Logische apparaten maken en beheren in FXOS Chassis Manager
Inleiding
Dit document beschrijft hoe u logische apparaten kunt maken en beheren in Cisco Firepower 4100/9300 FXOS met Firepower Chassis Manager.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Firepower 4100/9300 eerste chassis configuratie.
- Firepower 4100/9300 FXOS CLI-configuratie.
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
-
Cisco FirePOWER 4125 security applicatie.
- Cisco Firepower Extensible Operating System (FXOS) - 2.12(1.29)
- Cisco Secure Firepower Threat Defence (FTD) - 7.2.5-2008
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Aanvullende informatie
Kies de FTD-productversie
Alvorens te starten, overweeg een upgrade naar de nieuwste FPR4145 FXOS-versie of een compatibele versie met uw FTD logische instantieversie.
De beoogde FTD-versie voor dit document is 7.2.5-208. Daarom is de aanbevolen FXOS-versie voor het FPR4145-chassis 2.12.0-519.
Opmerking: Raadpleeg dit document om de compatibiliteit van FXOS en FTD te bekijken: Sectie 14 - https://www.cisco.com/c/en/us/td/docs/security/secure-firewall/compatibility/threat-defense-compatibility.html#id_67425.
Configureren
Access Cisco FCM GUI
Meld u aan bij Firepower Chassis Manager en voer de URL in de adresbalk in (van een ondersteunde browser):
https://
Access FMC GUI
Download het bijbehorende Secure FTD installatiepakket voor de Firepower 4100/9300 reeks van https://software.cisco.com/.
De beeldnaam is cisco-ftd.7.2.5.208.SPA.csp.
Uploadpakket
Upload het FTD installatiepakket naar het FXOS chassis. Naar navigeren System > Updates.
Kiezen Upload imageBlader en upload vervolgens:
FTD-afbeelding uploaden
Tip: zodra de afbeelding is geüpload, wordt de Gebruiksrechtovereenkomst weergegeven. U kunt deze accepteren door 'Ik begrijp de overeenkomst en accepteer de overeenkomst' te selecteren.
Het FTD-installatiepakket is geüpload naar het chassis:
FTD-afbeelding geüpload naar chassis
Een logisch apparaat maken
U kunt nu een logisch apparaat maken door te navigeren naar de Logical Devices tabblad en klik Add:
Selecteer Logische instantie toevoegen
Kies vervolgens Standalone.
Zelfstandige instantie toevoegen
Waarschuwing: kies Standalone voor logische apparaten in HA of standalone. Kies Cluster voor meerdere containers in clustermodus. Merk op dat als u Cluster kiest, alle modules die binnen het cluster worden gemaakt, hetzelfde type moeten hebben.
Specificeer de Device Name en Instance Type (native of container):
Apparaatnaam en installatietype opgeven
Opmerking: het instantietype kan worden geselecteerd als Native of Container. Het creëren van een Inheemse Instantie wijst alle beschikbare middelen in de chassis en de veiligheidsmodules zoals cpu, RAM, en schijfruimte toe. Het Type van instantie van de container gebruikt een fractie van de beschikbare middelen. Dit maakt het mogelijk om meerdere container FTD-instanties in hetzelfde chassis te installeren.
Waarschuwing: de mogelijkheid voor meerdere instanties wordt alleen ondersteund voor de FTD met behulp van FMC; het wordt niet ondersteund voor de Adaptieve security applicatie (ASA) of de FTD met behulp van Firepower Device Manager.
Het provisioningscherm wordt daarna geladen:
Provisioning van logische apparaten
Waarschuwing: Zorg ervoor dat er ten minste één Beheerinterface is voor de logische instantie FTD die u maakt. U kunt dit valideren door te navigeren naar de Interfaces Tab > Edit Interface > Type . Wijzig het type in beheer.
Vanuit het paneel Data Ports kunt u alle beheer- en datainterfaces kiezen om deze instantie toe te wijzen door op Ethernet 1/1 te klikken. Een dergelijke interface wordt toegewezen aan de FTD-instantie:
U kunt desgewenst zoveel interfaces kiezen. In dit voorbeeld ziet u Interfaces Ethernet 1/1 in Ethernet 1/6 zijn toegewezen aan dit FTD-exemplaar:
Interfaces Eth1/1 t/m Eth1/6 toegewezen aan FTD-instantie
Vooruit bewegen, kiezen Click to configure. De configuratie van de laarzentrekker wordt hieronder getoond met General Information.
Specificeer de Management Interface, Address Type, Management IP, Network Mask en Gateway:
Bootstrap algemene informatie
Kiezen Ok en u kunt de instellingen voor Bootstrap configureren met behulp van deze:
- Type beheer van de applicatie-instantie
- Domeinen zoeken
- Firewallmodus
- DNS-servers
- Wachtwoord
- Wachtwoord bevestigen
Instellingen voor bootstrap-configuratie.
Opmerking: U kunt de FMC-instellingen configureren en het FTD in deze fase of later registreren met behulp van de FTD CLI Initial Configuration.
Kiezen Ok, en Save:
Het Logical Device List De pagina wordt automatisch weergegeven en de toepassingsstatus wordt weergegeven als Starting:
Lijst met logische apparaten met toepassingsstatus als gestart.
U kunt de status van de logische instantie ook bevestigen en volgen met de CLI. Aansluiten via SSH of console op FPR4125-chassis:
FPR4125# scope ssa
FPR4125 /ssa # show app-instance
Admin State is ingeschakeld en de operationele status begint met:
Operationele staat begint.
Na een paar minuten is het display Operational State gestart:
Operationele toestand is geëvolueerd naar Started
App-Instance Operational State is overgeschakeld op Online. Op dit punt is de FTD Native logical instance volledig geïnstalleerd in het FPR4125 Chassis en u kunt de eerste configuratie van FTD uitvoeren.
De operationele staat is overgeschakeld op Online
FCM toont FTD Logical Instance is Online.
Verifiëren
Tot slot kunt u bevestigen dat de toegang tot het FTD Logical Device met deze opdrachten van FXOS CLI is geslaagd:
FPR4125# connect module 1 console
Firepower-module1>connect ftd
Connecting to ftd(FTD) console... enter exit to return to bootCLI
> show version
FTD Toon versie-uitvoer
Logische instantie beheren
De pictogrammen Bewerken en Opties zijn beschikbaar in het tabblad Logische apparaatlijst aan de rechterkant.
Weergave opties kiezen:
- Verwijderen
- Versie instellen
- Schakel koppelingsstatus in
Selecteer het pictogram Opties.
Met de optie Delete kunt u de FTD Logical device instantie volledig verwijderen uit het chassis en alle resources vrijgeven die gewijd zijn aan de FTD-instantie. Dit zorgt er ook voor dat de Security Module opnieuw wordt gestart.
Als u het pictogram Versie instellen kiest, verschijnt de banner Afbeelding bijwerken en kunt u de nieuwe versie kiezen om FTD bij te werken. Merk op dat u het FTD beeldbestand vooraf naar het FPR4125 chassis moet uploaden.
Link State inschakelen wordt gebruikt wanneer FTD is geconfigureerd met een inline-interface en kan de doorgifte van koppelingsstatus inschakelen.
Opmerking: Raadpleeg voor meer informatie dit document, sectie Inline Set Link State Propagation for the FTD - https://www.cisco.com/c/en/us/td/docs/security/firepower/630/configuration/guide/fpmc-config-guide-v63/firepower_threat_defense_logical_devices.html.
Nu zie je de Disable, Set Version, Restart Instance, en Reinstall Instance pictogramopties zoals in deze afbeelding:
Pictogrammen uitschakelen, instellen, opnieuw starten en opnieuw installeren
Waarschuwing: tijdens het normaal gebruik van het FTD-apparaat worden de opties Uitschakelen, opnieuw starten en opnieuw installeren niet aangeraden. Als u van plan bent een FTD-herstart uit te voeren of opnieuw te starten, wordt aanbevolen de genoemde acties uit te voeren vanuit het Cisco Secure Firewall Management Center of FTD CLI (elegante herstart).
- Uitschakelen
Pictogram uitschakelen.
Met deze optie wordt de logische instantie van de FTD uitgeschakeld en uitgeschakeld zonder enige configuratie te verwijderen. Als u Uitschakelen kiest, ziet u de bevestigingsbanner zoals in deze afbeelding:
Bevestig Uitschakelen.
De status van logische instantie wordt gewijzigd in Stoppen:
De operationele status stopt.
De status van de logische instantie van de FTD is offline geschakeld:
De operationele staat is offline.
- herstartinstantie
Pictogram Opnieuw starten.
Deze optie wordt gebruikt om de applicatie-instantie onmiddellijk opnieuw te starten en kan vaak worden gebruikt na het wijzigen van de bootstrap-instellingen van een logisch apparaat.
- Installatie-instantie opnieuw
Reinsall.
Als u deze optie kiest, worden alle toepassingsconfiguraties verwijderd en worden de fabrieksinstellingen van de logische FTD-instantiesoftware hersteld. Er wordt een bevestigingsbanner weergegeven voordat u verdergaat:
Bevestig de herinstallatie.
Problemen oplossen
Tijdens abnormale operaties, ondankbare of onverwachte reboots van het apparaat, kan de operationele status van de logische instantie abnormale toestanden zoals 'Security Module niet reageren' tonen:
De operationele staat reageert niet.
Naar het Security Engine tabblad. Servicestatus van de Security-engine toont Not-responding.
De status van Security Engine reageert niet.
U kunt de operationele status van de app-instantie van FXOS CLI valideren door deze opdracht uit te geven:
# show app-instance detail
Security Engine kan worden gereset als er geen kritieke of belangrijke fouten in de beveiligingsmodule worden waargenomen en de operationele status van de app-instantie is in Starting. Kiezen Reinitialize Security Engine.
Waarschuwing: zorg ervoor dat u een back-up van de FTD-configuratie hebt voordat u doorgaat.
Security Engine opnieuw initialiseren
Na 3-5 minuten is de Security Engine Service State terug naar de Online Staat:
Security Engine staat online.
Ten slotte is de FTD Logical Instance ook terug naar de Online staat:
Logische instantie staat terug naar online
Opmerking: als de reden of het scenario van de verslechterde operationele status overeenkomt met het beschreven voorbeeld, gebruikt u deze stappen om het probleem op te lossen. Om andere redenen wordt aanbevolen contact op te nemen met TAC.
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
3.0 |
19-Oct-2023 |
Het volgende uit de vereisten verwijderd:
Consolepoort fysiek aangesloten op een computerterminal of consoleserver
1 Gbps Ethernet-beheer |
2.0 |
17-Oct-2023 |
Aangepaste vereisten: Cisco raadt u aan kennis te hebben van deze onderwerpen: |
1.0 |
11-Oct-2023 |
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)