將Secure Firewall Management Center配置為不使用Eth0作為管理
簡介
本文說明如何使用不同的連線埠而不是預設的Eth0介面設定Secure Firewall Management Center(FMC)。
必要條件
需求
思科建議您瞭解以下主題:
- 瞭解Cisco Secure Firewall Management Center(以前稱為Firepower Management Center)
- 基本網路知識
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- 運行軟體版本5.x及更高版本的思科安全防火牆管理中心(FMC 1000、1600、2500、2600、4500、4600和虛擬)。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
關於安全防火牆管理中心的管理連線
使用FMC資訊設定裝置後,並將裝置新增到FMC後,裝置或FMC均可建立管理連線。根據初始設定:
-
裝置或FMC可以啟動。
-
只有裝置可以啟動。
-
只有FMC才能啟動。
初始發起總是從FMC上的eth0開始,或者從裝置上編號最低的管理介面開始。如果連線未建立,則嘗試其他管理介面。FMC上的多個管理介面使您能夠連線到離散網路或分離管理和事件流量。但是,啟動器不會根據路由表選擇最佳介面。
標籤為Management(Eth0)的內部介面是嵌入在裝置機箱中的1 Gigabit乙太網。某些FMC機箱型號的擴展插槽可承載網路模組擴展卡(可以是銅纜或光纖)和最高10千兆的擴展卡,某些機箱嵌入式埠可支援10千兆乙太網SFP+收發器。
本圖顯示FMC 1000的後面板。
圖1.FMC 1000後面板| 1 |
2個USB鍵盤埠 您可以連線鍵盤,並與VGA埠上的顯示器一起訪問控制檯。 |
2 |
CIMC介面(標有「M」字樣) 不支援此介面。 |
| 3 |
串列控制檯埠 預設情況下禁用此埠;改用VGA埠和鍵盤USB埠。 |
4 |
eth0管理介面(標籤為「1」) Gigabit乙太網路10/100/1000 Mbps介面,RJ-45 eth0是預設管理介面。 |
| 5 |
eth1管理介面(標籤為「2」) Gigabit乙太網路10/100/1000 Mbps介面,RJ-45 |
6 |
VGA介面 預設情況下啟用。 |
| 7 |
裝置標識按鈕/LED |
8 |
兩個770-W交流電源 |
下圖顯示FMC 2500和4500的後面板。
圖2.FMC 2500和4500後面板
| 1 |
2個USB鍵盤埠 您可以連線鍵盤,並與VGA埠上的顯示器一起訪問控制檯。 |
2 |
CIMC介面(標有「M」字樣) 不支援此介面。 |
| 3 |
串列控制檯埠 預設情況下禁用此埠;改用VGA埠和鍵盤USB埠。 |
4 |
eth0管理介面(標籤為「1」) Gigabit乙太網路10/100/1000 Mbps介面,RJ-45 eth0是預設管理介面。 |
| 5 |
eth1管理介面(標籤為「2」) Gigabit乙太網路10/100/1000 Mbps介面,RJ-45 |
6 |
VGA介面 預設情況下啟用。 |
| 7 |
裝置標識按鈕/LED |
8 |
兩個770-W交流電源 |
| 9 |
eth2管理介面 
注意:僅使用思科支援的SFP+收發器。 |
10 |
eth3管理介面
注意:僅使用思科支援的SFP+收發器。 |
下圖顯示FMC 1600、2600和4600的後面板。
圖3.FMC 1600、2600和4600後面板
| 1 |
USB 3.0 A型(USB 1) 您可以連線鍵盤,並與VGA埠上的顯示器一起訪問控制檯。 |
2 |
USB 3.0 A型(USB 2) 您可以連線鍵盤,並與VGA埠上的顯示器一起訪問控制檯。 |
| 3 |
eth0管理介面(標籤為1) 支援100/1000/10000 Mbps,具體取決於鏈路合作夥伴的能力。 |
4 |
eth1管理介面(標籤為2) Gigabit乙太網路100/1000/10000 Mbps介面,RJ-45,LAN2 |
| 5 |
VGA影片埠(DB-15介面) |
6 |
CIMC介面(標籤為M)
註:僅對LOM訪問支援CIMC。任何其他介面都不支援CIMC。 |
| 7 |
串列控制檯埠(RJ-45聯結器) 預設禁用;改用VGA埠和鍵盤USB埠。有關串列埠的詳細資訊,請參閱Cisco Firepower管理中心型號1600、2600和4600入門指南中的「設定串列訪問」主題。 |
8 |
裝置標識按鈕 |
| 9 |
770-W AC電源(PSU 1) |
10 | 770-W AC電源(PSU 2) |
| 11 |
用於雙孔接地片的螺紋孔 |
12 |
eth2管理介面 (可選)10千兆乙太網SFP+支援 SFP-10G-SR和SFP-10G-LR適用於FMC。 |
| 13 |
eth3管理介面 (可選)10千兆乙太網SFP+支援 SFP-10G-SR和SFP-10G-LR適用於FMC。 |
14 |
Riser卡手柄 不支援 |
相關檔案
有關詳細的硬體安裝說明,請參閱Cisco Firepower Management Center 1600、2600和4600硬體安裝指南。
有關Cisco Secure Firewall系列文檔的完整清單以及找到該文檔的位置,請參閱文檔規劃圖。
預配置
安裝6.5版及更高版本的安全防火牆管理中心
有關詳細的安裝說明,請參閱Cisco Firepower Management Center 1600、2600和4600入門指南直到步驟連線電纜為6.5版及更高版本開啟電源驗證狀態。請根據背面圖將電纜連線到所需介面上。
使用CLI 6.5及更高版本的安全防火牆管理中心初始設定
使用Management Center Initial Setup文檔中的CLI完成Management Center Initial Setup Using the CLI for Versions 6.5及更高版本使用CLI完成所有8個步驟。
使用控制檯CLI更改管理介面
程式
- 使用admin作為使用者名稱和您在初始設定中定義的admin帳戶的密碼,通過控制檯登入到管理中心虛擬。請注意,密碼區分大小寫。
- 使用expert命令進入Linux shell模式。
- 使用vi editor和命令sudo vi /etc/sf/ims.conf編輯ims.conf檔案:
圖4
4.使用鍵盤上的箭頭鍵並找到MANAGEMENT=eth0行
圖5
5.鍵入I"鍵,進入INSERT模式進行編輯,螢幕的底線可以通過INSERT消息確認我們處於編輯模式,並用設計的介面替換eth0,使用前面的表作為參考:
圖6
6.按鍵盤上的Esc鍵退出INSERT模式,並使用冒號鍵「:」在命令模式下輸入,鍵入「wq!」儲存更改並退出檔案:
圖7
7.使用命令sudo ip link set eth0 down禁用eth0介面:
圖8
8.運行「網路配置嚮導」以使用命令sudo usr/local/sf/bin/configure-network重新輸入IP地址、網路掩碼和網關地址,此命令可以建立介面並分配預設路由:
圖9
9.使用exit命令退出Linux shell模式。
驗證
要驗證選定的介面是否已啟用,請按以下步驟操作:
- 在Linux Shell模式下運行sudo route -n命令以確認新管理介面的預設路由表:
圖10
疑難排解
如果在路由表上未填充新介面,請驗證以下內容:
- 確認您使用sudo ifconfig命令禁用了eth0介面。
- 如果介面仍處於啟用狀態,請再次運行步驟7。
- 在步驟8中再次運行configure network指令碼以生成介面配置和預設路由。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
26-Jul-2023 |
初始版本 |
意見