Instalación y actualización FTD en los dispositivos de FirePOWER
Contenido
Introducción
Este documento describe la instalación, la actualización y el registro del software de la defensa de la amenaza de FirePOWER (FTD) en los dispositivos de FirePOWER.
Prerequisites
Requisitos
No hay requisitos específicos para este documento.
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- Dispositivo de seguridad de Cisco FirePOWER 4140 que ejecuta los FXO 2.0(1.37)
- Centro de administración de FirePOWER que funcionamientos 6.1.0.330
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si su red está viva, asegúrese de que usted entienda el impacto potencial del comando any.
Antecedentes
FTD es una imagen del software unificada que se puede instalar en estas Plataformas:
- ASA5506-X, ASA5506W-X, ASA5506H-X, ASA5508-X, ASA5516-X
- ASA5512-X, ASA5515-X, ASA5525-X, ASA5545-X, ASA5555-X
- Dispositivos de FirePOWER (FPR4100, FPR9300 etc)
- VMware (ESXi)
- Servicios web del Amazonas (AWS)
- máquina virtual Corazón-basada (KVM)
- Módulo del router del servicio integrado (ISR)
Configurar
Diagrama de la red
Descarga del software de la tarea 1. FTD
Navegue a los Firewall de la última generación (NGFW) > las 4100 Series de FirePOWER > dispositivo de seguridad de FirePOWER 4140 y seleccione el software de la defensa de la amenaza de FirePOWER tal y como se muestra en de la imagen.
La tarea 2. verifica la compatibilidad FXOS-FTD
Requisito de la tarea
Verifique si la versión FXO que se ejecuta en el chasis es compatible con la versión FTD que usted quiere instalar en el módulo de la Seguridad.
Solución
Paso 1. Marque el FXOS-FTD compatibiliy
Antes de que usted instale una imagen FTD en el módulo/la cuchilla, hay una necesidad de asegurarse de que el chasis de FirePOWER funciona con un software compatible FXO. En la guía de la compatibilidad FXO, marque la tabla de compatibilidad del dispositivo lógico. El mínimo requirió la versión FXO ejecutar FTD 6.1.x es 1.1(4.95) tal y como se muestra en de la tabla aquí:
Si la imagen FXO no es compatible con la imagen de la blanco FTD, hay una necesidad de actualizar el software FXO primero.
Verifique la imagen FXO
Método 1. De la página de la descripción del administrador del chasis de FirePOWER (FCM) UI tal y como se muestra en de la imagen:
El método 2. navega a la página del sistema > de la actualización FCM tal y como se muestra en de la imagen:
Método 3. De FXO CLI:
FPR4100# show fabric-interconnect firmware
Fabric Interconnect A:
Running-Kern-Vers: 5.0(3)N2(4.01.35)
Running-Sys-Vers: 5.0(3)N2(4.01.35)
Package-Vers: 2.0(1.37)
Startup-Kern-Vers: 5.0(3)N2(4.01.35)
Startup-Sys-Vers: 5.0(3)N2(4.01.35)
Act-Kern-Status: Ready
Act-Sys-Status: Ready
Bootloader-Vers:
Imagen de la carga FTD de la tarea 3. en el dispositivo de FirePOWER
Requisito de la tarea
Cargue la imagen FTD en el chasis FPR4100.
Solución
Método 1 - Cargue la imagen FTD del FCM UI
Inicie sesión en el administrador del chasis FPR4100 y navegue imagen selecta de la carga a cuadro del sistema > de las actualizaciones para cargar el archivo tal y como se muestra en de la imagen.
Hojee para seleccionar la carga del archivo de imagen y del tecleo FTD tal y como se muestra en de la imagen:
Valide el acuerdo de licencia de usuario final (EULA).
La verificación está tal y como se muestra en de la imagen.
Método 2 - Cargue la imagen FTD de los FXO CLI
Usted puede cargar la imagen FTD de un FTP, de un Secure Copy (SCP), de FTP seguro (SFTP) o de un servidor TFTP.
Antes de que usted comience la transferencia de imagen, se recomienda para verificar la Conectividad entre la interfaz de administración del chasis y el servidor remoto:
FPR4100# connect local-mgmt FPR4100(local-mgmt)# ping 10.229.24.22 PING 10.229.24.22 (10.229.24.22) from 10.62.148.88 eth0: 56(84) bytes of data. 64 bytes from 10.229.24.22: icmp_seq=1 ttl=124 time=0.385 ms 64 bytes from 10.229.24.22: icmp_seq=2 ttl=124 time=0.577 ms 64 bytes from 10.229.24.22: icmp_seq=3 ttl=124 time=0.347 ms
Para descargar la imagen FTD, navegar a este alcance y utilizar el comando de la imagen de la descarga:
FPR4100# scope ssa FPR4100 /ssa # scope app-software FPR4100 /ssa/app-software # download image ftp://ftp_username@10.229.24.22/cisco-ftd.6.1.0.330.SPA.csp
Password:
Para monitorear el progreso de la carga de la imagen:
FPR4100 /ssa/app-software # show download-task detail
Downloads for Application Software:
File Name: cisco-ftd.6.1.0.330.SPA.csp
Protocol: Ftp
Server: 10.229.24.22
Port: 0
Userid: ftp
Path:
Downloaded Image Size (KB): 95040
Time stamp: 2016-12-11T20:27:47.856
State: Downloading
Transfer Rate (KB/s): 47520.000000
Current Task: downloading image cisco-ftd.6.1.0.330.SPA.csp from 10.229.24.22(FSM-STAGE:sam:dme:ApplicationDownloaderDownload:Local)
Usted puede también utilizar este comando de verificar la descarga acertada:
FPR4100 /ssa/app-software # show download-task
Downloads for Application Software:
File Name Protocol Server Port Userid State
------------------------------ ---------- ------------- ---------- --------- -----
cisco-ftd.6.1.0.330.SPA.csp Ftp 10.229.24.22 0 ftp Downloaded
Para los detalles adicionales:
KSEC-FPR4100 /ssa/app-software # show download-task fsm status expand
File Name: cisco-ftd.6.1.0.330.SPA.csp
FSM Status:
Affected Object: sys/app-catalogue/dnld-cisco-ftd.6.1.0.330.SPA.csp/fsm
Current FSM: Download
Status: Success
Completion Time: 2016-12-11T20:28:12.889
Progress (%): 100
FSM Stage:
Order Stage Name Status Try
------ ---------------------------------------- ------------ ---
1 DownloadLocal Success 1
2 DownloadUnpackLocal Success 1
File Name: Cisco_FTD_SSP_Upgrade-6.1.0-330.sh
La imagen se muestra en el repositorio del chasis:
KSEC-FPR4100 /ssa/app-software # exit
KSEC-FPR4100 /ssa # show app Application: Name Version Description Author Deploy Type CSP Type Is Default App ---------- ---------- ----------- ---------- ----------- ----------- -------------- asa 9.6.2.3 N/A cisco Native Application No ftd 6.1.0.330 N/A cisco Native Application No
Administración y Interfaces de datos de la configuración FTD de la tarea 4.
Requisito de la tarea
Configuración y Administración y Interfaces de datos del permiso para FTD en el dispositivo de FirePOWER.
Solución
Para crear una nueva interfaz que usted tiene que iniciar sesión al FCM y navegar a la lengueta de las interfaces. Allí de usted puede ver las interfaces actuales. Para crear una nueva interfaz del Canal de puerto seleccione el botón del Canal de puerto del agregar tal y como se muestra en de la imagen:
Paso 1. Cree una Interfaz de datos del Canal de puerto
Cree una nueva interfaz del Canal de puerto tal y como se muestra en de la imagen:
| Canal de puerto ID |
10 |
| Tipo |
Datos |
| Habilitar |
Yes |
| Miembro ID |
Ethernet1/1, Ethernetes el 1/2 |
Para el Canal de puerto ID usted puede ingresar el valor a partir de la 1 a 47.
La verificación está tal y como se muestra en de la imagen.
Paso 2. Cree una interfaz de administración.
En la lengueta de las interfaces elija la interfaz, selecta edite y configure la interfaz de administración tal y como se muestra en de la imagen:
La tarea 5. crea y configura el nuevo dispositivo lógico
Requisito de la tarea
Cree un FTD como dispositivo lógico independiente y despliegúelo.
Solución
Paso 1. Agregue un dispositivo lógico.
Navegue a los dispositivos lógicos lengueta y seleccione el botón del dispositivo del agregar para crear un nuevo dispositivo lógico tal y como se muestra en de la imagen:
Configure un dispositivo FTD con estas configuraciones y tal y como se muestra en de la imagen:
| Nombre del dispositivo |
FTD |
| Plantilla |
Defensa de la amenaza de Cisco FirePOWER |
| Versión de imagen |
6.1.0.330 |
Paso 2. Ate el dispositivo lógico con correa.
Tan pronto como usted cree el dispositivo lógico usted consigue reorientado al aprovisionamiento – ventana del device_name. Seleccione el icono del dispositivo para comenzar la configuración tal y como se muestra en de la imagen.
Configure la lengueta de la información general FTD tal y como se muestra en de la imagen:
| Interfaz de administración |
Ethernet1/3 |
| Tipo de dirección |
IPv4 solamente |
| IP de administración |
10.62.148.84 |
| Máscara de red |
255.255.255.128 |
| Gateway de la red |
10.62.148.1 |
Configure la lengueta de las configuraciones FTD y tal y como se muestra en de la imagen:
| Clave del registro |
Cisco |
| Contraseña |
Pa$$w0rd |
| IP del centro de administración de FirePOWER |
10.62.148.50 |
| Dominios de la búsqueda |
cisco.com |
| Modo firewall |
Ruteado |
| Servidores DNS |
192.168.0.1 |
| Nombre de host calificado completamente |
FTD4100.cisco.com |
| Interfaz de Eventing |
- |
Asegúrese que el acuerdo esté validado y seleccione OK.
Paso 3. Asigne las Interfaces de datos
Amplíe la zona portuaria de los datos y seleccione cada interfaz que usted quiere asignar a FTD. En este escenario, una interfaz (Port-channel10) fue asignada tal y como se muestra en de la imagen:
Seleccione la salvaguardia para acabar la partición de la configuración.
Paso 4. Monitoree el proceso de instalación.
Aquí es cómo progresa la instalación FTD cuando usted monitorea del FCM UI tal y como se muestra en de las imágenes:
Monitoree el proceso de instalación de FirePOWER CLI:
FPR4100# connect module 1 console Telnet escape character is '~'. Trying 127.5.1.1... Connected to 127.5.1.1. Escape character is '~'. CISCO Serial Over LAN: Close Network Connection to Exit Cisco FTD: CMD=-start, CSP-ID=cisco-ftd.6.1.0.330__ftd_001_JAD19500F7YHCNL7715, FLAG='' Cisco FTD starting ... Registering to process manager ... VNICs requested: 9,22 Cisco FTD started successfully. Cisco FTD initializing ... Firepower-module1>Setting up VNICs ... Found Firepower management vnic 18. No Firepower eventing vnic configured. Updating /ngfw/etc/sf/arc.conf ... Deleting previous CGroup Configuration ... Initializing Threat Defense ... [ OK ] Starting system log daemon... [ OK ] Stopping mysql... Dec 12 17:12:17 Firepower-module1 SF-IMS[14629]: [14629] pmtool:pmtool [ERROR] Unable to connect to UNIX socket at /ngfw/var/sf/run/PM_Control.sock: No such file or directory Starting mysql... Dec 12 17:12:17 Firepower-module1 SF-IMS[14641]: [14641] pmtool:pmtool [ERROR] Unable to connect to UNIX socket at /ngfw/var/sf/run/PM_Control.sock: No such file or directory Flushing all current IPv4 rules and user defined chains: ...success Clearing all current IPv4 rules and user defined chains: ...success Applying iptables firewall rules: Flushing chain `PREROUTING' Flushing chain `INPUT' Flushing chain `FORWARD' Flushing chain `OUTPUT' Flushing chain `POSTROUTING' Flushing chain `INPUT' Flushing chain `FORWARD' Flushing chain `OUTPUT' Applying rules successed Flushing all current IPv6 rules and user defined chains: ...success Clearing all current IPv6 rules and user defined chains: ...success Applying ip6tables firewall rules: Flushing chain `PREROUTING' Flushing chain `INPUT' Flushing chain `FORWARD' Flushing chain `OUTPUT' Flushing chain `POSTROUTING' Flushing chain `INPUT' Flushing chain `FORWARD' Flushing chain `OUTPUT' Applying rules successed Starting nscd... mkdir: created directory '/var/run/nscd' [ OK ] Starting , please wait......complete. Firstboot detected, executing scripts Executing S01virtual-machine-reconfigure [ OK ] Executing S02aws-pull-cfg [ OK ] Executing S02configure_onbox [ OK ] Executing S04fix-httpd.sh [ OK ] Executing S06addusers [ OK ] Executing S07uuid-init [ OK ] Executing S08configure_mysql [ OK ] ************ Attention ********* Initializing the configuration database. Depending on available system resources (CPU, memory, and disk), this may take 30 minutes or more to complete. ************ Attention ********* Executing S09database-init [ OK ] Executing S11database-populate [ OK ] Executing S12install_infodb [ OK ] Executing S15set-locale.sh [ OK ] Executing S16update-sensor.pl [ OK ] Executing S19cert-tun-init [ OK ] Executing S20cert-init [ OK ] Executing S21disable_estreamer [ OK ] Executing S25create_default_des.pl [ OK ] Executing S30init_lights_out_mgmt.pl [ OK ] Executing S40install_default_filters.pl [ OK ] Executing S42install_default_dashboards.pl [ OK ] Executing S43install_default_report_templates.pl [ OK ] Executing S44install_default_app_filters.pl [ OK ] Executing S45install_default_realms.pl [ OK ] Executing S47install_default_sandbox_EO.pl [ OK ] Executing S50install-remediation-modules [ OK ] Executing S51install_health_policy.pl [ OK ] Executing S52install_system_policy.pl [ OK ] Executing S53change_reconciliation_baseline.pl [ OK ] Executing S70remove_casuser.pl [ OK ] Executing S70update_sensor_objects.sh [ OK ] Executing S85patch_history-init [ OK ] Executing S90banner-init [ OK ] Executing S96grow_var.sh [ OK ] Executing S96install_vmware_tools.pl [ OK ] ********** Attention ********** Initializing the system's localization settings. Depending on available system resources (CPU, memory, and disk), this may take 10 minutes or more to complete. ********** Attention ********** Executing S96localize-templates [ OK ] Executing S96ovf-data.pl [ OK ] Executing S97compress-client-resources [ OK ] Executing S97create_platinum_forms.pl [ OK ] Executing S97install_cas [ OK ] Executing S97install_cloud_support.pl [ OK ] Executing S97install_geolocation.pl [ OK ] Executing S97install_ssl_inspection.pl [ OK ] Executing S97update_modprobe.pl [ OK ] Executing S98check-db-integrity.sh [ OK ] Executing S98htaccess-init [ OK ] Executing S98is-sru-finished.sh [ OK ] Executing S99correct_ipmi.pl [ OK ] Executing S99start-system [ OK ] Executing S99z_db_restore [ OK ] Executing S99_z_cc-integrity.sh [ OK ] Firstboot scripts finished. Configuring NTP... [ OK ] insmod: ERROR: could not insert module /lib/modules/kernel/drivers/uio/igb_uio.ko: File exists rw console=ttyS0,38400 loglevel=2 auto kstack=128 reboot=force panic=1 ide_generic.probe_mask=0x1 ide1=noprobe pci=nocrs processor.max_cstate=1 iommu=pt platform=sspxru boot_img=disk0:/fxos-lfbff-k8.9.6.1.150.SPA ciscodmasz=786432 cisconrsvsz=2359296 hugepagesz=1g hugepages=24 ssp_mode=0 Fru Size : 512 bytes Done VNIC command successful VNIC command successful fatattr: FAT_IOCTL_GET_ATTRIBUTES: Inappropriate ioctl for device fatattr: can't open '/mnt/disk0/.private2': No such file or directory fatattr: can't open '/mnt/disk0/.ngfw': No such file or directory Model reconfigure detected, executing scripts Pinging mysql Found mysql is running Executing 45update-sensor.pl [ OK ] Executing 55recalculate_arc.pl [ OK ] Mon Dec 12 17:16:15 UTC 2016 Starting MySQL... Pinging mysql Pinging mysql, try 1 Found mysql is running Detecting expanded storage... Running initializeObjects... Stopping MySQL... Killing mysqld with pid 32651 Wait for mysqld to exit\c done Mon Dec 12 17:16:21 UTC 2016 Starting sfifd... [ OK ] Starting Cisco Firepower 4140 Threat Defense, please wait...No PM running! ...started. Cisco FTD initialization finished successfully. ... output omitted ... Reading from flash... ! Cryptochecksum (changed): b1abfa7e 63faee14 affdddb0 9bc9d8cd INFO: Power-On Self-Test in process. ....................................................................... INFO: Power-On Self-Test complete. INFO: Starting HW-DRBG health test (DRBG 0)... INFO: HW-DRBG health test (DRBG 0) passed. INFO: Starting HW-DRBG health test (DRBG 1)... INFO: HW-DRBG health test (DRBG 1) passed. INFO: Starting SW-DRBG health test... INFO: SW-DRBG health test passed. Firepower-module1>
Firepower-module1>show services status
Services currently running:
Feature | Instance ID | State | Up Since
-----------------------------------------------------------
ftd | 001_JAD19500F7YHCNL7715 | RUNNING | :00:08:07
Registro FTD de la tarea 6. en el centro de administración de FirePOWER (FMC)
Requisito de la tarea
Registro FTD al FMC.
Solución
Paso 1. Verifique la conectividad básica entre FTD y FMC.
Antes de que usted registre FTD a FMC, verifique la conectividad básica entre FTD y FMC:
Firepower-module1>connect ftd
Connecting to ftd console... enter exit to return to bootCLI
> ping system 10.62.148.50
PING 10.62.148.50 (10.62.148.50) 56(84) bytes of data.
64 bytes from 10.62.148.50: icmp_seq=1 ttl=64 time=0.133 ms
64 bytes from 10.62.148.50: icmp_seq=2 ttl=64 time=0.132 ms
64 bytes from 10.62.148.50: icmp_seq=3 ttl=64 time=0.123 ms
Debido atar la configuración con correa el FTD tiene el administrador FMC configurado ya:
> show managers Host : 10.62.148.50 Registration Key : **** Registration : pending RPC Status :
Paso 2. Agregue el FTD en FMC.
En FMC navegue a los dispositivos - lengueta de la Administración del >Device y navegue para agregar > Add el dispositivo tal y como se muestra en de la imagen.
Configure las configuraciones del dispositivo FTD tal y como se muestra en de la imagen:
Seleccione el botón del registro.
En FMC marque las tareas de ver cómo progresa el registro. Además del registro el FMC también:
- Descubra el dispositivo FTD (extraiga la configuración de la interfaz existente).
- Despliegue la directiva inicial.
Registro exitoso tal y como se muestra en de la imagen:
Actualización FTD de la tarea 7.
Requisito de la tarea
Actualice el FTD a partir del 6.1.0.330 a 6.1.0.1.
Solución
Paso 1. Verifique la compatibilidad
Marque los Release Note FXO para asegurarse de que la versión de la blanco FTD es compatible con el software FXO. Si es necesario actualice el software FXO primero.
Paso 2. Actualice el FTD
El software FTD es manejado por el FMC no el FCM. Para actualizar el módulo FTD conecte con FMC, navegue al sistema > a Updatespage y seleccione la actualización de la carga tal y como se muestra en de la imagen.
Instale la actualización en el módulo FTD tal y como se muestra en de las imágenes:
Usted puede poner en marcha opcionalmente un control de la disposición:
Un control acertado de la disposición tal y como se muestra en de la imagen:
Para comenzar el proceso de actualización, el tecleo instala tal y como se muestra en de la imagen:
La actualización requiere una reinicialización FTD tal y como se muestra en de la imagen:
Semejantemente a la instalación FTD el proceso de actualización FTD se puede monitorear de FMC UI (tareas) o de FMC CLI (comando de la coleta). Usted puede también seguir el progreso del FTD CLI (modo CLISH).
Después de que la realización de la actualización allí sea una necesidad de desplegar una directiva a FTD tal y como se muestra en de la imagen:
Verificación
De FMC UI tal y como se muestra en de la imagen:
De FCM UI tal y como se muestra en de la imagen:
Del chasis CLI:
FPR4100# scope ssa FPR4100 /ssa # show app-instance Application Name Slot ID Admin State Operational State Running Version Startup Version Cluster Oper State -------------------- ---------- --------------- -------------------- --------------- --------------- ------------------ ftd 1 Enabled Online 6.1.0.1.53 6.1.0.330 Not Applicable
De FTD CLI:
FPR4100# connect module 1 console Telnet escape character is '~'. Trying 127.5.1.1... Connected to 127.5.1.1. Escape character is '~'. CISCO Serial Over LAN: Close Network Connection to Exit > show version ---------------[ FTD4100.cisco.com ]---------------- Model : Cisco Firepower 4140 Threat Defense (76) Version 6.1.0.1 (Build 53) UUID : 22c66994-c08e-11e6-a210-931f3c6bbbea Rules update version : 2016-03-28-001-vrt VDB version : 275 ---------------------------------------------------- >
Verificación
Actualmente, no hay un procedimiento de verificación disponible para esta configuración.
Troubleshooting
Actualmente, no hay información específica de troubleshooting disponible para esta configuración.
Información Relacionada
ComentariosContacte a Cisco
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)