為Firepower 2100配置FDM機上管理服務

簡介

本文檔介紹如何為安裝了FTD的firepower 2100系列配置Firepower裝置管理(FDM)機上管理服務。

必要條件

需求

思科建議您瞭解以下主題：

• Cisco Firepower 2100、FTD軟體安裝
• Cisco Firepower威脅防禦(FTD)基本配置和故障排除

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• Cisco Firepower 2100 系列
• Cisco FTD版本6.2.3

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

本文檔的主要目的是指導您完成為firepower 2100系列啟用FDM機上管理所需的步驟。

您可以有兩個選項來管理Firepower 2100上安裝的Firepower威脅防禦(FTD):

• FDM機上管理

• 思科Firepower管理中心(FMC)

註：不能同時使用FDM和FMC來管理firepower 2100中安裝的FTD。在firepower 2100 FTD上啟用FDM機上管理後，除非禁用本地管理並將管理重新配置為使用FMC，否則無法使用FMC管理FTD。另一方面，向FMC註冊FTD會禁用FTD上的FDM機上管理服務。

注意：目前，思科沒有任何將FDM firepower配置遷移到FMC的選項，反之亦然，當您選擇為firepower 2100中安裝的FTD配置何種管理型別時，請將此考慮在內。

管理介面分為2個邏輯介面：br1(FPR2100/4100/9300裝置上的management0)和診斷：

註：將IP地址從診斷介面關閉的好處是，您可以將管理介面與任何其他資料介面放在同一個網路上。如果配置診斷介面，其IP地址必須與管理IP地址位於同一網路上，並且它計為常規介面，不能與任何其他資料介面位於同一網路上。由於管理介面需要網際網路存取才能進行更新，因此若要將管理介面放在與內部FTD介面相同的網路上，就意味著您可以只在LAN上使用交換器部署FTD，並將內部介面指向管理介面的預設閘道（這僅適用於FTD以路由模式部署時）。

FTD可以安裝在firepower 2100裝置中。firepower機箱運行自己的作業系統(稱為Firepower可擴展作業系統(FXOS))來控制裝置的基本操作，而FTD邏輯裝置安裝在模組/刀片上。

註：您可以使用稱為Firepower機箱管理器(FCM)的FXOS圖形使用者介面(GUI)或FXOS命令列介面(CLI)來配置firepower機箱功能；但是，當FTD安裝在firepower 2100系列上時，只有FXOS CLI時，GUI FCM不可用。

Firepower 21xx裝置：

註：在firepower 2100系列上，管理介面在機箱FXOS和FTD邏輯裝置之間共用。 

設定

網路圖表

預設配置假定內部和外部網路使用某些firepower 2100介面。如果根據這些預期將網線連線到介面，則初始設定會更容易完成。要連線Firepower 2100系列電纜，請參見下一個映像。

註:圖中所示為使用第2層交換機的簡單拓撲。也可使用其他拓撲，您的部署可能因基本邏輯網路連線、埠、編址和配置要求而異。

組態

要在firepower 2100系列上啟用FDM機上管理，請執行以下操作。

1.通過控制檯訪問FPR2100機箱並連線到FTD應用程式。

firepower# connect ftd
>

2.配置FTD管理IP地址。

>configure network ipv4 manual 10.88.243.253 255.255.255.128 10.88.243.1

3.將管理型別配置為本地。

>configure manager local

4.設定可允許對FTD進行機上管理存取的IP位址/子網路。

>configure https-access-list 0.0.0.0/0

5.開啟瀏覽器並https至您設定以管理FTD的IP位址。這將開啟FDM（箱內）管理器。

6.登入並使用預設的firepower憑據、使用者名稱admin和密碼Admin123。

驗證

1.使用下一個命令驗證為FTD設定的網路設定。

> show network
===============[ System Information ]===============
Hostname                  : firepower
DNS Servers               : 10.67.222.222
                            10.67.220.220
Management port           : 8305
IPv4 Default route
  Gateway                 : 10.88.243.129

==================[ management0 ]===================
State                     : Enabled
Channels                  : Management & Events
Mode                      : Non-Autonegotiation 
MDI/MDIX                  : Auto/MDIX 
MTU                       : 1500
MAC Address               : 00:2C:C8:41:09:80
----------------------[ IPv4 ]----------------------
Configuration             : Manual
Address                   : 10.88.243.253
Netmask                   : 255.255.255.128
Broadcast                 : 10.88.243.255
----------------------[ IPv6 ]----------------------
Configuration             : Disabled

===============[ Proxy Information ]================
State                     : Disabled
Authentication            : Disabled

2.使用下一個命令驗證為FTD設定的管理型別。

> show managers 
Managed locally.

相關資訊

• 思科Firepower裝置管理器
• 使用Firepower管理中心的Firepower 2100系列的Cisco Firepower威脅防禦快速入門手冊
• 設定 Firepower 威脅防禦 (FTD) 管理介面
• 重新映像Firepower 2100系列