Guide de dépannage Cisco FXOS pour 1000/1200/2100/3100/4200 avec Défense contre les menaces

À propos de la reprise sur sinistre

Vous devrez peut-être réinitialiser la configuration, réinstaller l’image, récupérer le mot de passe FXOS ou recréer complètement l’image du système. Consultez les procédures disponibles suivantes :

Effacer la configuration et redémarrer le système avec la même image : toutes les configurations sont supprimées et défense contre les menaces est réinstallé en utilisant l’image actuelle. Notez qu’après avoir effectué cette procédure, vous devrez reconfigurer le système, y compris le mot de passe admin et les informations de connectivité. Consultez Recréer l’image du système avec la version du logiciel de l’installation de base.
Effectuer une réinitialisation d’usine à partir de ROMMON (récupération du mot de passe admin) : toutes les configurations sont supprimées et défense contre les menaces est réinstallé en utilisant l’image actuelle. Notez qu’après avoir effectué cette procédure, vous devrez reconfigurer le système, y compris le mot de passe admin et les informations de connectivité. Consultez Effectuer une réinitialisation aux valeurs d'usine à partir de ROMMON (réinitialisation du mot de passe).

Récréer l’image du système avec une nouvelle version : toutes les configurations sont supprimées et défense contre les menaces est réinstallé à l’aide d’une nouvelle image logicielle. Notez qu’après avoir effectué cette procédure, vous devrez reconfigurer le système, y compris le mot de passe admin et les informations de connectivité. Consultez Recréer l’image du système avec une nouvelle version du logiciel.

Remarque

Vous ne pouvez pas effectuer de rétrogradation à la version majeure précédente en utilisant cette procédure. Vous devez plutôt utiliser Effectuer une recréation d’image complète.

Reformater le système de fichiers SSD : reformate le SSD si vous voyez des messages de corruption de disque. Toutes les configurations sont supprimées. Notez qu’après avoir effectué cette procédure, vous devrez reconfigurer le système, y compris le mot de passe admin et les informations de connectivité. Consultez Formater le système de fichiers SSD (Firepower 2100).
Démarrage à partir de ROMMON : démarre FXOS à partir de ROMMON si vous ne pouvez pas démarrer. Vous pouvez ensuite reformater l’eMMC et réinstaller l’image logicielle. Cette procédure conserve toute la configuration. Consultez Démarrage à partir de ROMMON.
Effacer toutes les configurations et les images : cette option restaure les paramètres d’usine par défaut de votre système et efface les images. La procédure vous demande de démarrer le système sur TFTP, de télécharger le logiciel défense contre les menaces et de reconfigurer le système entier. Consultez Effectuer une recréation d’image complète.
Modifier le mot de passe administrateur : cette procédure vous permet de modifier le mot de passe administrateur à partir de l’interface de ligne de commande défense contre les menaces . Consultez Modifier le mot de passe d’administrateur.
Modifier le mot de passe administrateur si défense contre les menaces est hors ligne : cette procédure vous permet de modifier le mot de passe administrateur de FXOS. Consultez Modifier le mot de passe d’administrateur si Défense contre les menaces est hors ligne.. Notez que si défense contre les menaces est en ligne, vous devez changer le mot de passe administrateur à l’aide de l’interface de ligne de commande défense contre les menaces .

Recréer l’image du système avec la version du logiciel de l’installation de base

Cette procédure efface toute la configuration, à l’exception du paramètre de version du logiciel d’installation de base. Lorsque le système se réactivera après l’opération d’effacement de configuration, il exécutera la version de démarrage de défense contre les menaces .

Si votre version actuelle est une image de mise à niveau uniquement, vous devrez mettre à niveau votre défense contre les menaces après avoir effectué cette procédure. Par exemple, la version 6.2.2.x est une image de mise à niveau uniquement. Si vous choisissez d’effectuer cette procédure sur votre système 6.2.2.x, le paquet d’installation de base (version 6.2.1.x) sera réinstallé et vous devrez effectuer une nouvelle mise à niveau vers la version 6.2.2.x à l’aide de Cisco Secure Firewall Management Center ou de Cisco Secure Firewall device manager. Dans ce cas, la version FXOS ne peut pas revenir à une version antérieure. Cette incompatibilité peut entraîner des défaillances dans une configuration à haute accessibilité. Dans ce scénario, nous vous recommandons d’effectuer une recréation d’image complète du système (consultez Effectuer une recréation d’image complète pour de plus amples renseignements).

Remarque

Après avoir effectué cette procédure, le mot de passe admin est réinitialisé à Admin123.

Avant de commencer

Vérifiez que vous êtes dans le contexte de l’interface de ligne de commande FXOS. Si vous vous connectez à l'appareil Firepower 1000/2100, Cisco Secure Firewall 1200, Cisco Secure Firewall 3100 ou Cisco Secure Firewall 4200 par l’intermédiaire d’une console série, vous vous connecterez automatiquement au contexte de l’interface de ligne de commande FXOS. Si vous êtes dans le contexte de l’interface de ligne de commande défense contre les menaces , vous devez d’abord passer au contexte d’interface de ligne de commande FXOS à l’aide de la commandeconnect fxos.
Prenez note de la configuration de la gestion des adresses IP de votre appareil et copiez les informations affichées de la commande suivante :
```
firepower # scope fabric a
firepower /fabric-interconnect # show detail
```

Prenez note de la version de votre installation de base défense contre les menaces à l’aide des commandes suivantes. La colonne Startup Version (version de démarrage) affiche la version de votre installation de base. La version en cours affiche toutes les mises à niveau que vous avez appliquées à la version de l'installation de base.


firepower# scope ssa
firepower /ssa # show app-instance
Application Name     Slot ID    Admin State     Operational State    Running Version Startup Version Cluster Oper State
-------------------- ---------- --------------- -------------------- --------------- --------------- ------------------
ftd                  1          Enabled         Online               6.2.2.49       6.2.1.341       Not Applicable

Dissociez vos appareils des licences Smart.
Annulez l’enregistrement de vos appareils du détenteur en nuage (le cas échéant). Consultez Désinscription du nuage.
Pour faire passer votre appareil Cisco Secure Firewall 3100 à la version 7.3.0 de défense contre les menaces , vous devez avoir la version 1.1.08 ou ultérieure de ROMMON. Si la version actuelle de ROMMON est antérieure à la version 1.1.08, vous devez mettre à niveau ROMMON en passant à la version 9.19 ou à une version ultérieure de vos appareils de sécurité adaptables Cisco. Vous pouvez également utiliser centre de gestion ou gestionnaire d'appareil pour mettre à niveau défense contre les menaces vers la version 7.3.0 (consultez la section Défense contre les menaces Recréation d’image pour plus d’informations).
Vous ne pouvez pas recréer l’image du périphérique Cisco Secure Firewall 3100 à défense contre les menaces 7.4 en utilisant la version du logiciel d’installation de base en raison de l’introduction d’une image unique pour l’installation et la mise à niveau de l’image défense contre les menaces . Effectuez plutôt une recréation d’image complète du système. Pour en savoir plus, consultez Effectuer une recréation d’image complète.

Procédure

Étape 1

Au niveau de l’interface de ligne de commande FXOS, connectez-vous à local-mgmt :

firepower # connect local-mgmt

Étape 2

Effacez toute la configuration :

firepower(local-mgmt) # erase configuration

Exemple:

firepower(local-mgmt)# erase configuration 
All configurations will be erased and system will reboot. Are you sure? (yes/no):yes
Removing all the configuration. Please wait....
Configurations are cleaned up. Rebooting....

Étape 3

Une fois que le système redémarre, vous pouvez vérifier l’état de l’application avec la commande show app-instance (afficher l’instance d’application). Notez que le mot de passe de connexion est maintenant défini par défaut sur admin/Admin123 .

Exemple:


firepower# scope ssa

firepower /ssa # show app-instance 
Application Name     Slot ID    Admin State     Operational State    Running Version Startup Version Cluster Oper State
-------------------- ---------- --------------- -------------------- --------------- --------------- ------------------
ftd                  1          Disabled        Installing                           6.2.1-1314     Not Applicable

Remarque

L’installation de l’application peut prendre plus de 10 minutes. Une fois que défense contre les menaces est de nouveau en ligne, l’état opérationnel de la commande show app-instance (afficher l’instance de l’application) s’affiche comme Online (en ligne) :

Exemple:

firepower /ssa # show app-instance 
Application Name     Slot ID    Admin State     Operational State    Running Version Startup Version Cluster Oper State
-------------------- ---------- --------------- -------------------- --------------- --------------- ------------------
ftd                  1          Enabled         Online               6.2.1.10140

Prochaine étape

Effectuez les tâches de configuration dans le guide de démarrage et mettez à niveau à la dernière version, au besoin.

Effectuer une réinitialisation aux valeurs d'usine à partir de ROMMON (réinitialisation du mot de passe)

Si vous ne pouvez pas vous connecter à FXOS ( soit parce que vous avez oublié le mot de passe, soit que le système de fichiers SSD disk1 a été corrompu), vous pouvez restaurer la configuration de FXOS et de défense contre les menaces aux valeurs d'usine par défaut à l’aide de ROMMON. Le mot de passe admin est remis par défaut à Admin123. Si vous connaissez le mot de passe et que vous souhaitez restaurer la configuration d’usine par défaut à partir de FXOS, consultez Recréer l’image du système avec la version du logiciel de l’installation de base.

Avant de commencer

Pour faire passer votre appareil Cisco Secure Firewall 3100 à la version 7.3.0 de défense contre les menaces , vous devez avoir la version 1.1.08 ou ultérieure de ROMMON. Si la version actuelle de ROMMON est antérieure à la version 1.1.08, vous devez mettre à niveau ROMMON en passant à la version 9.19 ou à une version ultérieure de vos appareils de sécurité adaptables Cisco. Vous pouvez également utiliser centre de gestion ou gestionnaire d'appareil pour mettre à niveau la version défense contre les menaces vers 7.3.0 (consultez ReimageDéfense contre les menaces (Recréation d’image ) pour plus d’informations).

Procédure

Étape 1	Mettez l’appareil sous tension. Lorsque vous voyez l’invite suivante, appuyez sur la touche Échap. pour arrêter le démarrage. `Example: Use BREAK or ESC to interrupt boot. Use SPACE to begin boot immediately.`
Étape 2	Vérifiez la version de ROMMON : rommon 1 > show info Exemple: Appareils Firepower 1000 et 2100 `rommon 1 > show info Cisco System ROMMON, Version 1.0.06, RELEASE SOFTWARE Copyright (c) 1994-2017 by Cisco Systems, Inc. Compiled Wed 11/01/2017 18:38:59.66 by builder` Appareils Cisco Secure Firewall 3100 `rommon 1 > show info Cisco System ROMMON, Version 1.1.08 , RELEASE SOFTWARE Copyright (c) 1994-2022 by Cisco Systems, Inc. Compiled Fri 06/10/2022 10:25:43.78 by Administrator` Appareils Cisco Secure Firewall 4200 `Cisco System ROMMON, Version 1.0.15, RELEASE SOFTWARE Copyright (c) 1994-2023 by Cisco Systems, Inc. Compiled Thu 06/15/2023 14:41:54.43 by builder`
Étape 3	Réinitialisez l’appareil aux valeurs d’usine. Pour ROMMON version 1.0.06 ou ultérieure : rommon 2 > factory-reset Pour ROMMON version 1.0.04 : rommon 2 > password_reset Exemple: Appareils Firepower 1000 et 2100 rommon 2 > factory-reset Warning: All configuration will be permanently lost with this operation and application will be initialized to default configuration. This operation cannot be undone after booting the application image. Are you sure you would like to continue ? yes/no [no]: yes Please type 'ERASE' to confirm the operation or any other value to cancel: ERASE Performing factory reset... File size is 0x0000001b Located .boot_string Image size 27 inode num 16, bks cnt 1 blk size 8512 Rommon will continue to boot disk0: fxos-k8-fp2k-lfbff.2.3.1.132.SSB Are you sure you would like to continue ? yes/no [no]: yes File size is 0x0817a870 Located fxos-k8-fp2k-lfbff.2.3.1.132.SSB Exemple: Appareils Cisco Secure Firewall 3100 rommon 2 > factory-reset Warning: All configuration will be permanently lost with this operation and application will be initialized to default configuration. This operation cannot be undone after booting the application image. Are you sure you would like to continue ? yes/no [no]: yes Please type 'ERASE' to confirm the operation or any other value to cancel: ERASE Performing factory reset... File size is 0x0000001b Located .boot_string Image size 27 inode num 16, bks cnt 1 blk size 8512 Rommon will continue to boot disk0: Cisco_FTD_SSP_FP3K_Upgrade-7.3.0-4.sh.REL.tar Are you sure you would like to continue ? yes/no [no]: yes File size is 0x0817a870 Located Cisco_FTD_SSP_FP3K_Upgrade-7.3.0-4.sh.REL.tar Exemple: Appareils Cisco Secure Firewall 4200 rommon 2 > factory-reset Warning: All configuration will be permanently lost with this operation and application will be initialized to default configuration. This operation cannot be undone after booting the application image. Are you sure you would like to continue ? yes/no [no]: yes Please type 'ERASE' to confirm the operation or any other value to cancel: ERASE Performing factory reset... File size is 0x0000001b Located .boot_string Image size 27 inode num 16, bks cnt 1 blk size 8*512 Rommon will continue to boot disk0: Cisco_Secure_FW_TD_4200-7.4.0-1044.sh.DEV.tar Are you sure you would like to continue ? yes/no [no]: yes File size is 0x0817a870 Located Cisco_Secure_FW_TD_4200-7.4.0-1044.sh.DEV.tar
Étape 4	Si le système ne vous invite pas à démarrer, saisissez la commande boot : rommon 3 > boot

Prochaine étape

Effectuez les tâches de configuration dans le guide de démarrage.

Recréer l’image du système avec une nouvelle version du logiciel

Cette procédure vous permet de recréer l’image du système avec une nouvelle version du logiciel. Après avoir effectué cette procédure, vous devrez reconfigurer la gestion des adresses IP et d’autres paramètres de configuration sur l'appareil. Si vous souhaitez mettre à niveau le logiciel sans effacer votre configuration, consultez le guide de mise à niveau.

Remarque

Vous ne pouvez pas effectuer de rétrogradation à la version majeure précédente en utilisant cette procédure. Vous devez plutôt utiliser Effectuer une recréation d’image complète.

Remarque

Après avoir effectué cette procédure, le mot de passe admin est réinitialisé à Admin123.

Avant de commencer

Vérifiez que vous êtes dans le contexte de l’interface de ligne de commande FXOS. Si vous vous connectez à l'appareil Firepower 1000/2100, Cisco Secure Firewall 1200, Cisco Secure Firewall 3100 ou Cisco Secure Firewall 4200 par l’intermédiaire d’une console série, vous vous connecterez automatiquement au contexte de l’interface de ligne de commande FXOS. Si vous êtes dans le contexte de l’interface de ligne de commande défense contre les menaces , vous devez d’abord passer au contexte de l’interface de ligne de commande FXOS à l’aide de la commande connect fxos.
Prenez note de la configuration de la gestion des adresses IP de votre appareil et copiez les renseignements affichés de la commande suivante :
```
firepower # scope fabric a
firepower /fabric-interconnect # show detail
```
Dissociez vos appareils des licences Smart.
Annulez l’enregistrement de vos appareils du détenteur en nuage (le cas échéant). Consultez Désinscription du nuage.
Pour faire passer votre appareil Cisco Secure Firewall 3100 à la défense contre les menaces version 7.3.0, vous devez avoir la version 1.1.08 ou ultérieure de ROMMON. Si la version actuelle de ROMMON est antérieure à la version 1.1.08, vous devez mettre à niveau ROMMON en passant à la version 9.19 ou à une version ultérieure de vos appareils de sécurité adaptables Cisco. Vous pouvez également utiliser centre de gestion ou gestionnaire d'appareil pour mettre à niveau la version défense contre les menaces vers 7.3.0 (consultez ReimageDéfense contre les menaces (Recréation d’image ) pour plus d’informations).

Procédure

Étape 1

Téléchargez l’offre groupée de logiciels sur votre ordinateur local ou sur un lecteur flash USB.

Étape 2

Si vous utilisez un lecteur USB, insérez celui-ci dans le port USB du périphérique.

Étape 3

Dans FXOS, saisissez la portée du système et vérifiez la version actuelle en cours d’exécution sur votre système :

firepower # scope system

firepower /system # show version detail

Étape 4

Saisissez la portée du micrologiciel :

firepower # scope firmware

Étape 5

Téléchargez le nouveau progiciel. Si vous utilisez un lecteur USB pour télécharger le progiciel, utilisez la syntaxe suivante :

firepower # scope firmware

firepower /firmware # download image usbA:image_name

Notez que image_name (nom de l’image) est le résultat de la commande show version detail (afficher le détail de la version) de l'étape 3, ci-dessus.

Par exemple :

firepower /firmware # download image usbA:cisco-ftd-fp2k.6.2.1-36.SPA

Remarque

Dans la version 7.3+, l’ensemble d’installation et de mise à niveau de Threat Defense pour Cisco Secure Firewall 3100, est un ensemble combiné. Vous pouvez utiliser le fichier .REL.tar au lieu du fichier .SPA pour la procédure décrite.

Vous pouvez aussi utiliser FTP, SCP, SFTP ou TFTP pour copier le progiciel défense contre les menaces sur le périphérique :

firepower /firmware # download image tftp/ftp/scp/sftp://chemin d’accès à l’image, y compris le nom /de l’image de la racine du serveur

Exemple pour les périphériques Firepower 1000 et 2100 :

firepower /firmware # download image tftp://example.cisco.com/fxos-2k.6.2.1-1314.SPA

Exemple pour les périphériques Cisco Secure Firewall 3100 :

firepower /firmware # download image scp://example.cisco.com/auto/Cisco_FTD_SSP_FP3K_Upgrade-7.3.0-14.sh.REL.tar

Exemple pour les périphériques Cisco Secure Firewall 4200 :

firepower-4215 /firmware # download image tftp://172.29.185.101:/Cisco_Secure_FW_TD_4200-7.4.0-1044.sh.REL.tar

Remarque

Lors d’un transfert de fichier via FTP/TFTP/SCP/SFTP, vous devez fournir un chemin absolu à l’image, y compris la racine du serveur, car le système ajoute une barre oblique au nom de fichier fourni dans la demande de téléchargement de l’image.

Vous pouvez également utiliser un nom de domaine complet (FQDN) à la place de l’adresse IP.

Étape 6

Affichez la tâche de téléchargement pour superviser la progression du téléchargement :

firepower /firmware #show download-task

Une fois que Downloaded (téléchargé) s’affiche dans la sortie de la colonne Status (état), le téléchargement est terminé.

Exemple:

Appareils Cisco Secure Firewall 3100 :

firepower 3110 /firmware # show download task
File Name Protocol Server Port Userid State 
--------- -------- ------ ---- ------------
Cisco_FTD_SSP_FP3K_Upgrade-7.3.0-14.sh.REL.tar
          Scp 172.23.205.217 0 <xxxxxx> Downloaded

Exemple:

Appareils Cisco Secure Firewall 4200 :

firepower-4215 /firmware # show download-task

Download task:
    File Name Protocol Server          Port       Userid          State
    --------- -------- --------------- ---------- --------------- -----
    Cisco_Secure_FW_TD_4200-7.4.0-1044.sh.REL.tar
              Tftp     172.29.185.101           0                 Downloading

Étape 7

Une fois le téléchargement terminé, affichez les progiciels installés sur votre système et copiez la version de l’offre groupée affichée à partir du résultat :

firepower /firmware # show package

Exemple:

Appareils Firepower 1000 et 2100

firepower /firmware # show package 
Name                                          Package-Vers
--------------------------------------------- ------------
cisco-ftd-fp2k.6.2.1-1314.SPA                 6.2.1-1314

Dans l’exemple ci-dessus, 6.2.1-1314 est la version de l’ensemble de sécurité.

Exemple:

Appareils Cisco Secure Firewall 3100

firepower 3110 /firmware # show package
Name                                             Package Vers
---------------------------------------------  ---------------
Cisco_FTD_SSP_FP3K_Upgrade-7.3.0-14.sh.REL.tar      7.3.0-14

Exemple:

Appareils Cisco Secure Firewall 4200

firepower-4215 /firmware # show package 
Name                                          Package-Vers
--------------------------------------------- ------------
Cisco_Secure_FW_TD_4200-7.4.0-1044.sh.REL.tar 7.4.0-1044

Dans l’exemple ci-dessus, 7.3.0-14 est la version de l’ensemble de sécurité.

Étape 8

Entrez la portée de l’installation automatique :

firepower /firmware # scope auto-install

Étape 9

Installez le nouveau progiciel d’application (dont la version est la sortie de la commande show package (afficher le progiciel), ci-dessus) :

firepower /firmware/auto-install # install security-pack version version

Exemple:

firepower 3110 /firmware/auto install # install security pack version 7.3.0-14
…
firepower /firmware # connect ftd
> show version
-----------------[ firepower 3100 ]-----------------
Model : Cisco Secure Firewall 3110 Threat Defense (80) Version 7.3.0 (Build

Étape 10

Saisissez yes (oui) lorsque vous y êtes invité(e).

Le système redémarre, puis installe la dernière offre groupée de logiciel.

Prochaine étape

Effectuez les tâches de configuration dans le guide de démarrage.

Télécharger un paquet pour le mode multi-instance

Cette procédure vous permet de télécharger un ancien progiciel défense contre les menaces sur un châssis multi-instances, afin de pouvoir ajouter une instance en utilisant cette version. Les images de FXOS et de défense contre les menaces sont incluses dans le même progiciel. Par conséquent, si vous avez mis à niveau la version FXOS du châssis, l’ancienne version défense contre les menaces correspondante sera toujours disponible pour les instances.

Vous ne pourrez pas utiliser un défense contre les menaces qui n’est pas compatible avec la version FXOS en cours d’exécution. Par exemple, vous ne pouvez pas utiliser un défense contre les menaces plus récent sans mettre à niveau votre châssis d’abord.

Avant de commencer

Vérifiez que vous êtes dans l’interface de ligne de commande FXOS. Si vous vous connectez à l’appareil à partir de la console, vous vous connecterez automatiquement à l’interface de ligne de commande FXOS. Si vous établissez un lien entre SSH et l’appareil, vous vous connecterez à l’interface de ligne de commande défense contre les menaces et vous devez utiliser la commande connect fxos pour accéder à l’interface de ligne de commande FXOS.

Procédure

Étape 1	Copiez le progiciel sur un serveur FTP, SCP, SFTP ou TFTP ou sur un lecteur USB.
Étape 2	Si vous utilisez un lecteur USB, insérez-le dans le port USB de l’appareil.
Étape 3	Téléchargez le progiciel plus ancien. firepower # scope firmware firepower /firmware # download image `url` Exemple: Par exemple, pour télécharger à partir d’un lecteur USB (usbA), saisissez : `firepower-3110 /firmware # download image usbA:Cisco_FTD_SSP_FP3K_Upgrade-7.4.1-15.sh.DEV.tar Please use the command 'show download-task' or 'show download-task detail' to check download progress. % Download-task Cisco_FTD_SSP_FP3K_Upgrade-7.4.1-15.sh.DEV.tar : completed successfully.` Par exemple, pour télécharger à partir d’un serveur SCP, saisissez : `firepower-3110 /firmware # download image scp://example.cisco.com/auto/Cisco_FTD_SSP_FP3K_Upgrade-7.4.1-78.sh.REL.tar Please use the command 'show download-task' or 'show download-task detail' to check download progress. % Download-task Cisco_FTD_SSP_FP3K_Upgrade-7.4.1-78.sh.DEV.tar : completed successfully.`
Étape 4	Vous pouvez maintenant utiliser le progiciel lorsque vous ajoutez une instance.

Formater le système de fichiers SSD (Firepower 2100)

Si vous vous êtes connecté(e) avec succès à FXOS, mais que vous voyez des messages d’erreur de corruption de disque, vous pouvez reformater SSD1 où la configuration FXOS et défense contre les menaces est stockée. Cette procédure restaure la configuration FXOS aux valeurs d’usine par défaut. Le mot de passe admin est remis par défaut à Admin123. Cette procédure réinitialise également la configuration défense contre les menaces .

Cette procédure ne s’applique pas aux appareils Firepower 1000 et Cisco Secure Firewall 3100, qui ne vous permettent pas d’effacer le disque SSD tout en conservant l’image de démarrage.

Procédure

Étape 1

Connectez-vous à l’interface de ligne de commande FXOS, à partir du port de console.

Étape 2

Reformater le disque SSD1.

connect local-mgmt

format ssd1

Étape 3

Effectuez les tâches de configuration dans le guide de démarrage.

Démarrage à partir de ROMMON

Si vous ne pouvez pas démarrer le périphérique, il démarrera dans ROMMON où vous pouvez démarrer FXOS à partir d’un serveur TFTP ou d’un lecteur USB au format EXT2/3/4 ou VFAT/FAT32. Après avoir démarré dans FXOS, vous pouvez reformater l’eMMC (le périphérique flash interne qui contient les images logicielles). Après avoir reformaté, vous devez télécharger à nouveau les images sur l’eMMC. Cette procédure conserve toute la configuration qui est stockée sur un disque ssd1 distinct.

Le système de fichiers eMMC pourrait être corrompu en raison d’une panne d’alimentation ou d’une autre condition rare.

Avant de commencer

Vous devez avoir un accès à la console pour cette procédure.
Pour faire passer votre appareil Cisco Secure Firewall 3100 à la version 7.3.0 de défense contre les menaces , vous devez avoir la version 1.1.08 ou ultérieure de ROMMON. Si la version actuelle de ROMMON est antérieure à la version 1.1.08, vous devez mettre à niveau ROMMON en passant à la version 9.19 ou à une version ultérieure de vos appareils de sécurité adaptables Cisco. Vous pouvez également utiliser centre de gestion ou gestionnaire d'appareil pour mettre à niveau la version défense contre les menaces vers 7.3.0 (consultez ReimageDéfense contre les menaces (Recréation d’image ) pour plus d’informations).

Procédure

Étape 1

Si vous ne pouvez pas démarrer, le système démarrera dans ROMMON. S’il ne démarre pas automatiquement dans ROMMON, appuyez sur la touche Échap. pendant le démarrage lorsque vous êtes invité à atteindre l’invite ROMMON. Portez une attention particulière au moniteur.

Exemple:


*******************************************************************************
Cisco System ROMMON, Version 1.0.06, RELEASE SOFTWARE
Copyright (c) 1994-2018  by Cisco Systems, Inc.
Compiled Thu 04/06/2018 12:16:16.21 by builder
*******************************************************************************

Current image running: Boot ROM0
Last reset cause: ResetRequest
DIMM_1/1 : Present
DIMM_2/1 : Present

Platform FPR-2130 with 32768 MBytes of main memory
BIOS has been successfully locked !!
MAC Address: 0c:75:bd:08:c9:80

Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.

Appuyez sur la touche Échap. à ce stade.

Étape 2

Démarrez à partir d’une image sur un lecteur USB au format EXT2/3/4 ou VFAT/FAT32, ou démarrez sur le réseau à l’aide de TFTP.

Remarque

Pour la version 6.4 et les versions antérieures, si vous démarrez FXOS à partir de ROMMON et que l’image actuellement installée peut également être démarrée, assurez-vous de démarrer la même version que l’image actuellement installée. Sinon, une incompatibilité de version FXOS/défense contre les menaces entraînera le plantage de défense contre les menaces . Dans la version 6.5 et les versions ultérieures, le démarrage de FXOS à partir de ROMMON empêche défense contre les menaces de se charger automatiquement.

Si vous souhaitez démarrer à partir d’un lecteur USB :

boot -b usb:/chemin_d'accès/nom_de_l'image

Le périphérique démarre l’interface de ligne de commande de FXOS. Utilisez la commande dir usb: pour afficher le contenu du disque.

Remarque

Si vous insérez le lecteur USB pendant que le système est en marche, vous devrez redémarrer celui-ci avant qu’il ne reconnaisse le lecteur USB.

Exemple:


rommon 1 > dir usb:
rommon 2 > boot -b usb:/Cisco_FTD_SSP_FP3K_Upgrade-7.4.1-172.sh.REL.tar

Si vous souhaitez démarrer à partir de TFTP :

Définissez les paramètres réseau pour Management 1/1 et chargez le progiciel défense contre les menaces à l’aide des commandes ROMMON suivantes.

ADDRESS=management_ip_address

NETMASK=subnet_mask

SERVER=tftp_ip_address

GATEWAY=gateway_ip_address

FILE=path/filename

set

sync

tftpdnld -b

L’image FXOS est téléchargée et démarre l’interface de ligne de commande.

Consultez les renseignements suivants :

set : affiche les paramètres réseau. Vous pouvez également utiliser la commande ping (envoyer un message Ping) pour vérifier la connectivité au serveur.
sync : enregistre les paramètres réseau.
tftpdnld -b : charge FXOS.

Exemple:

Appareils Firepower 1000 et 2100


rommon 1 > ADDRESS=10.86.118.4
rommon 2 > NETMASK=255.255.252.0
rommon 3 > SERVER=10.86.118.21
rommon 4 > GATEWAY=10.86.118.1
rommon 5 > FILE=cisco-ftd-fp1k.7.4.1-172.SPA
rommon 6 > set
ROMMON Variable Settings:
  ADDRESS=10.86.118.4
  NETMASK=255.255.252.0
  GATEWAY=10.86.118.21
  SERVER=10.86.118.21
  IMAGE=cisco-ftd-fp1k.7.4.1-172.SPA
  CONFIG=
  PS1="rommon ! > "

rommon 7 > sync
rommon 8 > tftpdnld -b
Enable boot bundle: tftp_reqsize = 268435456

             ADDRESS: 10.86.118.4
             NETMASK: 255.255.252.0
             GATEWAY: 10.86.118.21
              SERVER: 10.86.118.1
               IMAGE: cisco-ftd-fp1k.7.4.1-172.SPA
             MACADDR: d4:2c:44:0c:26:00
           VERBOSITY: Progress
               RETRY: 40
          PKTTIMEOUT: 7200
             BLKSIZE: 1460
            CHECKSUM: Yes
                PORT: GbE/1
             PHYMODE: Auto Detect

link up
Receiving cisco-ftd-fp1k.7.4.1-172.SPA from 10.86.118.21!!!!!!!!
[…]

Envoyer un message Ping pour dépanner la connectivité au serveur :


rommon 1 > ping 10.86.118.21
Sending 10, 32-byte ICMP Echoes to 10.86.118.21 timeout is 4 seconds
!!!!!!!!!!
Success rate is 100 percent (10/10)
rommon 2 >

Exemple:

Appareils Cisco Secure Firewall 3100

rommon 1 > show info

Cisco System ROMMON, Version 1.1.08, RELEASE SOFTWARE
Copyright (c) 1994-2022  by Cisco Systems, Inc.
Compiled Fri 06/10/2022 10:25:43.78 by Administrator
*******************************************************************************

rommon 2 > ADDRESS=172.16.0.50
rommon 3 > NETMASK=255.255.255.0
rommon 4 > GATEWAY=172.16.0.254
rommon 5 > SERVER=172.23.37.186
rommon 6 > IMAGE=image_dir/Cisco_FTD_SSP_FP3K_Upgrade-7.3.0-4.sh.REL.tar
rommon 7 > set
    ADDRESS=172.16.0.50
    NETMASK=255.255.255.0
    GATEWAY=172.16.0.254
    SPEED=10000
    SERVER=172.23.37.186
    IMAGE= image_dir/Cisco_FTD_SSP_FP3K_Upgrade-7.3.0-4.sh.REL.tar
    CONFIG=
    PS1="rommon ! > "
    FIRMWARE_VERSION=1.3.5

rommon 8 > sync
rommon 9 > tftpdnld -b
Enable boot bundle: tftp_reqsize = 402653184

             ADDRESS: 172.16.0.50
             NETMASK: 255.255.255.0
             GATEWAY: 172.16.0.254
              SERVER: 172.23.37.186
               IMAGE: image_dir/Cisco_FTD_SSP_FP3K_Upgrade-7.3.0-4.sh.REL.tar
           VERBOSITY: Progress
               RETRY: 40
          PKTTIMEOUT: 7200
             BLKSIZE: 1460
            CHECKSUM: Yes
                PORT: 10G/1
             PHYMODE: Auto Detect
.=====…
+-------------------------------------------------------------------+
+------------------------- SUCCESS ---------------------------------+
+-------------------------------------------------------------------+
|                                                                   |
|             LFBFF signature authentication passed !!!             |
|                                                                   |
+-------------------------------------------------------------------+
LFBFF signature verified.

Étape 3

Connectez-vous à FXOS à l’aide de votre mot de passe d’administrateur actuel.

Remarque

Si vous ne connaissez pas vos informations d’authentification ou si vous ne pouvez pas vous connecter en raison d’une corruption de disque, vous devez effectuer une réinitialisation d’usine à l’aide de la commande ROMMON factory-reset (voir Effectuer une réinitialisation aux valeurs d'usine à partir de ROMMON (réinitialisation du mot de passe)). Après avoir effectué la réinitialisation d'usine, recommencez cette procédure pour démarrer dans FXOS et connectez-vous avec les informations d’authentification par défaut (admin/Admin123).

Étape 4

Reformatez l’eMMC.

connect local-mgmt

format emmc

Entrez yes (oui).

Exemple:


firepower-2110# connect local-mgmt 
firepower-2110(local-mgmt)# format emmc
All bootable images will be lost.
Do you still want to format? (yes/no):yes


firepower-3110# connect local-mgmt 
firepower-3110(local-mgmt)# format emmc
All bootable images will be lost.
Do you still want to format? (yes/no):yes

Étape 5

Configurez l’interface de gestion afin de pouvoir télécharger l'image à partir d’un serveur.

Si vous utilisez un lecteur USB, vous pouvez ignorer cette étape.

Saisissez la portée de fabric-interconnect (interconnexion de trames) :

scope fabric-interconnect a
Définissez les nouvelles informations IP de gestion :

set out-of-band static ip ip netmask masque réseau gw passerelle
Validez la configuration :

commit-buffer

Exemple:


firepower# scope fabric-interconnect a
firepower /fabric-interconnect # set out-of-band static ip 10.1.1.5 netmask 255.255.255.0 gw 10.1.1.1
firepower /fabric-interconnect* # commit-buffer

Remarque

Si vous rencontrez l’erreur suivante, vous devez désactiver le protocole DHCP avant de valider la modification. Suivez les commandes ci-dessous pour désactiver le protocole DHCP.

firepower /fabric-interconnect* # commit-buffer
Error: Update failed: [Management ipv4 address (IP <ip> / net mask <netmask> ) is not in the same network of current DHCP server IP range <ip - ip>.
Either disable DHCP server first or config with a different ipv4 address.]
firepower /fabric-interconnect* # exit
firepower* # scope system
firepower /system* # scope services
firepower /system/services* # disable dhcp-server
firepower /system/services* # commit-buffer

Étape 6

Téléchargez à nouveau le paquet défense contre les menaces et démarrez-le.

Télécharger le paquet Puisque vous avez démarré temporairement à partir d’un lecteur USB/usb ou de TFTP, vous devez toujours télécharger l’image sur le disque local.

scope firmware

download image url

show download-task

Précisez l'URL du fichier en cours d'importation à l'aide de l'un des modèles suivants :

ftp://nom d'utilisateur@serveur/[chemin_d'accès/]nom_de_l'image
scp://nom d'utilisateur@serveur/[chemin_d'accès/]nom_de_l'image
sftp://nom d'utilisateur@serveur/[chemin_d'accès/]nom_de_l'image
tftp://serveur[:port]/[chemin_d’accès/]nom_de_l'image
usbA:/chemin_d'accès/nom_de_l'image

Exemple:

Appareils Firepower 1000 et 2100


firepower-2110# scope firmware
firepower-2110 /firmware # download image tftp://10.86.118.21/cisco-ftd-fp1k.7.4.1-172.SPA
Please use the command 'show download-task' or 'show download-task detail' to check download progress.
firepower-2110 /firmware # show download-task
Download task:
    File Name Protocol Server          Port       Userid          State
    --------- -------- --------------- ---------- --------------- -----
    cisco-ftd-fp1k.7.4.1-172.SPA
              Tftp     10.88.29.21             0                 Downloaded

Exemple:

Appareils Cisco Secure Firewall 3100


firepower-3110# scope firmware
firepower-3110 /firmware # download image scp://172.23.205.217/auto/Cisco_FTD_SSP_FP3K_Upgrade 7.3.0-14.sh.REL.tar
Please use the command 'show download-task' or 'show download-task detail' to check download progress.
firepower-3110 /firmware # show download-task
Download task:
File Name     Protocol     Server            Port     Userid     State 
---------     --------     ---------------   ----     ------     -----
Cisco_FTD_SSP_FP3K_Upgrade-7.3.0-14.sh.REL.tar 7.3.0-14.sh.REL.tar
              Scp          172.23.205.217     0                  Downloaded

Lorsque le téléchargement du paquet se termine (état Downloaded [Téléchargé]), démarrez le paquet.

show package

scope auto-install

install security-pack version version

Dans la sortie show package , copiez la valeur Package-Vers (Version du paquet) pour le numéro security-pack version . Le châssis installe l’image et redémarre.

Exemple:

Appareils Firepower 1000 et 2100


firepower 2110 /firmware # show package
Name                                          Package-Vers
--------------------------------------------- ------------
cisco-ftd-fp1k.7.4.1-172.SPA                      7.4.1-172
firepower 2110 /firmware # scope auto-install
firepower 2110 /firmware/auto-install # install security-pack version 7.4.1-172
The system is currently installed with security software package not set, which has:
   - The platform version: not set
If you proceed with the upgrade 7.4.1-172, it will do the following:
   - upgrade to the new platform version 2.14.1.23
   - install with CSP ftd version 7.4.1-172
During the upgrade, the system will be reboot

Do you want to proceed ? (yes/no):yes

This operation upgrades firmware and software on Security Platform Components
Here is the checklist of things that are recommended before starting Auto-Install
(1) Review current critical/major faults
(2) Initiate a configuration backup

Attention:
   If you proceed the system will be re-imaged. All existing configuration will be lost,
   and the default configuration applied.
Do you want to proceed? (yes/no):yes

Triggered the install of software package version 7.4.1-172
Install started. This will take several minutes.
For monitoring the upgrade progress, please enter 'show' or 'show detail' command.

Exemple:

Appareils Cisco Secure Firewall 3100


firepower 3110 /firmware # show package
Name                                           Package-Vers 
--------------------------------------------- -------------
Cisco_FTD_SSP_FP3K_Upgrade-7.3.0-14.sh.REL.tar 7.3.0-14
firepower 3110 /firmware # scope auto-install
firepower 3110 /firmware/auto-install # install security-pack version 7.3.0-14
The system is currently installed with security software package not set, which has:
   - The platform version: not set
If you proceed with the upgrade 7.3.0-14, it will do the following:
   - upgrade to the new platform version 2.13.1.89
   - install with CSP ftd version 7.3.0-14
During the upgrade, the system will be reboot

Do you want to proceed ? (yes/no):yes

This operation upgrades firmware and software on Security Platform Components
Here is the checklist of things that are recommended before starting Auto-Install
(1) Review current critical/major faults
(2) Initiate a configuration backup

Attention:
   If you proceed the system will be re-imaged. All existing configuration will be lost,
   and the default configuration applied.
Do you want to proceed? (yes/no):yes

Triggered the install of software package version 7.3.0-14
Install started. This will take several minutes.
For monitoring the upgrade progress, please enter 'show' or 'show detail' command.

Étape 7

Attendez que le châssis ait terminé de redémarrer (5 à 10 minutes).

Bien que FXOS soit activé, vous devez toujours attendre que défense contre les menaces s’affiche (5 minutes).

Effectuer une recréation d’image complète

Cette procédure reformate le système entier, efface les images et ramène le système à ses paramètres d’usine par défaut. Après avoir effectué cette procédure, vous devez télécharger les nouvelles images logicielles et reconfigurer votre système.

Remarque

Après avoir effectué cette procédure, le mot de passe admin est réinitialisé à Admin123.

Avant de commencer

Pour faire passer votre appareil Cisco Secure Firewall 3100 à la défense contre les menaces version 7.3.0, vous devez avoir la version 1.1.08 ou ultérieure de ROMMON. Si la version actuelle de ROMMON est antérieure à la version 1.1.08, vous devez mettre à niveau ROMMON en passant à la version 9.19 ou à une version ultérieure de vos appareils de sécurité adaptables Cisco. Vous pouvez également utiliser centre de gestion ou gestionnaire d'appareil pour mettre à niveau la version défense contre les menaces vers la version 7.3.0 (consultez Défense contre les menaces pour plus d’informations).
Vous devez avoir un accès à la console pour cette procédure.
Téléchargez le progiciel défense contre les menaces sur un serveur TFTP ou un lecteur USB au format EXT2/3/4 ou VFAT/FAT32.

Consultez : https://www.cisco.com/go/ftd-software
Si vous utilisez un lecteur USB, installez-le avant de commencer. Si vous insérez le lecteur USB pendant que le système est en marche, vous devrez redémarrer celui-ci avant qu’il ne reconnaisse le lecteur USB.

Procédure

Étape 1

Annulez l’enregistrement de vos appareils du détenteur en nuage (le cas échéant). Consultez Désinscription du nuage.

Étape 2

Connexion à Interface de ligne de commande FXOS depuis le port de la console .

Connectez-vous en tant qu'administrateur et avec le mot de passe admin.

Étape 3

Reformatez le système.

connect local-mgmt

format everything

Saisissez yes (oui), pour redémarrer l'appareil.

Exemple:


firepower# connect local-mgmt 
firepower(local-mgmt)# format everything
All configuration and bootable images will be lost.
Do you still want to format? (yes/no):yes

Étape 4

Appuyez sur la touche Échap. pendant le démarrage lorsque vous êtes invité(e) à atteindre l’invite ROMMON. Portez une attention particulière au moniteur.

Exemple:


*******************************************************************************
Cisco System ROMMON, Version 1.0.03, RELEASE SOFTWARE
Copyright (c) 1994-2017  by Cisco Systems, Inc.
Compiled Thu 04/06/2017 12:16:16.21 by builder
*******************************************************************************

Current image running: Boot ROM0
Last reset cause: ResetRequest
DIMM_1/1 : Present
DIMM_2/1 : Present

Platform FPR-2130 with 32768 MBytes of main memory
BIOS has been successfully locked !!
MAC Address: 0c:75:bd:08:c9:80

Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.

Appuyez sur la touche Échap. à ce stade.

Étape 5

Démarrez à partir du progiciel défense contre les menaces sur un lecteur USB au format EXT2/3/4 ou VFAT/FAT32, ou démarrez sur le réseau à l’aide de TFTP.

Si vous souhaitez démarrer à partir d’un lecteur USB :

boot -b usb:/chemin_d'accès/nom_de_l'image

Remarque

Si vous insérez le lecteur USB pendant que le système est en marche, vous devrez redémarrer celui-ci avant qu’il ne reconnaisse le lecteur USB.

Utilisez la commande dir usb: pour afficher le contenu du disque.

Exemple:


rommon 1 > dir usb:
rommon 2 > boot -b usb:/Cisco_FTD_SSP_FP3K_Upgrade-7.4.1-01.sh.REL.tar

Si vous souhaitez démarrer à partir de TFTP :

Définissez les paramètres réseau pour Management 1/1 et chargez le progiciel défense contre les menaces à l’aide des commandes ROMMON suivantes.

ADDRESS=management_ip_address

NETMASK=subnet_mask

SERVER=tftp_ip_address

GATEWAY=gateway_ip_address

FILE=path/filename

set

sync

tftpdnld -b

Consultez les renseignements suivants :

set : affiche les paramètres réseau. Vous pouvez également utiliser la commande ping (envoyer un message Ping) pour vérifier la connectivité au serveur.
sync : enregistre les paramètres réseau.
tftpdnld -b : charge le progiciel défense contre les menaces .

Exemple:


rommon 1 > ADDRESS=10.86.118.4
rommon 2 > NETMASK=255.255.252.0
rommon 3 > SERVER=10.86.118.21
rommon 4 > GATEWAY=10.86.118.1
rommon 5 > FILE=Cisco_FTD_SSP_FP3K_Upgrade-7.3.0-01.sh.REL.tar
rommon 6 > set
ROMMON Variable Settings:
  ADDRESS=10.86.118.4
  NETMASK=255.255.252.0
  GATEWAY=10.86.118.21
  SERVER=10.86.118.21
  IMAGE=Cisco_FTD_SSP_FP3K_Upgrade-7.3.0-01.sh.REL.tar
  CONFIG=
  PS1="rommon ! > "

rommon 7 > sync
rommon 8 > tftpdnld -b
Enable boot bundle: tftp_reqsize = 268435456

             ADDRESS: 10.86.118.4
             NETMASK: 255.255.252.0
             GATEWAY: 10.86.118.21
              SERVER: 10.86.118.1
               IMAGE: Cisco_FTD_SSP_FP3K_Upgrade-7.4.1-01.sh.REL.tar
             MACADDR: d4:2c:44:0c:26:00
           VERBOSITY: Progress
               RETRY: 40
          PKTTIMEOUT: 7200
             BLKSIZE: 1460
            CHECKSUM: Yes
                PORT: GbE/1
             PHYMODE: Auto Detect

link up
Receiving Cisco_FTD_SSP_FP3K_Upgrade-7.4.1-01.sh.REL.tar from 10.86.118.21!!!!!!!!
[…]

Envoyer un message Ping pour dépanner la connectivité au serveur :


rommon 1 > ping 10.86.118.21
Sending 10, 32-byte ICMP Echoes to 10.86.118.21 timeout is 4 seconds
!!!!!!!!!!
Success rate is 100 percent (10/10)
rommon 2 >

Remarque

L’erreur suivante peut s’afficher une fois que le système a redémarré :

firepower-2110 : <<%%FPRM-2-DEFAULT_INFRA_VERSION_MISSING>>
[F1309][critical][default-infra-version-missing][org-root/fw-infra-pack-default]
Bundle version in firmware package is empty, need to re-install

firepower-3105 FPRM: <<%FPRM-2-DEFAULT_INFRA_VERSION_MISSING>>
[F1309][critical][default-infra-version-missing][org-root/fw-infra-pack-default] 
Bundle version in firmware package is empty, need to re-install

Cette condition d’erreur s’efface dès que vous installez la nouvelle version du progiciel défense contre les menaces , comme décrit plus loin dans cette procédure.

Étape 6

Une fois que le système est démarré, connectez-vous à FXOS en utilisant le nom d’utilisateur par défaut admin et le mot de passe Admin123.

Étape 7

Configurez l’interface de gestion afin de pouvoir télécharger l’image défense contre les menaces à partir d’un serveur.

Si vous utilisez un lecteur USB, vous pouvez ignorer cette étape.

Saisissez la portée de fabric-interconnect (interconnexion de trames) :

scope fabric-interconnect a
Définissez les nouvelles informations IP de gestion :

set out-of-band static ip ip netmask masque réseau gw passerelle
Validez la configuration :

commit-buffer

Remarque

Si vous rencontrez l’erreur suivante, vous devez désactiver le protocole DHCP avant de valider la modification. Suivez les commandes ci-dessous pour désactiver le protocole DHCP.

firepower /fabric-interconnect* # commit-buffer
Error: Update failed: [Management ipv4 address (IP <ip> / net mask <netmask> ) is not in the same network of current DHCP server IP range <ip - ip>.
Either disable DHCP server first or config with a different ipv4 address.]
firepower /fabric-interconnect* # exit
firepower* # scope system
firepower /system* # scope services
firepower /system/services* # disable dhcp-server
firepower /system/services* # commit-buffer

Étape 8

Téléchargez et démarrez le progiciel défense contre les menaces . Puisque vous avez démarré temporairement à partir d’un lecteur USB ou de TFTP, vous devez toujours télécharger l’image sur le disque local.

Télécharger le paquet
scope firmware

download image url

show download-task

Vous pouvez télécharger le progiciel à partir du même serveur TFTP ou du lecteur USB que vous avez utilisé précédemment, ou d’un autre serveur accessible sur Management 1/1. Précisez l'URL du fichier en cours d'importation à l'aide de l'un des modèles suivants :
- ftp://nom d'utilisateur@serveur/[chemin_d'accès/]nom_de_l'image
- scp://nom d'utilisateur@serveur/[chemin_d'accès/]nom_de_l'image
- sftp://nom d'utilisateur@serveur/[chemin_d'accès/]nom_de_l'image
- tftp://serveur[:port]/[chemin_d’accès/]nom_de_l'image
- usbA:/chemin_d'accès/nom_de_l'image
Exemple:
```
firepower-2110# scope firmware
firepower-2110 /firmware # download image tftp://10.86.118.21/Cisco_FTD_SSP_FP3K_Upgrade-7.4.1-01.sh.REL.tar
Please use the command 'show download-task' or 'show download-task detail' to check download progress.
firepower-2110 /firmware # show download-task
Download task:
    File Name Protocol Server          Port       Userid          State
    --------- -------- --------------- ---------- --------------- -----
    Cisco_FTD_SSP_FP3K_Upgrade-7.4.1-01.sh.REL.tar
              Tftp     10.88.29.21             0                 Downloaded
```
Lorsque le téléchargement du paquet se termine (état Downloaded [Téléchargé]), démarrez le paquet.

show package

scope auto-install

install security-pack version version force

Dans la sortie show package , copiez la valeur Package-Vers (Version du paquet) pour le numéro security-pack version . Le châssis installe le progiciel défense contre les menaces et redémarre.

Étape 9

Une fois le progiciel installé, suivez les instructions de configuration du guide de démarrage de votre plateforme matérielle.

Modifier le mot de passe d’administrateur

Après avoir recréé l’image de votre périphérique, le mot de passe admin est réinitialisé à Admin123. Vous serez invité(e) à changer le mot de passe lors de la première connexion. Si vous souhaitez modifier le mot de passe plus tard, utilisez cette procédure d’interface de ligne de commande défense contre les menaces pour modifier le mot de passe admin en une nouvelle chaîne.

Procédure

Étape 1

Connectez-vous à l’interface de ligne de commande de l’application défense contre les menaces :

firepower-chassis # connect ftd

Étape 2

Vérifiez que le compte d’utilisateur admin est présent dans le tableau des utilisateurs :

> show user

Exemple:

> show user 
Login UID Auth Access Enabled Reset Exp Warn Str Lock Max
admin 100 Local Config Enabled No Never N/A Dis No 0

Étape 3

Définissez le nouveau mot de passe du compte d'utilisateur admin :

firepower-chassis # configure user password admin

Exemple:

> configure user password admin
Enter current password: 
Enter new password for user admin: 
Confirm new password for user admin:

Modifier le mot de passe d’administrateur si Défense contre les menaces est hors ligne.

Après avoir recréé l’image de votre périphérique, le mot de passe admin est réinitialisé à Admin123. Vous serez invité(e) à changer le mot de passe lors de la première connexion. Si vous souhaitez modifier le mot de passe plus tard, utilisez cette procédure pour remplacer le mot de passe admin par une nouvelle chaîne si défense contre les menaces est hors ligne ou autrement indisponible. Notez que si défense contre les menaces est en ligne, vous devrez changer le mot de passe admin à l’aide de l’interface de ligne de commande défense contre les menaces (voir Modifier le mot de passe d’administrateur).

Remarque

La procédure de modification du mot de passe administrateur au moyen de l’interface de ligne de commande FXOS dépend de la version de défense contre les menaces que vous utilisez actuellement.

Avant de commencer

Vérifiez que vous êtes dans le contexte de l’interface de ligne de commande FXOS. Si vous vous connectez au périphérique Firepower 1000/2100 ou Cisco Secure Firewall 3100 par l’intermédiaire de la console série, vous vous connecterez automatiquement au contexte de l’interface de ligne de commande FXOS. Si vous êtes dans le contexte de l’interface de ligne de commande défense contre les menaces , vous devez d’abord passer au contexte d’interface de ligne de commande FXOS à l’aide de la commandeconnect fxos.

Procédure

Étape 1

À partir de l’interface de ligne de commande FXOS, passez en mode de sécurité :

firepower # scope security

Étape 2

(Firepower version 6.4 ou ultérieure) Vous devez vous authentifier de nouveau avec l’ancien mot de passe admin pour définir un nouveau mot de passe :

firepower /security* # set password

Exemple:

FPR-2120# scope security
FPR-2120# /security # set password
Enter old password:
Enter new password:
Confirm new password:
firepower-2120 /security* # commit-buffer

(Firepower version 6.3 et antérieures) Affichez la liste actuelle des utilisateurs locaux. Si vous venez de recréer l’image de votre appareil, l'administrateur sera le seul utilisateur de cette liste :

firepower /security # show local-user

Exemple:

FPR-2120# scope security
FPR-2120 /security # show local-user
User Name       First Name      Last name
--------------- --------------- ---------
admin

(Firepower version 6.3 et antérieures) Saisissez la portée de l’utilisateur admin local :

firepower /security # enter local-user admin
(Firepower version 6.3 et antérieures) Définissez le nouveau mot de passe pour l’utilisateur admin :

firepower /security/local-user # set password
Exemple:
```
FPR-2100 /security # enter local-user admin
FPR-2100 /security/local-user # set password
Enter a password: cisco
Confirm the password: cisco
```

Étape 3

Validez la configuration :

firepower /security/local-user* # commit-buffer

Désinscription du nuage

Si vous recréez l’image de votre appareil Firepower 1000/2100 ou Cisco Secure Firewall 3100 ou si vous le réinitialisez aux valeurs d’usine à de nouvelles fins (par exemple, pour un transfert à un nouveau groupe au sein de votre entreprise ou après l’achat de l’appareil auprès d’un fournisseur tiers), vous devrez peut-être annulez l’enregistrement de l’appareil de la localisation de détention en nuage.

Si vous avez accès au compte en nuage (Security Cloud Control) auquel l’appareil a été enregistré, connectez-vous à ce compte et supprimez l’appareil Firepower 1000/2100 ou Cisco Secure Firewall 3100.

Si vous n’avez pas accès au compte en nuage, utilisez la procédure suivante pour annuler l’enregistrement de votre appareil Firepower 1000/2100 ou Cisco Secure Firewall 3100 de la localisation de détention en nuage à l’aide de l’interface de ligne de commande FXOS.

Avant de commencer

Vérifiez que vous êtes dans le contexte de l’interface de ligne de commande FXOS. Si vous vous connectez au périphérique Firepower 1000/2100 ou Cisco Secure Firewall 3100 par l’intermédiaire de la console série, vous vous connecterez automatiquement au contexte de l’interface de ligne de commande FXOS. Si vous êtes dans le contexte de l’interface de ligne de commande défense contre les menaces , vous devez d’abord passer au contexte d’interface de ligne de commande FXOS à l’aide de la commandeconnect fxos.
Vérifiez si votre appareil a accès au nuage :
```
firepower # scope fabric a
firepower /fabric-interconnect # show detail
```
Si aucune gestion des adresses IP ne s’affiche dans la sortie show detail (afficher les détails), vous devez d’abord configurer une gestion des adresses IP pour votre appareil :
1. Saisissez la portée de fabric-interconnect (interconnexion de trames) :
  
  firepower # scope fabric-interconnect
2. Définissez les nouvelles informations IP de gestion :
  
  firepower /fabric-interconnect # set out-of-band static ip ip netmask masque réseau gateway passerelle
3. Validez la configuration :
  
  firepower /fabric-interconnect # commit buffer

Procédure

Étape 1

Connectez-vous à l'interface Shell de commandes de local-management :

firepower # connect local

Étape 2

Annulez l’enregistrement de votre appareil du nuage :

firepower(local-mgmt)# cloud deregister

Exemple

firepower # connect local
firepower(local-mgmt) # cloud deregister

Historique de dépannage de FXOS


Nom de la caractéristique	Versions de plateforme	Description
Capture de paquets pour les paquets abandonnés par mac-filter du commutateur	7.4.1	Pour les appareils Cisco Secure Firewall 3100 et 4200, vous pouvez désormais capturer les paquets abandonnés par mac-filter du commutateur à l’aide de la commande d’interface de ligne de commande FXOS set drop mac-filter .
Chemin des paquets du commutateur	7.1	Vous pouvez maintenant dépanner votre appareil Cisco Secure Firewall 3100 pour les problèmes de chemin des paquets de commutateur à l’aide de la commande d’interface de ligne de commande FXOS `portmanager` (gestionnaire de port).
Désinscrire du nuage	6.7	Vous pouvez maintenant annuler l’enregistrement de votre appareil Firepower 1000/2100 de votre détenteur en nuage à l’aide de la commande d’interface de ligne de commande FXOS `Cloud deregister` (désinscrire du nuage).
Modifier le mot de passe administrateur	6.4	Dans les versions Firepower 6.4 et ultérieures sur les appareils Firepower 1000/2100, vous devez réauthentifier l’ancien mot de passe administrateur avant de définir un nouveau mot de passe administrateur.

Langage exempt de préjugés

À propos de la traduction

Results

Chapter: Gestion d’images

Gestion d’images

À propos de la reprise sur sinistre

Recréer l’image du système avec la version du logiciel de l’installation de base

Avant de commencer

Procédure

Exemple:

Exemple:

Exemple:

Prochaine étape

Effectuer une réinitialisation aux valeurs d'usine à partir de ROMMON (réinitialisation du mot de passe)

Avant de commencer

Procédure

Exemple:

Exemple:

Exemple:

Exemple:

Prochaine étape

Recréer l’image du système avec une nouvelle version du logiciel

Avant de commencer

Procédure

Exemple:

Exemple:

Exemple:

Exemple:

Exemple:

Exemple:

Prochaine étape

Télécharger un paquet pour le mode multi-instance

Avant de commencer

Procédure

Exemple:

Formater le système de fichiers SSD (Firepower 2100)

Procédure

Démarrage à partir de ROMMON

Avant de commencer

Procédure

Exemple:

Exemple:

Exemple:

Exemple:

Exemple:

Exemple:

Exemple:

Exemple:

Exemple:

Exemple:

Effectuer une recréation d’image complète

Avant de commencer

Procédure

Exemple:

Exemple:

Exemple:

Exemple:

Exemple:

Modifier le mot de passe d’administrateur

Procédure

Exemple:

Exemple:

Modifier le mot de passe d’administrateur si Défense contre les menaces est hors ligne.

Avant de commencer

Procédure

Exemple:

Exemple:

Exemple:

Désinscription du nuage

Avant de commencer

Procédure

Exemple

Historique de dépannage de FXOS

Ce document vous est-il utile?

Contacter Cisco