Installation et mise à niveau de FTD sur les appareils Firepower
Table des matières
Introduction
Ce document décrit l'installation, la mise à niveau et l'enregistrement du logiciel Firepower Threat Defense (FTD) sur les appliances Firepower.
Conditions préalables
Exigences
Aucune exigence spécifique n'est associée à ce document.
Composants utilisés
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
- Appareil de sécurité Cisco Firepower 4140, qui exécute FXOS 2.0(1.37)
- Firepower Management Center, qui exécute 6.1.0.330
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Informations générales
FTD est une image logicielle unifiée qui peut être installée sur les plates-formes suivantes :
- ASA5506-X, ASA5506W-X, ASA5506H-X, ASA5508-X, ASA5516-X
- ASA5512-X, ASA5515-X, ASA5525-X, ASA5545-X, ASA5555-X
- Périphériques Firepower (FPR2100, FPR4100, FPR9300)
- VMware (ESXi)
- Services Web Amazon (AWS)
- Machine virtuelle basée sur le noyau (KVM)
- Module ISR (Integrated Service Router)
Configurer
Diagramme du réseau
Tâche 1. Téléchargement du logiciel FTD
Accédez à Pare-feu de nouvelle génération (NGFW) > FirePOWER 4100 Series > FirePOWER 4140 Security Appliance et choisissez Firepower Threat Defense Software comme indiqué dans l'image.
Tâche 2. Vérification de la compatibilité FXOS-FTD
Exigence de la tâche
Vérifiez que la version de FXOS exécutée sur le châssis est compatible avec la version de FTD que vous souhaitez installer dans le module de sécurité.
Solution
Étape 1. Vérifiez la compatibilité FXOS-FTD.
Avant d'installer une image FTD dans le module/serveur lame, assurez-vous que le châssis Firepower exécute un logiciel FXOS compatible. Dans le Guide de compatibilité FXOS, vérifiez le tableau de compatibilité des périphériques logiques. La version minimale requise de FXOS pour exécuter FTD 6.1.x est 1.1(4.95), comme indiqué dans le Tableau 2 :
Si l'image FXOS n'est pas compatible avec l'image FTD cible, mettez d'abord à niveau le logiciel FXOS.
Vérification de l'image FXOS
Méthode 1. Dans la page de présentation de l'interface utilisateur du Gestionnaire de châssis Firepower (FCM), comme illustré dans l'image :
Méthode 2. Accédez à la page Système FCM > Mise à jour, comme indiqué dans l'image :
Méthode 3. À partir de FXOS CLI :
FPR4100# show fabric-interconnect firmware
Fabric Interconnect A:
Running-Kern-Vers: 5.0(3)N2(4.01.35)
Running-Sys-Vers: 5.0(3)N2(4.01.35)
Package-Vers: 2.0(1.37)
Startup-Kern-Vers: 5.0(3)N2(4.01.35)
Startup-Sys-Vers: 5.0(3)N2(4.01.35)
Act-Kern-Status: Ready
Act-Sys-Status: Ready
Bootloader-Vers:
Tâche 3. Télécharger l'image FTD dans l'appliance Firepower
Exigence de la tâche
Téléchargez l'image FTD dans le châssis FPR4100.
Solution
Méthode 1 : téléchargez l'image FTD à partir de l'interface utilisateur FCM.
Connectez-vous au Gestionnaire de châssis FPR4100 et accédez à l'onglet Système > Mises à jour. Choisissez Upload Image pour télécharger le fichier, comme indiqué dans l'image.
Recherchez le fichier image FTD et cliquez sur Upload, comme indiqué dans l'image :
Acceptez le Contrat de licence de l'utilisateur final (CLUF).
La vérification s'effectue comme indiqué dans l'image.
Méthode 2 - Télécharger l'image FTD à partir de l'interface de ligne de commande FXOS
Vous pouvez télécharger l'image FTD à partir d'un serveur FTP, Secure Copy (SCP), Secure FTP (SFTP) ou TFTP.
Avant de commencer le transfert d'image, vérifiez la connectivité entre l'interface de gestion du châssis et le serveur distant :
FPR4100# connect local-mgmt FPR4100(local-mgmt)# ping 10.229.24.22 PING 10.229.24.22 (10.229.24.22) from 10.62.148.88 eth0: 56(84) bytes of data. 64 bytes from 10.229.24.22: icmp_seq=1 ttl=124 time=0.385 ms 64 bytes from 10.229.24.22: icmp_seq=2 ttl=124 time=0.577 ms 64 bytes from 10.229.24.22: icmp_seq=3 ttl=124 time=0.347 ms
Pour télécharger l'image FTD, accédez à cette étendue et utilisez la commande download image :
FPR4100# scope ssa FPR4100 /ssa # scope app-software FPR4100 /ssa/app-software # download image ftp://ftp_username@10.229.24.22/cisco-ftd.6.1.0.330.SPA.csp
Password:
Pour surveiller la progression du téléchargement de l'image :
FPR4100 /ssa/app-software # show download-task detail
Downloads for Application Software:
File Name: cisco-ftd.6.1.0.330.SPA.csp
Protocol: Ftp
Server: 10.229.24.22
Port: 0
Userid: ftp
Path:
Downloaded Image Size (KB): 95040
Time stamp: 2016-12-11T20:27:47.856
State: Downloading
Transfer Rate (KB/s): 47520.000000
Current Task: downloading image cisco-ftd.6.1.0.330.SPA.csp from 10.229.24.22(FSM-STAGE:sam:dme:ApplicationDownloaderDownload:Local)
Utilisez cette commande pour vérifier que le téléchargement a réussi :
FPR4100 /ssa/app-software # show download-task
Downloads for Application Software:
File Name Protocol Server Port Userid State
------------------------------ ---------- ------------- ---------- --------- -----
cisco-ftd.6.1.0.330.SPA.csp Ftp 10.229.24.22 0 ftp Downloaded
Pour plus de détails :
KSEC-FPR4100 /ssa/app-software # show download-task fsm status expand
File Name: cisco-ftd.6.1.0.330.SPA.csp
FSM Status:
Affected Object: sys/app-catalogue/dnld-cisco-ftd.6.1.0.330.SPA.csp/fsm
Current FSM: Download
Status: Success
Completion Time: 2016-12-11T20:28:12.889
Progress (%): 100
FSM Stage:
Order Stage Name Status Try
------ ---------------------------------------- ------------ ---
1 DownloadLocal Success 1
2 DownloadUnpackLocal Success 1
File Name: Cisco_FTD_SSP_Upgrade-6.1.0-330.sh
L'image est affichée dans le référentiel du châssis :
KSEC-FPR4100 /ssa/app-software # exit
KSEC-FPR4100 /ssa # show app Application: Name Version Description Author Deploy Type CSP Type Is Default App ---------- ---------- ----------- ---------- ----------- ----------- -------------- asa 9.6.2.3 N/A cisco Native Application No ftd 6.1.0.330 N/A cisco Native Application No
Tâche 4. Configuration de la gestion FTD et des interfaces de données
Exigence de la tâche
Configurez et activez les interfaces de gestion et de données pour FTD sur l'appliance Firepower.
Solution
Pour créer une nouvelle interface, connectez-vous à FCM et accédez à l'onglet Interfaces. Les interfaces actuelles sont visibles. Pour créer une nouvelle interface Port Channel, cliquez sur le bouton Add Port Channel, comme illustré dans l'image :
Étape 1. Créez une interface de données de canal de port.
Créez une interface Port Channel, comme illustré dans l'image :
| ID canal de port |
10 |
| Type |
Données |
| Activer |
Oui |
| ID de membre |
Ethernet 1/1, Ethernet 1/2 |
Pour l'ID de canal de port, une valeur comprise entre 1 et 47.
La vérification s'effectue comme indiqué dans l'image.
Étape 2. Créez une interface de gestion.
Dans l'onglet Interfaces, choisissez l'interface, sélectionnez Edit, et configurez l'interface Management, comme indiqué dans l'image :
Tâche 5. Créer et configurer un nouveau périphérique logique
Exigence de la tâche
Créez un FTD en tant que périphérique logique autonome et déployez-le.
Solution
Étape 1. Ajouter un périphérique logique.
Accédez à l'onglet Logical Devices et choisissez le bouton Add Device pour créer un nouveau périphérique logique, comme illustré dans l'image :
Configurez un périphérique FTD avec les paramètres affichés dans l'image :
| Nom du périphérique |
FTD |
| Modèle |
Défense contre les menaces Cisco Firepower |
| Version de l'image |
6.1.0.330 |
Étape 2. Amorcez le périphérique logique.
Après la création du périphérique logique, la fenêtre Provisioning - device_name s'affiche. Sélectionnez l'icône du périphérique pour démarrer la configuration, comme illustré dans l'image :
Configurez l'onglet Informations générales FTD, comme indiqué dans l'image :
| Interface de gestion |
Ethernet1/3 |
| Type d'adresse |
IPv4 uniquement |
| IP de gestion |
10.62.148.84 |
| Masque de réseau |
255.255.255.128 |
| Passerelle réseau |
10.62.148.1 |
Configurez l'onglet Paramètres FTD, comme indiqué dans l'image :
| Clé d'enregistrement |
cisco |
| Mot de passe |
Pa$$w0rd |
| IP Firepower Management Center |
10.62.148.50 |
| Domaines de recherche |
cisco.com |
| Mode pare-feu |
Routés |
| Serveurs DNS |
192.168.0.1 |
| Nom d'hôte complet |
FTD4100.cisco.com |
| Interface D'Événement |
- |
Assurez-vous que l'accord est accepté et sélectionnez OK.
Étape 3. Attribuez les interfaces de données.
Développez la zone Ports de données et choisissez chaque interface à affecter à FTD. Dans ce scénario, une interface (Port-channel10) a été attribuée comme indiqué dans l'image :
Choisissez Save pour terminer la configuration.
Étape 4. Surveillez le processus d'installation.
Voici la progression de l'installation de FTD lorsqu'elle est surveillée à partir de l'interface utilisateur de FCM, comme le montrent les images :
Surveillez le processus d'installation à partir de l'interface de ligne de commande Firepower :
FPR4100# connect module 1 console Telnet escape character is '~'. Trying 127.5.1.1... Connected to 127.5.1.1. Escape character is '~'. CISCO Serial Over LAN: Close Network Connection to Exit Cisco FTD: CMD=-start, CSP-ID=cisco-ftd.6.1.0.330__ftd_001_JAD19500F7YHCNL7715, FLAG='' Cisco FTD starting ... Registering to process manager ... VNICs requested: 9,22 Cisco FTD started successfully. Cisco FTD initializing ... Firepower-module1>Setting up VNICs ... Found Firepower management vnic 18. No Firepower eventing vnic configured. Updating /ngfw/etc/sf/arc.conf ... Deleting previous CGroup Configuration ... Initializing Threat Defense ... [ OK ] Starting system log daemon... [ OK ] Stopping mysql... Dec 12 17:12:17 Firepower-module1 SF-IMS[14629]: [14629] pmtool:pmtool [ERROR] Unable to connect to UNIX socket at /ngfw/var/sf/run/PM_Control.sock: No such file or directory Starting mysql... Dec 12 17:12:17 Firepower-module1 SF-IMS[14641]: [14641] pmtool:pmtool [ERROR] Unable to connect to UNIX socket at /ngfw/var/sf/run/PM_Control.sock: No such file or directory Flushing all current IPv4 rules and user defined chains: ...success Clearing all current IPv4 rules and user defined chains: ...success Applying iptables firewall rules: Flushing chain `PREROUTING' Flushing chain `INPUT' Flushing chain `FORWARD' Flushing chain `OUTPUT' Flushing chain `POSTROUTING' Flushing chain `INPUT' Flushing chain `FORWARD' Flushing chain `OUTPUT' Applying rules successed Flushing all current IPv6 rules and user defined chains: ...success Clearing all current IPv6 rules and user defined chains: ...success Applying ip6tables firewall rules: Flushing chain `PREROUTING' Flushing chain `INPUT' Flushing chain `FORWARD' Flushing chain `OUTPUT' Flushing chain `POSTROUTING' Flushing chain `INPUT' Flushing chain `FORWARD' Flushing chain `OUTPUT' Applying rules successed Starting nscd... mkdir: created directory '/var/run/nscd' [ OK ] Starting , please wait......complete. Firstboot detected, executing scripts Executing S01virtual-machine-reconfigure [ OK ] Executing S02aws-pull-cfg [ OK ] Executing S02configure_onbox [ OK ] Executing S04fix-httpd.sh [ OK ] Executing S06addusers [ OK ] Executing S07uuid-init [ OK ] Executing S08configure_mysql [ OK ] ************ Attention ********* Initializing the configuration database. Depending on available system resources (CPU, memory, and disk), this may take 30 minutes or more to complete. ************ Attention ********* Executing S09database-init [ OK ] Executing S11database-populate [ OK ] Executing S12install_infodb [ OK ] Executing S15set-locale.sh [ OK ] Executing S16update-sensor.pl [ OK ] Executing S19cert-tun-init [ OK ] Executing S20cert-init [ OK ] Executing S21disable_estreamer [ OK ] Executing S25create_default_des.pl [ OK ] Executing S30init_lights_out_mgmt.pl [ OK ] Executing S40install_default_filters.pl [ OK ] Executing S42install_default_dashboards.pl [ OK ] Executing S43install_default_report_templates.pl [ OK ] Executing S44install_default_app_filters.pl [ OK ] Executing S45install_default_realms.pl [ OK ] Executing S47install_default_sandbox_EO.pl [ OK ] Executing S50install-remediation-modules [ OK ] Executing S51install_health_policy.pl [ OK ] Executing S52install_system_policy.pl [ OK ] Executing S53change_reconciliation_baseline.pl [ OK ] Executing S70remove_casuser.pl [ OK ] Executing S70update_sensor_objects.sh [ OK ] Executing S85patch_history-init [ OK ] Executing S90banner-init [ OK ] Executing S96grow_var.sh [ OK ] Executing S96install_vmware_tools.pl [ OK ] ********** Attention ********** Initializing the system's localization settings. Depending on available system resources (CPU, memory, and disk), this may take 10 minutes or more to complete. ********** Attention ********** Executing S96localize-templates [ OK ] Executing S96ovf-data.pl [ OK ] Executing S97compress-client-resources [ OK ] Executing S97create_platinum_forms.pl [ OK ] Executing S97install_cas [ OK ] Executing S97install_cloud_support.pl [ OK ] Executing S97install_geolocation.pl [ OK ] Executing S97install_ssl_inspection.pl [ OK ] Executing S97update_modprobe.pl [ OK ] Executing S98check-db-integrity.sh [ OK ] Executing S98htaccess-init [ OK ] Executing S98is-sru-finished.sh [ OK ] Executing S99correct_ipmi.pl [ OK ] Executing S99start-system [ OK ] Executing S99z_db_restore [ OK ] Executing S99_z_cc-integrity.sh [ OK ] Firstboot scripts finished. Configuring NTP... [ OK ] insmod: ERROR: could not insert module /lib/modules/kernel/drivers/uio/igb_uio.ko: File exists rw console=ttyS0,38400 loglevel=2 auto kstack=128 reboot=force panic=1 ide_generic.probe_mask=0x1 ide1=noprobe pci=nocrs processor.max_cstate=1 iommu=pt platform=sspxru boot_img=disk0:/fxos-lfbff-k8.9.6.1.150.SPA ciscodmasz=786432 cisconrsvsz=2359296 hugepagesz=1g hugepages=24 ssp_mode=0 Fru Size : 512 bytes Done VNIC command successful VNIC command successful fatattr: FAT_IOCTL_GET_ATTRIBUTES: Inappropriate ioctl for device fatattr: can't open '/mnt/disk0/.private2': No such file or directory fatattr: can't open '/mnt/disk0/.ngfw': No such file or directory Model reconfigure detected, executing scripts Pinging mysql Found mysql is running Executing 45update-sensor.pl [ OK ] Executing 55recalculate_arc.pl [ OK ] Mon Dec 12 17:16:15 UTC 2016 Starting MySQL... Pinging mysql Pinging mysql, try 1 Found mysql is running Detecting expanded storage... Running initializeObjects... Stopping MySQL... Killing mysqld with pid 32651 Wait for mysqld to exit\c done Mon Dec 12 17:16:21 UTC 2016 Starting sfifd... [ OK ] Starting Cisco Firepower 4140 Threat Defense, please wait...No PM running! ...started. Cisco FTD initialization finished successfully. ... output omitted ... Reading from flash... ! Cryptochecksum (changed): b1abfa7e 63faee14 affdddb0 9bc9d8cd INFO: Power-On Self-Test in process. ....................................................................... INFO: Power-On Self-Test complete. INFO: Starting HW-DRBG health test (DRBG 0)... INFO: HW-DRBG health test (DRBG 0) passed. INFO: Starting HW-DRBG health test (DRBG 1)... INFO: HW-DRBG health test (DRBG 1) passed. INFO: Starting SW-DRBG health test... INFO: SW-DRBG health test passed. Firepower-module1>
Firepower-module1>show services status
Services currently running:
Feature | Instance ID | State | Up Since
-----------------------------------------------------------
ftd | 001_JAD19500F7YHCNL7715 | RUNNING | :00:08:07
Tâche 6. Enregistrement du FTD dans le centre de gestion Firepower (FMC)
Exigence de la tâche
Enregistrez le FTD dans le FMC.
Solution
Étape 1. Vérifiez la connectivité de base entre le FTD et le FMC.
Avant d'enregistrer le FTD auprès du FMC, vérifiez la connectivité de base entre le FTD et le FMC :
Firepower-module1>connect ftd
Connecting to ftd console... enter exit to return to bootCLI
> ping system 10.62.148.50
PING 10.62.148.50 (10.62.148.50) 56(84) bytes of data.
64 bytes from 10.62.148.50: icmp_seq=1 ttl=64 time=0.133 ms
64 bytes from 10.62.148.50: icmp_seq=2 ttl=64 time=0.132 ms
64 bytes from 10.62.148.50: icmp_seq=3 ttl=64 time=0.123 ms
En raison de la configuration du bootstrap, le FTD a déjà configuré le gestionnaire FMC :
> show managers Host : 10.62.148.50 Registration Key : **** Registration : pending RPC Status :
Étape 2. Ajoutez le FTD dans le FMC.
Sur le FMC, accédez à l'onglet Devices> Device Management et accédez à Add... > Add Device, comme indiqué dans l'image :
Configurez les paramètres du périphérique FTD, comme indiqué dans l'image :
Cliquez sur le bouton Register.
Sur le FMC, vérifiez les tâches pour voir la progression de l'enregistrement. En plus de l'enregistrement, le CSP :
- Détecte le périphérique FTD (récupère la configuration d'interface actuelle).
- Déploie la stratégie initiale.
L'enregistrement a réussi comme indiqué dans l'image :
Tâche 7. Mettre à niveau FTD
Exigence de la tâche
Mettez à niveau le FTD de 6.1.0.330 vers 6.1.0.1.
Solution
Étape 1. Vérifiez la compatibilité.
Consultez les notes de version de FXOS pour vous assurer que la version FTD cible est compatible avec le logiciel FXOS. Si nécessaire, commencez par mettre à niveau le logiciel FXOS.
Étape 2. Mettre à niveau le FTD.
Le logiciel FTD est géré par le FMC et non par le FCM. Pour mettre à niveau le module FTD, connectez-vous au FMC, accédez à la page System > Updates, et choisissez Upload Update, comme illustré dans l'image.
Installez la mise à jour sur le module FTD, comme indiqué dans les images :
Vous pouvez éventuellement lancer une vérification de l'état de préparation :
Une vérification de l'état de préparation réussie est illustrée dans l'image :
Pour démarrer le processus de mise à niveau, cliquez sur Install, comme indiqué dans l'image :
La mise à niveau nécessite un redémarrage FTD, comme illustré dans l'image :
Comme pour l'installation FTD, le processus de mise à niveau FTD peut être surveillé à partir de l'interface utilisateur FMC (Tâches). La progression de la mise à niveau peut être suivie à partir de l'interface CLI FTD (mode CLISH).
Une fois la mise à niveau terminée, déployez une stratégie sur le FTD, comme indiqué dans l'image :
Vérification
À partir de l’interface utilisateur FMC, comme illustré dans l’image :
À partir de l'interface utilisateur de FCM, comme illustré dans l'image :
Dans l'interface CLI du châssis :
FPR4100# scope ssa FPR4100 /ssa # show app-instance Application Name Slot ID Admin State Operational State Running Version Startup Version Cluster Oper State -------------------- ---------- --------------- -------------------- --------------- --------------- ------------------ ftd 1 Enabled Online 6.1.0.1.53 6.1.0.330 Not Applicable
À partir de la CLI FTD :
FPR4100# connect module 1 console Telnet escape character is '~'. Trying 127.5.1.1... Connected to 127.5.1.1. Escape character is '~'. CISCO Serial Over LAN: Close Network Connection to Exit > show version ---------------[ FTD4100.cisco.com ]---------------- Model : Cisco Firepower 4140 Threat Defense (76) Version 6.1.0.1 (Build 53) UUID : 22c66994-c08e-11e6-a210-931f3c6bbbea Rules update version : 2016-03-28-001-vrt VDB version : 275 ---------------------------------------------------- >
Firepower 2100
Le FTD sur Firepower 2100 utilise un seul bundle qui contient à la fois des images FXOS et FTD. Par conséquent, les procédures d'installation et de mise à niveau sont différentes de celles des modèles FP4100/FP9300.
Installation FTD sur FP2100
Il existe 4 procédures différentes, qui dépendent de la casse :
Cas 1 : Effacez la configuration et redémarrez le système avec la même image FTD.
Cas 2 : recréez l'image du système avec une nouvelle version du logiciel d'application.
Cas 3 : réinstallez les paramètres d'usine par défaut du système.
Cas 4 : Réinstallez les paramètres d'usine par défaut du système (récupération du mot de passe admin).
Pour plus de détails concernant chaque cas et sa procédure, veuillez vérifier :
Le cas 2 concerne la majorité des cas d'installation de FTD, tandis que le cas 3 (format et démarrage à partir de ROMMON) peut être utilisé dans des cas spécifiques (par exemple, le système est instable ou dans une boucle de démarrage, et ainsi de suite).
Mise à niveau FTD sur FP2100
Puisqu'il n'y a pas d'ensemble FXOS distinct, pour mettre à niveau un FTD sur FP2100, procédez comme suit :
Étape 1. Vérifiez la compatibilité.
Si le FTD est géré par FMC (gestion hors boîte), vérifiez la section Compatibilité dans les Notes de version du FTD de la cible logicielle.
Étape 2. Si nécessaire, mettez d'abord à niveau le FMC. Exécutez toujours la version du logiciel FMC supérieure ou égale à la version du logiciel cible FTD.
Étape 3. Mettre à niveau le FTD.
Utilisez la même procédure que celle documentée pour FP4100/9300. Documents importants à lire avant une mise à niveau du FTD :
- FTD Release Notes (Par exemple, si vous souhaitez effectuer une mise à niveau vers la version 6.3.0.2, consultez les Notes de version 6.3.0.2 pour vérifier les chemins de mise à niveau et tous les détails pertinents.) notes de version
- Guide de mise à niveau FMC (Chapitre : Mise à niveau de Firepower Threat Defense : Autres périphériques) Guide de mise à niveau de Cisco Firepower Management Center, version 6.0-7.0
Vérifier
Aucune procédure de vérification n'est disponible pour cette configuration.
Dépannage
Il n’y a actuellement aucune information spécifique disponible pour dépanner cette configuration.
Informations connexes
Historique de révision
| Révision | Date de publication | Commentaires |
|---|---|---|
4.0 |
06-Sep-2024 |
Mise en forme, espacement, style mis à jour. |
3.0 |
16-Aug-2023 |
Mise à jour PII, traduction automatique, exigences de style, balises MDF et formatage. |
2.0 |
20-Jul-2022 |
Recertification |
1.0 |
01-Nov-2017 |
Première publication |
Commentaires