FXOS Chassis Managerでの論理デバイスの作成と管理
はじめに
このドキュメントでは、Firepower Chassis Managerを使用して、CiscoFirepower4100/9300 FXOSで論理デバイス(LLC)を作成および管理する方法について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- Firepower4100/9300のシャーシの初期設定
- Firepower4100/9300 FXOS CLI設定。
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
-
CiscoFirepower4125セキュリティアプライアンス
- CiscoFirepower拡張オペレーティングシステム(FXOS) - 2.12(1.29)
- シスコセキュアFirepower脅威対策(FTD) - 7.2.5-208
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
追加情報
FTD製品バージョンの選択
開始する前に、最新のFPR4145 FXOSバージョン、またはターゲットのFTD論理インスタンスバージョンと互換性のあるバージョンへのアップグレードを検討してください。
このドキュメントの対象FTDバージョンは7.2.5-208です。したがって、FPR4145シャーシに推奨されるFXOSバージョンは2.12.0-519です。
注:FXOSとFTDの互換性を確認するには、次のドキュメントを参照してください。表14:https://www.cisco.com/c/en/us/td/docs/security/secure-firewall/compatibility/threat-defense-compatibility.html#id_67425。
設定
Cisco FCM GUIへのアクセス
Firepower Chassis Managerにログインし、アドレスバーにURLを入力します(サポートされているブラウザから)。
https://
FMC GUIへのアクセス
https://software.cisco.com/から、Firepower4100/9300シリーズに対応するSecure FTDインストールパッケージをダウンロードします。
イメージ名は cisco-ftd.7.2.5.208.SPA.cspを参照。
パッケージのアップロード
FTDインストールパッケージをFXOSシャーシにアップロードします。移動先 System > Updatesを参照。
選択 Upload image次に、参照してアップロードします。
FTDイメージのアップロード
ヒント:イメージがアップロードされると、エンドユーザライセンス契約書が表示され、[同意します]を選択して同意できます。
FTDインストールパッケージがシャーシに正常にアップロードされました。
FTDイメージがシャーシに正常にアップロードされました
論理デバイスの作成
論理デバイスは、 Logical Devices tabキーを押しながらクリック Add:を入力します。
「論理インスタンスの追加」を選択します
次に、 Standaloneを参照。
スタンドアロンインスタンスの追加
警告:HAまたはスタンドアロンの論理デバイスに対してスタンドアロンを選択します。クラスタモードの複数のコンテナの場合は、Clusterを選択します。「クラスタ」を選択する場合は、クラスタ内で作成されるすべてのモジュールが同じタイプである必要があります。
Specify the Device Name と Instance Type (ネイティブまたはコンテナ):
デバイス名とインスタンスタイプの指定
注:インスタンスタイプは、ネイティブまたはコンテナとして選択できます。ネイティブインスタンスを作成すると、シャーシおよびセキュリティモジュール(CPU、RAM、ディスクスペースなど)で使用可能なすべてのリソースが割り当てられます。コンテナインスタンスタイプは、利用可能なリソースの一部を使用します。これにより、同じシャーシに複数のコンテナFTDインスタンスをインストールする機能が有効になります。
注意:マルチインスタンス機能は、FMCを使用するFTDに対してのみサポートされます。適応型セキュリティアプライアンス(ASA)またはFirepower Device Managerを使用するFTDに対してはサポートされません。
プロビジョニング画面は後でロードされます。
論理デバイスのプロビジョニング
注意:作成するFTD論理インスタンスに少なくとも1つの管理インターフェイスがあることを確認してください。これを検証するには、 Interfaces Tab > Edit Interface > Type を参照。 タイプをmanagementに変更します。
Data Portsパネルで、Ethernet 1/1をクリックして、このインスタンスに割り当てるために、すべての管理インターフェイスとデータインターフェイスを選択できます。このようなインターフェイスはFTDインスタンスに割り当てられます。
インターフェイスは必要な数だけ選択できます。この例では、次のように表示されます Interfaces Ethernet 1/1 から Ethernet 1/6 このFTDインスタンスに割り当てられます。
FTDインスタンスに割り当てられたインターフェイスEth1/1 ~ Eth1/6
次に進むには、 Click to configureを参照。ブートストラップの設定は、次に General Informationを参照。
Specify the Management Interface、 Address Type、 Management IP、 Network Mask と Gateway:を入力します。
ブートストラップ一般情報
選択 Ok ブートストラップの設定は、次のコマンドを使用して行います。
- アプリケーションインスタンスの管理タイプ
- Search domains
- Firewall Mode
- DNS Servers
- Password
- パスワードの確認
ブートストラップの設定値。
注:FTD CLIの初期設定を使用して、この段階またはそれ以降でFMCの設定とFTDの登録を行うことができます。
選択 Ok,と Save:を入力します。
「 Logical Device List ページが自動的に表示され、アプリケーションステータスが次のように表示されます。 Starting:を入力します。
アプリケーションステータスが開始の論理デバイスリスト。
また、CLIを使用して論理インスタンスのステータスを確認および追跡することもできます。SSHまたはコンソール経由でFPR4125シャーシに接続します。
FPR4125# scope ssa
FPR4125 /ssa # show app-instance
Admin StateがEnabledで、Operational StateがStartingと表示されている場合。
動作状態を開始しています。
数分後に、Operational StateにStartedと表示されます。
動作状態はStartedに進みました
アプリインスタンスの動作状態がオンラインに切り替わります。この時点で、FTDネイティブ論理インスタンスがFPR4125シャーシに完全にインストールされ、FTDの初期設定を実行できます。
動作状態がオンラインに切り替えられる
FCMは、FTD論理インスタンスがオンラインであることを示しています。
確認
最後に、次のコマンドを使用して、FXOS CLIからFTD論理デバイスへのアクセスが成功したことを検証できます。
FPR4125# connect module 1 console
Firepower-module1>connect ftd
Connecting to ftd(FTD) console... enter exit to return to bootCLI
> show version
FTD show versionの出力
論理インスタンスの管理
EditアイコンとOptionsアイコンは、右側のLogical Device Listタブで使用できます。
オプションを選択すると、次の情報が表示されます。
- [削除(Delete)]
- バージョンの設定
- リンクステートの有効化
[オプション]アイコンを選択します。
Deleteオプションを使用すると、シャーシからFTD論理デバイスインスタンスを完全に削除し、そのFTDインスタンス専用のすべてのリソースを解放できます。これにより、セキュリティモジュールも再起動します。
Set Versionアイコンを選択すると、Update Image versionバナーが表示され、New Versionを選択してFTDを更新できます。FTDイメージファイルをFPR4125シャーシに事前にアップロードする必要があります。
Enable Link Stateは、FTDがインラインセットインターフェイスで設定されている場合に使用され、リンク状態の伝搬を有効にできます。
注:詳細については、このドキュメントの「FTDのインラインセットリンク状態の伝播」(https://www.cisco.com/c/en/us/td/docs/security/firepower/630/configuration/guide/fpmc-config-guide-v63/firepower_threat_defense_logical_devices.html)の項を参照してください。
この時点で、次のことがわかります。 Disable、 Set Version、 Restart Instance,と Reinstall Instance 次の図に示すアイコンオプション:
アイコンの無効化、バージョンの設定、再起動、再インストール
警告:FTDデバイスの通常の動作中は、Disable、Restart、およびReinstallオプションはお勧めしません。FTDのリブートまたは再起動を計画している場合は、Cisco Secure Firewall Management Center(CFMC)またはFTD CLI(グレースフルリスタート)から上記の操作を実行することをお勧めします。
- 無効化
無効アイコン。
このオプションは、設定を削除せずにFTD論理インスタンスを無効およびシャットダウンします。Disableを選択すると、次の図に示すように確認バナーが表示されます。
無効化を確認します。
論理インスタンスのステータスがStoppingに変更されます。
動作状態は停止中です。
FTDの論理インスタンスのステータスがOfflineに切り替わります。
動作状態はオフラインです。
- インスタンスの再起動
インスタンスアイコンを再起動します。
このオプションは、アプリケーションインスタンスを即座に再起動するために使用され、多くの場合、論理デバイスのブートストラップ設定を変更した後に使用できます。
- インスタンスの再インストール
ラインサル。
このオプションを選択すると、すべてのアプリケーション設定が削除され、FTD論理インスタンスソフトウェアの工場出荷時設定がリセットされます。続行する前に確認バナーが表示されます。
再インストールを確認します。
トラブルシュート
異常なオペレーション、つまりデバイスの異常な再起動や予期しない再起動の際に、論理インスタンスのOperational Statusに「Security Module not responding」などの異常な状態が表示される場合があります。
動作状態が応答していません。
次に移動します。 Security Engine tab.セキュリティエンジンのサービス状態は、 Not-respondingを参照。
セキュリティエンジンの状態が応答していません。
次のコマンドを発行して、FXOS CLIからapp-instanceの動作ステータスを確認できます。
# show app-instance detail
Security Engineは、重大または主要なセキュリティモジュールの障害が確認されず、アプリケーションインスタンスの動作状態が次の状態である場合にリセットできます Startingを参照。選択 Reinitialize Security Engineを参照。
警告:続行する前に、FTD設定のバックアップがあることを確認してください。
セキュリティエンジンの再初期化
3 ~ 5分後、セキュリティエンジンサービスの状態がオンライン状態に戻ります。
セキュリティエンジンの状態はオンラインです。
最後に、FTD論理インスタンスもOnline状態に戻ります。
論理インスタンスの状態がオンラインに戻りました
注:機能低下状態の原因またはシナリオが説明した例と一致する場合は、次の手順を使用して問題を修正します。その他の理由により、TACに連絡することを推奨します。
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
3.0 |
19-Oct-2023 |
コンピュータ端末またはコンソールサーバ1 Gbpsイーサネット管理に物理的に接続されているコンソールポートを「要件」から削除 |
2.0 |
17-Oct-2023 |
修正後の要件:次の項目に関する知識があることが推奨されます。 |
1.0 |
11-Oct-2023 |
初版 |
フィードバック