选择接口打开接口页面。

在您要编辑的接口所对应的行中点击编辑，可打开编辑接口对话框。

要启用接口，请选中启用复选框。要禁用接口，请取消选中启用复选框。

选择接口类型：

(可选) 从速度下拉列表中选择接口的速度。

(可选) 如果您的接口支持自动协商，请单击是或否单选按钮。

(可选) 从双工下拉列表中选择接口双工。

点击确定。

选择接口打开接口页面。

点击接口表上方的添加端口通道 (Add Port Channel)，可打开添加端口通道 (Add Port Channel) 对话框。

在端口通道 ID (Port Channel ID) 字段中输入端口通道 ID。有效值介于 1 与 47 之间。

要启用端口通道，请选中启用复选框。要禁用端口通道，请取消选中启用复选框。

选择接口类型：

从下拉列表设置成员接口要求的管理速度。

对于数据或数据共享接口，选择 LACP 端口通道模式、主用或保持。

为成员接口、全双工或半双工设置所需的管理双工。

要将接口添加到端口通道，请在可用接口 (Available Interface) 列表中选择该接口，单击添加接口 (Add Interface)，将接口移动至“成员 ID”列表。

要从端口通道删除接口，请单击“成员 ID”(Member ID) 列表中接口右侧的删除 (Delete) 按钮。

单击确定 (OK)。

选择接口 (Interfaces)打开所有接口 (All Interfaces)选项卡。

单击添加新 > 子接口打开添加子接口对话框。

选择接口类型：

从下拉列表选择父接口。

输入一个介于 1 和 4294967295 之间的子接口 ID。

设置介于 1 和 4095 之间的 VLAN ID 。

单击确定 (OK)。

配置接口。请参阅FXOS：配置接口。

选择逻辑设备 (Logical Devices)。

依次单击添加 > 集群，并设置以下参数：

1. 选择我想：(I want to:) > 新建集群 (Create New Cluster)

2. 提供设备名称。

   此名称由机箱管理引擎在内部用于配置管理设置和分配接口；它不是在应用配置中使用的设备名称。

3. 对于模板，请选择 Cisco Firepower 威胁防御。

4. 选择映像版本 (Image Version)。

5. 对于实例类型 (Instance Type)， 类型选择本地 (Native) 或容器 (Container)。

   本地实例使用安全模块/引擎的所有资源（CPU、RAM 和磁盘空间），因此您仅可安装一个本地实例。容器实例使用安全模块/引擎的部分资源，因此您可以安装多个容器实例。

6. （仅限容器实例）对于资源类型 (Resource Type)，请从下拉列表中选择一个资源配置文件。

   对于 Firepower 9300，此配置文件将应用于每个安全模块上的每个实例。例如，如果您使用的是不同的安全模块类型，并且想要在更低端型号上使用更多 CPU 时，可以稍后在此过程中为每个安全模块设置不同的配置文件。建议您在创建集群之前选择正确的配置文件。如果您需要创建新配置文件，请取消集群创建操作，然后使用 FXOS：为容器实例添加资源配置文件添加一个配置文件。

7. 单击确定 (OK)。

   屏幕会显示调配 - 设备名称窗口。

选择要分配给此集群的接口。

对于本地模式集群：默认情况下会分配所有有效接口。 如果定义了多个集群类型接口，请取消选中除一个接口外的所有接口。

对于多实例集群：选择要分配到集群的每个数据接口，并选择集群类型端口-通道或端口-通道子接口。

单击屏幕中心的设备图标。

在集群信息页面上，完成以下操作。

1. （仅适用于 Firepower 9300 的容器实例）在安全模块 (SM) 和资源配置文件选择 (Security Module (SM) and Resource Profile Selection) 区域中，例如，如果您使用的是不同的安全模块类型，并且想要在更低端型号上使用更多 CPU 时，可以为每个模块设置不同的资源配置文件。

2. 对于机箱间集群，在机箱 ID 中，输入机箱 ID。集群中的每个机箱都必须使用唯一 ID。

   仅当向集群控制链路端口通道 48 添加成员接口时，才会显示此字段。

3. 对于站点间集群，在站点 ID (Site ID) 字段中输入此机箱的站点 ID（1 和 8 之间的整数）。FlexConfig 功能。仅可通过使用 FMC FlexConfig 功能，来配置用于增强冗余性和稳定性的其他站点间集群自定义项目，例如导向器本地化、站点冗余和集群流移动性。

4. 在集群密钥 (Cluster Key) 字段中，为集群控制链路上的控制流量配置身份验证密钥。

   共享密钥是长度介于 1 和 63 个字符之间的 ASCII 字符串。共享密钥用于生成密钥。此选项不影响数据路径流量，包括连接状态更新和转发的数据包，它们始终以明文发送。

5. 设置集群组名称，即逻辑设备配置中的集群组名称。

   名称必须是长度为 1 到 38 个字符的 ASCII 字符串。

6. 选择管理接口。

   此接口用于管理逻辑设备。此接口独立于机箱管理端口。

   如果您分配一个支持硬件旁路功能的接口作为管理接口，则会收到一条警告消息，确认您是故意这样分配。

7. (可选) 将 CCL 子网 IP 设为 a.b.0.0。

   默认情况下，集群控制链路使用 127.2.0.0/16 网络。但是，某些网络部署不允许 127.2.0.0/16 流量通过。在这种情况下，请对集群指定唯一网络上的任意 /16 网络地址，环回 (127.0.0.0/8)、组播 (224.0.0.0/4) 和内部 (169.254.0.0/16) 地址除外。如果将该值设置为 0.0.0.0，则系统会使用默认网络。

   机箱会根据机箱 ID 和插槽 ID 自动生成每台设备的集群控制链路接口 IP 地址：a.b.chassis_id.slot_id。

在设置页面上，执行以下操作。

1. 在 注册密钥 字段中，输入注册期间 FMC 与集群成员之间要共享的密钥。

   可以为此密钥选择介于 1 至 37 个字符之间的任何文本字符串；添加FTD时，需要在FMC上输入相同的密钥。

2. 输入供FTD管理员用户用于 CLI 访问的密码。

3. 在 Firepower 管理中心 IP 字段中，输入执行管理 FMC的 IP 地址。如果您不知道 FMC IP 地址，请将此字段留空，并在 Firepower 管理中心 NAT ID (Firepower Management Center NAT ID) 字段中输入口令。

4. (可选) 对于容器实例，选择是否允许 FTD SSH 会话专家模式 (Permit Expert mode from FTD SSH sessions)：是 (Yes) 或否 (No)。专家模式提供 FTD shell 访问权限以确保实现高级故障排除。

   对于此选项，如果您选择是 (Yes)，拥有直接从 SSH 会话访问容器实例的权限的用户可以输入专家模式。如果您选择否 (No)，只有拥有从 FXOS CLI 访问容器实例的权限的用户可以输入专家模式。我们建议选择否 (No) 以加强实例之间的隔离。

   仅当书面程序指出必须使用或思科技术支持中心要求使用专家模式时，才使用专家模式。要进入此模式下，请在 FTD CLI 中使用 expert 命令。

5. (可选) 在搜索域 (Search Domains) 字段中，输入管理网络的搜索域逗号分隔列表。

6. (可选) 从防火墙模式下拉列表中选择透明或路由。

   在路由模式中，FTD被视为网络中的路由器跃点。要在其间路由的每个接口都位于不同的子网上。另一方面，透明防火墙是一个第 2 层防火墙，充当“线缆中的块”或“隐蔽的防火墙”，不被视为是到所连接设备的路由器跃点。

   系统仅在初始部署时设置防火墙模式。如果您重新应用引导程序设置，则不会使用此设置。

7. (可选) 在 DNS 服务器 (DNS Servers) 字段中，输入用逗号分隔的 DNS 服务器列表。

   例如，如果指定 FMC 主机名，则 FTD 使用 DNS。

8. (可选) 在 Firepower 管理中心 NAT ID (Firepower Management Center NAT ID) 字段中，输入在添加集群作为新设备时还将在 FMC 上输入的口令。

   通常，无论是路由目的还是身份验证，都需要两个 IP 地址（连同一个注册密钥）：FMC指定设备 IP 地址，设备指定 FMC IP 地址。但是，如果您只知道其中一个 IP 地址（这是实现路由目的的最低要求），您还必须在连接的两端指定唯一的 NAT ID，以建立对初始通信的信任，并查找正确的注册密钥。您可以将长度介于 1 到 37 个字符之间的任意文本字符串指定为 NAT ID。FMC和设备使用注册密钥和 NAT ID（而不是 IP 地址）对初始注册进行身份验证和授权。

9. (可选) 在完全限定主机名 (Fully Qualified Hostname) 字段中，输入 FTD设备的完全限定名称。

   有效字符是从 a 到 z 的字母、从 0 到 9 的数字、点 (.) 和连字符(-)；最大字符数为 253。

10. (可选) 从 事件接口 下拉列表中，选择发送事件时应当使用的接口。如果未指定，系统将使用管理接口。

    要指定发送事件所用的独立接口，必须将接口配置为 firepower-eventing 接口。如果您分配一个支持硬件旁路功能的接口作为事件接口，则会收到一条警告消息，以确认您是故意这样分配的。

在接口信息页面上，为集群中的每个安全模块配置一个管理 IP 地址。从地址类型 (Address Type) 下拉列表中选择地址类型，然后为每个安全模块填写以下字段。

注	您必须为机箱中全部 3 个模块插槽设置 IP 地址，即使您没有安装模块。如果不配置全部 3 个模块，集群将不会正常工作。

1. 在管理 IP (Management IP) 字段中，配置 IP 地址。

   在同一网络上为每个模块指定唯一 IP 地址。

2. 输入网络掩码或前缀长度。

3. 输入网络网关地址。

在协议选项卡上，阅读并接受最终用户许可协议 (EULA)。

单击确定关闭配置对话框。

点击保存。

机箱通过下载指定软件版本，并将引导程序配置和管理接口设置推送至应用实例来部署逻辑设备。在逻辑设备页面中，查看新逻辑设备的状态。当逻辑设备将其状态显示为在线时，您可以添加剩余的集群机箱；对于机箱内集群，则可以开始在应用中配置集群。您可能会在此过程中看到“安全模块未响应”状态；此状态为正常状态，并且是临时的。

对于机箱间集群，将下一个机箱添加到集群中：

1. 在第一个 Firepower 机箱管理器机箱上，点击右上角的 显示配置图标 ，复制显示的集群配置

2. 连接到下一个机箱上的 Firepower 机箱管理器，然后按照此程序添加逻辑设备。

3. 选择我想要：(I want to:) > 加入现有集群 (Join an Existing Cluster)。

4. 单击确定。

5. 在复制集群详细信息对话框中，粘贴第一个机箱的集群配置，然后点击确定。

6. 单击屏幕中心的设备图标。集群信息通常已预填充，但您必须更改以下设置：

   • 机箱 ID - 输入唯一的机箱 ID。

   • 站点 ID - 对于机箱间集群，输入此机箱的站点 ID（介于 1 和 8 之间）。仅可通过使用 FMC FlexConfig 功能，来配置用于增强冗余性和稳定性的其他站点间集群自定义项目，例如导向器本地化、站点冗余和集群流移动性。

   • 集群密钥 -（未预填充）输入相同的集群密钥。

   • 管理 IP - 将每个模块的管理地址更改为与其他集群成员位于同一网络中的唯一 IP 地址。

   单击确定 (OK)。

7. 点击保存。

   机箱通过下载指定软件版本，并将引导程序配置和管理接口设置推送至应用实例来部署逻辑设备。在每个集群成员的逻辑设备页面中，查看新逻辑设备的状态。当每个集群成员的逻辑设备将其状态显示为在线时，可以开始在应用中配置集群。您可能会在此过程中看到“安全模块未响应”状态；此状态为正常状态，并且是临时的。

   

使用管理 IP 地址将控制设备添加到 FMC。

如果之前使用 FMC升级了 FTD 映像，请在集群中 的每个机箱上执行以下步骤。

1. 使用 系统 > 更新 页面在机箱上安装运行 FTD 映像。

2. 点击 逻辑设备 ，然后点击 设置版本图标（）。对于具有多个模块的 Firepower 9300，请设置每个模块的版本。

   启动版本 显示您部署时使用的原始软件包。当前版本 显示升级到的版本。

3. 在 新版本 下拉菜单中，选择您上传的版本。此版本应与显示的 当前版本 匹配，并将启动版本设置为与新版本匹配。

4. 在新机箱上，确保安装了新映像包。

在现有集群机箱 Firepower 机箱管理器上，点击 逻辑设备。

单击右上角的显示配置图标；复制显示的集群配置。

连接到新机箱上的 Firepower 机箱管理器 ，然后单击 添加 > 群集。

对于设备名称 (Device Name)，请为逻辑设备提供一个名称。

单击确定。

在复制集群详细信息对话框中，粘贴第一个机箱的集群配置，然后点击确定。

单击屏幕中心的设备图标。集群信息通常已预填充，但您必须更改以下设置：

点击保存。

机箱通过下载指定软件版本，并将引导程序配置和管理接口设置推送至应用实例来部署逻辑设备。在每个集群成员的逻辑设备页面中，查看新逻辑设备的状态。当每个集群成员的逻辑设备将其状态显示为在线时，可以开始在应用中配置集群。您可能会在此过程中看到“安全模块未响应”状态；此状态为正常状态，并且是临时的。