在FXOS機箱管理器中建立和管理邏輯裝置
簡介
本檔案介紹如何使用Firepower機箱管理器在Cisco Firepower 4100/9300 FXOS中建立和管理邏輯裝置。
必要條件
需求
思科建議您瞭解以下主題:
- Firepower 4100/9300初始機箱配置。
- Firepower 4100/9300 FXOS CLI配置。
採用元件
本文中的資訊係根據以下軟體和硬體版本:
-
Cisco Firepower 4125安全裝置。
- Cisco Firepower可擴充作業系統(FXOS)- 2.12(1.29)
- 思科安全Firepower威脅防禦(FTD)- 7.2.5-208
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
其他資訊
選擇FTD產品版本
開始之前,請考慮升級到最新的FPR4145 FXOS版本或與目標FTD邏輯例項版本相容的版本。
本文檔的目標FTD版本為7.2.5-208。因此,建議的FPR4145機箱的FXOS版本為2.12.0-519。
註:請參閱本文檔以檢視FXOS和FTD相容性:部分表14 - https://www.cisco.com/c/en/us/td/docs/security/secure-firewall/compatibility/threat-defense-compatibility.html#id_67425。
設定
存取Cisco FCM GUI
登入到Firepower機箱管理器,然後在位址列中輸入URL(從支援的瀏覽器):
https://
訪問FMC GUI
從https://software.cisco.com/下載適用於Firepower 4100/9300系列的對應安全FTD安裝包。
映像名稱為 cisco-ftd.7.2.5.208.SPA.csp.
上傳包
將FTD安裝包上傳到FXOS機箱。導航至 System > Updates.
選擇 Upload image,然後瀏覽和上傳:
上傳FTD映像
提示:上傳映像後,系統將顯示終端使用者許可協定,您可以通過選擇「我瞭解並接受該協定」來接受該協定。
FTD安裝程式包已成功上傳到機箱:
已成功將FTD映像上傳到機箱
建立邏輯裝置
現在,您可以通過導航到 Logical Devices 頁籤並按一下 Add:
選擇新增邏輯例項
下一步,選擇 Standalone.
新增獨立例項
警告:為HA中的邏輯裝置或獨立裝置選擇Standalone。對於處於集群模式下的多個容器,請選擇集群。請注意,如果選擇集群,則集群內建立的所有模組都必須具有相同的型別。
指定 Device Name 和 Instance Type (本機或容器):
指定裝置名稱和例項型別
注意:例項型別可選為本機型別或容器。建立Native Instance會分配機箱和安全模組(如CPU、RAM和磁碟空間)中的所有可用資源。容器例項型別使用可用資源的一部分。這可啟用在同一機箱中安裝多個容器FTD例項的功能。
注意:只有使用FMC的FTD支援多例項功能;自適應安全裝置(ASA)或使用Firepower裝置管理器的FTD不支援多例項功能。
預配螢幕隨後載入:
邏輯裝置布建
注意:確保您正在建立的FTD邏輯例項至少有一個管理介面。您可以通過導航到 Interfaces Tab > Edit Interface > Type . 將型別更改為management。
在Data Ports面板中,您可以通過按一下Ethernet 1/1選擇所有管理和資料介面,以便為此例項進行分配。此類介面會分配給FTD執行個體:
您可以根據需要選擇多個介面。在此示例中,您可以看到 Interfaces Ethernet 1/1 成長至 Ethernet 1/6 已分配至此FTD例項:
將Eth1/1介面到分配給FTD例項的Eth1/6
前進,選擇 Click to configure.載入程式配置旁邊顯示了 General Information.
指定 Management Interface中, Address Type中, Management IP中, Network Mask 和 Gateway:
載入程式一般資訊
選擇 Ok 並且可以使用以下命令配置引導設定:
- 應用程式例項的管理型別
- 搜尋域
- 防火牆模式
- DNS伺服器
- 密碼
- 確認密碼
載入程式配置設定。
注意:可以在此階段或以後使用FTD CLI初始配置配置FMC設定並註冊FTD。
選擇 Ok,和 Save:
其 Logical Device List 頁面自動顯示,您的應用程式狀態顯示為 Starting:
應用程式狀態為正在啟動的邏輯裝置清單。
您還可以使用CLI確認和跟蹤邏輯例項狀態。通過SSH或控制檯連線到FPR4125機箱:
FPR4125# scope ssa
FPR4125 /ssa # show app-instance
Admin State is Enabled, Operational State顯示Starting:
操作狀態正在啟動。
幾分鐘後,運行狀態顯示Started:
操作狀態進展為「已啟動」
應用例項操作狀態切換為線上。此時,FTD本機邏輯例項已完全安裝在FPR4125機箱中,您可以執行FTD的初始配置。
工作狀態切換為聯機
FCM顯示FTD邏輯例項處於聯機狀態。
驗證
最後,您可以透過以下命令驗證從FXOS CLI是否成功存取FTD邏輯裝置:
FPR4125# connect module 1 console
Firepower-module1>connect ftd
Connecting to ftd(FTD) console... enter exit to return to bootCLI
> show version
FTD Show version輸出
管理邏輯例項
右側的Logical Device List頁籤中提供Edit和Options圖示。
系統隨即會顯示「選擇選項」:
- 刪除
- 設定版本
- 啟用鏈路狀態
選擇選項圖示。
使用Delete選項,可以從機箱中完全刪除FTD邏輯裝置例項,並釋放專用於該FTD例項的所有資源。這也會導致安全模組重新啟動。
選擇Set Version圖示可顯示Update Image版本標語,您可以選擇New Version以更新FTD。請注意,您需要事先將FTD映像檔案上傳到FPR4125機箱。
當FTD設定為內嵌集介面且可以啟用連結狀態傳播時,會使用「啟用連結狀態」。
現在,您可以看到 Disable中, Set Version中, Restart Instance,和 Reinstall Instance 圖示選項,如下圖所示:
禁用、設定版本、重新啟動並重新安裝圖示
警告:在FTD裝置的正常操作期間,不建議使用Disable、Restart和Reinstall選項。如果您計畫執行FTD重新開機或重新啟動,建議的方法是從Cisco Secure Firewall Management Center或FTD CLI執行上述操作(順利重新啟動)。
- 停用
禁用圖示。
此選項會禁用和關閉FTD邏輯例項,而不會刪除任何配置。選擇Disable時,會看到確認標語,如下圖所示:
確認禁用。
邏輯例項狀態更改為Stopping:
操作狀態為「正在停止」。
FTD邏輯執行個體狀態會交換為離線:
操作狀態為離線。
- 重新啟動例項
重新啟動例項圖示。
此選項用於立即重新啟動應用程式例項,並且通常可以在修改邏輯裝置的載入程式設定後使用。
- 重新安裝例項
瑞索。
選擇此選項將刪除所有應用程式配置並重置FTD邏輯例項軟體上的出廠設定。在繼續操作之前,將顯示確認橫幅:
確認重新安裝。
疑難排解
在裝置的異常操作、忘情或意外重新啟動期間,邏輯例項的運行狀態可能會顯示異常狀態,如「安全模組未響應」:
操作狀態未響應。
導航至 Security Engine 頁籤。安全引擎的服務狀態顯示 Not-responding.
安全引擎狀態未響應。
您可以通過發出以下命令從FXOS CLI驗證應用例項運行狀態:
# show app-instance detail
如果未觀察到嚴重或主要安全模組故障且應用例項處於運行狀態,則可以重置安全引擎 Starting.選擇 Reinitialize Security Engine.
警告:繼續之前,請確保您已進行FTD組態備份。
重新初始化安全引擎
3-5分鐘後,安全引擎服務狀態返回到Online 狀態:
安全引擎狀態為「聯機」。
最後,FTD邏輯範例也回到Online 狀態:
邏輯例項狀態恢復為聯機
注意:如果降級運行狀態的原因或方案與所述的示例相符,請使用以下步驟來解決問題。出於其他原因,建議您聯絡TAC。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
3.0 |
19-Oct-2023 |
已從「要求」中刪除以下內容:
控制檯埠物理連線到電腦終端或控制檯伺服器
1 Gbps乙太網路管理 |
2.0 |
17-Oct-2023 |
已修改的要求:思科建議您瞭解以下主題: |
1.0 |
11-Oct-2023 |
初始版本 |
意見