Cisco Firepower 1000、2100、および Secure Firewall 3100 シリーズの簡単導入ガイド
このドキュメントでは、次のモデルについて、Firepower Threat Defense の 2 つの簡単な展開オプション、Cisco Defense Orchestrator 顧客向けのロータッチプロビジョニングと Firepower Management Center 顧客向けのリモートブランチオフィスの展開に関する情報を提供します。
-
- FTD ソフトウェアバージョン 6.7 以降がインストールされている Firepower 1000 シリーズまたは Firepower 2100 シリーズのデバイス。
-
- FTD ソフトウェアバージョン 7.1 以降がインストールされている Cisco Secure Firewall 3100 シリーズのデバイス。
CDO を使用したロータッチプロビジョニング
ロータッチプロビジョニングにより、誰でも新しい Firepower 1000、Firepower 2100、Cisco Secure Firewall 3100 シリーズ デバイスをネットワークに接続できるため、IT 部門はデバイスを CDO にオンボーディングしてリモートで構成できます。
「何をしようとしていますか?(What do you want to do?)」。
-
新しいファイアウォールをプラグインし、ブランチオフィスのネットワークに接続します。私はブランチオフィスで働いています。
-
シリアル番号を使用して、Cisco Firepower ファイアウォールを Cisco Defense Orchestrator(CDO)にオンボードします。私は CDO 管理者です。
新しい FTD をネットワークに接続する
ここでは、CDO 管理者がリモートで管理できるようにファイアウォールをネットワークに接続するプロセスについて説明します。
分散拠点でファイアウォールの通知を受け取ってネットワーク、 に接続することが目的の場合は、このビデオをご覧ください。
ビデオでは、ファイアウォールについて、およびデバイスのステータスを示すデバイス上の LED シーケンスについて説明しています。IT 部門と一緒に LED を見るだけでデバイスのステータスを確認できます。ビデオで説明されている手順は次のとおりです。
-
デバイスに正しいソフトウェアがインストールされていることを確認します。デバイスが入っていた配送用の箱を確認してください。デバイスにインストールされている FTD ソフトウェアを識別する無地の白いステッカーが貼られているはずです。ソフトウェアパッケージ番号は、次の表のようになります。
ロータッチプロビジョニングをサポートするファイアウォールモデル番号 サポート対象のファイアウォール ソフトウェア バージョン FTDソフトウェア パッケージ Firepower 1000 シリーズ デバイスモデル:1010、1120、1140、1150 6.7 以降 SF-F1K-TD6.7-K9 Firepower 2100 シリーズ デバイスモデル:2110、2120、2130、2140 6.7 以降 SF-F2K-TD6.7-K9 Cisco Secure Firewall 3100 シリーズ デバイスモデル:3110、3120、3130、3140 7.1 以降 SF-F3K-TD7.1.0-K9 -
デバイスをラックに収納するか、配送用の箱を処分する前に、デバイスのシリアル番号を記録して IT 部門に送信してください。シリアル番号はデバイス管理に必要です。デバイスのシリアル番号は、デバイスが入っていた配送用の箱と、デバイス自体に貼られたラベルに記載されています。詳細については、デバイスのシリアル番号の確認を参照してください。
-
箱を開梱し、中身を取り出します。デバイスを設置してネットワークに接続し、デバイスが Cisco Cloud に正常に登録されるまで、配送用の箱を保管してください。
-
デバイスを電源に接続します。
-
イーサネット 1/1 インターフェイスから WAN モデムにネットワークケーブルを接続します。WAN モデムは、分散拠点とインターネットを接続する機器であり、ファイアウォールからインターネットへのルートにもなります。
(注)
デバイスの管理インターフェイスから WAN にはネットワークケーブルを接続しないでください。
-
デバイスのステータス LED、SYS LED、または M LED を観察して、デバイスが Cisco Cloud に到達したかどうかを判断します。次の表は、LED ステータスと、イーサネットケーブルを接続してから到達までのおおよその時間を示しています。ネットワークの状態や使用しているファイアウォールモデルによっては、ファイアウォールが Cisco Cloud に到達するまでに、もう少し時間がかかる場合があります。
LED ステータス 説明 デバイスの電源を入れた後の時間(分 : 秒) 緑色で高速点滅
すべてのモデルのステータス LED または SYS LED で確認できます。
デバイスは正しく起動しています。 01:00 オレンジ色で高速点滅
すべてのモデルのステータス LED または SYS LED で確認できます。
デバイスが正しく起動しませんでした。 01:00 緑色に点灯
すべてのモデルのステータス LED または SYS LED で確認できます。
アプリケーションがデバイスにロードされました。 10:00 オレンジに点灯
すべてのモデルのステータス LED または SYS LED で確認できます。
アプリケーションがデバイスに正しく読み込まれませんでした。 10:00 緑色で低速点滅 Firepower 1000 および Firepower 2100 シリーズ デバイスのステータス LED または SYS LED で確認できます。
Cisco Secure Firewall 3100 シリーズ デバイスの M LED で確認できます。
デバイスが Cisco Cloud に接続されました。 15:00 グリーンとオレンジに交互に点滅 Firepower 1000 および Firepower 2100 シリーズ デバイスのステータス LED または SYS LED で確認できます。
Cisco Secure Firewall 3100 シリーズ デバイスの M LED で確認できます。
デバイスが Cisco Cloud に接続できませんでした。 15:00
このタスクを完了すると、IT 管理者はファイアウォールをリモートから設定できるようになります。これで完了です。
シリアル番号を使用して FTD から Cisco Defense Orchestrator にオンボード
ユーザーが CDO 管理者であり、ブランチオフィスの誰かが新しい未構成の Cisco Firepower 1000、2100、または Cisco Secure Firewall 3100 シリーズデバイスをネットワークに接続している場合、ユーザーのタスクはそれを使用してデバイスを CDO にオンボードすることです。デバイスのシリアル番号を使用して FTD をオンボーディングする手順を参照してください。
ユーザーが CDO 管理者であり、完全に構成された新しい Cisco Firepower 1000、2100、または Cisco Secure Firewall 3100 シリーズデバイスをオンボードすることがタスクである場合、デバイスを CDO にオンボードする他の 2 つの方法は次の通りです。
デバイスのシリアル番号の確認
IT 部門では、デバイスに接続してリモートで管理するために、デバイスのシリアル番号が必要になります。シリアル番号は 2 か所で確認できます。
製品の梱包箱上のラベル
シリアル番号は、ファイアウォール製品の梱包箱のラベルに印刷されています。例を次に示します。
シャーシのラベル
Firepower 1000:シリアル番号は、デバイスの底面のラベルに記載されています。
Firepower 1100:シリアル番号は、デバイスの背面または底面のラベルに記載されています。
Firepower 2100:シリアル番号は、デバイス前面の引き出しタブのラベルに記載されています。
Cisco Secure Firewall 3100:シリアル番号は、デバイス前面の引き出しタブのラベルに記載されています。
(任意)コンソールケーブルを使用したファイアウォールへの接続
ラップトップなどのデバイスからファイアウォールにコンソールケーブルを接続し、ターミナルウィンドウを開いてコマンドをいくつか入力すると、デバイスのシリアル番号を表示できます。
(注) |
この手順では、コンソールケーブルを使用してコンピュータをファイアウォールに接続し、デバイスのシリアル番号を取得します。コマンド ライン インターフェイスを使用したり、ラップトップにソフトウェアドライバをインストールしたりすることに慣れている上級ユーザー向けです。 |
-
コンソールケーブルを使用してラップトップをデバイスに接続する方法については、「コンソールポートへの接続」を参照してください。コマンドの説明は『Cisco Firepower 1010 ハードウェア設置ガイド』に記載されています。Firepower 1000 シリーズ、Firepower 2100 シリーズ、および Cisco Secure Firewall 3100 シリーズのすべてのデバイスでも同じです。
1010 および 1100 シリーズのデバイスには、2 種類のコンソールポートがあります。ファイアウォールに付属の USBA - B コンソールケーブルまたは DB9 - RJ45 シリアルケーブルを使用できます。
Firepower 2100 および 3100 シリーズのデバイスにはコンソールポートが 1 つあります。これらのデバイスには、DB9 - RJ45 シリアルケーブルのみが付属しています。ケーブルの接続には、サードパーティ製のシリアル - USB ケーブルが必要になる場合があります。ご使用のオペレーティング システムに必要な USB シリアル ドライバを必ずインストールしてください。
-
管理ユーザーとしてデバイスにログインします。デバイスが設定されていない場合は、管理者用に新しいパスワードを作成するよう求められます。
-
firepower#
プロンプトで、show chassis details
と入力します。Firepower 1010 デバイスからの出力の例を次に示します。デバイスのモデル番号が [製品名(Product Name)] フィールドに表示されます。firepower# show chassis detail Chassis: Chassis: 1 Overall Status: Operable Oper qualifier: N/A Operability: Operable Product Name: Cisco Firepower 1010 Security Appliance PID: FPR-1010 VID: V01 Vendor: Cisco Systems, Inc Serial (SN): JMX2405X0R9 HW Revision: 0.6 PCB Serial Number: JAD24040S6L Power State: Ok Thermal Status: Ok Boot Status: OK Current Task: firepower#
出力には、2 つのシリアル番号が表示されます。シリアル (SN) フィールドの値を IT 部門に報告してください。
FMC による管理用 FTD デバイスのリモートブランチオフィス展開
中央本社の FMC を使用して、リモートブランチオフィスに FTD を導入できます。
FTD をプロビジョニングするには、次のいずれかの方法を使用します。
-
本社の管理者は、CLI または FDM を使用して FTD を事前設定してから、リモートブランチオフィスに FTD を送信します。
-
ブランチオフィスの管理者が、FTD をケーブルで接続して電源をオンにします。
-
中央管理者が、FMC を使用して FTD の設定を完了します。
詳細については、モデルのスタートガイドを参照してください。