Einleitung
In diesem Dokument wird die Installation und Registrierung der Cisco Secure Firewall Threat Defense (FTD)-Software auf den Firepower 4100 Security Appliances beschrieben.
Voraussetzungen
Anforderungen
Es gibt keine spezifischen Anforderungen für dieses Dokument.
Verwendete Komponenten
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
- Cisco Firepower 4125 Security Appliance mit FXOS 2.16(0.128) und FTD 7.6.0
- Cisco Secure Firewall Management Center mit 7.6.0
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Hintergrundinformationen
FTD ist ein vereinheitlichtes Software-Image, das auf folgenden Plattformen installiert werden kann:
-
Cisco Secure Firewall-Geräte (FPR1xxx, FPR12xx, FPR21xx, FPR31xx, FPR42xx)
-
Firepower Security Appliances (FPR41xx und FPR9300)
- Industrial Security Appliances der Serie 3000 (ISA)
- Integrated Service Router (ISR)-Modul
- Private-Cloud:
- VMware (ESXi)
- Kernel-basiertes virtuelles System (KVM)
- OpenStack
- Cisco HyperFlex
- Public-Cloud:
- Amazon Web Services (AWS)
- Microsoft Azure
- Google Cloud-Plattform
- Oracle Cloud-Infrastruktur
- Nutanix Cloud
- Equinix
Konfigurieren
Netzwerkdiagramm

Aufgabe 1: FTD-Software-Download
Navigieren Sie zu Security > Firewalls > Next-Generation Firewalls (NGFW) > Firepower 4100 Series > Firepower 4125 Security Appliance, und wählen Sie Firepower Threat Defense Software wie in dieser Abbildung dargestellt aus:

Aufgabe 2: Überprüfen der FXOS-FTD-Kompatibilität
Voraussetzung für diese Aufgabe
Stellen Sie sicher, dass die auf dem Chassis ausgeführte FXOS-Version mit der FTD-Version kompatibel ist, die Sie im Sicherheitsmodul installieren möchten.
Lösung
Schritt 1: Überprüfen der FXOS-FTD-Kompatibilität
Bevor Sie ein FTD-Image auf dem Modul/Blade installieren, stellen Sie sicher, dass das FirePOWER-Chassis eine kompatible FXOS-Software ausführt. Überprüfen Sie im FXOS-Kompatibilitätsleitfaden die Tabelle zur Kompatibilität logischer Geräte. Die mindestens erforderliche FXOS-Version für FTD 7.6.0 ist 2.16, wie in Tabelle 1 gezeigt:

Wenn das FXOS-Image nicht mit dem FTD-Zielimage kompatibel ist, aktualisieren Sie zuerst die FXOS-Software.
Überprüfen des FXOS-Images
Methode 1. Aus der Seite "FCM-UI-Übersicht" des FirePOWER Chassis Managers (FCM), wie in dieser Abbildung dargestellt:

Methode 2. Navigieren Sie zur Seite FCM System > Update (FCM System > Aktualisieren), wie in der folgenden Abbildung dargestellt:

Methode 3. Von der FXOS-CLI:
FPR4125# show fabric-interconnect firmware
Fabric Interconnect A:
Running-Kern-Vers: 5.0(3)N2(4.160.555)
Running-Sys-Vers: 5.0(3)N2(4.160.555)
Package-Vers: 2.16(0.128)
Startup-Kern-Vers: 5.0(3)N2(4.160.555)
Startup-Sys-Vers: 5.0(3)N2(4.160.555)
Act-Kern-Status: Ready
Act-Sys-Status: Ready
Bootloader-Vers:
Schritt 3: FTD-Image in Firepower-Appliance hochladen
Voraussetzung für diese Aufgabe
Laden Sie das FTD-Image in das FPR4100-Gehäuse hoch.
Lösung
Methode 1: Laden Sie das FTD-Bild aus der FCM-Benutzeroberfläche hoch.
Melden Sie sich beim FPR4100 Chassis Manager an, und navigieren Sie zur Registerkarte System > Updates. Wählen Sie Bild hochladen, um die Datei hochzuladen, wie in diesem Bild gezeigt:

Navigieren Sie zur FTD-Bilddatei, und klicken Sie auf Hochladen, wie in diesem Bild gezeigt:

Akzeptieren Sie die Endbenutzer-Lizenzvereinbarung (EULA).
Die Überprüfung erfolgt wie in dieser Abbildung dargestellt:

Methode 2: Laden Sie das FTD-Image von der FXOS-CLI hoch.
Sie können das FTD-Image über FTP, HTTP, HTTPS, Secure Copy (SCP), Secure FTP (SFTP), TFTP oder USB hochladen. (In diesem Beispiel wird FTP verwendet.):
FPR4100# scope ssa
FPR4100 /ssa # scope app-software
FPR4100 /ssa/app-software # download image ?
ftp: Location of the image file
http: Location of the image file
https: Location of the image file
scp: Location of the image file
sftp: Location of the image file
tftp: Location of the image file
usbA: Location of the image file
Bevor die Image-Übertragung beginnt, überprüfen Sie die Verbindung zwischen der Managementschnittstelle des Gehäuses und dem Remote-Server:
FPR4100# connect local-mgmt
FPR4100(local-mgmt)# ping 10.229.24.22
PING 10.229.24.22 (10.229.24.22) from 10.62.148.88 eth0: 56(84) bytes of data.
64 bytes from 10.229.24.22: icmp_seq=1 ttl=124 time=0.385 ms
64 bytes from 10.229.24.22: icmp_seq=2 ttl=124 time=0.577 ms
64 bytes from 10.229.24.22: icmp_seq=3 ttl=124 time=0.347 ms
Um das FTD-Image herunterzuladen, navigieren Sie zu diesem Bereich, und verwenden Sie den Befehl download image:
FPR4100# scope ssa
FPR4100 /ssa # scope app-software
FPR4100 /ssa/app-software # download image ftp://ftp_username@10.229.24.22/cisco-ftd.7.6.0.113.SPA.csp
Password:
So überwachen Sie den Fortschritt des Image-Uploads:
FPR4100 /ssa/app-software # show download-task detail
Downloads for Application Software:
File Name: cisco-ftd.7.6.0.113.SPA.csp
Protocol: Ftp
Server: 10.229.24.22
Port: 0
Userid: ftp
Path:
Downloaded Image Size (KB): 95040
Time stamp: 2016-12-11T20:27:47.856
State: Downloading
Transfer Rate (KB/s): 47520.000000
Current Task: downloading image cisco-ftd.7.6.0.113.SPA.csp from 10.229.24.22(FSM-STAGE:sam:dme:ApplicationDownloaderDownload:Local)
Verwenden Sie diesen Befehl, um den erfolgreichen Download zu überprüfen:
FPR4100 /ssa/app-software # show download-task
Downloads for Application Software:
File Name Protocol Server Port Userid State
------------------------------ ---------- ------------- ---------- --------- -----
cisco-ftd.7.6.0.113.SPA.csp Ftp 10.229.24.22 0 ftp Downloaded
Weitere Informationen:
KSEC-FPR4100 /ssa/app-software # show download-task fsm status expand
File Name: cisco-ftd.7.6.0.113.SPA.csp
FSM Status:
Affected Object: sys/app-catalogue/dnld-cisco-ftd.7.6.0.113.SPA.csp/fsm
Current FSM: Download
Status: Success
Completion Time: 2016-12-11T20:28:12.889
Progress (%): 100
FSM Stage:
Order Stage Name Status Try
------ ---------------------------------------- ------------ ---
1 DownloadLocal Success 1
2 DownloadUnpackLocal Success 1
File Name: Cisco_FTD_SSP_Upgrade-7.6.0-113.sh
Das Image wird im Chassis-Repository angezeigt:
KSEC-FPR4100 /ssa/app-software # exit
KSEC-FPR4100 /ssa # show app
Application:
Name Version Description Author Deploy Type CSP Type Is Default App
---------- ---------- ----------- ---------- ----------- ----------- --------------
asa 9.6.2.3 N/A cisco Native Application No
ftd 7.6.0.113 N/A cisco Native Application No
Schritt 4: FTD-Verwaltung und Datenschnittstellen konfigurieren
Voraussetzung für diese Aufgabe
Konfigurieren und aktivieren Sie Management- und Datenschnittstellen für FTD auf der Firepower-Appliance.
Lösung
Um eine neue Schnittstelle zu erstellen, melden Sie sich beim FCM an, und navigieren Sie zur Registerkarte Interfaces (Schnittstellen). Die aktuellen Schnittstellen sind sichtbar. Um eine neue Port-Channel-Schnittstelle zu erstellen, wählen Sie die Schaltfläche Add New > Port Channel (Neu hinzufügen > Port-Channel), wie in der Abbildung dargestellt:

Schritt 1: Erstellen einer Port-Channel-Datenschnittstelle
Erstellen Sie eine neue Port-Channel-Schnittstelle, wie in diesem Bild dargestellt:
Port-Channel-ID
|
1
|
Typ
|
Daten
|
Enable
|
Ja
|
Mitglieds-ID
|
Ethernet1/2, Ethernet1/3
|
Geben Sie als Port-Channel-ID einen Wert zwischen 1 und 47 ein.
Anmerkung: Port-Channel 48 wird für Cluster verwendet.

Die Überprüfung erfolgt wie in dieser Abbildung dargestellt:

Schritt 2: Erstellen einer Management-Schnittstelle
Wählen Sie auf der Registerkarte Schnittstellen die Schnittstelle aus, wählen Sie Bearbeiten, und konfigurieren Sie die Management-Schnittstelle, wie in diesem Bild dargestellt:

Schritt 5: Erstellen und Konfigurieren eines neuen logischen Geräts
Voraussetzung für diese Aufgabe
Erstellen Sie ein FTD als eigenständiges logisches Gerät und stellen Sie es bereit.
Lösung
Schritt 1: Hinzufügen eines logischen Geräts
Navigieren Sie zur Registerkarte Logical Devices (Logische Geräte), und wählen Sie die Schaltfläche Add Device (Gerät hinzufügen), um ein neues logisches Gerät zu erstellen, wie in diesem Bild gezeigt:

Konfigurieren Sie ein FTD-Gerät mit den in diesem Bild gezeigten Einstellungen:
Device Name (Gerätename)
|
FPR4125-1
|
Vorlage
|
Cisco Secure Firewall - Schutz vor Bedrohungen
|
Bildversion
|
7.6.0.113
|

Schritt 2: Booten des logischen Geräts
Nach dem Erstellen des logischen Geräts wird das Fenster Provisioning - device_name angezeigt. Wählen Sie das Gerätesymbol, um die Konfiguration zu starten, wie in diesem Bild gezeigt:

Konfigurieren Sie die Registerkarte "Allgemeine Informationen" des FTD, wie in dieser Abbildung dargestellt:
Management-Schnittstelle
|
Ethernet1/1
|
Adresstyp
|
Nur IPv4
|
Management-IP
|
10.62.148.226
|
Netzwerkmaske
|
255.255.255.128
|
Netzwerk-Gateway
|
10.62.148.129
|

Konfigurieren Sie die Registerkarte FTD-Einstellungen, wie in dieser Abbildung dargestellt:
Registrierungsschlüssel
|
cisco
|
Kennwort
|
Pa$$w0d |
Cisco Secure Firewall Management Center - IP
|
10.62.148.43
|
Domänen suchen
|
cisco.com
|
Firewall-Modus
|
Geroutet
|
DNS-Server
|
192.168.0.2
|
Vollqualifizierter Hostname
|
FPR4125-1.cisco.com
|
Eventing-Schnittstelle
|
-
|

Vergewissern Sie sich, dass die Vereinbarung akzeptiert wird, und wählen Sie OK aus.
Schritt 3: Zuweisen der Datenschnittstellen
Erweitern Sie den Bereich Data Ports (Datenports), und wählen Sie jede Schnittstelle aus, die FTD zugewiesen werden soll. In diesem Szenario wurde eine Schnittstelle (Port-channel1) zugewiesen, wie in diesem Bild gezeigt:

Wählen Sie Speichern, um die Konfiguration abzuschließen.
Schritt 4: Überwachen Sie den Installationsprozess.
So verläuft die FTD-Installation, wenn sie von der FCM-Benutzeroberfläche aus überwacht wird, wie in den folgenden Bildern gezeigt:



Überwachen Sie den Installationsvorgang über die FirePOWER CLI:
FPR4100# connect module 1 console
Telnet escape character is '~'.
Trying 127.5.1.1...
Connected to 127.5.1.1.
Escape character is '~'.
Firepower-module1>show services status all
Services currently running:
Application Type | Identifier | Oper State | Up Since | Instance ID
---------------- | ---------- | ---------- | -------- | -----------
ftd (native) | FPR4125-1 | RUNNING | 00:01:56 | ftd_001_JAD22360004VWC84030
Aufgabe 6: FTD beim Cisco Secure Firewall Management Center (FMC) registrieren
Voraussetzung für diese Aufgabe
FTD beim FMC registrieren.
Lösung
Schritt 1: Überprüfen der grundlegenden Verbindung zwischen FTD und FMC
Bevor Sie das FTD beim FMC registrieren, überprüfen Sie die grundlegende Verbindung zwischen dem FTD und dem FMC:
Firepower-module1>connect ftd
Connecting to ftd(FPR4125-1) console... enter exit to return to bootCLI
> ping system 10.62.148.43
PING 10.62.148.43 (10.62.148.43) 56(84) bytes of data.
64 bytes from 10.62.148.43: icmp_seq=1 ttl=63 time=0.254 ms
64 bytes from 10.62.148.43: icmp_seq=2 ttl=63 time=0.283 ms
64 bytes from 10.62.148.43: icmp_seq=3 ttl=63 time=0.217 ms
Aufgrund der Bootstrap-Konfiguration hat das FTD das Manager-FMC bereits konfiguriert:
> show managers
Type : Manager
Host : 10.62.148.43
Display name : 10.62.148.43
Identifier : 10.62.148.43
Registration : Pending
Schritt 2: Fügen Sie die FTD dem FÜZ hinzu.
Navigieren Sie auf dem FMC zur Registerkarte Devices (Geräte) > Device Management (Geräteverwaltung), und navigieren Sie zu Add (Hinzufügen) > Add Device (Gerät hinzufügen), wie in der Abbildung dargestellt:

Konfigurieren Sie die FTD-Geräteeinstellungen wie in diesem Bild dargestellt:

Wählen Sie die Schaltfläche Registrieren.
Überprüfen Sie auf dem FMC die Aufgaben, um zu sehen, wie die Registrierung verläuft. Neben der Registrierung hat das FÜZ auch folgende Aufgaben:
- Erkennt das FTD-Gerät (ruft die aktuelle Schnittstellenkonfiguration ab).
- Stellt die ursprüngliche Richtlinie bereit.
Die Registrierung ist erfolgreich, wie in diesem Bild gezeigt:

Wenn bei der Registrierung Probleme auftreten, lesen Sie bitte dieses Dokument:
Zugehörige Informationen