Configuración de Secure Firewall Management Center sin Eth0 como gestión
Contenido
Introducción
Este documento describe cómo configurar Secure Firewall Management Center (FMC) con un puerto diferente en lugar de la interfaz Eth0 predeterminada.
Prerequisites
Requirements
Cisco recomienda que tenga conocimiento sobre estos temas:
- Conocimiento de Cisco Secure Firewall Management Center (anteriormente conocido como Firepower Management Center)
- Conocimientos básicos sobre redes
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- Cisco Secure Firewall Management Center (FMC 1000, 1600, 2500, 2600, 4500, 4600 y virtual) que ejecuta la versión de software 5.x y posterior.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Antecedentes
Acerca de Management Connection en Secure Firewall Management Center
Después de configurar el dispositivo con la información FMC y después de agregar el dispositivo al FMC, el dispositivo o el FMC pueden establecer la conexión de administración. Dependiendo de la configuración inicial:
-
El dispositivo o el FMC pueden iniciarse.
-
Sólo el dispositivo puede iniciar.
-
Sólo el CSP puede iniciar.
El inicio siempre se origina con eth0 en el FMC o con la interfaz de administración con número más bajo en el dispositivo. Si no se establece la conexión, se prueban interfaces de administración adicionales. Varias interfaces de gestión en el FMC le permiten conectarse a redes discretas o segregar la gestión y el tráfico de eventos. Sin embargo, el iniciador no elige la mejor interfaz basada en la tabla de ruteo.
La interfaz interna etiquetada como Management (Eth0) es una Ethernet de 1 gigabit integrada en el chasis del dispositivo. Algunos modelos de chasis FMC tienen una ranura de expansión que puede llevar una tarjeta de expansión de módulo de red, que puede ser de cobre o fibra y de hasta 10 Gigabit; algunos puertos integrados del chasis admiten transceptores SFP+ de 10 Gigabit Ethernet.
Esta figura muestra el panel posterior del FMC 1000.
Figura 1. Panel posterior de FMC 1000| 1 |
2 puertos de teclado USB Puede conectar un teclado y, junto con un monitor en el puerto VGA, puede acceder a la consola. |
2 |
Interfaz CIMC (denominada "M") Esta interfaz no es compatible. |
| 3 |
Puerto de consola serie Este puerto está desactivado de forma predeterminada; en su lugar, utilice el puerto VGA y el puerto USB del teclado. |
4 |
eth0 management interface (etiquetada como "1") Interfaz Gigabit Ethernet de 10/100/1000 Mbps, RJ-45 eth0 es la interfaz de administración predeterminada. |
| 5 |
interfaz de administración eth1 (denominada "2") Interfaz Gigabit Ethernet de 10/100/1000 Mbps, RJ-45 |
6 |
Interfaz VGA Habilitado de forma predeterminada. |
| 7 |
Botón/LED de identificación de la unidad |
8 |
Dos fuentes de alimentación de CA de 770 W |
Esta figura muestra el panel posterior de los modelos FMC 2500 y 4500.
Figura 2 Panel posterior de FMC 2500 y 4500
| 1 |
2 puertos de teclado USB Puede conectar un teclado y, junto con un monitor en el puerto VGA, puede acceder a la consola. |
2 |
Interfaz CIMC (denominada "M") Esta interfaz no es compatible. |
| 3 |
Puerto de consola serie Este puerto está desactivado de forma predeterminada; en su lugar, utilice el puerto VGA y el puerto USB del teclado. |
4 |
eth0 management interface (etiquetada como "1") Interfaz Gigabit Ethernet de 10/100/1000 Mbps, RJ-45 eth0 es la interfaz de administración predeterminada. |
| 5 |
interfaz de administración eth1 (denominada "2") Interfaz Gigabit Ethernet de 10/100/1000 Mbps, RJ-45 |
6 |
Interfaz VGA Habilitado de forma predeterminada. |
| 7 |
Botón/LED de identificación de la unidad |
8 |
Dos fuentes de alimentación de CA de 770 W |
| 9 |
interfaz de administración eth2 
Nota: Utilice únicamente transceptores SFP+ compatibles con Cisco. |
10 |
interfaz de administración eth3
Nota: Utilice únicamente transceptores SFP+ compatibles con Cisco. |
Esta figura muestra el panel posterior de los modelos FMC 1600, 2600 y 4600.
Figura 3. Panel posterior de los modelos FMC 1600, 2600 y 4600
| 1 |
USB 3.0 tipo A (USB 1) Puede conectar un teclado y, junto con un monitor en el puerto VGA, puede acceder a la consola. |
2 |
USB 3.0 tipo A (USB 2) Puede conectar un teclado y, junto con un monitor en el puerto VGA, puede acceder a la consola. |
| 3 |
eth0 management interface (etiquetado 1) Admite 100/1000/10000 Mbps en función de la capacidad del partner de enlace. |
4 |
interfaz de administración eth1 (con etiqueta 2) Interfaz Gigabit Ethernet 100/1000/10000 Mbps, RJ-45, LAN2 |
| 5 |
Puerto de vídeo VGA (conector DB-15) |
6 |
Interfaz CIMC (denominada M)
Nota: CIMC solo se admite para el acceso a LOM. CIMC no es compatible con ninguna otra interfaz. |
| 7 |
Puerto de consola serie (conector RJ-45) Desactivado de forma predeterminada; utilice en su lugar el puerto VGA y el puerto USB del teclado. Para obtener más información sobre el puerto serie, consulte el tema "Configuración del acceso serie" en la Guía de inicio de Cisco Firepower Management Center para los modelos 1600, 2600 y 4600 . |
8 |
Botón de identificación de unidad |
| 9 |
Fuente de alimentación de CA de 770 W (PSU 1) |
10 | Fuente de alimentación de CA de 770 W (PSU 2) |
| 11 |
Orificios roscados para conector macho de descarga a tierra de doble orificio |
12 |
interfaz de administración eth2 (Opcional) Compatibilidad con 10 Gigabit Ethernet SFP+ SFP-10G-SR y SFP-10G-LR pueden utilizarse en el FMC. |
| 13 |
interfaz de administración eth3 (Opcional) Compatibilidad con 10 Gigabit Ethernet SFP+ SFP-10G-SR y SFP-10G-LR pueden utilizarse en el FMC. |
14 |
Mango del elevador No soportados |
Documentación relacionada
Para obtener instrucciones detalladas sobre la instalación del hardware, consulte la Guía de instalación del hardware de Cisco Firepower Management Center 1600, 2600 y 4600.
Para obtener una lista completa de la documentación de la serie Secure Firewall de Cisco y dónde encontrarla, consulte la guía de documentación.
Preconfiguración
Instalación de Secure Firewall Management Center para las versiones 6.5 y posteriores
Para obtener instrucciones de instalación detalladas, lea la Guía de inicio de Cisco Firepower Management Center 1600, 2600 y 4600 hasta el paso Connect Cables Turn On Power Verify Status for Versions 6.5 and Later. Conecte el cable en la interfaz necesaria según los diagramas traseros.
Configuración inicial de Secure Firewall Management Center con la CLI para las versiones 6.5 y posteriores
Complete la configuración inicial de Management Center con la CLI detallada en el documento Configuración inicial de Management Center con la CLI para las versiones 6.5 y posteriores de los 8 pasos.
Cambiar la interfaz de administración mediante la CLI de la consola
Procedimiento
- Inicie sesión en el servidor virtual del centro de administración en la consola utilizando admin como nombre de usuario y contraseña para la cuenta admin que definió en la configuración inicial. Tenga en cuenta que la contraseña distingue entre mayúsculas y minúsculas.
- Utilice el comando expert para entrar en el modo shell de Linux.
- Edite el archivo ims.conf utilizando el editor vi con el comando sudo vi /etc/sf/ims.conf:
Figure 4
4. Utilice las teclas de flecha del teclado y busque la línea MANAGEMENT=eth0:
Figure 5
5. Ingrese en el modo INSERT para editar escribiendo la clave "I", la línea inferior en la pantalla puede confirmar con el mensaje INSERT que estamos en modo de edición, y reemplazar eth0 con la interfaz diseñada, utilice las Tablas anteriores como referencia:
‘Figura 6’
6. Presione la tecla Esc en el teclado para salir del modo INSERT y utilice la tecla de dos puntos ":" para ingresar en el modo de comando, escriba "wq!" para guardar los cambios y salir del archivo:
Figura 7
7. Inhabilite la interfaz eth0 con el comando sudo ip link set eth0 down:
Figura 8
8. Ejecute el Asistente para configuración de red para volver a introducir la dirección IP, la máscara de red y la dirección de gateway con el comando sudo usr/local/sf/bin/configure-network, este comando puede crear la interfaz y asignar una ruta predeterminada:
Figura 9
9. Salga del modo shell de Linux con el comando exit.
Verificación
Para verificar si la interfaz seleccionada estaba habilitada, utilice este procedimiento:
- Ejecute desde el modo Linux Shell el comando sudo route -n para confirmar la tabla de rutas predeterminada para la nueva interfaz de administración:
Figura 10
Troubleshoot
Si la nueva interfaz no se rellena en la tabla de ruteo, valide esto:
- Confirme que inhabilitó la interfaz eth0 con el comando sudo ifconfig.
- Si la interfaz sigue activada, vuelva a ejecutar el paso 7.
- Ejecute de nuevo el script configure network en el paso 8 para generar la configuración de la interfaz y la ruta predeterminada.
Historial de revisiones
| Revisión | Fecha de publicación | Comentarios |
|---|---|---|
1.0 |
26-Jul-2023 |
Versión inicial |
ComentariosContacte a Cisco
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)