在不使用Eth0作为管理的情况下配置安全防火墙管理中心
简介
本文档介绍如何使用不同的端口而不是默认的Eth0接口配置安全防火墙管理中心(FMC)。
先决条件
要求
Cisco 建议您了解以下主题:
- 了解思科安全防火墙管理中心(以前称为Firepower管理中心)
- 基本网络知识
使用的组件
本文档中的信息基于以下软件和硬件版本:
- 运行软件版本5.x及更高版本的思科安全防火墙管理中心(FMC 1000、1600、2500、2600、4500、4600和虚拟)。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
关于安全防火墙管理中心的管理连接
使用FMC信息配置设备后,将设备添加到FMC后,设备或FMC都可以建立管理连接。根据初始设置:
-
设备或FMC可以启动。
-
只有设备可以启动。
-
只有FMC才能启动。
发起始终源于FMC上的eth0或设备上编号最小的管理接口。如果连接未建立,则尝试其他管理接口。通过FMC上的多个管理接口,您可以连接到离散网络或分离管理和事件流量。但是,发起方不会根据路由表选择最佳接口。
标记为Management(Eth0)的内部接口是嵌入在设备机箱中的1千兆以太网。某些型号的FMC机箱具有可以承载网络模块扩展卡的扩展插槽,该扩展卡可以是铜缆或光纤扩展卡,最高可达10千兆,某些机箱嵌入式端口可以支持10千兆以太网SFP+收发器。
此图显示FMC 1000的后面板。
图 1.FMC 1000后面板| 1 |
2个USB键盘端口 您可以连接键盘,并与VGA端口上的显示器一起访问控制台。 |
2 |
CIMC接口(标记为“M”) 不支持此接口。 |
| 3 |
串行控制台端口 默认情况下禁用此端口;改用VGA端口和键盘USB端口。 |
4 |
eth0管理接口(标记为“1”) 千兆以太网10/100/1000 Mbps接口,RJ-45 eth0是默认管理接口。 |
| 5 |
eth1管理接口(标记为“2”) 千兆以太网10/100/1000 Mbps接口,RJ-45 |
6 |
VGA接口 默认启用。 |
| 7 |
设备识别按钮/LED |
8 |
两个770-W交流电源 |
此图显示FMC 2500和4500的后面板。
图 2.FMC 2500和4500后面板
| 1 |
2个USB键盘端口 您可以连接键盘,并与VGA端口上的显示器一起访问控制台。 |
2 |
CIMC接口(标记为“M”) 不支持此接口。 |
| 3 |
串行控制台端口 默认情况下禁用此端口;改用VGA端口和键盘USB端口。 |
4 |
eth0管理接口(标记为“1”) 千兆以太网10/100/1000 Mbps接口,RJ-45 eth0是默认管理接口。 |
| 5 |
eth1管理接口(标记为“2”) 千兆以太网10/100/1000 Mbps接口,RJ-45 |
6 |
VGA接口 默认启用。 |
| 7 |
设备识别按钮/LED |
8 |
两个770-W交流电源 |
| 9 |
eth2管理接口 
注意:仅使用思科支持的SFP+收发器。 |
10 |
eth3管理接口
注意:仅使用思科支持的SFP+收发器。 |
此图显示FMC 1600、2600和4600的后面板。
图 3.FMC 1600、2600和4600后面板
| 1 |
USB 3.0 A型(USB 1) 您可以连接键盘,并与VGA端口上的显示器一起访问控制台。 |
2 |
USB 3.0 A型(USB 2) 您可以连接键盘,并与VGA端口上的显示器一起访问控制台。 |
| 3 |
eth0管理接口(标记为1) 支持100/1000/10000 Mbps,具体取决于链路合作伙伴的能力。 |
4 |
eth1管理接口(标记为2) 千兆以太网100/1000/10000 Mbps接口,RJ-45,LAN2 |
| 5 |
VGA视频端口(DB-15连接器) |
6 |
CIMC接口(标记为M)
注意:CIMC仅支持LOM访问。任何其他接口均不支持CIMC。 |
| 7 |
串行控制台端口(RJ-45连接器) 默认禁用;改用VGA端口和键盘USB端口。有关串行端口的详细信息,请参阅Cisco Firepower管理中心型号1600、2600和4600入门指南中的“设置串行访问”主题。 |
8 |
设备标识按钮 |
| 9 |
770-W交流电源(PSU 1) |
10 | 770-W交流电源(PSU 2) |
| 11 |
用于双孔接地片的螺纹孔 |
12 |
eth2管理接口 (可选)万兆以太网SFP+支持 SFP-10G-SR和SFP-10G-LR适用于FMC。 |
| 13 |
eth3管理接口 (可选)万兆以太网SFP+支持 SFP-10G-SR和SFP-10G-LR适用于FMC。 |
14 |
提升板手柄 Not Supported |
相关文档
有关详细的硬件安装说明,请参阅Cisco Firepower管理中心1600、2600和4600硬件安装指南。
有关Cisco安全防火墙系列文档的完整列表以及查找位置,请参阅文档规划图。
预配置
安装6.5版及更高版本的安全防火墙管理中心
有关详细的安装说明,请阅读Cisco Firepower管理中心1600、2600和4600入门指南直到步骤连接电缆打开版本6.5及更高版本的电源验证状态。请根据背面图将电缆连接到所需的接口上。
使用CLI 6.5版及更高版本的安全防火墙管理中心初始设置
使用Management Center Initial Setup Using the CLI for Version 6.5 and later文档中的CLI完成管理中心初始设置,所有8个步骤均进行了详细介绍。
使用控制台CLI更改管理界面
步骤
- 使用admin作为您在初始设置中定义的admin帐户的用户名和密码,登录到控制台上的管理中心虚拟。请注意,密码区分大小写。
- 使用expert命令进入Linux shell模式。
- 使用命令sudo vi /etc/sf/ims.conf使用vi编辑器编辑ims.conf文件:
图 4
4.使用键盘上的箭头键并找到以下行MANAGEMENT=eth0:
图 5
5.键入I键,进入INSERT模式进行编辑,屏幕的底线可以通过INSERT消息确认我们处于编辑模式,并使用设计的接口替换eth0,使用前面的表作为参考:
图 6
6.单击键盘上的Esc键退出INSERT模式,并使用冒号键“:”进入命令模式,键入“wq!”保存更改并退出文件:
图 7
7.使用命令sudo ip link set eth0 down禁用eth0接口:
图 8
8.运行“网络配置向导”,使用命令do sudo usr/local/sf/bin/configure-network重新输入IP地址、网络掩码和网关地址,此命令可以创建接口并分配默认路由:
图 9
9.使用exit命令退出Linux shell模式。
验证
要验证所选接口是否已启用,请执行以下步骤:
- 在Linux Shell模式下运行sudo route -n命令,以确认新管理接口的默认路由表:
图 10
故障排除
如果新接口未填充到路由表中,请验证以下内容:
- 确认您使用sudo ifconfig命令禁用了eth0接口。
- 如果接口仍处于启用状态,请再次运行步骤7。
- 在第8步中再次运行configure network脚本以生成接口配置和默认路由。
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
26-Jul-2023 |
初始版本 |
反馈