Créer et gérer des périphériques logiques dans FXOS Chassis Manager
Table des matières
Introduction
Ce document décrit comment créer et gérer des périphériques logiques dans Cisco Firepower 4100/9300 FXOS à l'aide de Firepower Chassis Manager.
Conditions préalables
Exigences
Cisco vous recommande de prendre connaissance des rubriques suivantes :
- Configuration initiale du châssis Firepower 4100/9300.
- Configuration ILC Firepower 4100/9300 FXOS.
Composants utilisés
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
-
Appareil de sécurité Cisco Firepower 4125.
- Système d'exploitation extensible Cisco Firepower (FXOS) - 2.12(1.29)
- Cisco Secure Firepower Threat Defense (FTD) - 7.2.5-2008
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Additional Information
Sélectionnez la version du produit FTD
Avant de commencer, pensez à mettre à niveau vers la dernière version FPR4145 FXOS ou une version compatible avec votre version d'instance logique FTD cible.
La version FTD cible de ce document est 7.2.5-208. Par conséquent, la version FXOS recommandée pour le châssis FPR4145 est 2.12.0-519.
Remarque : reportez-vous à ce document afin d'examiner la compatibilité FXOS et FTD : Section Table 14 - https://www.cisco.com/c/en/us/td/docs/security/secure-firewall/compatibility/threat-defense-compatibility.html#id_67425.
Configurer
Accéder à l'interface utilisateur Cisco FCM
Connectez-vous à Firepower Chassis Manager, et entrez l'URL dans la barre d'adresse (à partir d'un navigateur pris en charge) :
https://
Accéder à la GUI FMC
Téléchargez le package d'installation Secure FTD correspondant pour la gamme Firepower 4100/9300 à l'adresse https://software.cisco.com/.
Le nom de l'image est cisco-ftd.7.2.5.208.SPA.csp.
Télécharger le package
Téléchargez le package d'installation FTD sur le châssis FXOS. Naviguez jusqu'à System > Updates.
Choisir Upload image, puis parcourez et téléchargez :
Télécharger une image FTD
Conseil : une fois l'image téléchargée, le contrat de licence utilisateur final s'affiche et vous pouvez l'accepter en sélectionnant « Je comprends et accepte le contrat ».
Le package d'installation FTD a été téléchargé sur le châssis :
L'image FTD a été téléchargée sur le châssis
Création d'un périphérique logique
Vous pouvez maintenant créer un périphérique logique en accédant à la Logical Devices et en cliquant sur Add:
Sélectionnez Ajouter une instance logique
Ensuite, sélectionnez Standalone.
Ajouter une instance autonome
Avertissement : sélectionnez Autonome pour les périphériques logiques dans HA ou Autonome. Pour plusieurs conteneurs en mode cluster, choisissez Cluster. Notez que si vous choisissez Cluster, tous les modules créés dans le cluster doivent avoir le même type.
Spécifiez le Device Name et Instance Type (natif ou conteneur) :
Spécifier le nom du périphérique et le type d'instance
Remarque : le type d'instance peut être sélectionné comme natif ou conteneur. La création d'une instance native alloue toutes les ressources disponibles dans le châssis et les modules de sécurité tels que le processeur, la mémoire vive et l'espace disque. Le type d'instance de conteneur utilise une fraction des ressources disponibles. Cela permet d'installer plusieurs instances FTD de conteneur dans le même châssis.
Attention : la fonctionnalité multi-instance n'est prise en charge que pour le FTD utilisant FMC ; elle n'est pas prise en charge pour l'appliance ASA (Adaptive Security Appliance) ou le FTD utilisant Firepower Device Manager.
L'écran d'approvisionnement est chargé ensuite :
Provisionnement logique des périphériques
Attention : assurez-vous qu'il existe au moins une interface de gestion pour l'instance logique FTD que vous créez. Vous pouvez le valider en accédant à la page Interfaces Tab > Edit Interface > Type . Modifiez le type en management.
Dans le panneau Ports de données, vous pouvez choisir toutes les interfaces de gestion et de données afin d'allouer pour cette instance en cliquant sur Ethernet 1/1. Une telle interface est attribuée à l'instance FTD :
Vous pouvez choisir autant d'interfaces que nécessaire. Dans cet exemple, vous pouvez voir Interfaces Ethernet 1/1 par Ethernet 1/6 sont alloués à cette instance FTD :
Interfaces Eth1/1 à Eth1/6 allouées à l'instance FTD
Pour avancer, choisissez Click to configure. La configuration du bootstrap est affichée ensuite avec la General Information.
Spécifiez le Management Interface, Address Type, Management IP, Network Mask et Gateway:
Informations générales sur le bootstrap
Choisir Ok et vous pouvez configurer les paramètres Bootstrap à l'aide des éléments suivants :
- Type de gestion de l'instance d'application
- Domaines de recherche
- Mode pare-feu
- Serveurs DNS
- Mot de passe
- Confirm password (confirmation du mot de passe)
Paramètres de configuration du démarrage.
Remarque : vous pouvez configurer les paramètres FMC et enregistrer le FTD à ce stade ou ultérieurement à l'aide de la configuration initiale de l'interface de ligne de commande FTD.
Choisir Ok,et Save:
Les Logical Device List s'affiche automatiquement et votre état d'application s'affiche comme suit : Starting:
Liste des périphériques logiques avec l'état Démarrage de l'application.
Vous pouvez également confirmer et suivre l'état de l'instance logique à l'aide de la CLI. Connexion via SSH ou console au châssis FPR4125 :
FPR4125# scope ssa
FPR4125 /ssa # show app-instance
L'état Admin est Activé et l'état Opérationnel indique Démarrage :
L'état opérationnel est Démarrage.
Après quelques minutes, l'état opérationnel affiche Démarré :
L'état opérationnel est passé à Démarré
L'état opérationnel de l'instance d'application est basculé sur En ligne. À ce stade, l'instance logique native du FTD a été entièrement installée dans le châssis FPR4125 et vous pouvez effectuer la configuration initiale du FTD.
L'état opérationnel est commuté sur En ligne
FCM indique que l'instance logique FTD est en ligne.
Vérifier
Enfin, vous pouvez valider que l'accès au périphérique logique FTD est réussi à partir de l'interface de ligne de commande de FXOS à l'aide des commandes suivantes :
FPR4125# connect module 1 console
Firepower-module1>connect ftd
Connecting to ftd(FTD) console... enter exit to return to bootCLI
> show version
Sortie FTD Show version
Gérer l'instance logique
Les icônes Edit et Options sont disponibles dans l'onglet Logical Device List sur le côté droit.
La sélection des options affiche :
- DELETE
- Définir la version
- Activer l'état de liaison
Sélectionnez Icône Options.
Avec l'option Delete, vous pouvez supprimer complètement l'instance de périphérique logique FTD du châssis et libérer toutes les ressources dédiées à l'instance FTD. Le module de sécurité redémarre également.
Si vous cliquez sur l'icône Définir la version, la bannière Mettre à jour la version de l'image s'affiche et vous pouvez choisir la Nouvelle version pour mettre à jour le FTD. Notez que vous devez télécharger le fichier d'image FTD sur le châssis FPR4125 au préalable.
L'option Enable Link State est utilisée lorsque FTD est configuré avec une interface de définition en ligne et peut activer la propagation de l'état des liaisons.
Remarque : pour plus d'informations, reportez-vous à ce document, section Inline Set Link State Propagation for the FTD - https://www.cisco.com/c/en/us/td/docs/security/firepower/630/configuration/guide/fpmc-config-guide-v63/firepower_threat_defense_logical_devices.html.
Maintenant, vous pouvez voir la Disable, Set Version, Restart Instance,et Reinstall Instance options de l'icône comme illustré dans cette image :
Icônes Désactiver, Définir la version, Redémarrer et Réinstaller
Avertissement : pendant le fonctionnement normal du périphérique FTD, les options Désactiver, Redémarrer et Réinstaller ne sont pas conseillées. Si vous prévoyez d'effectuer un redémarrage ou un redémarrage FTD, l'approche recommandée consiste à effectuer lesdites actions à partir de Cisco Secure Firewall Management Center ou de l'interface de ligne de commande FTD (redémarrage progressif).
- désactiver
Icône Désactiver.
Cette option désactive et arrête l'instance logique FTD sans supprimer de configuration. Lorsque vous choisissez Disable, vous voyez la bannière de confirmation comme illustré dans cette image :
Confirmez la désactivation.
L'état de l'instance logique est changé en Arrêt :
L'état opérationnel est Arrêté.
L'état de l'instance logique FTD est basculé sur Hors connexion :
L'état opérationnel est Hors connexion.
- Redémarrer l'instance
Icône Redémarrer l'instance.
Cette option est utilisée pour redémarrer immédiatement l'instance d'application et peut souvent être utilisée après la modification des paramètres de bootstrap d'un périphérique logique.
- Réinstaller l'instance
Réinstaller.
Cette option supprime toutes les configurations d'application et réinitialise les paramètres d'usine sur le logiciel d'instance logique FTD. Une bannière de confirmation s'affiche avant de continuer :
Confirmez la réinstallation.
Dépannage
Lors d'opérations anormales, de redémarrages ingrats ou inattendus du périphérique, l'état opérationnel de l'instance logique peut afficher des états anormaux tels que « Le module de sécurité ne répond pas » :
L'état opérationnel ne répond pas.
Accédez à la page Security Engine s'affiche. État de service du moteur de sécurité affiche Not-responding.
L'état du moteur de sécurité ne répond pas.
Vous pouvez valider l'état opérationnel de l'instance d'application à partir de l'interface de ligne de commande FXOS en exécutant cette commande :
# show app-instance detail
Security Engine peut être réinitialisé si aucune défaillance critique ou majeure du module de sécurité n'est observée et si l'état opérationnel de l'instance d'application est Starting. Choisir Reinitialize Security Engine.
Avertissement : assurez-vous que vous disposez d'une sauvegarde de la configuration FTD avant de continuer.
Réinitialiser le moteur de sécurité
Après 3 à 5 minutes, l'état du service du moteur de sécurité est de nouveau à l'état Online :
L'état du moteur de sécurité est En ligne.
Enfin, l'instance logique FTD est également de retour à l'état Online :
L'état de l'instance logique est de nouveau en ligne
Remarque : si la raison ou le scénario de l'état opérationnel dégradé correspond à l'exemple décrit, suivez ces étapes pour résoudre le problème. Pour d'autres raisons, il est recommandé de contacter le TAC.
Historique de révision
| Révision | Date de publication | Commentaires |
|---|---|---|
3.0 |
19-Oct-2023 |
Supprimez les éléments suivants de la configuration requise :
Port de console physiquement connecté à un terminal d'ordinateur ou à un serveur de console
Gestion Ethernet 1 Gbit/s |
2.0 |
17-Oct-2023 |
Modification des conditions requises : Cisco recommande que vous ayez connaissance des sujets suivants : |
1.0 |
11-Oct-2023 |
Première publication |
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)