在FXOS机箱管理器中创建和管理逻辑设备
简介
本文档介绍如何使用Firepower机箱管理器在Cisco Firepower 4100/9300 FXOS中创建和管理逻辑设备。
先决条件
要求
Cisco 建议您了解以下主题:
- Firepower 4100/9300初始机箱配置。
- Firepower 4100/9300 FXOS CLI配置。
使用的组件
本文档中的信息基于以下软件和硬件版本:
-
Cisco Firepower 4125安全设备。
- 思科Firepower可扩展操作系统(FXOS)- 2.12(1.29)
- 思科安全Firepower威胁防御(FTD)- 7.2.5-208
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
其他信息
选择FTD产品版本
开始之前,请考虑升级到最新的FPR4145 FXOS版本或与目标FTD逻辑实例版本兼容的版本。
本文档的目标FTD版本为7.2.5-208。因此,FPR4145机箱的推荐FXOS版本为2.12.0-519。
配置
访问Cisco FCM GUI
登录到Firepower机箱管理器,然后在地址栏中输入URL(从支持的浏览器):
https://
访问FMC GUI
从https://software.cisco.com/下载适用于Firepower 4100/9300系列的相应安全FTD安装包。
映像名称为 cisco-ftd.7.2.5.208.SPA.csp.
上传包
将FTD安装包上传到FXOS机箱。导航至 System > Updates.
选择 Upload image,然后浏览并上传:
上传FTD映像
提示:上传映像后,系统将显示最终用户许可协议,您可以通过选择“我理解并接受协议”接受该协议。
FTD安装包已成功上传到机箱:
FTD映像已成功上传到机箱
创建逻辑设备
现在,您可以通过导航到 Logical Devices 选项卡并点击 Add:
选择“添加逻辑实例”
下一步,选择 Standalone.
添加独立实例
警告:为HA中的逻辑设备或独立设备选择Standalone。对于集群模式下的多个容器,请选择集群。请注意,如果选择Cluster,则集群内创建的所有模块必须具有相同的类型。
指定 Device Name 和 Instance Type (本地或容器):
指定设备名称和实例类型
注意:实例类型可选为本机或容器。创建本地实例会分配机箱和安全模块中的所有可用资源,例如CPU、RAM和磁盘空间。容器实例类型使用可用资源的一部分。这允许在同一机箱中安装多个容器FTD实例。
注意:仅使用FMC的FTD支持多实例功能;自适应安全设备(ASA)或使用Firepower设备管理器的FTD不支持多实例功能。
调配屏幕随后会加载:
逻辑设备调配
注意:确保您创建的FTD逻辑实例至少有一个管理接口。您可以通过导航到 Interfaces Tab > Edit Interface > Type . 将类型更改为management。
在Data Ports面板中,您可以通过单击Ethernet 1/1选择所有管理和数据接口,以便为此实例进行分配。此类接口分配给FTD实例:
您可以根据需要选择任意数量的接口。在本例中,您可以看到 Interfaces Ethernet 1/1 到 Ethernet 1/6 分配给此FTD实例:
Eth1/1到Eth1/6的接口分配给FTD实例
继续前进,选择 Click to configure.Bootstrap配置旁边显示了 General Information.
指定 Management Interface, Address Type, Management IP, Network Mask 和 Gateway:
引导程序一般信息
选择 Ok 并且可以使用以下命令配置引导程序设置:
- 应用程序实例的管理类型
- 搜索域
- 防火墙模式
- DNS Servers
- 密码
- 确认密码
引导程序配置设置。
注意:可以在此阶段或以后使用FTD CLI初始配置配置FMC设置并注册FTD。
选择 Ok,和 Save:
此 Logical Device List 页面自动显示,您的应用状态显示为 Starting:
应用程序状态为正在启动的逻辑设备列表。
您还可以使用CLI确认和跟踪逻辑实例状态。通过SSH或控制台连接到FPR4125机箱:
FPR4125# scope ssa
FPR4125 /ssa # show app-instance
Admin State is Enabled,而Operational State显示Starting:
运行状态正在启动。
几分钟后,运行状态会显示Started:
操作状态进展为已启动
应用实例运行状态切换为在线。此时,FTD本地逻辑实例已完全安装在FPR4125机箱中,您可以执行FTD的初始配置。
工作状态切换为“联机”
FCM显示FTD逻辑实例处于联机状态。
验证
最后,您可以使用以下命令验证从FXOS CLI对FTD逻辑设备的访问是否成功:
FPR4125# connect module 1 console
Firepower-module1>connect ftd
Connecting to ftd(FTD) console... enter exit to return to bootCLI
> show version
FTD Show version输出
管理逻辑实例
Edit和Options图标在右侧的Logical Device List选项卡中可用。
系统随即会显示“选择选项”:
- DELETE
- 设置版本
- 启用链路状态
选择选项图标。
使用Delete选项,您可以从机箱中完全删除FTD逻辑设备实例,并释放专用于该FTD实例的所有资源。这也会导致安全模块重新启动。
选择Set Version图标将显示更新映像版本标语,您可以选择New Version以更新FTD。请注意,您需要事先将FTD映像文件上传到FPR4125机箱。
当FTD配置有内联集接口且可以启用链路状态传播时,将使用Enable Link State。
现在,您可以看到 Disable, Set Version, Restart Instance,和 Reinstall Instance 图标选项,如下图所示:
禁用、设置版本、重新启动并重新安装图标
警告:在FTD设备的正常操作过程中,不建议Disable、Restart和Reinstall选项。如果您计划执行FTD重新启动或重新启动,建议的方法是从Cisco Secure Firewall Management Center或FTD CLI执行上述操作(平稳重新启动)。
- disable
禁用图标。
此选项禁用和关闭FTD逻辑实例而不删除任何配置。选择Disable时,您会看到确认横幅,如下图所示:
确认禁用。
逻辑实例状态更改为停止:
操作状态为停止。
FTD逻辑实例状态切换为Offline:
运行状态为脱机。
- 重新启动实例
重新启动实例图标。
此选项用于立即重新启动应用程序实例,并且通常可以在修改逻辑设备的引导程序设置后使用。
- 重新安装实例
瑞索。
选择此选项将删除所有应用程序配置并重置FTD逻辑实例软件上的出厂设置。在继续操作之前,将显示确认横幅:
确认重新安装。
故障排除
在异常操作、设备意外重启或未知重启期间,逻辑实例的运行状态可能显示异常状态,如“安全模块未响应”:
操作状态没有响应。
导航至 Security Engine 选项卡。安全引擎的服务状态显示 Not-responding.
安全引擎状态不响应。
您可以通过发出以下命令从FXOS CLI验证应用实例运行状态:
# show app-instance detail
安全引擎可在未观察到严重或主要安全模块故障且应用实例处于运行状态时重置 Starting.选择 Reinitialize Security Engine.
警告:请确保您有FTD配置备份,然后再继续。
重新初始化安全引擎
3-5分钟后,安全引擎服务状态恢复到在线状态:
安全引擎状态为联机。
最后,FTD逻辑实例也返回到联机状态:
逻辑实例状态恢复为联机
注意:如果降级运行状态的原因或场景与所述的示例匹配,请使用以下步骤解决此问题。出于其他原因,建议您联系TAC。
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
3.0 |
19-Oct-2023 |
已从“要求”中删除以下内容:
与计算机终端或控制台服务器物理连接的控制台端口
1 Gbps以太网管理 |
2.0 |
17-Oct-2023 |
修改后的要求:思科建议您了解以下主题: |
1.0 |
11-Oct-2023 |
初始版本 |
反馈