FTD auf 4100 FirePOWER Appliances installieren

Download-Optionen

PDF (1.4 MB)
Mit Adobe Reader auf verschiedenen Geräten anzeigen
ePub (1.2 MB)
In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
Mobi (Kindle) (1.2 MB)
Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen

Aktualisiert:14. März 2025

Dokument-ID:200886

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

In diesem Dokument wird die Installation und Registrierung der Cisco Secure Firewall Threat Defense (FTD)-Software auf den Firepower 4100 Security Appliances beschrieben.

Voraussetzungen

Anforderungen

Es gibt keine spezifischen Anforderungen für dieses Dokument.

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

Cisco Firepower 4125 Security Appliance mit FXOS 2.16(0.128) und FTD 7.6.0
Cisco Secure Firewall Management Center mit 7.6.0

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Hintergrundinformationen

FTD ist ein vereinheitlichtes Software-Image, das auf folgenden Plattformen installiert werden kann:

Cisco Secure Firewall-Geräte (FPR1xxx, FPR12xx, FPR21xx, FPR31xx, FPR42xx)
Firepower Security Appliances (FPR41xx und FPR9300)
Industrial Security Appliances der Serie 3000 (ISA)
Integrated Service Router (ISR)-Modul

Private-Cloud:
- VMware (ESXi)
- Kernel-basiertes virtuelles System (KVM)
- OpenStack
- Cisco HyperFlex

Public-Cloud:
- Amazon Web Services (AWS)
- Microsoft Azure
- Google Cloud-Plattform
- Oracle Cloud-Infrastruktur
- Nutanix Cloud
- Equinix

Konfigurieren

Netzwerkdiagramm

topology

Aufgabe 1: FTD-Software-Download

Navigieren Sie zu Security > Firewalls > Next-Generation Firewalls (NGFW) > Firepower 4100 Series > Firepower 4125 Security Appliance, und wählen Sie Firepower Threat Defense Software wie in dieser Abbildung dargestellt aus:

Software Type

Aufgabe 2: Überprüfen der FXOS-FTD-Kompatibilität

Voraussetzung für diese Aufgabe

Stellen Sie sicher, dass die auf dem Chassis ausgeführte FXOS-Version mit der FTD-Version kompatibel ist, die Sie im Sicherheitsmodul installieren möchten.

Lösung

Schritt 1: Überprüfen der FXOS-FTD-Kompatibilität

Bevor Sie ein FTD-Image auf dem Modul/Blade installieren, stellen Sie sicher, dass das FirePOWER-Chassis eine kompatible FXOS-Software ausführt. Überprüfen Sie im FXOS-Kompatibilitätsleitfaden die Tabelle zur Kompatibilität logischer Geräte. Die mindestens erforderliche FXOS-Version für FTD 7.6.0 ist 2.16, wie in Tabelle 1 gezeigt:

SW Matrix

Wenn das FXOS-Image nicht mit dem FTD-Zielimage kompatibel ist, aktualisieren Sie zuerst die FXOS-Software.

Überprüfen des FXOS-Images

Methode 1. Aus der Seite "FCM-UI-Übersicht" des FirePOWER Chassis Managers (FCM), wie in dieser Abbildung dargestellt:

Overview

Methode 2. Navigieren Sie zur Seite FCM System > Update (FCM System > Aktualisieren), wie in der folgenden Abbildung dargestellt:

Updates

Methode 3. Von der FXOS-CLI:

FPR4125# show fabric-interconnect firmware
Fabric Interconnect A:
    Running-Kern-Vers: 5.0(3)N2(4.160.555)
    Running-Sys-Vers: 5.0(3)N2(4.160.555)
    Package-Vers: 2.16(0.128)
    Startup-Kern-Vers: 5.0(3)N2(4.160.555)
    Startup-Sys-Vers: 5.0(3)N2(4.160.555)
    Act-Kern-Status: Ready
    Act-Sys-Status: Ready
    Bootloader-Vers:

Schritt 3: FTD-Image in Firepower-Appliance hochladen

Voraussetzung für diese Aufgabe

Laden Sie das FTD-Image in das FPR4100-Gehäuse hoch.

Lösung

Methode 1: Laden Sie das FTD-Bild aus der FCM-Benutzeroberfläche hoch.

Melden Sie sich beim FPR4100 Chassis Manager an, und navigieren Sie zur Registerkarte System > Updates. Wählen Sie Bild hochladen, um die Datei hochzuladen, wie in diesem Bild gezeigt:

Navigieren Sie zur FTD-Bilddatei, und klicken Sie auf Hochladen, wie in diesem Bild gezeigt:

Upload image

Akzeptieren Sie die Endbenutzer-Lizenzvereinbarung (EULA).

Die Überprüfung erfolgt wie in dieser Abbildung dargestellt:

Select image

Methode 2: Laden Sie das FTD-Image von der FXOS-CLI hoch.

Sie können das FTD-Image über FTP, HTTP, HTTPS, Secure Copy (SCP), Secure FTP (SFTP), TFTP oder USB hochladen. (In diesem Beispiel wird FTP verwendet.):

FPR4100# scope ssa
FPR4100 /ssa # scope app-software 
FPR4100 /ssa/app-software # download image ?
  ftp: Location of the image file 
  http: Location of the image file 
  https: Location of the image file 
  scp: Location of the image file 
  sftp: Location of the image file 
  tftp: Location of the image file 
  usbA: Location of the image file

Bevor die Image-Übertragung beginnt, überprüfen Sie die Verbindung zwischen der Managementschnittstelle des Gehäuses und dem Remote-Server:

FPR4100# connect local-mgmt
FPR4100(local-mgmt)# ping 10.229.24.22
PING 10.229.24.22 (10.229.24.22) from 10.62.148.88 eth0: 56(84) bytes of data.
64 bytes from 10.229.24.22: icmp_seq=1 ttl=124 time=0.385 ms
64 bytes from 10.229.24.22: icmp_seq=2 ttl=124 time=0.577 ms
64 bytes from 10.229.24.22: icmp_seq=3 ttl=124 time=0.347 ms

Um das FTD-Image herunterzuladen, navigieren Sie zu diesem Bereich, und verwenden Sie den Befehl download image:

FPR4100# scope ssa
FPR4100 /ssa # scope app-software
FPR4100 /ssa/app-software # download image ftp://ftp_username@10.229.24.22/cisco-ftd.7.6.0.113.SPA.csp
Password:

So überwachen Sie den Fortschritt des Image-Uploads:

FPR4100 /ssa/app-software # show download-task detail

Downloads for Application Software:

    File Name: cisco-ftd.7.6.0.113.SPA.csp
    Protocol: Ftp
    Server: 10.229.24.22
    Port: 0
    Userid: ftp
    Path:
    Downloaded Image Size (KB): 95040
    Time stamp: 2016-12-11T20:27:47.856
    State: Downloading
    Transfer Rate (KB/s): 47520.000000
    Current Task: downloading image cisco-ftd.7.6.0.113.SPA.csp from 10.229.24.22(FSM-STAGE:sam:dme:ApplicationDownloaderDownload:Local)

Verwenden Sie diesen Befehl, um den erfolgreichen Download zu überprüfen:

FPR4100 /ssa/app-software # show download-task

Downloads for Application Software:
    File Name                      Protocol   Server        Port       Userid    State
    ------------------------------ ---------- ------------- ---------- --------- -----
    cisco-ftd.7.6.0.113.SPA.csp    Ftp        10.229.24.22           0 ftp       Downloaded

Weitere Informationen:

KSEC-FPR4100 /ssa/app-software # show download-task fsm status expand

File Name: cisco-ftd.7.6.0.113.SPA.csp

    FSM Status:

        Affected Object: sys/app-catalogue/dnld-cisco-ftd.7.6.0.113.SPA.csp/fsm
        Current FSM: Download
        Status: Success
        Completion Time: 2016-12-11T20:28:12.889
        Progress (%): 100

        FSM Stage:

        Order  Stage Name                               Status       Try
        ------ ---------------------------------------- ------------ ---
        1      DownloadLocal                            Success      1
        2      DownloadUnpackLocal                      Success      1
File Name: Cisco_FTD_SSP_Upgrade-7.6.0-113.sh

Das Image wird im Chassis-Repository angezeigt:

KSEC-FPR4100 /ssa/app-software # exit
KSEC-FPR4100 /ssa # show app

Application:
    Name       Version    Description Author     Deploy Type CSP Type    Is Default App
    ---------- ---------- ----------- ---------- ----------- ----------- --------------
    asa        9.6.2.3    N/A         cisco      Native      Application No
    ftd        7.6.0.113  N/A         cisco      Native      Application No

Schritt 4: FTD-Verwaltung und Datenschnittstellen konfigurieren

Voraussetzung für diese Aufgabe

Konfigurieren und aktivieren Sie Management- und Datenschnittstellen für FTD auf der Firepower-Appliance.

Lösung

Um eine neue Schnittstelle zu erstellen, melden Sie sich beim FCM an, und navigieren Sie zur Registerkarte Interfaces (Schnittstellen). Die aktuellen Schnittstellen sind sichtbar. Um eine neue Port-Channel-Schnittstelle zu erstellen, wählen Sie die Schaltfläche Add New > Port Channel (Neu hinzufügen > Port-Channel), wie in der Abbildung dargestellt:

New Device

Schritt 1: Erstellen einer Port-Channel-Datenschnittstelle

Erstellen Sie eine neue Port-Channel-Schnittstelle, wie in diesem Bild dargestellt:

Port-Channel-ID	1
Typ	Daten
Enable	Ja
Mitglieds-ID	Ethernet1/2, Ethernet1/3

Geben Sie als Port-Channel-ID einen Wert zwischen 1 und 47 ein.

Anmerkung: Port-Channel 48 wird für Cluster verwendet.

Select interfaces

Die Überprüfung erfolgt wie in dieser Abbildung dargestellt:

Port-channel up

Schritt 2: Erstellen einer Management-Schnittstelle

Wählen Sie auf der Registerkarte Schnittstellen die Schnittstelle aus, wählen Sie Bearbeiten, und konfigurieren Sie die Management-Schnittstelle, wie in diesem Bild dargestellt:

Edit Interface

Schritt 5: Erstellen und Konfigurieren eines neuen logischen Geräts

Voraussetzung für diese Aufgabe

Erstellen Sie ein FTD als eigenständiges logisches Gerät und stellen Sie es bereit.

Lösung

Schritt 1: Hinzufügen eines logischen Geräts

Navigieren Sie zur Registerkarte Logical Devices (Logische Geräte), und wählen Sie die Schaltfläche Add Device (Gerät hinzufügen), um ein neues logisches Gerät zu erstellen, wie in diesem Bild gezeigt:

Logical Devices

Konfigurieren Sie ein FTD-Gerät mit den in diesem Bild gezeigten Einstellungen:

Device Name (Gerätename)	FPR4125-1
Vorlage	Cisco Secure Firewall - Schutz vor Bedrohungen
Bildversion	7.6.0.113

Add Standalone

Schritt 2: Booten des logischen Geräts

Nach dem Erstellen des logischen Geräts wird das Fenster Provisioning - device_name angezeigt. Wählen Sie das Gerätesymbol, um die Konfiguration zu starten, wie in diesem Bild gezeigt:

Click Here

Konfigurieren Sie die Registerkarte "Allgemeine Informationen" des FTD, wie in dieser Abbildung dargestellt:

Management-Schnittstelle	Ethernet1/1
Adresstyp	Nur IPv4
Management-IP	10.62.148.226
Netzwerkmaske	255.255.255.128
Netzwerk-Gateway	10.62.148.129

General Information

Konfigurieren Sie die Registerkarte FTD-Einstellungen, wie in dieser Abbildung dargestellt:

Registrierungsschlüssel	cisco
Kennwort	Pa$$w0d
Cisco Secure Firewall Management Center - IP	10.62.148.43
Domänen suchen	cisco.com
Firewall-Modus	Geroutet
DNS-Server	192.168.0.2
Vollqualifizierter Hostname	FPR4125-1.cisco.com
Eventing-Schnittstelle	-

DNS

Vergewissern Sie sich, dass die Vereinbarung akzeptiert wird, und wählen Sie OK aus.

Schritt 3: Zuweisen der Datenschnittstellen

Erweitern Sie den Bereich Data Ports (Datenports), und wählen Sie jede Schnittstelle aus, die FTD zugewiesen werden soll. In diesem Szenario wurde eine Schnittstelle (Port-channel1) zugewiesen, wie in diesem Bild gezeigt:

Assign PC

Wählen Sie Speichern, um die Konfiguration abzuschließen.

Schritt 4: Überwachen Sie den Installationsprozess.

So verläuft die FTD-Installation, wenn sie von der FCM-Benutzeroberfläche aus überwacht wird, wie in den folgenden Bildern gezeigt:

Installing

Starting

Online

Überwachen Sie den Installationsvorgang über die FirePOWER CLI:

FPR4100# connect module 1 console 
Telnet escape character is '~'.
Trying 127.5.1.1...
Connected to 127.5.1.1.
Escape character is '~'.

Firepower-module1>show services status all
Services currently running:
Application Type | Identifier | Oper State | Up Since | Instance ID               
---------------- | ---------- | ---------- | -------- | -----------               
ftd (native)     | FPR4125-1  | RUNNING    | 00:01:56 | ftd_001_JAD22360004VWC84030

Aufgabe 6: FTD beim Cisco Secure Firewall Management Center (FMC) registrieren

Voraussetzung für diese Aufgabe

FTD beim FMC registrieren.

Lösung

Schritt 1: Überprüfen der grundlegenden Verbindung zwischen FTD und FMC

Bevor Sie das FTD beim FMC registrieren, überprüfen Sie die grundlegende Verbindung zwischen dem FTD und dem FMC:

Firepower-module1>connect ftd
Connecting to ftd(FPR4125-1) console... enter exit to return to bootCLI

> ping system 10.62.148.43
PING 10.62.148.43 (10.62.148.43) 56(84) bytes of data.
64 bytes from 10.62.148.43: icmp_seq=1 ttl=63 time=0.254 ms
64 bytes from 10.62.148.43: icmp_seq=2 ttl=63 time=0.283 ms
64 bytes from 10.62.148.43: icmp_seq=3 ttl=63 time=0.217 ms

Aufgrund der Bootstrap-Konfiguration hat das FTD das Manager-FMC bereits konfiguriert:

> show managers
Type                      : Manager
Host                      : 10.62.148.43
Display name              : 10.62.148.43
Identifier                : 10.62.148.43
Registration              : Pending

Schritt 2: Fügen Sie die FTD dem FÜZ hinzu.

Navigieren Sie auf dem FMC zur Registerkarte Devices (Geräte) > Device Management (Geräteverwaltung), und navigieren Sie zu Add (Hinzufügen) > Add Device (Gerät hinzufügen), wie in der Abbildung dargestellt:

Device

Konfigurieren Sie die FTD-Geräteeinstellungen wie in diesem Bild dargestellt:

Device info

Wählen Sie die Schaltfläche Registrieren.

Überprüfen Sie auf dem FMC die Aufgaben, um zu sehen, wie die Registrierung verläuft. Neben der Registrierung hat das FÜZ auch folgende Aufgaben:

Erkennt das FTD-Gerät (ruft die aktuelle Schnittstellenkonfiguration ab).
Stellt die ursprüngliche Richtlinie bereit.

Die Registrierung ist erfolgreich, wie in diesem Bild gezeigt:

Verification

Wenn bei der Registrierung Probleme auftreten, lesen Sie bitte dieses Dokument:

Konfiguration, Überprüfung und Fehlerbehebung bei der Registrierung von FirePOWER-Geräten

Zugehörige Informationen

Revisionsverlauf

Überarbeitung	Veröffentlichungsdatum	Kommentare
5.0	14-Mar-2025	Aktualisierte Software-Version und Screenshots. Alternativer Text bearbeitet.
4.0	06-Sep-2024	Formatierung, Abstand, Stil aktualisiert.
3.0	16-Aug-2023	Aktualisierte PII, maschinelle Übersetzung, Stilanforderungen, MDF-Tags und Formatierung.
2.0	20-Jul-2022	Rezertifizierung
1.0	01-Nov-2017	Erstveröffentlichung

Beiträge von Cisco Ingenieuren

Luciano Bezerra
Cisco TAC Engineer
Mikis Zafeiroudis
Customer Delivery Engineering Technical Leader
Olga Yakovenko
Leader Customer Delivery

War dieses Dokument hilfreich?

Feedback

Cisco kontaktieren

Eine Supportanfrage öffnen
(Erfordert einen Cisco Servicevertrag)

Dieses Dokument gilt für folgende Produkte.

Firepower 4100 Series