento, en la sección Propagación del estado de enlace del conjunto en línea para el FTD - https://www.cisco.com/c/en/us/td/docs/security/firepower/630/configuration/guide/fpmc-config-guide-v63/firepower_threat_defense_logical_devices.html.
Ahora, puede ver el Disable, Set Version, Restart Instance,y Reinstall Instance opciones de icono como se muestra en esta imagen:
Iconos Desactivar, Definir versión, Reiniciar y Reinstalar
Advertencia: Durante el funcionamiento normal del dispositivo FTD no se recomiendan las opciones Disable, Restart y Reinstall. Si tiene previsto reiniciar o reiniciar el FTD, el enfoque recomendado es realizar las acciones mencionadas desde Cisco Secure Firewall Management Center o FTD CLI (graceful restart).
- inhabilitar
Icono Desactivar.
Esta opción desactiva y apaga la instancia lógica de FTD sin quitar ninguna configuración. Cuando elige Disable, ve el banner de confirmación como se muestra en esta imagen:
Confirme Desactivar.
El estado de la instancia lógica se cambia a Detener:
El estado operativo es Deteniendo.
El estado de la instancia lógica de FTD se cambia a Offline:
El estado operativo es Fuera de línea.
- Reiniciar instancia
Icono de Reiniciar instancia.
Esta opción se utiliza para reiniciar inmediatamente la instancia de la aplicación y, a menudo, se puede utilizar después de modificar la configuración de bootstrap de un dispositivo lógico.
- Reinstalar instancia
Vuelva a instalar.
Al seleccionar esta opción, se quitan todas las configuraciones de la aplicación y se restablecen las configuraciones de fábrica en el software de instancia lógica FTD. Se muestra un banner de confirmación antes de continuar:
Confirme la reinstalación.
Troubleshoot
Durante las operaciones anormales, reinicios inesperados o desagradecidos del dispositivo, el estado operativo de la instancia lógica puede mostrar estados anormales como 'El módulo de seguridad no responde':
El estado operativo no responde.
Desplácese hasta el Security Engine ficha. Estado de servicio del motor de seguridad muestra Not-responding.
El estado del motor de seguridad es No responde.
Puede validar el estado operativo de la instancia de la aplicación desde la CLI de FXOS mediante la ejecución de este comando:
# show app-instance detail
El motor de seguridad se puede restablecer en caso de que no se observe ningún fallo crítico o importante del módulo de seguridad y el estado operativo de la instancia de la aplicación esté en Starting. Elegir Reinitialize Security Engine.
Advertencia: Asegúrese de que dispone de una copia de seguridad de la configuración de FTD antes de continuar.
Reinicializar el motor de seguridad
Después de 3-5 minutos, el estado de servicio del motor de seguridad vuelve al estado en línea:
El estado del motor de seguridad está en línea.
Por último, la instancia lógica de FTD también vuelve al estado Online:
El estado de la instancia lógica vuelve a estar en línea
Nota: Si el motivo o escenario del estado operativo degradado coincide con el ejemplo descrito, utilice estos pasos para solucionar el problema. Por otras razones, se recomienda que se ponga en contacto con el TAC.
Historial de revisiones
| Revisión | Fecha de publicación | Comentarios |
|---|---|---|
3.0 |
19-Oct-2023 |
Se ha eliminado lo siguiente de Requisitos:
Puerto de consola conectado físicamente a un terminal de computadora o servidor de consola
Ethernet de gestión de 1 Gbps |
2.0 |
17-Oct-2023 |
Requisitos modificados: Cisco recomienda que conozca estos temas: |
1.0 |
11-Oct-2023 |
Versión inicial |
ComentariosContacte a Cisco
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)