소개
이 문서에서는 Firepower Chassis Manager를 사용하여 Cisco Firepower 4100/9300 FXOS에서 논리적 디바이스를 생성하고 관리하는 방법에 대해 설명합니다.
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- Firepower 4100/9300 초기 섀시 구성
- Firepower 4100/9300 FXOS CLI 컨피그레이션
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
추가 정보
FTD 제품 버전 선택
시작하기 전에 최신 FPR4145 FXOS 버전 또는 대상 FTD 논리적 인스턴스 버전과 호환되는 버전으로 업그레이드하는 것이 좋습니다.
이 문서의 대상 FTD 버전은 7.2.5-208입니다. 따라서 FPR4145 섀시에 권장되는 FXOS 버전은 2.12.0-519입니다.
구성
Cisco FCM GUI 액세스
Firepower 섀시 관리자에 로그인하고 주소 표시줄에 URL을 입력합니다(지원되는 브라우저에서).
https://
FMC GUI 액세스
https://software.cisco.com/에서 Firepower 4100/9300 시리즈용 해당 Secure FTD 설치 패키지를 다운로드합니다.
이미지 이름: cisco-ftd.7.2.5.208.SPA.csp
.
패키지 업로드
FTD 설치 패키지를 FXOS 섀시에 업로드합니다. 탐색 System > Updates
.
선택 Upload image
을 클릭한 다음 다음을 찾아 업로드합니다.
FTD 이미지 업로드
팁: 이미지가 업로드되면 최종 사용자 사용권 계약이 표시되며, '동의함'을 선택하여 동의할 수 있습니다.
FTD 설치 패키지가 섀시에 성공적으로 업로드되었습니다.
FTD 이미지를 섀시에 업로드했습니다.
논리적 디바이스 생성
이제 다음 사이트로 이동하여 논리적 디바이스를 생성할 수 있습니다. Logical Devices
탭 및 클릭 Add
:
논리적 인스턴스 추가를 선택합니다.
다음으로, Standalone
.
독립형 인스턴스 추가
경고: HA 또는 독립형의 논리적 디바이스에 대해 Standalone(독립형)을 선택합니다. 클러스터 모드의 여러 컨테이너에 대해 Cluster를 선택합니다. Cluster(클러스터)를 선택하는 경우 클러스터 내에 생성된 모든 모듈의 Type(유형)이 동일해야 합니다.
다음을 지정합니다. Device Name
및 Instance Type
(네이티브 또는 컨테이너):
장치 이름 및 인스턴스 유형 지정
참고: 인스턴스 유형은 Native 또는 Container로 선택할 수 있습니다. 네이티브 인스턴스를 생성하면 섀시에서 사용 가능한 모든 리소스와 보안 모듈(예: CPU, RAM, 디스크 공간)이 할당됩니다. 컨테이너 인스턴스 유형은 사용 가능한 리소스의 일부를 사용합니다. 이를 통해 동일한 섀시에 여러 컨테이너 FTD 인스턴스를 설치할 수 있습니다.
주의: 다중 인스턴스 기능은 FMC를 사용하는 FTD에서만 지원되며 ASA(Adaptive Security Appliance) 또는 Firepower 장치 관리자를 사용하는 FTD에서는 지원되지 않습니다.
프로비저닝 화면이 이후에 로드됩니다.
논리적 디바이스 프로비저닝
주의: 생성 중인 FTD 논리 인스턴스에 대한 관리 인터페이스가 하나 이상 있는지 확인합니다. 다음 사이트로 이동하여 이를 확인할 수 있습니다. Interfaces Tab > Edit Interface > Type
. 유형을 management로 변경합니다.
Data Ports(데이터 포트) 패널에서 Ethernet 1/1(이더넷 1/1)을 클릭하여 이 인스턴스에 할당할 모든 관리 및 데이터 인터페이스를 선택할 수 있습니다. 이러한 인터페이스는 FTD 인스턴스에 할당됩니다.
필요한 만큼 인터페이스를 선택할 수 있습니다. 이 예에서는 Interfaces Ethernet 1/1
수신 Ethernet 1/6
이 FTD 인스턴스에 할당됩니다.
FTD 인스턴스에 할당된 인터페이스 Eth1/1~Eth1/6
다음 단계로 넘어가서 Click to configure
. 부트스트랩 컨피그레이션이 다음 옆에 표시됩니다. General Information
.
다음을 지정합니다. Management Interface
, Address Type
, Management IP
, Network Mask
및 Gateway
:
부트스트랩 일반 정보
선택 Ok
다음을 사용하여 부트스트랩 설정을 구성할 수 있습니다.
- 애플리케이션 인스턴스의 관리 유형
- 도메인 검색
- 방화벽 모드
- DNS 서버
- 암호
- 암호 확인
부트스트랩 구성 설정.
참고: 이 단계 또는 이후 단계에서 FTD CLI 초기 컨피그레이션을 사용하여 FMC 설정을 구성하고 FTD를 등록할 수 있습니다.
선택 Ok
및 Save
:
이 Logical Device List
페이지가 자동으로 표시되고 응용 프로그램 상태가 다음으로 표시됩니다. Starting
:
애플리케이션 상태가 시작인 논리적 디바이스 목록입니다.
CLI를 사용하여 논리적 인스턴스 상태를 확인하고 추적할 수도 있습니다. SSH 또는 콘솔을 통해 FPR4125 섀시에 연결합니다.
FPR4125# scope ssa
FPR4125 /ssa # show app-instance
Admin State(관리 상태)가 Enabled(활성화됨)이고 Operational State(작동 상태)에 Starting(시작)이 표시됩니다.
작동 상태가 시작 중입니다.
몇 분 후 Operational State(작동 상태)에 Started(시작됨)가 표시됩니다.
작업 상태가 시작됨으로 진행됨
App-Instance Operational State(앱 인스턴스 작동 상태)가 Online(온라인)으로 전환됩니다. 이 시점에서 FTD Native 논리 인스턴스가 FPR4125 섀시에 완전히 설치되었으며 FTD의 초기 컨피그레이션을 수행할 수 있습니다.
작동 상태가 온라인으로 전환됨
FCM은 FTD 논리 인스턴스가 온라인임을 표시합니다.
다음을 확인합니다.
마지막으로, 다음 명령을 사용하여 FXOS CLI에서 FTD 논리적 디바이스에 성공적으로 액세스했는지 검증할 수 있습니다.
FPR4125# connect module 1 console
Firepower-module1>connect ftd
Connecting to ftd(FTD) console... enter exit to return to bootCLI
> show version
FTD 버전 출력 표시
논리 인스턴스 관리
오른쪽의 Logical Device List(논리적 디바이스 목록) 탭에서 Edit(수정) 및 Options(옵션) 아이콘을 사용할 수 있습니다.
옵션을 선택하면 다음과 같이 표시됩니다.
옵션 선택 아이콘
Delete(삭제) 옵션을 사용하면 섀시에서 FTD 논리적 디바이스 인스턴스를 완전히 제거하고 FTD 인스턴스 전용 모든 리소스를 해제할 수 있습니다. 이로 인해 보안 모듈이 다시 시작됩니다.
Set Version(버전 설정) 아이콘을 선택하면 Update Image(이미지 업데이트) 버전 배너가 표시되며, FTD를 업데이트하기 위해 New Version(새 버전)을 선택할 수 있습니다. FTD 이미지 파일을 FPR4125 섀시에 미리 업로드해야 합니다.
Enable Link State(링크 상태 활성화)는 FTD가 인라인 집합 인터페이스로 구성되어 있고 링크 상태 전파를 활성화할 수 있는 경우 사용됩니다.
주: 자세한 내용은 이 문서, FTD에 대한 인라인 집합 링크 상태 전파 섹션(https://www.cisco.com/c/en/us/td/docs/security/firepower/630/configuration/guide/fpmc-config-guide-v63/firepower_threat_defense_logical_devices.html)을 참조하십시오.
이제 Cisco의 Disable
, Set Version
, Restart Instance
및 Reinstall Instance
이 이미지에 표시된 아이콘 옵션:
비활성화, 버전 설정, 재시작 및 재설치 아이콘
경고: FTD 장치가 정상적으로 작동하는 동안 Disable, Restart 및 Reinstall 옵션은 권장되지 않습니다. FTD 재부팅 또는 재시작을 수행하려는 경우 Cisco Secure Firewall Management Center 또는 FTD CLI(Graceful Restart)에서 위와 같은 작업을 수행하는 것이 좋습니다.
비활성화 아이콘
이 옵션은 컨피그레이션을 제거하지 않고 FTD 논리 인스턴스를 비활성화하고 종료합니다. Disable(비활성화)을 선택하면 다음 이미지에 표시된 확인 배너가 표시됩니다.
Disable(비활성화)을 확인합니다.
논리 인스턴스 상태가 중지로 변경됩니다.
작동 상태가 중지입니다.
FTD 논리 인스턴스 상태가 오프라인으로 전환됩니다.
작동 상태가 오프라인입니다.
인스턴스 재시작 아이콘
이 옵션은 애플리케이션 인스턴스를 즉시 재시작하는 데 사용되며 논리 디바이스의 부트스트랩 설정을 수정한 후 종종 사용할 수 있습니다.
라인솔
이 옵션을 선택하면 모든 애플리케이션 컨피그레이션이 제거되고 FTD 논리적 인스턴스 소프트웨어의 공장 설정이 재설정됩니다. 계속 진행하기 전에 확인 배너가 표시됩니다.
Reinstall(재설치)을 확인합니다.
문제 해결
비정상적인 작업, 무의식적 또는 예기치 않은 디바이스 리부팅 중에 논리적 인스턴스의 작동 상태가 '보안 모듈이 응답하지 않음'과 같은 비정상적인 상태를 나타낼 수 있습니다.
작동 상태가 응답하지 않습니다.
탐색: Security Engine
탭을 클릭합니다. 보안 엔진의 서비스 상태는 Not-responding
.
보안 엔진 상태가 응답하지 않습니다.
다음 명령을 실행하여 FXOS CLI에서 애플리케이션 인스턴스 작동 상태를 확인할 수 있습니다.
# show app-instance detail
중요 또는 주요 보안 모듈 오류가 관찰되지 않고 앱 인스턴스의 작동 상태가 인 경우 보안 엔진을 재설정할 수 있습니다. Starting
. 선택 Reinitialize Security Engine
.
경고: 계속하기 전에 FTD 컨피그레이션 백업이 있는지 확인하십시오.
보안 엔진 다시 초기화
3-5분 후 보안 엔진 서비스 상태가 온라인 상태로 돌아갑니다.
보안 엔진 상태가 온라인입니다.
마지막으로, FTD 논리 인스턴스가 다시 온라인 상태로 돌아갑니다.
논리 인스턴스 상태가 다시 온라인 상태가 됨
참고: 성능이 저하된 작동 상태의 이유나 시나리오가 설명된 예와 일치하면 다음 단계를 사용하여 문제를 해결하십시오. 다른 이유로 인해 TAC에 문의하는 것이 좋습니다.