First Published: February 21, 2017

Last Updated: April 6, 2020

Guide de démarrage (GD) pour Cisco Firepower Management Center 1000, 2500, et 4500

Le guide de démarrage des Firepower Management Center (FMC) 1000, Firepower Management Center 2500 et Firepower Management Center 4500FMC explique l’installation, la connexion, la configuration, les paramètres administratifs initiaux ainsi que la configuration de votre réseau sécurisé. Ce document décrit également les activités de maintenance telles que l’établissement d’autres moyens d’accès FMC, l’ajout de périphériques gérés à la réinitialisation d’usine FMC, FMC, l’enregistrement et le chargement des configurations, l’effacement du disque dur et l’arrêt ou le redémarrage de l'appareil.

Dans un déploiement type sur un grand réseau, vous installez plusieurs dispositifs gérés sur des segments de réseau. Chaque appareil contrôle, inspecte, surveille et analyse le trafic, puis fait rapport au FMC assurant la gestion. FMC fournit une console de gestion centralisée avec une interface Web que vous pouvez utiliser pour effectuer des tâches d’administration, de gestion, d’analyse et de création de rapports en cours de services pour sécuriser votre réseau local.

À propos des modèles Firepower Management Center 1000, 2500 et 4500

Les rubriques suivantes fournissent des renseignements sur les fonctionnalités des panneaux avant et arrière dont vous devez suivre les instructions dans ce document.

Interfaces physiques

La figure suivante illustre le panneau arrière du FMC 1000 et identifie les ports dont vous avez besoin pour suivre les instructions du présent document. Pour la description de tous les ports du panneau arrière, voir le Guide d’installation du matériel pour Cisco Firepower Management Center 1000, 2500 et 4500

Illustration 1. Panneau arrière de FMC 1000

1

2 ports de clavier USB

Vous pouvez connecter un clavier et un moniteur sur le port VGA, vous pouvez accéder à la console.

2

Port de console en série

3

Interface de gestion eth0 (étiquetée « 1 »)

Interface Gigabit Ethernet de 10/100/1000 Mbit/s, RJ-45

eth0 est l’interface de gestion par défaut.

4

Interface VGA

Les messages de la console sont envoyés par défaut à ce port.

Remarque

Vous pouvez utiliser Lights-Out-Management (LOM) sur l’interface de gestion par défaut (eth0) sur une connexion Serial Over LAN (SOL, Serial Over LAN) pour surveiller ou gérer le système FMC à distance. Pour en savoir plus sur l’utilisation de LOM et SOL, consultez Configurer Lights-Out Management (Gestion en service réduit).

La figure suivante illustre le panneau arrière des appareils FMC 2500 et 4500 et identifie les ports dont vous avez besoin pour suivre les instructions du présent document. Pour la description de tous les ports du panneau arrière, voir le Guide d’installation du matériel pour Cisco Firepower Management Center 1000, 2500 et 4500

Illustration 2. Panneau arrière de FMC 2500 et 4500

1

2 ports de clavier USB

Vous pouvez connecter un clavier et un moniteur sur le port VGA, vous pouvez accéder à la console.

2

Port de console en série

3

Interface de gestion eth0 (étiquetée « 1 »)

Interface Gigabit Ethernet de 10/100/1000 Mbit/s, RJ-45

eth0 est l’interface de gestion par défaut.

4

Interface VGA

Les messages de la console sont envoyés par défaut à ce port.

Voyants DEL du panneau avant et leurs états

La figure suivante illustre le panneau avant des FMC 1000, 2500 et 4500, identifie les voyants DEL et fournit les renseignements dont vous avez besoin pour déterminer l’état de l’appareil en fonction des voyants DEL. Le FMC 2500 est doté de quatre disques SAS et le FMC 4500 a six disques SAS , chacun avec les mêmes voyants DEL de défaillance de lecteur et d’activité de lecteur, comme indiqué dans le schéma. Pour l’ensemble des fonctions du panneau avant, voir le Guide d’installation du matériel pour Cisco Firepower Management Center 1000, 2500 et 4500

Illustration 3. Voyants DEL du panneau avant et leurs états

1

Voyants DEL de panne du lecteur

  • Éteint : le disque fonctionne correctement.

  • Orange : défaillance de lecteur détectée.

  • Orange, clignotant : le périphérique est en cours de reconstruction.

  • Orange, clignotant à intervalles d’une seconde : la fonction de localisation de lecteur est activée.

2

Voyants DEL d’activité du lecteur

  • Éteint : il n’y a pas de lecteur dans le tiroir (aucun accès, pas d’erreur).

  • Vert : le lecteur est prêt.

  • Vert, clignotant : le lecteur lit ou écrit des données.

3

DEL du bouton/de l’état de l’alimentation

  • Éteint : aucune alimentation CA au châssis.

  • Orange : le châssis est en mode veille.

  • Vert : le châssis est en mode d’alimentation principal. L’alimentation est fournie à tous les composants.

4

Bouton/DEL d’identification des unités

  • Off (désactivé) : la fonction d’identification de l’unité n’est pas utilisée.

  • Bleu : la fonction d’identification de l’unité est activée.

5

DEL d’état du système

  • Vert : le châssis fonctionne dans des conditions normales.

  • Vert, clignotant : le châssis exécute l’initialisation du système et la vérification de la mémoire.

  • Orange : le châssis est dans un état opérationnel dégradé.Orange Par exemple :

    • La redondance de l’alimentation électrique est perdue.

    • Les processeurs ne correspondent pas.

    • Au moins un processeur est défaillant.

    • Au moins un module DIMM est défaillant.

    • Au moins un lecteur dans la configuration RAID a échoué.

  • Orange, clignotant : le châssis est en état de défaillance critique. Par exemple :

    • Échec du démarrage.

    • Une erreur de CPU ou de bus irrécupérable a été détectée.

    • Le châssis est dans un état de surchauffe.

6

DEL de l’état du ventilateur

  • Vert : tous les ventilateurs fonctionnent correctement.

  • Orange : un ou plusieurs ventilateurs ont atteint le seuil critique.

  • Orange, clignotant : un ou plusieurs ventilateurs ont dépassé le seuil irrécupérable.

7

DEL de la température

  • Vert : le châssis fonctionne à une température normale.

  • Orange : un ou plusieurs capteurs de température ont atteint le seuil critique.

  • Orange, clignotant : un ou plusieurs capteurs de température ont atteint le seuil irrécupérable.

8

DEL de l’état de l’alimentation

  • Vert : tous les modules d’alimentation fonctionnent normalement.

  • Orange : un ou plusieurs modules d’alimentation sont en état de fonctionnement dégradé.

  • Orange, clignotant : un ou plusieurs modules d’alimentation sont en état de défaillance critique.

9

DEL de l’activité des liaisons du réseau

  • Éteint : la liaison Ethernet est inactive.

  • Vert : un ou plusieurs ports Ethernet sont à liaison active, mais il n’y a aucune activité.

  • Vert, clignotant : un ou plusieurs ports Ethernet sont à liaison active avec l’activité.

Accédez à la CLI ou au Shell Linux sur le FMC

L’accès à l’interface de ligne de commande FMC ou à l’interface Shell Linux nécessite une séquence d’étapes différente selon la version de FMC.


Mise en garde

Nous vous recommandons fortement de ne pas utiliser l’interface Shell Linux, sauf sur instruction contraire du TAC de Cisco ou selon des instructions explicites dans la documentation .

Avant de commencer

Établissez une connexion physique directe avec le FMC à l’aide du port série, d’un clavier et d’un moniteur, ou établissez une session SSH avec l’interface FMC.

Procédure

Étape 1

Connectez-vous au FMC en utilisant les informations d’authentification de l’utilisateur admin de l’interface de ligne de commande.

Étape 2

Déterminez votre prochaine action en fonction de la version utilisée :

  • Si votre FMC exécute la version 6.2, vous accéderez directement à l’interface Shell Linux .

  • Si votre FMC exécute la version 6.3 ou 6.4 et que l’interface de ligne de commande FMC n’est pas activée, cela vous donne un accès direct à l’interface Shell Linux .

  • Si votre FMC exécute la version 6.3 ou 6.4 et que l'interface de commande en ligne FMC est activée, cela vous donne accès à l'interface de commande en ligne FMC. Pour accéder à l’interface Shell Linux , passez à l’étape 3.

  • Si votre FMC exécute la version 6.5 ou une version ultérieure, cela vous donne accès à l’interface de ligne de commande FMC. Pour accéder à l’interface Shell Linux , passez à l’étape 3.

Étape 3

Pour accéder à l’interface Shell Linux à partir de l’interface de ligne de commande FMC, saisissez la commande expert.

Arrêter ou redémarrer le FMC

Utilisez l’interface Web pour lancer un arrêt ou un redémarrage ordonné.

Vous pouvez également arrêter le système FMC en utilisant la commande d’arrêt du système depuis l’interface CLI. FMC. (Dans la version 6.2, où l’interface CLI FMC n’est pas disponible, vous pouvez utiliser la commande shutdown -h now à partir du shell de l’appareil.)


Astuces

Pour les périphériques virtuels, consultez la documentation de votre plateforme virtuelle. Pour VMware en particulier, les options d’alimentation personnalisées font partie des outils VMware.


Mise en garde

N’éteignez pas l’unité FMC à l’aide du bouton d’alimentation; cette action peut entraîner une perte de données. L’utilisation de l’interface Web ou de la commande shutdown prépare le système à être éteint et redémarré en toute sécurité, sans perte de données de configuration.

Procédure

Étape 1

Connectez-vous à votre centre de gestion, puis choisissez Système (icône engrenage du système) > Configuration > Processus.

Étape 2

Effectuez l'une des opérations suivantes :

  • Arrêtez le centre de gestion pour lancer un arrêt progressif de FMC.

  • Redémarrez le centre de gestion pour arrêter et redémarrer l’ FMC correctement.

  • Redémarrez la console du centre de gestion pour redémarrer les processus de communication, de base de données et de serveur HTTP. Cette action est généralement utilisée lors du dépannage et peut entraîner la réaffichage des hôtes supprimés dans la cartographie du réseau.

Installer le FMC pour les versions 6.5 et ultérieures

Suivez ces instructions pour installer le FMC qui exécutera les versions 6.5 et ultérieures.

Passez en revue le déploiement du réseau pour les versions 6.5 et ultérieures

Pour déployer l’FMC, vous avez besoin d’informations sur l’environnement dans lequel il fonctionnera. La figure suivante présente un exemple de configuration réseau pour un déploiement de pare-feu.

Illustration 4. Exemple de déploiement du réseau

Par défaut, le FMC se connecte à votre réseau de gestion local par l’intermédiaire de son interface de gestion (eth0). Par cette connexion, le FMC communique avec un ordinateur de gestion; périphériques gérés; des services tels que DHCP, DNS, NTP; et Internet.

Le FMC nécessite un accès Internet pour prendre en charge les services de licences Smart, Threat Intelligence Director, et de défense contre les programmes malveillants. Selon les services fournis par votre réseau de gestion local, le FMC peut également nécessiter un accès Internet pour atteindre un serveur NTP ou DNS. Vous pouvez configurer votre réseau pour fournir un accès Internet au FMC directement ou par l’intermédiaire d’un appareil de pare-feu.

Vous pouvez télécharger des mises à jour du logiciel système, ainsi que la base de données des vulnérabilités (VDB), la base de données de géolocalisation (GeoDB) et les règles d’intrusion directement sur le FMC depuis une connexion Internet ou depuis un ordinateur local ayant préalablement téléchargé ces mises à jour depuis Internet.

Pour établir la connexion entre le FMC et l’un de ses périphériques gérés, vous devez disposer de l’adresse IP d’au moins l’un des deux: le FMC ou l’équipement géré. Nous vous recommandons d’utiliser les deux adresses IP, si elles sont disponibles. Cependant, vous ne pouvez connaître qu’une seule adresse IP. Par exemple, les périphériques gérés peuvent utiliser des adresses privées derrière la NAT, de sorte que vous ne connaissez que l’adresse FMC. Dans ce cas, vous pouvez spécifier l’adresse FMC sur le périphérique géré ainsi qu’un mot de passe unique à usage unique de votre choix appelé ID NAT. Dans FMC, vous spécifiez le même ID NAT pour identifier le périphérique géré.

Le processus d’installation initiale et de configuration décrit dans ce document suppose que FMC aura accès à Internet. Si vous déployez le FMC dans un environnement isolé (air-gapped), consultez la Guide d'administration Cisco Firepower Management Center correspondant à votre version pour connaître les méthodes alternatives permettant de prendre en charge certaines fonctionnalités, telles que la configuration d’un proxy pour les communications HTTP ou l’utilisation d’un serveur Smart Software Satellite pour la gestion des licences Smart. Dans un déploiement où le FMC dispose d’un accès Internet, vous pouvez charger les mises à jour du logiciel système, ainsi que de la base de données de vulnérabilités (VDB), de la base de données de géolocalisation (GeoDB) et des règles de prévention des intrusions directement sur le FMC à partir d’une connexion Internet. Mais si le FMC n’a pas accès à Internet, le FMC peut télécharger ces mises à jour à partir d’un ordinateur local qui les a précédemment téléchargées à partir d’Internet. En outre, dans un déploiement isolé, vous pouvez utiliser le FMC pour servir de l’heure aux périphériques de votre déploiement.

Configuration initiale du réseau pour FMC à l’aide des versions 6.5 et ultérieures :

  • Interface de gestion

    Par défaut, le FMC recherche un serveur DHCP local pour l’adresse IP, le masque réseau et la passerelle par défaut à utiliser pour l’interface de gestion (eth0). Si le FMC ne peut pas atteindre un serveur DHCP, il utilise l’adresse IPv4 par défaut 192.168.45.45, le masque réseau 255.255.255.0 et la passerelle 192.168.45.1. Lors de la configuration initiale, vous pouvez accepter ces valeurs par défaut ou spécifier des valeurs différentes.


    Remarque

    Si vous utilisez DHCP, vous devez utiliser la réservation DHCP, de sorte que l'adresse attribuée ne change pas. Si l’adresse DHCP change, l’enregistrement du périphérique échouera car la configuration réseau Centre de gestion Firepower (FMC) n’est pas synchronisée. Pour récupérer après un changement d’adresse DHCP, connectez-vous à Centre de gestion Firepower (FMC) (en utilisant le nom d’hôte ou la nouvelle adresse IP) et accédez à Administration, puis cliquez sur Interfaces de gestion pour réinitialiser le réseau.

    Si vous choisissez d’utiliser l’adressage IPv6 pour l’interface de gestion, vous devez le configurer par le biais de l’interface Web après avoir terminé la configuration initiale.

  • DNS Server(s) [Serveur(s) DNS]

    Entrez les adresses IP d’un maximum de deux serveurs DNS. Si vous utilisez une licence d’évaluation, vous pouvez choisir de ne pas utiliser DNS. (Lors de la configuration initiale, vous pouvez également définir un nom d’hôte et un domaine afin de faciliter les communications entre le FMC et les autres hôtes via DNS ; vous pourrez configurer des domaines supplémentaires après avoir terminé la configuration initiale.)

  • Serveur(s) NTP

    La synchronisation de l’horloge système sur votre FMC et ses périphériques gérés est essentielle au bon fonctionnement de votre système; la synchronisation de l’heure FMC est requise lors de la configuration initiale. Vous pouvez accepter la valeur par défaut (0.sourcefire.pool.ntp.org et 1.sourcefire.pool.ntp.org comme serveurs NTP principal et secondaire, respectivement), ou fournir des FQDN ou des adresses IP pour un ou deux serveurs NTP de confiance accessibles à partir de votre réseau. (Si vous n’utilisez pas le DNS, vous ne pouvez pas utiliser de FQDN pour spécifier les serveurs NTP.)

Procédure de bout en bout pour installer le FMC pour les versions 6.5 et ultérieures

Consultez les tâches suivantes pour déployer et configurer un FMC qui exécutera les versions 6.5 et ultérieures.

Pré-configuration

Passez en revue le déploiement du réseau pour les versions 6.5 et ultérieures

Pré-configuration

État de vérification de l’alimentation des câbles de connexion pour les versions 6.5 et ultérieures

FMC

Utilisez l’un des éléments suivants :

FMC

Passer en revue la configuration initiale automatique pour les versions 6.5 et ultérieures

FMC

Configurer les paramètres d’administration FMC

FMC

Ajouter des périphériques gérés au FMC.

État de vérification de l’alimentation des câbles de connexion pour les versions 6.5 et ultérieures

Cette procédure fait référence aux ports du panneau arrière des FMC 2500 et 4500. Le FMC 1000 est identique, sauf qu’il n’a pas les deux ports SFP+ 10-G au-dessus des ports Ethernet.

Les blocs d’alimentation CA ont une mise à la terre interne ; aucune mise à la terre de châssis supplémentaire n’est requise lorsque les cordons d’alimentation CA pris en charge sont utilisés. Pour plus d’information sur les cordons pris en charge, consultez le Guide d’installation du matériel (GIM) pour Cisco Firepower Management Center 1000, 2500 et 4500.

Après avoir monté le châssis en rack, suivez ces étapes pour connecter les câbles, mettre l’appareil sous tension et vérifier la connectivité. Utilisez l’illustration suivante pour identifier les ports du panneau arrière.

Illustration 5. Connexions des câbles

1

(Modèles 2500 et 4500 seulement.)

Interface de gestion eth2

Prise en charge SFP+ 4x10-Gigabit Ethernet

Utilisez uniquement les modules SFP pris en charge par Cisco.

2

(Modèles 2500 et 4500 seulement.)

Interface de gestion eth3

Prise en charge SFP+ 4x10-Gigabit Ethernet

Utilisez uniquement les modules SFP pris en charge par Cisco.

3

Port de clavier USB

4

Port de console en série

Utilisez le câble de console (RJ45 à DB9) pour connecter un ordinateur au périphérique.

5

Interface de gestion eth0 (étiquetée « 1 »)

Interface Gigabit Ethernet de 10/100/1000 Mbit/s, RJ-45

eth0 est l’interface de gestion par défaut.

6

interface de gestion eth1 (étiquetée « 2 »)

Interface Gigabit Ethernet de 10/100/1000 Mbit/s, RJ-45

7

Port VGA (connecteur DE-15)

Les messages de la console sont envoyés par défaut à ce port.

Avant de commencer


Important

Lisez le document d’informations sur la sécurité, la conformité et la réglementation avant d’installer le châssis FMC.

SUMMARY STEPS

  1. (Facultatif, s’applique uniquement aux modèles 2500 et 4500) interface de gestion eth2 : si votre modèle comprend des interfaces SFP+ 10-Gigabit Ethernet, installez tous les émetteurs-récepteurs SFP+ pris en charge par FMC et les câbles au besoin. Vous pouvez connecter cette interface au même réseau ou à un réseau différent de vos autres interfaces de gestion selon les besoins de votre réseau. Pour plus de renseignements sur les interfaces de gestion et la topologie réseau, consultez le Guide de configuration de Cisco Firepower Management Center.
  2. (Facultatif, s’applique uniquement aux modèles 2500 et 4500) interface de gestion eth3 : si votre modèle comprend des interfaces SFP+ 10-Gigabit Ethernet, installez tous les émetteurs-récepteurs SFP+ pris en charge par FMC et les câbles au besoin. Vous pouvez connecter cette interface au même réseau ou à un réseau différent de vos autres interfaces de gestion selon les besoins de votre réseau. Pour plus de renseignements sur les interfaces de gestion et la topologie réseau, consultez le Guide de configuration de Cisco Firepower Management Center.
  3. (Facultatif) Port USB : connectez un clavier au port USB.
  4. (Facultatif) Utilisez le câble de console RJ-45 à DP-9 fourni avec le périphérique (numéro de pièce Cisco 72-3383-XX) pour connecter un ordinateur local au port série FMC. Vous pouvez utiliser cette connexion pour l’accès série ou Lights Out Management au FMC ; voir Configurer l‘accès secondaire FMC.
  5. interface de gestion eth0 (étiquetée « 1 » sur le panneau arrière) : à l’aide d’un câble Ethernet, connectez l’interface eth0 au réseau de gestion par défaut accessible à partir de votre ordinateur de gestion. Cette interface est l’interface de gestion par défaut et est activée par défaut. Vérifiez que le voyant DEL de liaison est activé pour l’interface réseau sur l’ordinateur local et pour l’interface de gestion FMC.
  6. (Facultatif) interface de gestion eth1 (étiquetée « 2 » sur le panneau arrière) : connectez cette interface de gestion au même réseau ou à un réseau différent de vos autres interfaces de gestion en fonction des besoins de votre réseau. Pour obtenir des informations propres à votre système, consultez le Guide de configuration de Firepower Management Center pour votre version.
  7. (Facultatif) Port VGA : connectez un moniteur au port VGA.
  8. Bloc d’alimentation : uUtilisez l’un des cordons d’alimentation pris en charge pour connecter les blocs d’alimentation du châssis à votre source d’alimentation. Pour plus d’information sur les cordons pris en charge, consultez le Guide d’installation du matériel (GIM) pour Cisco Firepower Management Center 1000, 2500 et 4500
  9. Alimentation : appuyez sur le bouton d’alimentation à l’avant du châssis et vérifiez que le voyant DEL d’état d’alimentation du panneau avant est allumé.
  10. Vérification : utilisez le diagramme dans Voyants DEL du panneau avant et leurs états pour vérifier que les voyants DEL du panneau avant indiquent un bon état.

DETAILED STEPS

Étape 1

(Facultatif, s’applique uniquement aux modèles 2500 et 4500) interface de gestion eth2 : si votre modèle comprend des interfaces SFP+ 10-Gigabit Ethernet, installez tous les émetteurs-récepteurs SFP+ pris en charge par FMC et les câbles au besoin. Vous pouvez connecter cette interface au même réseau ou à un réseau différent de vos autres interfaces de gestion selon les besoins de votre réseau. Pour plus de renseignements sur les interfaces de gestion et la topologie réseau, consultez le Guide de configuration de Cisco Firepower Management Center.

Chaque émetteur-récepteur SFP+ pris en charge par le FMC (FS2K-NIC-SFP/FS4K-NIC-SFP) possède une mémoire série interne EEPROM dans laquelle sont codées les informations relatives à la sécurité. Ce codage nous permet de déterminer et de valider que l’émetteur-récepteur SFP répond aux exigences du châssis FMC.

Remarque

 

Seuls les émetteurs-récepteurs SFP+ certifiés Cisco sont compatibles avec les interfaces 10-G. Cisco TAC pourrait refuser de fournir de l’assistance pour tout problème d’interopérabilité résultant de l’utilisation d’un émetteur-récepteur SFP de tiers non testé.

Étape 2

(Facultatif, s’applique uniquement aux modèles 2500 et 4500) interface de gestion eth3 : si votre modèle comprend des interfaces SFP+ 10-Gigabit Ethernet, installez tous les émetteurs-récepteurs SFP+ pris en charge par FMC et les câbles au besoin. Vous pouvez connecter cette interface au même réseau ou à un réseau différent de vos autres interfaces de gestion selon les besoins de votre réseau. Pour plus de renseignements sur les interfaces de gestion et la topologie réseau, consultez le Guide de configuration de Cisco Firepower Management Center.

Chaque émetteur-récepteur SFP+ pris en charge par le FMC (FS2K-NIC-SFP/FS4K-NIC-SFP) possède une mémoire série interne EEPROM dans laquelle sont codées les informations relatives à la sécurité. Ce codage nous permet de déterminer et de valider que l’émetteur-récepteur SFP répond aux exigences du châssis FMC.

Remarque

 

Seuls les émetteurs-récepteurs SFP+ certifiés Cisco sont compatibles avec les interfaces 10-G. Cisco TAC pourrait refuser de fournir de l’assistance pour tout problème d’interopérabilité résultant de l’utilisation d’un émetteur-récepteur SFP de tiers non testé.

Étape 3

(Facultatif) Port USB : connectez un clavier au port USB.

Vous pouvez utiliser cette connexion et un moniteur connecté au port VGA pour configurer les paramètres réseau et effectuer la configuration initiale au niveau de l’interface de ligne de commande.

Étape 4

(Facultatif) Utilisez le câble de console RJ-45 à DP-9 fourni avec le périphérique (numéro de pièce Cisco 72-3383-XX) pour connecter un ordinateur local au port série FMC. Vous pouvez utiliser cette connexion pour l’accès série ou Lights Out Management au FMC ; voir Configurer l‘accès secondaire FMC.

Étape 5

interface de gestion eth0 (étiquetée « 1 » sur le panneau arrière) : à l’aide d’un câble Ethernet, connectez l’interface eth0 au réseau de gestion par défaut accessible à partir de votre ordinateur de gestion. Cette interface est l’interface de gestion par défaut et est activée par défaut. Vérifiez que le voyant DEL de liaison est activé pour l’interface réseau sur l’ordinateur local et pour l’interface de gestion FMC.

Vous pouvez utiliser cette connexion pour configurer les paramètres réseau et effectuer la configuration initiale en utilisant HTTPS. Vous pouvez également utiliser cette connexion pour effectuer une gestion de routine et pour gérer les périphériques à partir de l’interface Web FMC.

Étape 6

(Facultatif) interface de gestion eth1 (étiquetée « 2 » sur le panneau arrière) : connectez cette interface de gestion au même réseau ou à un réseau différent de vos autres interfaces de gestion en fonction des besoins de votre réseau. Pour obtenir des informations propres à votre système, consultez le Guide de configuration de Firepower Management Center pour votre version.

Étape 7

(Facultatif) Port VGA : connectez un moniteur au port VGA.

Vous pouvez utiliser cette connexion et un clavier connecté à un port USB pour configurer les paramètres réseau et effectuer la configuration initiale au niveau de l’interface de ligne de commande.

Étape 8

Bloc d’alimentation : uUtilisez l’un des cordons d’alimentation pris en charge pour connecter les blocs d’alimentation du châssis à votre source d’alimentation. Pour plus d’information sur les cordons pris en charge, consultez le Guide d’installation du matériel (GIM) pour Cisco Firepower Management Center 1000, 2500 et 4500

Étape 9

Alimentation : appuyez sur le bouton d’alimentation à l’avant du châssis et vérifiez que le voyant DEL d’état d’alimentation du panneau avant est allumé.

Étape 10

Vérification : utilisez le diagramme dans Voyants DEL du panneau avant et leurs états pour vérifier que les voyants DEL du panneau avant indiquent un bon état.

Effectuer la configuration initiale au niveau de l’interface Web pour les versions 6.5 et ultérieures

Si vous avez un accès HTTPS à l’adresse IP FMC (de l’adresse obtenue de DHCP ou de l’adresse par défaut 192.168.45.45), vous pouvez effectuer la configuration initiale en utilisant HTTPS sur l’interface Web de l’appareil. Si vous devez définir manuellement l’adresse IP FMC, consultez Centre de gestion Firepower (FMC) Configuration initiale à l’aide de l'interface de ligne de commande pour les versions 6.5 et ultérieures.

Lorsque vous vous connectez à l’interface Web Centre de gestion Firepower (FMC) pour la première fois, le Centre de gestion Firepower (FMC) présente un assistant de configuration initiale pour vous permettre de configurer rapidement et facilement les paramètres de base du périphérique. Cet assistant se compose de trois écrans et d’une boîte de dialogue contextuelle :

  • Le premier écran vous force à modifier le mot de passe de l’utilisateur admin à partir de la valeur par défaut de Admin123.

  • Le deuxième écran présente le contrat de licence d’utilisateur final (CLUF) que vous devez accepter avant d’utiliser l’appareil.

  • Le troisième écran vous permet de modifier les paramètres réseau de l’interface de gestion des appareils. Cette page est préremplie avec les paramètres actuels, que vous pouvez modifier.

    Si vous configurez un périphérique après l’avoir restauré aux valeurs par défaut (voir À propos du processus de restauration) et que vous n’avez pas supprimé les paramètres de licence et de réseau du périphérique, les invites seront préremplies avec les valeurs conservées.

  • L‘ assistant effectue la validation des valeurs que vous saisissez dans cet écran pour confirmer les éléments suivants :

    • Correction syntaxique

    • Compatibilité des valeurs saisies (par exemple, adresse IP et passerelle compatibles, ou DNS fourni lorsque les serveurs NTP sont précisés à l’aide de FQDN)

    • Connectivité réseau entre le FMC et les serveurs DNS et NTP

    L’ assistant affiche les résultats de ces tests en temps réel à l’écran, ce qui vous permet d’apporter des corrections et de tester la fiabilité de votre configuration avant de cliquer sur Finish (Terminer) au bas de l’écran. Les tests de connectivité NTP et DNS ne sont pas bloquants ; vous pouvez cliquer sur Terminer avant que l’ assistant ne termine les tests de connectivité . Si le système signale un problème de connectivité après que vous ayez cliqué sur Finish (Terminer), vous ne pouvez pas modifier les paramètres dans l' assistant, mais vous pouvez configurer ces connexions à l'aide de l'interface Web après avoir terminé la configuration initiale.

    Le système n’effectue pas de tests de connectivité si vous saisissez des valeurs de configuration qui conduiraient à couper la connexion existante entre le FMC et le navigateur. Dans ce cas, l’ assistant n’affiche aucune information sur l’état de connectivité pour le DNS ou le NTP.

  • Après avoir terminé les trois écrans, une boîte de dialogue contextuelle s’affiche et vous permet de configurer rapidement et facilement les licences Smart.

Lorsque vous avez terminé l'assistant de configuration initial et désactivé la boîte de dialogue de licences Smart, le système affiche la page de gestion des périphériques, décrite dans « Device Management » (gestion des périphériques) dans le Guide de configuration Cisco Firepower Management Center Device pour votre version.

Avant de commencer

  • .Installez le FMC comme décrit dans le État de vérification de l’alimentation des câbles de connexion pour les versions 6.5 et ultérieures.

  • Assurez-vous que les informations suivantes sont nécessaires pour que le Centre de gestion Firepower (FMC) communique sur votre réseau de gestion :

    • Une adresse IP de gestion IPv4.

      L’interface Centre de gestion Firepower (FMC) est préconfigurée pour accepter une adresse IP4 attribuée par DHCP. Consultez votre administrateur système pour déterminer l’IP attribuée par DHCP à l’adresse MAC Centre de gestion Firepower (FMC). Dans les scénarios où aucun DHCP n’est disponible, l’interface Centre de gestion Firepower (FMC) utilise l’adresse IPv4 192.168.45.45.

    • Un masque réseau et une passerelle par défaut (si vous n'utilisez pas DHCP).

  • Si vous n’utilisez pas DHCP, configurez un ordinateur local avec les paramètres réseau suivants :

    • Adresse IP : 192.168.45.2

    • Masque réseau : 255.255.255.0

    • La passerelle par défaut est 192.168.45.1.

    Désactivez toutes les autres connexions réseau sur cet ordinateur.

Procédure

Étape 1

À l’aide d’un navigateur, accédez à l’adresse IP du FMC  :https://<Management Center-IP>.

La page d'ouverture de session s'affiche.

Étape 2

Connectez-vous au FMC en utilisant admin comme nom d’utilisateur et Admin123 comme mot de passe pour le compte admin. (Les mots de passe sont sensibles à la casse.)

Étape 3

À l’écran de modification du mot de passe :

  1. (Facultatif), cochez la case Show password (afficher le mot de passe) pour voir le mot de passe lorsque vous utilisez cette boîte de dialogue.

  2. Cliquez sur Generate Password (générer un mot de passe) pour que le système crée un mot de passe conforme aux critères de la liste. (Les mots de passe générés ne sont pas mnémoniques ; prenez soin de noter le mot de passe si vous choisissez cette option.)

  3. Pour définir le mot de passe de votre choix, saisissez un nouveau mot de passe dans les zones de texte New Password (Nouveau mot de passe) et Confirm Password (Confirmer le mot de passe).

    Le mot de passe doit être conforme aux critères énumérés dans la boîte de dialogue.

    Remarque

     

    Le Centre de gestion Firepower (FMC) vérifie les mots de passe à l’aide d’un dictionnaire spécial contenant non seulement de nombreux mots du dictionnaire, mais aussi d’autres chaînes de caractères qui pourraient être facilement déchiffrées à l’aide de techniques courantes d'intrusion de mots de passe. Par exemple, le script de configuration initiale peut rejeter des mots de passe tels que « abcdefg » ou « passw0rd ».

    Remarque

     

    À l’achèvement du processus de configuration initiale, le système définit les mots de passe des deux comptes d’ administrateur (un pour l’accès Web et l’autre pour l’accès à l’interface de ligne de commande) à la même valeur. Le mot de passe doit être conforme aux exigences décrites dans le Guide d'administration Cisco Firepower Management Center de votre version. Si vous modifiez les mots de passe de l’un ou l’autre des comptes administrateurs par la suite, ils ne seront plus identiques et l’exigence relative au mot de passe fort peut être supprimée du compte administrateur de l’interface Web.

  4. Cliquez sur Next (suivant).

    Une fois que vous avez cliqué sur Next (Suivant) sur l’écran Change Password (modifier le mot de passe) et que l’assistant a accepté le nouveau mot de passe admin, ce mot de passe est en vigueur pour l’interface Web et les comptes admin de l’interface de ligne de commande, même si vous ne terminez pas les activités restantes de l'assistant.

Étape 4

À l’écran du contrat d’utilisateur, lisez le CLUF et cliquez sur Accept (accepter) pour continuer.

Si vous cliquez sur Decline (Refuser), l'assistant vous déconnecte de FMC.

Étape 5

Cliquez sur Next (suivant).

Étape 6

À l’écran de modification des paramètres réseau :

  1. Saisissez un nom de domaine complet (FQDN). Si la valeur par défaut s’affiche, vous pouvez l’utiliser si elle est compatible avec la configuration de votre réseau. Sinon, saisissez un nom de domaine complet (syntaxe <hostname>.<domain> ) ou le nom d'hôte.

  2. Choisissez le protocole de démarrage pour l’option Configure IPv4 (Configuration IPv4), soit à l’aide de DHCP, soit à l’aide de Static/Manual.

    Si vous utilisez DHCP, vous devez utiliser la réservation DHCP, de sorte que l'adresse attribuée ne change pas. Si l’adresse DHCP change, l’enregistrement du périphérique échouera car la configuration réseau Centre de gestion Firepower (FMC) n’est pas synchronisée. Pour récupérer après un changement d’adresse DHCP, connectez-vous à Centre de gestion Firepower (FMC) (en utilisant le nom d’hôte ou la nouvelle adresse IP) et accédez à System (Système) > Configuration > Management Interfaces (Interfaces de gestion)pour réinitialiser le réseau.

  3. Acceptez la valeur affichée, si une est affichée, pour l’adresse IPv4 ou saisissez une nouvelle valeur. Utilisez la forme décimale à points (par exemple, 192.168.45.45).

    Remarque

     
    Si vous modifiez l’adresse IP pendant la configuration initiale, vous devez vous reconnecter au Centre de gestion Firepower (FMC) en utilisant les nouvelles informations réseau.

  4. Acceptez la valeur affichée, le cas échéant, pour le masque réseau ou saisissez une nouvelle valeur. Utilisez la forme décimale à points (par exemple, 255.255.0.0).

    Remarque

     
    Si vous modifiez le masque réseau pendant la configuration initiale, vous devez vous reconnecter au Centre de gestion Firepower (FMC) en utilisant les nouvelles informations réseau.

  5. Vous pouvez accepter la valeur affichée, le cas échéant, pour la passerelle ou saisir une nouvelle passerelle par défaut. Utilisez la forme décimale à points (par exemple, 192.168.0.1).

    Remarque

     
    Si vous modifiez l’adresse de la passerelle pendant la configuration initiale, vous devrez peut-être vous reconnecter au Centre de gestion Firepower (FMC) en utilisant les nouvelles informations réseau.

  6. (Facultatif) Pour le groupe DNS, vous pouvez accepter la valeur par défaut, Cisco Umbrella DNS.

    Pour modifier les paramètres DNS, choisissez Custom DNS Servers (serveurs DNS personnalisés) dans la liste déroulante et saisissez les adresses IPv4 pour le DNS principal et le DNS secondaire. Si votre Centre de gestion Firepower (FMC) n’a pas d’accès Internet, vous ne pouvez pas utiliser de DNS en dehors de votre réseau local. Configurez le serveur DNS en sélectionnant Custom DNS Servers (serveurs DNS personnalisés) dans la liste déroulante et en supprimant les champs Primary DNS (DNS principal) et Secondary DNS (DNS secondaire).

    Remarque

     

    Si vous utilisez des noms de domaine complets plutôt que des adresses IP pour spécifier des serveurs NTP, vous devez préciser le DNS à ce moment. Si vous utilisez une licence d’évaluation, le DNS est facultatif, mais le DNS est requis pour utiliser des licences permanentes pour votre déploiement.

  7. Pour les serveurs de groupe NTP vous pouvez accepter la valeur par défaut, Default NTP Servers (Serveurs NTP par défaut). Dans ce cas, le système utilise 0.sourcefire.pool.ntp.org comme serveur NTP principal et 1.sourcefire.pool.ntp.org comme serveur NTP secondaire.

    Pour configurer d’autres serveurs NTP, choisissez Custom NTP Group Servers (serveurs de groupe NTP personnalisés) dans la liste déroulante et saisissez les noms de domaine complets ou les adresses IP d’un ou deux serveurs NTP accessibles à partir de votre réseau. Si votre Centre de gestion Firepower (FMC) n’a pas d’accès Internet, vous ne pouvez pas utiliser un serveur NTP en dehors de votre réseau local.

Remarque

 
Si vous modifiez les paramètres réseau pendant la configuration initiale, vous devez vous reconnecter au Centre de gestion Firepower (FMC) en utilisant les nouvelles informations réseau.

Étape 7

Cliquez sur Finish (terminer).

L' assistant effectue la validation des valeurs que vous saisissez sur cet écran pour confirmer l'exactitude syntaxique, la compatibilité des valeurs saisies et la connectivité réseau entre le Centre de gestion Firepower (FMC) et les serveurs DNS et NTP. Si le système signale un problème de connectivité après que vous ayez cliqué sur Finish (Terminer), vous ne pouvez pas modifier les paramètres dans l' assistant, mais vous pouvez configurer ces connexions à l'aide de l'interface Web Centre de gestion Firepower (FMC) après avoir terminé la configuration initiale.

Prochaine étape

  • Si vous avez modifié les paramètres réseau lors de la configuration initiale, vous devez vous reconnecter au FMC en utilisant les nouvelles informations réseau.

  • Le système affiche une fenêtre contextuelle qui vous permet de configurer rapidement et facilement les licences Smart. L'utilisation de cette boîte de dialogue est facultative; si votre FMC gère des périphériques Cisco Firepower Threat Defense et que vous connaissez bien les licences Smart, utilisez cette boîte de dialogue. Sinon, ignorez cette boîte de dialogue et consultez la section « Licences » dans le Guide d'administration Cisco Firepower Management Center de votre version.

  • Passez en revue les activités de maintenance hebdomadaires que le Centre de gestion Firepower (FMC) configure automatiquement dans le cadre du processus de configuration initial. Ces activités sont conçues pour maintenir votre système à jour et vos données sauvegardées. Voir Passer en revue la configuration initiale automatique pour les versions 6.5 et ultérieures .

  • Une fois que vous avez terminé l'assistant de configuration initial et désactivé la boîte de dialogue de licences Smart, le système affiche la page de gestion des périphériques, décrite dans le Guide de configuration des périphériques de Cisco Firepower Management Center. Établissez la configuration de base pour votre Centre de gestion Firepower (FMC), comme décrit dans Configurer les paramètres d’administration FMC.

  • Vous pouvez éventuellement configurer le FMC pour l’accès en série sur LAN ou en service réduit, comme décrit dans Configurer l‘accès secondaire FMC.

Centre de gestion Firepower (FMC) Configuration initiale à l’aide de l'interface de ligne de commande pour les versions 6.5 et ultérieures

Vous pouvez effectuer la configuration initiale à l’aide de l’interface de ligne de commande au lieu d’utiliser l’interface Web. Vous devez effectuer un assistant de configuration initiale qui configure le nouveau périphérique pour qu’il communique sur votre réseau de gestion de confiance. L' assistant vous demande d'accepter le contrat de licence d'utilisateur final (CLUF) et de changer le mot de passe administrateur.

Avant de commencer

  • .Installez le Centre de gestion Firepower (FMC) comme décrit dans le État de vérification de l’alimentation des câbles de connexion pour les versions 6.5 et ultérieures.

  • Assurez-vous que les informations suivantes sont nécessaires pour que le Firewall Management Center Virtual communique sur votre réseau de gestion :

    • Une adresse IP de gestion IPv4.

      L’interface Centre de gestion Firepower (FMC) est préconfigurée pour accepter une adresse IP4 attribuée par DHCP. Consultez votre administrateur système pour déterminer l’IP attribuée par DHCP à l’adresse MAC Centre de gestion Firepower (FMC). Dans les scénarios où aucun DHCP n’est disponible, l’interface Centre de gestion Firepower (FMC) utilise l’adresse IPv4 192.168.45.45.

    • Un masque réseau et une passerelle par défaut (si vous n'utilisez pas DHCP).

  • Connectez-vous au Centre de gestion Firepower (FMC) en utilisant l’une des trois méthodes suivantes :

    • Établissez une connexion SSH en utilisant l'adresse IP de gestion IPv4.

    • Clavier USB et moniteur VGA connectés au Centre de gestion Firepower (FMC) pour l’accès à la console.

    • Ordinateur local relié au port série Centre de gestion Firepower (FMC) avec un câble console RJ-45 vers DB-9.

    Utilisez SSH pour vous connecter au Centre de gestion Firepower (FMC) en utilisant l'adresse IP de gestion IPv4.

Procédure

Étape 1

Connectez-vous au Firewall Management Center Virtual sur la console en utilisant admin comme nom d’utilisateur et Admin123 comme mot de passe pour le compte admin. Remarque : les mots de passe sont sensibles à la casse.

Étape 2

Lorsque vous y êtes invité, appuyez sur Entrée pour afficher le contrat de licence de l’utilisateur final (CLUF).

Étape 3

Passez en revue le CLUF. Lorsque vous y êtes invité, saisissez Yes (oui), Yes (oui) ou appuyez sur Enter (Entrée) pour accepter le CLUF.

Important

 

Vous ne pouvez pas continuer sans accepter le CLUF. Si vous répondez par autre chose que Yes (oui), Yes (oui) ou Enter (Entrée), le système vous déconnecte.

Étape 4

Pour assurer la sécurité et la confidentialité du système, la première fois que vous vous connectez à Centre de gestion Firepower (FMC), vous devez changer le mot de passe admin. Lorsque le système demande un nouveau mot de passe, saisissez un nouveau mot de passe conforme aux restrictions affichées, puis saisissez à nouveau le même mot de passe lorsque le système demande une confirmation.

Remarque

 

Le Centre de gestion Firepower (FMC) vérifie les mots de passe à l’aide d’un dictionnaire spécial contenant non seulement de nombreux mots du dictionnaire, mais aussi d’autres chaînes de caractères qui pourraient être facilement déchiffrées à l’aide de techniques courantes d'intrusion de mots de passe. Par exemple, le script de configuration initiale peut rejeter des mots de passe tels que « abcdefg » ou « passw0rd ».

Remarque

 

À l’achèvement du processus de configuration initiale, le système définit les mots de passe des deux comptes d’administrateur (un pour l’accès Web et l’autre pour l’accès à l’interface de ligne de commande) à la même valeur, conformément aux exigences relatives aux mot de passe sécurisés décrites dans le Guide d’administration de Cisco Secure Firewall Management Center pour votre version. Si vous modifiez les mots de passe de l’un ou l’autre des comptes administrateurs par la suite, ils ne seront plus identiques et l’exigence relative au mot de passe fort peut être supprimée du compte administrateur de l’interface Web.

Étape 5

Répondez aux invites pour configurer les paramètres réseau.

Lorsque vous suivez les invites, pour les questions à choix multiples, vos options sont répertoriées entre parenthèses, par exemple (o/n) pour oui ou non. Les valeurs par défaut sont indiquées entre crochets, par exemple [o]. Notez les éléments suivants lorsque vous répondez aux invites :

  • Si vous configurez un périphérique après l’avoir restauré aux valeurs par défaut (voir À propos du processus de restauration) et que vous n’avez pas supprimé les paramètres de licence et de réseau du périphérique, les invites seront préremplies avec les valeurs conservées.

  • Appuyez sur Enter (Entrée) à une invite pour accepter la valeur par défaut.

  • Pour le nom d'hôte, indiquez un nom de domaine complet (<hostname>.<domain>) ou le nom d’hôte. Ce champ est obligatoire.

  • Si vous utilisez DHCP, vous devez utiliser la réservation DHCP, de sorte que l'adresse attribuée ne change pas. Si l’adresse DHCP change, l’enregistrement du périphérique échouera car la configuration réseau Centre de gestion Firepower (FMC) n’est pas synchronisée. Pour récupérer après un changement d’adresse DHCP, connectez-vous à Centre de gestion Firepower (FMC) (en utilisant le nom d’hôte ou la nouvelle adresse IP) et accédez à System (Système) > Configuration > Management Interfaces (Interfaces de gestion)pour réinitialiser le réseau.

  • Si vous choisissez de configurer IPv4 manuellement, le système vous demandera l’adresse IPv4, le masque réseau et la passerelle par défaut.

  • La configuration d’un serveur DNS est facultative ; pour spécifier aucun serveur DNS, saisissez None (aucun). Sinon, spécifiez les adresses IPv4 pour un ou deux serveurs DNS. Si vous spécifiez deux adresses, séparez-les par une virgule. (Si vous spécifiez plus de deux serveurs DNS, le système ignore les entrées supplémentaires.) Si votre Centre de gestion Firepower (FMC) n’a pas d’accès Internet, vous ne pouvez pas utiliser de DNS en dehors de votre réseau local.

    Remarque

     

    Si vous utilisez une licence d’évaluation, le fait de préciser que DNS est facultatif pour le moment, mais requis pour des licences permanentes.

  • Vous devez saisir le nom de domaine complet ou l’adresse IP pour au moins un serveur NTP accessible à partir de votre réseau. (Vous ne pouvez pas préciser de noms de domaine complets pour les serveurs NTP si vous n’utilisez pas DHCP.) Vous pouvez définir deux serveurs (un principal et un secondaire) ; séparez les informations par une virgule. (Si vous spécifiez plus de deux serveurs DNS, le système ignore les entrées supplémentaires.) Si votre Centre de gestion Firepower (FMC) n’a pas d’accès Internet, vous ne pouvez pas utiliser un serveur NTP en dehors de votre réseau local.

Exemple:


Enter a hostname or fully qualified domain name for this system [firepower]: fmc
Configure IPv4 via DHCP or manually? (dhcp/manual) [DHCP]: manual
Enter an IPv4 address for the management interface [192.168.45.45]: 10.10.0.66
Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.224
Enter the IPv4 default gateway for the management interface [ ]: 10.10.0.65
Enter a comma-separated list of DNS servers or 'none' [CiscoUmbrella]: 208.67.222.222,208.67.220.220
Enter a comma-separated list of NTP servers [0.sourcefire.pool.ntp.org, 1.sourcefire.pool.ntp.org]:

Étape 6

Le système affiche un résumé de vos sélections de configuration . Passez en revue les paramètres que vous avez saisis.

Exemple:


Hostname:                           fmc
IPv4 configured via:                manual configuration
Management interface IPv4 address:  10.10.0.66
Management interface IPv4 netmask:  255.255.255.224
Management interface IPv4 gateway:  10.10.0.65
DNS servers:                        208.67.222.222,208.67.220.220
NTP servers:                        0.sourcefire.pool.ntp.org, 1.sourcefire.pool.ntp.org

Étape 7

La dernière invite vous donne la possibilité de confirmer les paramètres.

  • Si les paramètres sont corrects, saisissez o et appuyez sur Enter (Entrée) pour accepter les paramètres et continuer.

  • Si les paramètres sont incorrects, saisissez n et appuyez sur Enter (Entrée). Le système demande de nouveau les informations, en commençant par le nom d’hôte.

Exemple:


Are these settings correct? (y/n) y
If your networking information has changed, you will need to reconnect. 

Updated network configuration.

Étape 8

Après avoir accepté les paramètres, vous pouvez saisir exit (sortie) pour quitter l’interface de ligne de commande Centre de gestion Firepower (FMC).

Prochaine étape

  • Vous pouvez vous connecter à l’interface Web FMC en utilisant les informations sur le réseau que vous venez de configurer.

  • Passez en revue les activités de maintenance hebdomadaires que le Centre de gestion Firepower (FMC) configure automatiquement dans le cadre du processus de configuration initial. Ces activités sont conçues pour maintenir votre système à jour et vos données sauvegardées. Voir Passer en revue la configuration initiale automatique pour les versions 6.5 et ultérieures .

  • Vous pouvez éventuellement configurer le Centre de gestion Firepower (FMC) pour l’accès en série sur LAN ou en service réduit, comme décrit dans Configurer l‘accès secondaire FMC.

Passer en revue la configuration initiale automatique pour les versions 6.5 et ultérieures

Dans le cadre de la configuration initiale (qu’elle soit effectuée par l’intermédiaire de l’assistant de configuration initial ou de l’interface de ligne de commande), le Centre de gestion Firepower (FMC) configure automatiquement les tâches de maintenance pour maintenir votre système à jour et vos données sauvegardées.

Ces tâches sont planifiées en UTC, ce qui signifie que le moment où elles se produisent localement dépend de la date et de votre emplacement spécifique. En outre, étant donné que les tâches sont planifiées en heure UTC, elles ne s’ajustent pas à l’heure avancée, à l’heure d’été, ni à tout autre ajustement saisonnier propre à votre emplacement. Si vous êtes concerné, les tâches planifiées se produisent une heure « ultérieurement » en été qu’en hiver, en fonction de l’heure locale.


Remarque

Nous vous recommandons fortement de passer en revue les configurations de la planification automatique, de confirmer que Centre de gestion Firepower (FMC) les a établies avec succès et de les ajuster si nécessaire.

  • Mises à jour hebdomadaires de GeoDB

    Le Centre de gestion Firepower (FMC) planifie automatiquement les mises à jour de la GeoDB chaque semaine, à une heure aléatoire déterminée. Vous pouvez observer l’état de cette mise à jour à l’aide de l’interface Web du centre de messages. Vous pouvez voir la configuration pour cette mise à jour automatique dans l’interface Web sous Système > Mises à jour > Mises à jour de géolocalisation>RecurRING Geolocation Updates (Mises à jour de géolocalisation récurrentes). Si le système ne parvient pas à configurer la mise à jour et que votre Centre de gestion Firepower (FMC) a accès à Internet, nous vous recommandons de configurer des mises à jour régulières de GeoDB comme décrit dans le Guide d'administration Cisco Firepower Management Center correspondant à votre version.

  • Mises à jour logicielles Centre de gestion Firepower (FMC) hebdomadaires

    Le Centre de gestion Firepower (FMC) planifie automatiquement une tâche hebdomadaire pour télécharger la version logicielle la plus récente pour le Centre de gestion Firepower (FMC) et ses périphériques gérés. Cette tâche est planifiée pour se produire entre 2 et 3 h, heure UTC, le dimanche matin. Selon la date et votre emplacement, cela peut correspondre du samedi après-midi au dimanche après-midi en heure locale. Vous pouvez observer l’état de cette tâche à l’aide de l’interface Web du centre de messages. Vous pouvez voir la configuration pour cette tâche dans l’interface Web sous Système > Outils > Planification. Si la planification des tâches échoue et que votre Centre de gestion Firepower (FMC) a accès à Internet, nous vous recommandons de planifier une tâche récurrente pour le téléchargement des mises à jour logicielles, comme décrit dans Guide d'administration Cisco Firepower Management Center correspondant à votre version.

    Cette tâche télécharge uniquement les correctifs et mises à jour urgentes (hotfix) pour la version actuellement exécutée par vos appliances ; il vous revient d’installer les mises à jour téléchargées par cette tâche. Voir le Guide de mise à niveau de Cisco Centre de gestion Firepower (FMC) pour obtenir plus d’information.

  • Sauvegarde hebdomadaire de la configuration Centre de gestion Firepower (FMC)

    Le Centre de gestion Firepower (FMC) planifie automatiquement une tâche hebdomadaire pour effectuer une sauvegarde de la configuration uniquement stockée localement à 2 h UTC le lundi matin ; Selon la date et votre emplacement, cela peut se produire à tout moment, du samedi après-midi au dimanche après-midi à l’heure locale. Vous pouvez observer l’état de cette tâche à l’aide de l’interface Web du centre de messages. Vous pouvez voir la configuration pour cette tâche dans l’interface Web sous Système > Outils > Planification. Si la planification des tâches échoue, nous vous recommandons de planifier une tâche récurrente pour effectuer une sauvegarde, comme décrit dans Guide d'administration Cisco Firepower Management Center pour votre version.

  • Mise à jour de la base de données de vulnérabilités

    Dans les versions 6.6 et ultérieures, le Centre de gestion Firepower (FMC) télécharge et installe la dernière mise à jour de la base de données des vulnérabilités (VDB) à partir du site d’assistance de Cisco. Il s’agit d’une opération unique. Vous pouvez observer l’état de cette mise à jour à l’aide de l’interface Web du centre de messages. Pour maintenir votre système à jour, si votre Centre de gestion Firepower (FMC) a accès à Internet, nous vous recommandons de planifier des tâches pour effectuer des téléchargements et des installations de mises à jour automatiques récurrentes de la VDB, comme décrit dans Guide d'administration Cisco Firepower Management Center pour votre version.

  • Mise à jour quotidienne des règles d’intrusion

    Dans les versions 6.6 et ultérieures, le Centre de gestion Firepower (FMC) configure une mise à jour quotidienne automatique des règles de prévention des intrusions à partir du site d’assistance de Cisco. La solution Centre de gestion Firepower (FMC) déploie les mises à jour automatiques des règles d’intrusion sur les appareils gérés ciblés lors du prochain déploiement des politiques concernées. Vous pouvez observer l’état de cette tâche à l’aide de l’interface Web du centre de messages. Vous pouvez voir la configuration pour cette tâche dans l’interface Web sous Système > Mises à jour > Mises à jour des règles. Si la configuration de la mise à jour échoue et que votre Centre de gestion Firepower (FMC) dispose d’un accès Internet, nous vous recommandons de configurer les mises à jour régulières des règles de prévention des intrusions comme décrit dans Guide d'administration Cisco Firepower Management Center pour votre version.

Installez le FMC pour les versions de logiciel 6.2 - 6.4

Suivez ces instructions pour installer le FMC qui exécutera les versions 6.2 - 6.4.

Passez en revue le déploiement du réseau pour les versions 6.2-6.4

Pour déployer l’FMC, vous avez besoin d’informations sur l’environnement dans lequel il fonctionnera. La figure suivante présente un exemple de configuration réseau pour un déploiement de pare-feu.

Illustration 6. Exemple de déploiement du réseau

Par défaut, le FMC se connecte à votre réseau de gestion local par l’intermédiaire de son interface de gestion (eth0). Par cette connexion, le FMC communique avec un ordinateur de gestion; périphériques gérés; des services tels que DHCP, DNS, NTP; et Internet.

Le FMC nécessite un accès Internet pour prendre en charge les licences Smart, le directeur de renseignements sur les menaces et les services de défense contre les programmes malveillants. Selon les services fournis par votre réseau de gestion local, le FMC peut également nécessiter un accès Internet pour atteindre un serveur NTP ou DNS. Vous pouvez configurer votre réseau pour fournir un accès Internet au FMC directement ou par l’intermédiaire d’un appareil de pare-feu.

Vous pouvez télécharger des mises à jour du logiciel système, ainsi que la base de données des vulnérabilités (VDB), la base de données de géolocalisation (GeoDB) et les règles d’intrusion directement sur le FMC depuis une connexion Internet ou depuis un ordinateur local ayant préalablement téléchargé ces mises à jour depuis Internet.

Pour établir la connexion entre le FMC et l’un de ses périphériques gérés, vous devez disposer de l’adresse IP d’au moins l’un des deux: le FMC ou l’équipement géré. Nous vous recommandons d’utiliser les deux adresses IP, si elles sont disponibles. Cependant, vous ne pouvez connaître qu’une seule adresse IP. Par exemple, les périphériques gérés peuvent utiliser des adresses privées derrière la NAT, de sorte que vous ne connaissez que l’adresse FMC. Dans ce cas, vous pouvez spécifier l’adresse FMC sur le périphérique géré ainsi qu’un mot de passe unique à usage unique de votre choix appelé ID NAT. Dans FMC, vous spécifiez le même ID NAT pour identifier le périphérique géré.

Le processus d’installation initiale et de configuration décrit dans ce document suppose que FMC aura accès à Internet. Si vous déployez le FMC dans un environnement isolé (air gap), consultez le Guide d'administration Cisco Firepower Management Center correspondant à votre version pour connaître les méthodes alternatives permettant de prendre en charge certaines fonctionnalités, telles que la configuration d’un proxy pour les communications HTTP ou l’utilisation d’un Smart Software Satellite Server pour la gestion des licences Smart. Dans un déploiement où le FMC dispose d’un accès Internet, vous pouvez charger les mises à jour du logiciel système, ainsi que de la base de données de vulnérabilités (VDB), de la base de données de géolocalisation (GeoDB) et des règles de prévention des intrusions directement sur le FMC à partir d’une connexion Internet. Mais si le FMC n’a pas accès à Internet, le FMC peut télécharger ces mises à jour à partir d’un ordinateur local qui les a précédemment téléchargées à partir d’Internet. En outre, dans un déploiement isolé, vous pouvez utiliser le FMC pour servir de l’heure aux périphériques de votre déploiement.

Configuration initiale du réseau pour FMC à l’aide des versions 6.2-6.4 :

  • Interface de gestion

    L’interface FMC (eth0) utilise l’adresse IPv4 par défaut 192.168.45.45, le masque réseau 255.255.255.0 et la passerelle 192.168.45.1. Lors de la configuration initiale, vous pouvez accepter ces valeurs par défaut ou spécifier des valeurs différentes.

    Si vous choisissez d’utiliser l’adressage IPv6 pour l’interface de gestion, vous avez la possibilité d’utiliser la configuration automatique du routeur ou vous devez fournir l’adresse IPv6, la longueur du préfixe et la passerelle. Si votre réseau utilise DNS, lors de la configuration initiale, vous pouvez fournir un nom d’hôte pour identifier le FMC.

  • DNS Server(s) [Serveur(s) DNS]

    Si votre réseau utilise DNS, vous pouvez spécifier les adresses IP d’un maximum de trois serveurs DNS lors de la configuration initiale. Si vous utilisez une licence d’évaluation, vous pouvez choisir de ne pas utiliser DNS. (Lors de la configuration initiale, vous pouvez également définir un nom d’hôte et un domaine afin de faciliter les communications entre le FMC et les autres hôtes via DNS ; vous pourrez configurer des domaines supplémentaires après avoir terminé la configuration initiale.)

  • Serveur(s) NTP

    La synchronisation de l’horloge système sur votre FMC et ses périphériques gérés est essentielle au bon fonctionnement de votre système. La configuration de la synchronisation de l’horloge n’est pas requise lors de la configuration initiale, mais nous vous recommandons de configurer votre FMC pour utiliser des serveurs NTP de confiance. Lors de la configuration initiale, vous aurez besoin des noms d’hôte ou des adresses IP de ces serveurs NTP.

Procédure de bout en bout pour installer FMC pour exécuter les versions logicielles 6.2 à 6.4

Consultez les tâches suivantes pour déployer et configurer FMC qui exécutera les versions 6.2–6.4.

Pré-configuration

Passez en revue le déploiement du réseau pour les versions 6.2-6.4

Pré-configuration

État de vérification de l’alimentation des câbles de connexion pour les versions 6.2 à 6.4

FMC

(Facultatif) Configurer les paramètres réseau à l'aide d'une connexion physique pour les versions logicielles 6.2 - 6.4

FMC

Configuration initiale FMC à l’aide de l’interface Web pour les versions logicielles 6.2 - 6.4

FMC

Configurer les paramètres d’administration FMC

FMC

Ajouter des périphériques gérés au FMC.

État de vérification de l’alimentation des câbles de connexion pour les versions 6.2 à 6.4

Cette procédure fait référence aux ports du panneau arrière des FMC 2500 et 4500. Le FMC 1000 est identique, sauf qu’il n’a pas les deux ports SFP+ 10-G au-dessus des ports Ethernet.

Les blocs d’alimentation CA ont une mise à la terre interne ; aucune mise à la terre de châssis supplémentaire n’est requise lorsque les cordons d’alimentation CA pris en charge sont utilisés. Pour plus d’information sur les cordons pris en charge, consultez le Guide d’installation du matériel (GIM) pour Cisco Firepower Management Center 1000, 2500 et 4500.

Après avoir monté le châssis en rack, suivez ces étapes pour connecter les câbles, mettre l’appareil sous tension et vérifier la connectivité. Utilisez l’illustration suivante pour identifier les ports du panneau arrière.

Illustration 7. Connexions des câbles

1

(Modèles 2500 et 4500 seulement.)

Interface de gestion eth2

Prise en charge SFP+ 4x10-Gigabit Ethernet

Utilisez uniquement les modules SFP pris en charge par Cisco.

2

(Modèles 2500 et 4500 seulement.)

Interface de gestion eth3

Prise en charge SFP+ 4x10-Gigabit Ethernet

Utilisez uniquement les modules SFP pris en charge par Cisco.

3

Port de clavier USB

4

Port de console en série

Utilisez le câble de console (RJ45 à DB9) pour connecter un ordinateur au périphérique.

5

Interface de gestion eth0 (étiquetée « 1 »)

Interface Gigabit Ethernet de 10/100/1000 Mbit/s, RJ-45

eth0 est l’interface de gestion par défaut.

6

interface de gestion eth1 (étiquetée « 2 »)

Interface Gigabit Ethernet de 10/100/1000 Mbit/s, RJ-45

7

Port VGA (connecteur DE-15)

Les messages de la console sont envoyés par défaut à ce port.

Avant de commencer


Important

Lisez le document Regulatory and Compliance Safety Information (Sécurité réglementaire et conformité) avant d’installer le châssis FMC.

Procédure

Étape 1

(Facultatif, s’applique uniquement aux modèles 2500 et 4500) interface de gestion eth2 : si votre modèle comprend des interfaces SFP+ 10-Gigabit Ethernet, installez tous les émetteurs-récepteurs SFP+ pris en charge par FMC et les câbles au besoin. Vous pouvez connecter cette interface au même réseau ou à un réseau différent de vos autres interfaces de gestion selon les besoins de votre réseau. Pour plus de renseignements sur les interfaces de gestion et la topologie réseau, consultez le Guide de configuration de Cisco Firepower Management Center.

Chaque émetteur-récepteur SFP+ pris en charge par le FMC (FS2K-NIC-SFP/FS4K-NIC-SFP) possède une mémoire série interne EEPROM dans laquelle sont codées les informations relatives à la sécurité. Ce codage nous permet de déterminer et de valider que l’émetteur-récepteur SFP répond aux exigences du châssis FMC.

Remarque

 

Seuls les émetteurs-récepteurs SFP+ certifiés Cisco sont compatibles avec les interfaces 10-G. Cisco TAC pourrait refuser de fournir de l’assistance pour tout problème d’interopérabilité résultant de l’utilisation d’un émetteur-récepteur SFP de tiers non testé.

Étape 2

(Facultatif, s’applique uniquement aux modèles 2500 et 4500) interface de gestion eth3 : si votre modèle comprend des interfaces SFP+ 10-Gigabit Ethernet, installez tous les émetteurs-récepteurs SFP+ pris en charge par FMC et les câbles au besoin. Vous pouvez connecter cette interface au même réseau ou à un réseau différent de vos autres interfaces de gestion selon les besoins de votre réseau. Pour plus de renseignements sur les interfaces de gestion et la topologie réseau, consultez le Guide de configuration de Cisco Firepower Management Center.

Chaque émetteur-récepteur SFP+ pris en charge par le FMC (FS2K-NIC-SFP/FS4K-NIC-SFP) possède une mémoire série interne EEPROM dans laquelle sont codées les informations relatives à la sécurité. Ce codage nous permet de déterminer et de valider que l’émetteur-récepteur SFP répond aux exigences du châssis FMC.

Remarque

 

Seuls les émetteurs-récepteurs SFP+ certifiés Cisco sont compatibles avec les interfaces 10-G. Cisco TAC pourrait refuser de fournir de l’assistance pour tout problème d’interopérabilité résultant de l’utilisation d’un émetteur-récepteur SFP de tiers non testé.

Étape 3

(Facultatif) Port USB : connectez un clavier au port USB.

Vous pouvez utiliser cette connexion, ainsi qu’un moniteur connecté au port VGA, pour configurer les paramètres réseau du FMCavant d’effectuer la configuration initiale via l’interface Web.

Étape 4

(Facultatif) Utilisez le câble de console RJ-45 à DP-9 fourni avec le périphérique (numéro de pièce Cisco 72-3383-XX) pour connecter un ordinateur local au port série FMC. Vous pouvez utiliser cette connexion pour l’accès série ou Lights Out Management au FMC ; voir Configurer l‘accès secondaire FMC.

Étape 5

interface de gestion eth0 (étiquetée « 1 » sur le panneau arrière) : à l’aide d’un câble Ethernet, connectez l’interface eth0 au réseau de gestion par défaut accessible à partir de votre ordinateur de gestion. Cette interface est l’interface de gestion par défaut et est activée par défaut. Vérifiez que le voyant DEL de liaison est activé pour l’interface réseau sur l’ordinateur local et pour l’interface de gestion FMC.

Vous pouvez utiliser cette connexion pour configurer les paramètres réseau et effectuer la configuration initiale en utilisant HTTPS. Vous pouvez également utiliser cette connexion pour effectuer une gestion de routine et pour gérer les périphériques à partir de l’interface Web FMC.

Étape 6

(Facultatif) interface de gestion eth1 (étiquetée « 2 » sur le panneau arrière) : connectez cette interface de gestion au même réseau ou à un réseau différent de vos autres interfaces de gestion en fonction des besoins de votre réseau. Pour obtenir des informations propres à votre système, consultez le Guide de configuration de Firepower Management Center pour votre version.

Étape 7

(Facultatif) Port VGA : connectez un moniteur au port VGA.

Vous pouvez utiliser cette connexion et un clavier connecté à un port USB pour configurer les paramètres réseau pour le FMC avant d’effectuer la configuration initiale à l’aide de l’interface Web.

Étape 8

Bloc d’alimentation : uUtilisez l’un des cordons d’alimentation pris en charge pour connecter les blocs d’alimentation du châssis à votre source d’alimentation. Pour plus d’information sur les cordons pris en charge, consultez le Guide d’installation du matériel (GIM) pour Cisco Firepower Management Center 1000, 2500 et 4500

Étape 9

Alimentation : appuyez sur le bouton d’alimentation à l’avant du châssis et vérifiez que le voyant DEL d’état d’alimentation du panneau avant est allumé.

Étape 10

Vérification : utilisez le diagramme dans Voyants DEL du panneau avant et leurs états pour vérifier que les voyants DEL du panneau avant indiquent un bon état.

(Facultatif) Configurer les paramètres réseau à l'aide d'une connexion physique pour les versions logicielles 6.2 - 6.4

Vous pouvez utiliser un clavier USB et un moniteur VGA connectés directement au périphérique pour accéder à l’interface Shell Linux et exécuter un script pour établir la configuration de réseau pour le périphérique. Lorsque vous effectuez cette tâche, reportez-vous au schéma du Interfaces physiques pour identifier les ports du panneau arrière.

Procédure

Étape 1

Si vous ne l’avez pas encore fait, connectez le moniteur au port VGA et le clavier à l’un des ports USB à l’arrière du châssis.

Étape 2

Accédez à l’interface Shell Linux sur le FMC en utilisant admin comme nom d’utilisateur et Admin123 comme mot de passe. (Les mots de passe sont sensibles à la casse.) Suivez les étapes adaptées à votre version ; consultez Accédez à la CLI ou au Shell Linux sur le FMC.

Étape 3

Exécutez le script suivant pour configurer les paramètres réseau FMC  : sudo /usr/local/sf/bin/configure-network.

Étape 4

Répondez aux invites pour fournir les informations de configuration IPv4 et (facultatif) IPv6 pour votre appareil.

Étape 5

La dernière invite vous donne la possibilité de confirmer les paramètres.

Ces paramètres sont-ils corrects ? (o ou n)

Passez en revue les paramètres que vous avez saisis :

  • Si les paramètres sont corrects, saisissez o et appuyez sur Enter (Entrée) pour accepter les paramètres et continuer.

  • Si les paramètres sont incorrects, saisissez n et appuyez sur Enter (Entrée). Le système vous redemande alors les informations.

Étape 6

Après avoir accepté les paramètres, saisissez exit (sortir) pour vous déconnecter de l’interface Shell.

Prochaine étape

Terminez le processus de configuration comme décrit dans Configuration initiale FMC à l’aide de l’interface Web pour les versions logicielles 6.2 - 6.4.

Configuration initiale FMC à l’aide de l’interface Web pour les versions logicielles 6.2 - 6.4

Pour tous les FMC, vous devez terminer le processus de configuration en vous connectant à l’interface Web FMC et en sélectionnant les options de configuration initiale sur une page de configuration. À tout le moins, vous devez changer le mot de passe administrateur, préciser les paramètres réseau (si ce n’est pas déjà fait) et accepter le contrat de licence d’utilisateur final (CLUF).

Procédure

Étape 1

Dirigez votre navigateur vers https://mgmt_ip/, où mgmt_ip est l’adresse IP de l’interface FMC  :

Étape 2

Utilisez le nom d’utilisateur admin et le mot de passe Admin123 pour vous connecter. (Les mots de passe sont sensibles à la casse.)

Étape 3

Dans la section Change Password (modifier le mot de passe) de la page Setup (configuration), modifiez le mot de passe des comptes admin. Le compte admin pour l’interface Web a des privilèges d’administrateur et ne peut pas être supprimé. Cisco vous recommande d’utiliser un mot de passe robuste d’au moins huit caractères alphanumériques, avec mélange de casse, et comprenant au moins un chiffre. Évitez d’utiliser des mots qui apparaissent dans un dictionnaire.

Remarque

 

Les comptes d’administrateur permettant d’accéder à FMC par l’intermédiaire de l’interface Shell plutôt que d’accéder à FMC à l’aide de l’interface Web ne sont pas identiques et peuvent utiliser des mots de passe différents. Ce paramètre aligne les deux mots de passe admin sur la même valeur.

Étape 4

Les paramètres réseau du FMC lui permettent de communiquer sur votre réseau de gestion. Configurez ces paramètres dans la section Network Settings (Paramètres réseau) de la page de configuration.

  • Si vous avez déjà configuré les paramètres réseau pour l’accès au périphérique à l’aide d’un clavier et d’un moniteur, la section Network Settings (Paramètres réseau) de la page Setup (Configuration) peut être préremplie.

  • Si les valeurs ne sont pas préremplies dans Network Settings (Paramètres réseau), ou si vous souhaitez modifier les valeurs préremplies, vous devez choisir le protocole de réseau de gestion. Le système offre une implémentation à double pile pour les environnements de gestion IPv4 et IPv6 ; vous pouvez spécifier IPv4, IPv6 ou les deux.

    Selon votre choix de protocole , la page de configuration affiche les champs dans lesquels vous devez saisir l’adresse IP de gestion IPv4 ou IPv6, la longueur du masque réseau ou du préfixe, et la passerelle par défaut pour le FMC. Vous pouvez également spécifier jusqu’à trois serveurs DNS, ainsi que le nom d’hôte et le domaine du périphérique.

    • Pour IPv4, vous devez saisir l’adresse et le masque réseau, sous forme décimale à points (par exemple, le masque réseau 255.255.0.0).

    • Pour les réseaux IPv6, cochez la case Assign the IPv6 address using router autoconfiguration (Affecter l’adresse IPv6 au moyen de l’autoconfiguration du routeur) pour attribuer automatiquement les paramètres réseau IPv6. Sinon, vous devez définir l’adresse, en hexadécimaux séparés par des deux-points, et le nombre de bits du préfixe (par exemple, une longueur de préfixe de 112).

Étape 5

(Facultatif) Dans la section Time Settings (paramètres d’heure) de la page de configuration, vous pouvez définir l’heure d’un FMC de l’une des deux manières suivantes : manuellement ou à l’aide du protocole NTP (Network Time Protocol) d’un serveur NTP.

  • Pour définir l’heure à l’aide du protocole NTP (Network Time Protocol), sélectionnez Via NTP from (Via NTP à partir de) et indiquez un ou plusieurs serveurs NTP auxquels FMC peut accéder.
  • Pour régler l’heure manuellement, sélectionnez Manually (Manuel) et saisissez l’heure actuelle dans les champs prévus à cet effet.

Pour choisir le fuseau horaire utilisé sur l’interface Web locale pour le compte d’administrateur, cliquez sur la valeur du fuseau horaire actuelle et choisissez un fuseau horaire dans la fenêtre contextuelle.

Remarque

 

L’utilisation d’un serveur NTP est essentielle pour assurer une bonne synchronisation de l’heure entre le FMC et ses périphériques gérés. Si vous ne configurez pas de serveur NTP pendant le processus de configuration initial, nous vous recommandons fortement de le faire dès que possible. Consultez la section Time and Time Synchronization (Heure et synchronisation de l'heure) dans le Guide d'administration Cisco Firepower Management Center de votre version pour obtenir de plus amples renseignements.

Étape 6

(Facultatif) Si vous prévoyez d'effectuer la détection et la prévention des intrusions dans votre déploiement, dans la section RecurRING Rule Update Imports (importations de mises à jour de règles récurrentes) de la page de configuration, nous vous recommandons de cocher Enable Recurring Rule Update Imports from the Support Site (Activer les importations de mise à jour des règles récurrentes à partir du site de soutien).

Vous pouvez spécifier la fréquence d’importationet configurer le système pour effectuer un déploiement de stratégie de prévention des intrusions après chaque mise à jour de règle. Pour exécuter une mise à jour des règles dans le cadre de la configuration initiale, cochez la case Install Now (Installer maintenant).

Le Cisco Talos Intelligence Group publie des mises à jour de règles d’intrusion au fur et à mesure que de nouvelles vulnérabilités sont découvertes. Les mises à jour de règles peuvent également supprimer des règles et fournir de nouvelles catégories de règles et des variables système. Les mises à jour de règles peuvent également supprimer des règles et fournir de nouvelles catégories de règles et des variables système.

Les mises à jour de règles peuvent contenir de nouveaux binaires. Assurez-vous que votre processus de téléchargement et d’installation des mises à jour de règles est conforme à vos politiques de sécurité. De plus, les mises à jour de règles peuvent être volumineuses, alors assurez-vous d’importer des règles pendant les périodes de faible utilisation du réseau.

Étape 7

(Facultatif) Si vous prévoyez d'effectuer une analyse liée à la géolocalisation dans votre déploiement, dans la section Recurring Geolocation Updates (Mises à jour récurrentes de géolocalisation) de la page de configuration, nous vous recommandons de cocher Enable Recurring Weekly Updates from the Support Site (Activer les mises à jour hebdomadaires récurrentes à partir du site d’assistance) et précisez l’ Update Start Time (Heure de début de mise à jour) à l’aide des champs fournis. Pour effectuer une mise à jour de la GeoDB dans le cadre du processus de configuration initial, cochez la case Install Now (Installer maintenant).

Les mises à jour de GeoDB peuvent être importantes et prendre jusqu’à 45 minutes après le téléchargement. Vous devez mettre à jour la GeoDB pendant les périodes de faible utilisation du réseau.

Les FMC peuvent afficher des informations géographiques sur les adresses IP routées associées aux événements générés par le système, ainsi que surveiller des statistiques de géolocalisation dans le tableau de bord et Context Explorer. La base de données de géolocalisation (GeoDB) des FMCcontient des informations pour prendre en charge cette fonctionnalité, telles que le fournisseur de services Internet associé à une adresse IP, le type de connexion, les informations sur le proxy et l’emplacement exact. L’activation de mises à jour régulières de GeoDB garantit que le système utilise des informations de géolocalisation à jour.

Étape 8

(Facultatif) Dans la section Automatic Backups (Sauvegardes automatiques) de la page de configuration, vous pouvez cocher Enable Automatic Backups (Activer les sauvegardes automatiques) pour créer une tâche planifiée qui effectue une sauvegarde hebdomadaire des configurations du FMC qui peuvent être restaurées en cas de défaillance.

Étape 9

Vous utilisez le FMC pour gérer les licences des périphériques qu’il gère. Le FMC peut gérer les périphériques, quel que soit le type de licence dont ils ont besoin :

  • Pour les périphériques séries 7000 et 8000, Pare-feu ASA avec services FirePOWERet NGIPSv, vous devez utiliser des licences Classic. Les périphériques qui utilisent des licences Classic sont parfois appelés périphériques Classic.

    Vous devez attribuer des licences Classic à vos périphériques gérés avant de pouvoir utiliser des fonctions sous licence. Vous pouvez ajouter une licence lors de la configuration initiale de FMC, lorsque vous ajoutez un périphérique au FMC ou en modifiant les propriétés générales du périphérique après l’ajout.

    Pour ajouter une licence Classic lors de la configuration initiale de votre FMC, suivez les instructions dans (Facultatif) Ajouter des licences Classic lors de la configuration initiale (versions 6.2 - 6.4). Vous pouvez également ajouter des licences classiques après avoir terminé la configuration initiale, comme décrit dans Configurer les licences Classic.

  • Pour les périphériques physiques et virtuels Cisco Firepower Threat Defense, vous devez utiliser des licences Smart.

    Si vous prévoyez de gérer des périphériques qui utilisent Cisco Gestion des licences Smart Software, vous devez ajouter des licences Smart après avoir terminé la configuration initiale, comme décrit dans Configurer les licences Smart.

Le Guide d'administration Cisco Firepower Management Center fournit de plus amples renseignements sur les licences Classic et les licences Smart, les types de licences pour chaque classe et la façon de gérer les licences dans votre déploiement.

Étape 10

Lisez attentivement le contrat de licence de l’utilisateur final ; si vous acceptez de vous conformer à ses dispositions, cochez la case J'ai lu et accepté le contrat de licence de l'utilisateur final.

Étape 11

Assurez-vous que toutes les informations que vous avez fournies sont correctes, puis cliquez sur Apply (Appliquer).

Le FMC applique votre configuration en fonction de vos sélections, vous connecte à l’interface Web en tant qu’utilisateur admin (qui a le rôle d’administrateur) et affiche la page du tableau de bord de résumé.

Remarque

 

Si votre environnement réseau utilise NAT, le navigateur peut expirer en essayant d’atteindre le FMC en utilisant l’adresse configurée sur la page de configuration initiale. Dans ce cas, saisissez la bonne adresse dans la fenêtre d’adresse du navigateur et réessayez.

Étape 12

Si vous vous êtes connecté directement à l’interface de gestion de l’appareil à l’aide d’un câble Ethernet, une fois que vous avez cliqué sur Apply (Appliquer), vous serez déconnecté de FMC, car son adresse IP a été modifiée. Déconnectez l’ordinateur et connectez l’interface FMC au réseau de gestion. Pour effectuer les autres procédures du guide, utilisez un navigateur sur un ordinateur du réseau de gestion pour accéder à l’interface graphique FMC à l’adresse IP ou au nom d’hôte que vous venez de configurer.

Étape 13

Vérifiez que la configuration initiale a réussi en surveillant l'onglet Tasks (Tâches) dans le centre de messages.

Prochaine étape

(Facultatif) Ajouter des licences Classic lors de la configuration initiale (versions 6.2 - 6.4)

Vous utilisez le FMC pour gérer les licences Classic de séries 7000 et 8000, Pare-feu ASA avec services FirePOWERet NGIPSv.


Remarque

Vous devez attribuer des licences Classic à vos périphériques gérés avant de pouvoir utiliser les fonctionnalités sous licence sur ces derniers. Vous pouvez activer une licence lors de la configuration initiale de FMC (comme décrit dans la procédure ci-dessous), lorsque vous ajoutez un périphérique à FMCou en modifiant les propriétés générales du périphérique après avoir ajouté le périphérique.

Avant de commencer

Avant d’ajouter une licence Classic à FMC, assurez-vous d’avoir la clé d’autorisation de produit (PAK) fournie par Cisco lorsque vous avez acheté la licence. Si vous avez une licence antérieure à Cisco, contactez le Centre d’assistance technique Cisco (TAC).

Procédure

Étape 1

Obtenez la clé de licence pour votre châssis dans la section des paramètres de licence de la page de configuration initiale.

La clé de licence est clairement étiquetée (par exemple, 66:18:E7:6E:D9:93:35).

Étape 2

Pour obtenir votre licence, accédez à https : //www.cisco.com/go/license/ où vous êtes invité à entrer la clé de licence (par exemple, 66:18:E7:6E:D9:93:35) et la clé PAK.

Remarque

 

Si vous avez commandé des licences supplémentaires, vous pouvez saisir les clés PAK pour ces licences en même temps, en les séparant par des virgules.

Étape 3

Suivez les instructions à l’écran pour générer une ou plusieurs licence qui vous seront envoyées par courriel.

Étape 4

Collez la ou les licences dans la zone de validation et cliquez sur Add/Verify (Ajouter/vérifier).

Configurer les paramètres d’administration FMC

Après avoir terminé le processus de configuration initiale de FMC et vérifié sa réussite, nous vous recommandons d’effectuer diverses tâches administratives qui faciliteront la gestion de votre déploiement. Vous devez également effectuer toutes les tâches que vous avez ignorées lors de la configuration initiale, par exemple l’octroi de licences. Établissez ces configurations en utilisant le compte admin par défaut ou un autre compte avec accès administrateur.

Pour des informations détaillées sur les tâches décrites dans les sections suivantes, ainsi que des renseignements sur la façon dont vous pouvez commencer à configurer votre déploiement, consultez le Guide d'administration Cisco Firepower Management Center de votre version de logiciel.

Se connecter à l’interface Web FMC en tant qu’administrateur

Si vous ne vous êtes pas encore connecté à l’interface Web FMC pour effectuer la configuration initiale, vous devez le faire afin de configurer les paramètres administratifs FMC. Utilisez le compte admin par défaut ou, si vous avez déjà créé des comptes utilisateurs supplémentaires, utilisez un compte avec un accès administrateur.

Les utilisateurs sont limités à une seule session active. Si vous essayez de vous connecter avec un compte d’utilisateur qui a déjà une session active, le système vous invite à mettre fin à l’autre session ou à vous connecter sous un autre utilisateur.

Dans un environnement NAT où plusieursFMC hôtes partagent la même adresse IP et sont différenciés par des numéros de port : :

  • Chaque FMC ne peut prendre en charge qu’une seule session de connexion à la fois.

  • Pour accéder à différents FMC, utilisez un navigateur différent à chaque connexion (par exemple, Firefox et Chrome) ou réglez le navigateur en mode de navigation privée ou masquée.

Procédure

Étape 1

Dirigez votre navigateur vers https://ipaddress_or_hostname/, où ipaddress ou hostname correspond à votre FMC.

Étape 2

Dans les champs Nom d'utilisateur et Mot de passe, entrez votre nom d'utilisateur et mot de passe.

Étape 3

Cliquez sur Ouvrir une session.

Créer des comptes d’utilisateurs individuels

Après avoir terminé la configuration initiale, le seul utilisateur d’interface Web sur le système est l’utilisateur admin, qui a le rôle et l’accès administrateur. Les utilisateurs ayant ce rôle ont un accès complet au menu et à la configuration du système. Nous vous recommandons de limiter l’utilisation du compte admin (et du rôle d’administrateur) pour des raisons de sécurité et d’audit.


Remarque

Les comptes admin permettant d’accéder à FMC à l’aide de l’interface Shell et d’accéder à FMC à l’aide de l’interface Web ne sont pas identiques et peuvent utiliser des mots de passe différents.

Le système inclut dix rôles utilisateur prédéfinis conçus pour divers administrateurs et analystes de l’interface Web. La création d’un compte distinct pour chaque personne qui utilise le système permet à votre organisation non seulement de vérifier les actions et les modifications effectuées par chaque utilisateur, mais aussi de limiter le rôle ou les rôles d’accès d’utilisateur associés à chaque personne. Cela est particulièrement important sur le FMC, où vous effectuez la plupart de vos tâches de configuration et d’analyse. Par exemple, un analyste a besoin d’accéder aux données d’événements pour analyser la sécurité de votre réseau, mais n’a peut-être pas besoin d’accéder aux fonctions d’administration du déploiement. Consultez le Guide d'administration Cisco Firepower Management Center correspondant à votre version pour connaître les descriptions des rôles d’utilisateur.

Pour en savoir plus sur les comptes d’utilisateurs authentifiés de l’extérieur ou les comptes d’utilisateurs dans les déploiements multidomaine, consultez le Guide d'administration Cisco Firepower Management Center pour votre version.

Procédure

Étape 1

Choisissez Utilisateurs > système.

Étape 2

Dans l’onglet Users (utilisateurs), cliquez sur Create User (créer un utilisateur)

Étape 3

Saisissez un User Name (nom d'utilisateur) et fournissez ou choisissez des valeurs pour les caractéristiques du compte d’utilisateur.

Étape 4

Cliquez sur Save (enregistrer).

Configurer les paramètres de temps

La synchronisation de l’horloge système sur votre FMC et ses périphériques gérés est essentielle au bon fonctionnement de votre système. Nous vous recommandons de préciser les serveurs NTP dans votre réseau lors de la configuration initiale FMC, mais en cas d’échec, vous pouvez ajouter un serveur NTP une fois la configuration initiale terminée.

Si votre FMC ne parvient pas à atteindre un serveur NTP, consultez le Guide d'administration Cisco Firepower Management Center pour votre version afin de connaître d’autres moyens de configurer l’heure de votre déploiement de pare-feu.

Procédure

Étape 1

Choisissez System (système) > Configuration > Time Synchronization (synchronisation).

Étape 2

Désactivez l’option Serve Time via NTP.

Étape 3

Choisissez Via NTPpour l’option Définir mon horloge.

Étape 4

Pour les versions 6.2 - 6.4 :Cliquez sur Ajouter et saisissez le nom d’hôte ou l’adresse IP d’un serveur NTP accessible à partir de votre FMC. Cliquez ensuite sur Enregistrer.

Pour les versions 6.5 et ultérieures : cliquez sur Ajouter et saisissez le nom d’hôte ou l’adresse IP d’un serveur NTP accessible à partir de votre FMC. Cliquez ensuite sur Ajouter, puis Enregistrer.

Configurer les licences Smart

Le FMC lui-même ne requiert pas de licences, mais si vous prévoyez de gérer des appareils Cisco Firepower Threat Defense, vous devez créer un compte Smart si vous n’en possédez pas déjà un et acheter les licences Smart dont vous avez besoin pour prendre en charge la détection des menaces et des programme malveillant et de filtrage d’URL. Consultez https://software.cisco.com/smartaccounts/setup#accountcreation-account. Pour en savoir plus, consultez https://www.cisco.com/c/en/us/buy/smart-accounts.html.

Les appareils FTD sont livrés avec une licence de base qui vous permet de :

  • configurer vos périphériques Cisco Firepower Threat Defense pour effectuer la commutation et le routage (y compris le relais DHCP et la NAT).

  • configurer des périphériques Cisco Firepower Threat Defense en tant que paire à haute disponibilité

  • configurer les modules de sécurité en tant que grappe dans un châssis Firepower 9300 (mise en grappe intra-châssis).

  • configurer des périphériques Firepower 9300 ou Firepower 4100 exécutant Cisco Firepower Threat Defense en tant que grappe (mise en grappe intra-châssis)

  • mettre en œuvre le contrôle des utilisateurs et des applications en ajoutant des conditions d’utilisateurs et d’applications aux règles de contrôle d’accès

Les fonctionnalités de détection des menaces et des programmes malveillants et de filtrage d’URL nécessitent des licences facultatives supplémentaires. Lorsque vous planifiez votre déploiement, déterminez le nombre de périphériques Cisco Firepower Threat Defense que le FMC gérera et les fonctionnalités dont vous devez obtenir une licence pour chacun.


Remarque

Ce document fournit une version simplifiée des instructions pour la configuration des licences Smart, qui sera utile pour les clients déjà familiarisés avec le processus. Si vous découvrez Smart Licensing, ou si vous devez le configurer pour un déploiement isolé, des périphériques en HA, grappes, multilocation ou des fonctions soumises à contrôle d’exportation, consultez le Guide d'administration Cisco Firepower Management Center de votre version.

Pour les versions 6.5 et ultérieures : si vous possédez déjà un compte Smart, si vous avez acheté des licences et que vous connaissez bienSmart Licensing, vous pouvez utiliser la boîte de dialogue que le système affiche après avoir terminé l’assistant de configuration initial. Sinon, après avoir terminé l’assistant, vous pouvez utiliser le même processus de configuration de licence que pour les versions 6.2 - 6.4.

Pour les versions 6.2 - 6.4 : ajoutez Smart Licensing après avoir terminé la configuration initiale. Pour chaque licence :

  • Obtenez un jeton d’enregistrement de licence de produit pour Smart Licensing depuis Cisco Smart Software Manager (CSSM). Consultez le guide de démarrage pour votre périphérique afin de déterminer les numéros de licence disponibles pour ce dernier.

  • Utilisez le jeton pour enregistrer le FMC sur CSSM.

  • Lorsque vous ajoutez un Cisco Firepower Threat Defense géré au FMC, attribuez la licence au périphérique.

Obtenir un jeton d’enregistrement de licence de produit pour des licences Smart

Avant de commencer
Procédure

Étape 1

Accédez à https://software.cisco.com.

Étape 2

Cliquez sur Smart Software Licensing (dans la section License).

Étape 3

Connectez-vous à Cisco Smart Software Manager.

Étape 4

Cliquez sur Inventory (inventaire).

Étape 5

Cliquez sur General (Général).

Étape 6

Cliquez sur New Token (nouveau jeton).

Étape 7

Dans le champ Description, saisissez un nom qui identifie de manière unique et claire le FMC pour lequel vous utiliserez ce jeton.

Étape 8

Saisissez un délai d’expiration inférieur ou égal à 365 jours. Cela détermine le temps dont vous disposez pour enregistrer le jeton dans un FMC.

Étape 9

Cliquez sur Créer le jeton.

Étape 10

Localisez votre nouveau jeton dans la liste et cliquez sur Actions, puis sélectionnez Copier ou Télécharger.

Étape 11

Si nécessaire, enregistrez votre jeton en lieu sûr jusqu’à ce que vous soyez prêt à le saisir dans votre FMC.

Prochaine étape

Continuez avec Enregistrer des licences Smart.

Enregistrer des licences Smart

Avant de commencer

  • Assurez-vous que FMC peut atteindre le serveur Cisco Smart Software Manager (CSSM) à l’adresse tools.cisco.com:443.

  • Assurez-vous que FMC a établi une connexion avec un serveur NTP. Lors de l’enregistrement, un échange de clé a lieu entre le serveur NTP et Cisco Smart Software Manager. L’heure doit donc être synchronisée pour un enregistrement correct.

    Si vous déployez Cisco Firepower Threat Defense sur un châssis Firepower 4100/9300, vous devez configurer le NTP sur le châssis Firepower en utilisant le même serveur NTP pour le châssis que pour FMC.

  • Générez le jeton d'enregistrement de licence de produit nécessaire à partir de CSSM. Consultez Obtenir un jeton d’enregistrement de licence de produit pour des licences Smart, y compris les conditions préalables. Assurez-vous que le jeton est accessible à partir de la machine à partir de laquelle vous accéderez à votre FMC.

Procédure

Étape 1

Choisissez Système > Licences > Licences Smart > Enregistrer.

Étape 2

Collez le jeton que vous avez généré à partir de CSSM dans le champ Product Instance Registration Token (jeton d’enregistrement d’instance de produit). Vérifiez qu’il n’y a ni espace ni ligne vide au début ou à la fin du texte.

Étape 3

Pour la version 6.2.3 + : Décidez d’envoyer ou non les données d’utilisation à Cisco.

  • Enable Cisco Success Network (Activer Cisco Success Network) est activé par défaut. Vous pouvez cliquer sur des exemples de données pour voir le type de données collectées par Cisco. Pour vous aider à prendre votre décision, lisez le bloc d'informations relatif au Cisco Success Network.

  • Pour les versions 6.5+ : Enable Cisco Proactive Support (Activer l’assistance proactive Cisco) est activé par défaut. Vous pouvez passer en revue le type de données que Cisco recueille en cliquant sur le lien au-dessus de la case. Pour vous aider à prendre votre décision, lisez le bloc d'informations sur les dépistages d'assistance de Cisco (Cisco Support Diagnostics).

    Remarque

     

    • Lorsqu’elle est activée, la fonctionnalité Cisco Support Diagnostics est activée sur les Cisco Firepower Threat Defense équipements lors du prochain cycle de synchronisation. La synchronisation de FMC avec Cisco Firepower Threat Defense s’exécute une fois toutes les 30 minutes.

    • Lorsque cette option est activée, Cisco Support Diagnostics sera automatiquement activé pour tout nouveau Cisco Firepower Threat Defense enregistré dans cet FMC ultérieurement.

Étape 4

Cliquez sur Apply Changes (appliquer les modifications).

Prochaine étape

Lorsque vous ajoutez des périphériques gérés Cisco Firepower Threat Defense à FMC, sélectionnez les licences appropriées à appliquer aux périphériques. Consultez Ajouter des périphériques gérés au FMC..

Configurer les licences Classic

Le FMC lui-même ne nécessite pas de licences, mais les périphériques séries 7000 et 8000, ASA FirePOWERet NGIPSv nécessitent que vous achètiez et activiez des licences Classic avant de pouvoir utiliser les fonctionnalités sous licence de ces périphériques. Les périphériques qui utilisent des licences Classic sont parfois appelés périphériques Classic.

Vous gérez les licences Classic à l’aide du portail d’enregistrement des licences de produit Cisco à l’adresse https://cisco.com/go/license. Consultez https://slexui.cloudapps.cisco.com/SWIFT/LicensingUI/Quickstart pour obtenir des renseignements sur l’utilisation du portail. Vous aurez besoin des identifiants de votre compte pour accéder à ces liens.


Remarque

Ce document fournit une version simplifiée des instructions pour la configuration des licences Classic, utile pour les clients déjà familiarisés avec le processus. Si vous découvrez les licences Classic, ou si vous devez les configurer pour un déploiement isolé du réseau (air-gapped) ou multi-détenteurs, consultez le Guide d'administration Cisco Firepower Management Center correspondant à votre version.

Si votre système exécute la version 6.5 ou version ultérieure : vous devez ajouter des licences pour les périphériques Classic gérés au FMC après avoir terminé l'assistant de configuration initial de FMC, comme décrit dans Générez une licence Classic et ajoutez la au FMC. ou dans le Guide d'administration Cisco Firepower Management Center pour votre version.

Si votre système exécute les versions 6.2 - 6.4 : nous vous recommandons d’acheter des licences Classic avant de commencer le processus de configuration initiale de FMC et d’ajouter les licences au FMC comme décrit dans (Facultatif) Ajouter des licences Classic lors de la configuration initiale (versions 6.2 - 6.4). Si vous choisissez d’ajouter des licences après avoir terminé la configuration initiale, suivez les instructions dans Générez une licence Classic et ajoutez la au FMC. ou dans le Guide d'administration Cisco Firepower Management Center de votre version.

Si vous n'ajoutez pas de licences Classic lors de la configuration initiale de FMC, vous devez ajouter des licences pour les périphériques Classic gérés après avoir terminé la configuration initiale de FMC. Si vous ajoutez des licences pendant ou après le processus de configuration initiale de FMC, vous pouvez attribuer des licences à des périphériques classiques gérés lorsque vous enregistrez ces périphériques sur FMCou après les avoir enregistrés sur FMC en modifiant les propriétés générales du périphérique. Pour en savoir plus, consultez les Guide d'administration Cisco Firepower Management Center pour votre version.

Pour ajouter des licences traditionnelles après avoir terminé la configuration initiale, pour chaque licence :

  • Générer une licence classique et l’ajouter au FMC

  • Attribuer la licence à un périphérique Classic géré.

Générez une licence Classic et ajoutez la au FMC.

Avant de commencer

  • Confirmez que vous avez accès au portail d’enregistrement des licences de produit Cisco à l’adresse https://cisco.com/go/license.

  • Passez en revue les informations sur les types de licences Classic dans le Guide d'administration Cisco Firepower Management Center pour votre version afin de déterminer de quel type de licence Classic vous avez besoin et si vous devez également acheter des abonnements de service pour les fonctionnalités que vous prévoyez d'utiliser.

  • Acheter une clé d’autorisation de produit (PAK) pour chaque licence et les abonnements de service, le cas échéant.

Procédure

Étape 1

Choisissez Système > Licences > Licences traditionnelles > Add New License (Ajouter une nouvelle licence).

Étape 2

Notez la valeur du champ License Key (clé de licence) en haut de la boîte de dialogue Add Function License (Ajouter une licence de fonction).

Étape 3

Cliquez sur Get License (Obtenir une licence) pour ouvrir le portail d’enregistrement de licences Cisco.

Étape 4

Générez une licence à partir de la clé PAK dans le portail d’enregistrement de licences. Pour en savoir plus, consultez https: //slexui.cloudapps.cisco.com/SWIFT/LicensingUI/home. Cette étape nécessite la clé PAK que vous avez reçue au cours du processus d’achat, ainsi que la clé de licence pour FMC.

Étape 5

Copiez le texte de la licence provenant de l’écran du portail d’enregistrement de licences ou du courriel que le portail d’enregistrement de licences vous envoie.

Important

 

Le bloc de texte de licence dans le portail ou le message courriel peut inclure plusieurs licences. Chaque licence est délimitée par une ligne BEGIN LICENSE et une ligne END LICENSE. Veillez à ne copier et coller qu’une seule licence à la fois.

Étape 6

Revenez à la page Add Function License (ajouter une licence de fonctionnalité) dans l’interface Web de FMC.

Étape 7

Collez le texte de la licence dans le champ License (Licence).

Étape 8

Cliquez sur Verify Licence (Vérifier la licence).

Étape 9

Cliquez sur Submit Licence (Envoyer la licence)

Prochaine étape

Lorsque vous ajoutez des périphériques gérés classiques à FMC, sélectionnez les licences appropriées à appliquer aux périphériques. Consultez Ajouter des périphériques gérés au FMC..

Planifier les mises à jour et les sauvegardes du système

Pour Version 6.5+ :

Dans le cadre du processus de configuration initiale FMC, établit les mises à jour automatiques suivantes :

  • Mises à jour hebdomadaires de GeoDB

  • Téléchargements hebdomadaires des mises à jour logicielles FMC. (L’installation de ces mises à jour est de votre responsabilité; consultez la section Guide d'administration Cisco Firepower Management Center pour obtenir de plus amples renseignements.)

  • Sauvegardes hebdomadaires de la configuration FMC.

Pour la version 6.6+ :

Le FMC établit en outre les mises à jour automatiques suivantes dans le cadre du processus de configuration initiale :

  • Mise à jour unique de la base de données des vulnérabilités.

  • Mise à jour quotidienne des règles d’intrusion.

Ces mises à jour automatiques sont décrites dans Passer en revue la configuration initiale automatique pour les versions 6.5 et ultérieures. Vous pouvez observer l’état de ces configurations à l’aide du centre de messages de l’interface Web. Si la configuration de l’une de ces mises à jour échoue, pour maintenir votre système à jour, nous vous recommandons fortement de les configurer vous-même, comme décrit dans les sections suivantes. Dans le cas des mises à jour de VDB, le système installe automatiquement la dernière mise à jour de VDB uniquement; nous vous recommandons de planifier des mises à jour automatiques régulières de la VDB.

Pour les versions 6.2 - 6.4 :

Après avoir terminé la configuration initiale FMC, pour maintenir votre système à jour, nous vous recommandons fortement de configurer les activités de mise à jour décrites dans les sections suivantes.

Planifier les mises à jour de GeoDB

La base de données de géolocalisation Cisco (GeoDB) est une base de données géographiques (telles que les coordonnées du pays et de la ville) et de données relatives à la connexion (telles que le fournisseur d’accès à Internet, le nom de domaine, le type de connexion) associées aux adresses IP routables. Lorsque le système détecte des informations GeoDB correspondant à une adresse IP détectée, vous pouvez afficher les informations de géolocalisation associées à cette adresse IP.

Pour afficher des détails de géolocalisation autres que le pays ou le continent, vous devez installer la GeoDB sur votre système. Cisco publie des mises à jour périodiques de la base de données GeoDB; Pour optimiser la précision des recherches GeoDB, nous vous recommandons de toujours utiliser la dernière mise à jour de GeoDB sur votre système.

Avant de commencer

Assurez-vous que le FMC peut accéder à Internet.

Procédure

Étape 1

Sélectionner Système > Mises à jour > Mises à jour de géolocalisation

Étape 2

Sous Recurring Geolocation Updates (mises à jour récurrentes de la géolocalisation), cochez l’option Enable Recurring Weekly Updates from the Support Site(activer les mises à jour hebdomadaires récurrentes à partir du site d’assistance).

Étape 3

Spécifiez l’heure de début de la mise à jour.

Étape 4

Cliquez sur Save (enregistrer).

Planifier les mises à jour logicielles hebdomadaires

Utilisez ces instructions pour créer une tâche planifiée hebdomadaire qui télécharge automatiquement les dernières mises à jour logicielles FMC de Cisco. La mise à jour de votre logiciel FMC garantit des performances optimales. L’installation des mises à jour après leur téléchargement est de votre responsabilité. Consultez le Guide de mise à niveau de Cisco Firepower Management Center pour les instructions d'installation.

Avant de commencer

Assurez-vous que le FMC peut accéder à Internet.

Procédure

Étape 1

Sélectionnez Système > Outils > Planification, puis cliquez sur Ajouter une tâche.

Étape 2

Dans la liste Job Type (type de tâche), sélectionnez Télécharger la dernière mise à jour.

Étape 3

Précisez que vous souhaitez planifier une tâche récurrente et établissez une planification hebdomadaire en choisissant les valeurs appropriées pour les champs Commencer le, Répéter chaque, Exécuter à et Répéter le.

Étape 4

Saisissez un Nom de tâche, et à côté de Mettre à jour les éléments, cochez la case Logiciel.

Étape 5

Cliquez sur Save (enregistrer).

Planifier des sauvegardes hebdomadaires de la configuration FMC.

Pour faciliter la restauration de votre configuration FMC en cas de défaillance catastrophique du système, nous vous recommandons de planifier des sauvegardes périodiques du système.

Avant de commencer

Assurez-vous que le FMC peut accéder à Internet.

Procédure

Étape 1

Sélectionnez Système > Outils > Sauvegarde et restauration, puis cliquez sur Backup Profiles (Profils de sauvegarde).

Étape 2

Cliquez sur Create Profile (Créer un profil)

Étape 3

Tapez un nom, sélectionnez Sauvegarder la configuration, puis cliquez sur Enregistrer en tant que nouveau.

Étape 4

Sélectionnez Système > Outils > Planification, puis cliquez sur Ajouter une tâche.

Étape 5

Dans la liste Job Type (type de tâche), sélectionnez Backup (Sauvegarde).

Étape 6

Précisez que vous souhaitez planifier une tâche récurrente et établissez une planification hebdomadaire en choisissant les valeurs appropriées pour les champs Commencer le, Répéter chaque, Exécuter à et Répéter le.

Étape 7

Saisissez un nom de tâche et à côté du type de sauvegarde, choisissez Centre de gestion.

Étape 8

Pour le profil de sauvegarde, sélectionnez le profil que vous avez créé à l’étape 3.

Étape 9

Cliquez sur Save (enregistrer).

Configurer les mises à jour récurrentes des règles d’intrusion

À mesure que de nouvelles vulnérabilités sont connues, Cisco Talos Intelligence Group (Talos) publie des mises à jour des règles de prévention des intrusions que vous pouvez importer dans votre FMC, puis les mettre en œuvre en déployant la configuration modifiée sur vos périphériques gérés. Ces mises à jour affectent les règles de prévention des intrusions, les règles de préprocesseur et les politiques qui utilisent les règles. Les mises à jour des règles de prévention des intrusions sont cumulatives, et Cisco vous recommande de toujours importer la dernière mise à jour.

Avant de commencer

Assurez-vous que le FMC peut accéder à Internet.

Procédure

Étape 1

Choisissez Système > Mises à jour > Mises à jour des règles.

Étape 2

Cochez la case Enable Recurring Rule Update Imports from the Support Site (Activer les importations de mise à jour des règles récurrentes à partir du site d’assistance).

Étape 3

Choisissez des valeurs pour déterminer la fréquence d’importation.

Étape 4

Cochez la case Déployer les stratégies mises à jour sur les appareils ciblés une fois la mise à jour des règles terminée(Déployer les stratégies mises à jour sur les appareils ciblés une fois la mise à jour des règles terminée).

Étape 5

Cliquez sur Save (enregistrer).

Planifier les téléchargements et mises à jour de la VDB

La base de données sur les vulnérabilités de Cisco (VDB) est une base de données contenant les vulnérabilités connues auxquelles les hôtes peuvent être sensibles, ainsi que les empreintes digitales pour les systèmes d’exploitation, les clients et les applications. Le système utilise la VDB pour déterminer si un hôte particulier augmente le risque de compromission.

Utilisez ces instructions pour planifier des téléchargements et des installations automatiques réguliers de la dernière mise à jour de VDB. Le Cisco Talos Intelligence Group (Talos) n’envoie pas de mises à jour périodiques de la VDB plus d’une fois par jour. Nous vous recommandons fortement de toujours conserver la dernière mise à jour de VDB sur votre FMC.

Lorsque vous automatisez les mises à jour de VDB, vous devez automatiser deux étapes distinctes :

  • Téléchargement de la mise à jour de la VDB en cours.

  • Installer la mise à jour de VDB

Prévoyez suffisamment de temps entre les tâches pour que le processus se termine. Par exemple, si vous planifiez une tâche pour installer une mise à jour et que la mise à jour n’a pas été complètement téléchargée, la tâche d’installation échouera. Toutefois, si la tâche d’installation planifiée se répète tous les jours, la mise à jour de VDB téléchargée sera installée lors de l’exécution de la tâche le jour suivant.


Mise en garde

Lorsqu’une mise à jour de la VDB inclut des modifications applicables aux appareils gérés, le premier déploiement manuel ou planifié suivant l’installation de cette mise à jour de la VBD peut entraîner la perte d’un faible nombre de paquets sans inspection. En outre, le déploiement de certaines configurations redémarre le processus Snort, qui interrompt l’inspection du trafic. Pendant cette interruption, la diminution de trafic ou son passage sans inspection dépend de la façon dont l’appareil cible gère le trafic. Consultez le Guide d'administration Cisco Firepower Management Center correspondant à votre version pour plus d’information.

Avant de commencer

Assurez-vous que le FMC peut accéder à Internet.

Procédure

Étape 1

Sélectionnez Système > Outils > Planification, puis cliquez sur Ajouter une tâche.

Étape 2

Dans la liste Job Type (type de tâche), sélectionnez Télécharger la dernière mise à jour.

Étape 3

Précisez que vous souhaitez planifier une tâche récurrente et établissez une planification hebdomadaire en choisissant les valeurs appropriées pour les champs Commencer le, Répéter chaque, Exécuter à et Répéter le.

Étape 4

Saisissez un nom de tâche, puis, à côté de Éléments de mise à jour, cochez la case Base de données des vulnérabilités.

Étape 5

Cliquez sur Save (enregistrer).

Étape 6

Sélectionnez Système > Outils > Planification, puis cliquez sur Ajouter une tâche.

Étape 7

Dans la liste Job Type (type de tâche), sélectionnez Install Latest Update (installation de la dernière mise à jour).

Étape 8

Précisez que vous souhaitez planifier une tâche récurrente et établissez une planification hebdomadaire en choisissant les valeurs appropriées pour les champs Commencer le, Répéter chaque, Exécuter à et Répéter le.

Étape 9

Saisissez un nom de tâche, puis, à côté de Éléments de mise à jour, cochez la case Base de données des vulnérabilités.

Étape 10

Cliquez sur Save (enregistrer).

Ajouter des périphériques gérés au FMC.

Pour chaque périphérique géré, suivez ces instructions pour établir un déploiement simple qui n’inclut pas la multilocation, les grappes ou la haute disponibilité. Pour configurer un déploiement à l’aide de l’une de ces fonctionnalités, consultez le Guide de configuration Cisco Firepower Management Center Device de votre version.

Avant de commencer

  • Effectuez les activités de configuration spécifiques au périphérique et configurez celui-ci pour la gestion à distance, comme décrit dans le guide de démarrage de ce dernier.


    Important

    Assurez-vous de noter la clé d’enregistrement que vous utilisez pour le périphérique.

  • Si votre environnement utilise NAT, notez l’ID de NAT utilisé lors de la configuration de l’appareil.

  • Si votre environnement utilise DNS, notez le nom d’hôte qui se résout en une adresse IP valide pour le périphérique. Si votre environnement utilise le DHCP pour attribuer les adresses IP, utilisez un nom d’hôte pour identifier le périphérique plutôt qu’une adresse IP.

  • Si votre environnement n’utilise pas DNS, vous avez besoin de l’adresse IP du périphérique.

  • Déterminez quelles licences sont nécessaires pour le périphérique géré et ajoutez-les au FMC ; vous ajouterez la ou les licences au périphérique géré au cours du processus d’ajout au FMC. Consultez Configurer les licences Smart et Configurer les licences Classic.

  • Vous devez affecter une politique de contrôle d’accès au périphérique géré au moment de l’ajouter au FMC. Les instructions ci-dessous comprennent une procédure pour établir une politique de contrôle d’accès de base à cette fin.

Procédure

Étape 1

Choisissez Devices (appareils) > Device Management (gestion d’appareil) > Add (ajouter) > Add Device (ajouter un périphérique).

Étape 2

Dans le champ Host (hôte), saisissez l’adresse IP ou le nom d’hôte du périphérique que vous souhaitez ajouter.

Le nom d’hôte du périphérique est le nom complet de domaine ou le nom qui se résout par le DNS local en une adresse IP valide. Utilisez un nom d'hôte plutôt qu'une adresse IP si votre réseau utilise DHCP pour attribuer des adresses IP.

Dans un environnement NAT, vous n’avez peut-être pas besoin de préciser l’adresse IP ou le nom d’hôte du périphérique, si vous avez déjà spécifié l’adresse IP ou le nom d’hôte de FMC lorsque vous avez configuré le périphérique pour qu’il soit géré par FMC.

Étape 3

Dans le champ Display Name(Nom d'affichage), saisissez le nom du périphérique tel qu’il doit apparaître dans l’interface Web FMC.

Étape 4

Dans le champ Registration Key (clé d’enregistrement), saisissez la clé d’enregistrement que vous avez utilisée lors de la configuration du périphérique pour qu’il soit géré par FMC. (Cette clé d’enregistrement est un secret partagé à usage unique que vous avez créé lorsque vous avez identifié à l'origine ce FMC sur le périphérique.)

Étape 5

Choisissez une Access Control Policy (politique de contrôle d'accès) initiale. Sauf si vous avez déjà une politique personnalisée que vous savez que vous devez utiliser, choisissez Create new policy (créer une nouvelle politique) et Block all traffic (bloquer tout le trafic). Vous pourrez modifier cela plus tard pour autoriser le trafic ; consultez le Guide de configuration Cisco Firepower Management Center Device correspondant à votre version pour plus d’information.

Si le périphérique est incompatible avec la politique que vous choisissez, le déploiement échouera. Cette incompatibilité peut se produire pour plusieurs raisons, notamment les incompatibilités de licences, les restrictions de modèle, les problèmes de périphériques passifs par rapport à en ligne et d’autres erreurs de configuration. Consultez le Guide de configuration Cisco Firepower Management Center Device correspondant à votre version pour plus d’information. Après avoir résolu le problème à l’origine de l’échec, déployez manuellement les configurations sur le périphérique.

Étape 6

Choisissez la licence à appliquer au périphérique.

Pour les périphériques classiques, notez que les licences de contrôle, de Malware, et URL Filtering nécessitent une licence de Protection.

Étape 7

Si vous avez utilisé un ID NAT lors de la configuration du périphérique , développez la section Advanced (Avancé) et saisissez le même ID NAT dans le champ Unique NAT ID (ID NAT unique).

Étape 8

Cliquez sur Register (Inscrire).

Cela peut prendre jusqu’à deux minutes pour que le FMC vérifie les pulsations du périphérique et établisse la communication.

Configurer l‘accès secondaire FMC

Après avoir terminé le processus de configuration initiale, vous pouvez établir d’autres moyens d’accéder à FMC en effectuant l’une des opérations suivantes :

  • Vous pouvez configurer le FMC pour l’accès direct d’un ordinateur local à son port série. Avant de configurer le FMC pour l’accès série, redirigez la sortie de la console vers le port série.

  • Vous pouvez configurer le FMC pour un accès Lights-Out Management (LOM) à l’aide d’une connexion Serial over LAN (SOL) sur l’interface CIMC . Cela vous permet d’effectuer un nombre limité de tâches de maintenance sans avoir d’accès physique au périphérique.

Configuration de l’accès série

Avant de commencer

Procédure

Étape 1

Localisez le port série sur le panneau arrière FMC.

Utilisez l’élément 4 du diagramme pour votre modèle ci-dessous :

  • Panneau arrière du FMC 1000 :

  • Panneau arrière des FMC 2500 et FMC 4500 :

Étape 2

Utilisez le câble de console RJ-45 à DB-9 fourni avec le périphérique (numéro de pièce Cisco 72-3383-XX) pour connecter un ordinateur local au port série FMC.

Étape 3

Utilisez un logiciel d’émulation de terminal comme HyperTerminal ou XModem sur l’ordinateur local pour interagir avec le FMC. Paramétrez l’émulateur à 9600 bauds, 8 bits de données, aucune parité, 1 bit d’arrêt, aucun contrôle de flux.

Configurer Lights-Out Management (Gestion en service réduit)

La fonction Lights-Out Management (LOM) vous permet d’effectuer un ensemble limité d’actions sur le FMC à l’aide d’une connexion Serial over LAN (SOL). Vous pouvez effectuer des tâches limitées, par exemple afficher le numéro de série du châssis ou surveiller des conditions telles que la vitesse et la température du ventilateur, en utilisant une interface de ligne de commande sur une connexion de gestion hors bande. Notez que vous pouvez utiliser Lights-Out Management sur l’interface CIMC uniquement.

Si vous devez rétablir les valeurs par défaut de FMC et que vous n’avez pas d’accès physique au périphérique, vous pouvez utiliser Lights-Out Management (LOM) pour effectuer le processus de restauration.


Mise en garde

Pour les versions 6.3 et ultérieures, le de restauration réinitialise les paramètres LOM sur le périphérique; vous ne pouvez pas accéder à un appareil nouvellement restauré aux versions 6.3 et ultérieures à l’aide de LOM. Lors de la restauration d’un périphérique aux paramètres d’usine des versions 6.3 et ultérieures à l’aide de LOM, si vous n’avez pas d’accès physique au périphérique et que vous supprimez la licence et les paramètres réseau, vous ne pourrez plus accéder au périphérique après la restauration.


Remarque

D’autres périphériques de pare-feu prennent également en charge LOM. Vous configurez LOM et les utilisateurs LOM pour chaque appareil à l’aide de l’interface Web locale de chaque appareil. C’est-à-dire que vous ne pouvez pas utiliser le FMC pour configurer LOM sur un périphérique de pare-feu. De même, comme les utilisateurs sont gérés indépendamment pour chaque périphérique, l’activation ou la création d’un utilisateur prenant en charge LOM sur le FMC ne transfère pas cette capacité aux utilisateurs sur les périphériques de pare-feu.

Pour en savoir plus sur Lights-Out Management, consultez « Remote Console Access Management » (Gestion de l’accès à la console à distance) dans le Guide d'administration Cisco Firepower Management Center de votre version.

Avant de commencer

  • Installez un utilitaire IMPI (Intelligent Platform Management Interface) sur votre ordinateur local. Consultez Installation de l’utilitaire IPMI pour de plus amples renseignements.

  • Déterminez quelles commandes sont nécessaires pour accéder à un appareil à l’aide de l’outil IPMI. Consultez Commandes LOM pour de plus amples renseignements.

  • Redirigez la sortie de la console vers le port série. Consultez Rediriger la sortie de la console.

Procédure

Étape 1

Activez LOM pour le FMC. Consultez Activer la gestion en service réduit.

Étape 2

Activez LOM pour les utilisateurs qui utiliseront la fonctionnalité. Consultez Activer les utilisateurs de gestion en service réduit.

Étape 3

Utilisez un utilitaire IPMI tiers pour accéder au FMC.

Installation de l’utilitaire IPMI

Vous utilisez un utilitaire IPMI tiers sur votre ordinateur pour créer une connexion SOL avec le périphérique. IPMItool est standard avec de nombreuses distributions Linux , mais sur les systèmes Mac et Windows, vous devez installer un utilitaire.

Si votre ordinateur exécute Mac OS, installez IPMItool. Tout d’abord, vérifiez que les outils XCode pour développeur d’Apple sont installés sur votre Mac. Assurez-vous que les composants facultatifs pour le développement de ligne de commande sont installés (outils système et de développement UNIX dans les versions plus récentes ou assistance de ligne de commande dans les versions antérieures). Enfin, installez MacPorts et IPMItool. Utilisez votre moteur de recherche préféré pour obtenir de plus amples renseignements ou consultez les sites suivants : https://developer.apple.com/technologies/tools/ et http://www.macports.org/.

Pour les environnements Windows , utilisez ipmiutil, que vous devez compiler vous-même. Si vous n’avez pas accès à un compilateur, vous pouvez utiliser ipmiutil pour compiler. Utilisez votre moteur de recherche préféré pour obtenir de plus amples renseignements ou essayez ce site : http://ipmiutil.sourceforge.net/.

Commandes LOM

La syntaxe des commandes LOM dépend de l’utilitaire que vous utilisez, mais les commandes LOM contiennent généralement les éléments répertoriés dans le tableau suivant.

Tableau 1. Syntaxe de la commande LOM :

IPMItool (Linux/Mac)

ipmiutil (Windows)

Description

IPMItool

IPMIutil

appelle l’utilitaire IPMI.

S.O.

-V4

Pour ipmiutil uniquement, active les privilèges d’administrateur pour la session LOM.

-I lanplus

-J3

Active le chiffrement pour la session LOM.

-H IP_address

-N IP_address

Précise l’adresse IP de l’interface de gestion sur le périphérique.

-U username

-U username

Indique le nom d’utilisateur d’un compte LOM autorisé.

s.o. (invite lors de la connexion)

-P password (mot de passe)

Pour ipmiutil uniquement, spécifie le mot de passe d’un compte LOM autorisé.

commande

commande

La commande que vous souhaitez émettre au périphérique . Notez que l’endroit où vous exécutez la commande dépend de l’utilitaire :

  • Pour IPMItool, entrez la commande en dernier : ipmitool -I lanplus -H IP_address -U username command (commande)

  • Pour ipmiutil, saisissez d’abord la commande ipmiutil command (commande) -V4 -J3 -N IP_address -U username -P password (mot de passe)

Pour obtenir la liste complète des commandes LOM prises en charge par le système, consultez le Guide d'administration Cisco Firepower Management Center.

Activer la gestion en service réduit

Vous devez être un utilisateur administrateur pour effectuer cette procédure.

Avant de commencer

  • Installez un utilitaire IMPI (Intelligent Platform Management Interface) sur votre ordinateur local. Consultez Installation de l’utilitaire IPMI pour de plus amples renseignements.

  • Déterminez quelles commandes sont nécessaires pour accéder à un appareil à l’aide de l’outil IPMI. Consultez Commandes LOM pour de plus amples renseignements.

  • Redirigez la sortie de la console vers le port série. Consultez Rediriger la sortie de la console.

  • Désactivez le protocole Spanning Tree (STP) sur tout équipement de commutation tiers connecté à l’interface de gestion du périphérique.

Procédure

Étape 1

Dans l’interface Web FMC, choisissez Système > Configuration, puis cliquez sur Console Configuration (Configuration de la console).

Étape 2

Pour Console, choisissez Lights Out Management (gestion en service réduit).

Étape 3

Choisissez la configuration d’adresse pour le système (DHCP ou manuel)

Étape 4

Si vous avez choisi la configuration manuelle, saisissez les paramètres IPv4 nécessaires :

  • Saisissez l'adresse IP à utiliser pour LOM.

    Remarque

     

    L'adresse IP du LOM doit être différente de l'adresse IP de l'interface de gestion FMC et se trouver dans le même sous-réseau.

  • Saisissez le masque de réseau pour le système.

  • Saisissez la passerelle par défaut pour le système.

Étape 5

Cliquez sur Save (enregistrer).

Prochaine étape

Vous devez explicitement accorder des autorisations de gestion en service réduit (LOM) aux utilisateurs qui utilisent la fonctionnalité. Consultez Activer les utilisateurs de gestion en service réduit.

Activer les utilisateurs de gestion en service réduit

Avant de commencer

Les utilisateurs LOM doivent respecter les restrictions suivantes :

  • Vous devez attribuer le rôle d’administrateur à l’utilisateur.

  • Le nom d’utilisateur peut comporter jusqu’à 16 caractères alphanumériques. Les tirets et les noms d’utilisateur plus longs ne sont pas pris en charge pour les utilisateurs LOM.

  • Le mot de passe LOM d’un utilisateur est identique au mot de passe système de cet utilisateur et doit être conforme aux exigences de mot de passe décrites pour les utilisateurs LOM dans le Guide d'administration Cisco Firepower Management Center.

  • Les FMC peuvent avoir jusqu’à treize utilisateurs LOM.

Procédure

Étape 1

Dans l’interface Web FMC, sélectionnez Utilisateurs > système et sous l’onglet Users (Utilisateurs), modifiez un utilisateur existant pour ajouter des autorisations LOM ou créez un nouvel utilisateur que vous utiliserez pour l’accès LOM au périphérique.

Étape 2

Sous User Role Configuration (Configuration du rôle d’utilisateur), cochez la case Administrator (Administrateur) si elle n’est pas déjà cochée.

Étape 3

Cochez la case Allow Lights-Out Management Access (Autoriser l’accès à la gestion en service réduit).

Rediriger la sortie de la console

Par défaut, les FMC envoient des messages sur l’état d’initialisation ou init, au port VGA. Si vous souhaitez utiliser le port série physique pour accéder à la console, nous vous recommandons de rediriger la sortie de la console vers le port série après avoir terminé la configuration initiale. Vous pouvez le faire à partir de l’interface Web ou de l’interface Shell.

Utiliser l’interface Web pour rediriger la sortie de la console

Vous devez être un utilisateur administrateur pour effectuer cette procédure.

Avant de commencer
Terminer le processus de configuration initiale approprié à votre version :
Procédure

Étape 1

Choisissez Système > Configuration.

Étape 2

ChoisissezConfiguration Console .

Étape 3

Sélectionnez une option d’accès à la console distante: :

  • Choisissez VGA pour utiliser le port VGA du périphérique . (Il s'agit du paramètre par défaut.)
  • Choisissez Physical Serial Port pour utiliser le port série du périphérique.

Étape 4

Cliquez sur Save (enregistrer).

Utiliser l’interface Shell pour rediriger la sortie de la console

Avant de commencer

Terminer le processus de configuration initiale approprié à votre version :

Procédure

Étape 1

Utilisez les informations d’authentification admin de l’interface de ligne de commande FMC pour accéder à l’interpréteur de commandes de Linux sur le FMC à l’aide de la méthode appropriée pour votre version; consultez Accédez à la CLI ou au Shell Linux sur le FMC.

Étape 2

À l’invite, définissez la sortie de la console en entrant l’une des commandes suivantes :

  • Pour diriger les messages de la console vers le port VGA : sudo /usr/local/sf/bin/configure_console.sh vga
  • Pour diriger les messages de la console vers le port série physique : sudo /usr/local/sf/bin/configure_console.sh serial

Étape 3

Pour mettre en œuvre vos modifications, redémarrez le périphérique en entrant sudo reboot.

Préconfigurer FMCs

Vous pouvez préconfigurer votre FMC à un emplacement de mise en place (un emplacement central pour préconfigurer ou mettre en place plusieurs périphériques) en vue d’un déploiement à un emplacement cible (tout emplacement autre que l’emplacement de mise en place).

Pour préconfigurer et déployer un appareil à un emplacement cible, procédez comme suit :

  1. Installez le système sur le périphérique à l’emplacement de mise en place.

  2. Arrêtez et expédiez le périphérique vers l’emplacement cible.

  3. Déployez le périphérique à l’emplacement cible.


Remarque

Conservez tous les matériaux d’emballage et incluez toute la documentation ainsi que les câbles d’alimentation lors du reconditionnement de l’appareil.

Informations de préconfiguration requises

Avant de préconfigurer le périphérique, collectez les paramètres réseau, les licences et les autres informations pertinentes pour l’emplacement de stockage et l’emplacement cible.


Remarque

Il peut être utile de créer une feuille de calcul pour gérer ces informations à l’emplacement de mise en place et à l’emplacement cible.

Lors de la configuration initiale, vous configurez votre appareil avec suffisamment de renseignements pour le connecter au réseau et installer le système.

Vous avez besoin des renseignements suivants au minimum pour préconfigurer votre appareil :

  • Nouveau mot de passe (la configuration initiale nécessite la modification du mot de passe)

  • Nom d’hôte de l’appareil

  • Nom de domaine de l’appareil

  • Adresse IP de gestion de l’appareil

  • Masque réseau de l’appareil à l’emplacement cible

  • Passerelle par défaut de l’appareil à l’emplacement cible

  • Adresse IP du serveur DNS à l’emplacement de mise en place ou, s’il est accessible, de l’emplacement cible

  • Adresse IP du serveur NTP à l’emplacement de mise en place ou, si accessible, à l’emplacement cible

Renseignements facultatifs sur la préconfiguration

Vous pouvez modifier certaines configurations par défaut, notamment les suivantes :

  • Le fuseau horaire (si vous choisissez de définir manuellement l’heure pour vos périphériques)

  • L’emplacement de stockage distant pour les sauvegardes automatiques

  • L’adresse IP du LOM pour activer le LOM

Préconfigurer la gestion de l’heure

Procédure

Étape 1

Synchronisez l’heure avec un serveur NTP physique.

Étape 2

Définissez les adresses IP des serveurs DNS et NTP en utilisant l’une des méthodes suivantes :

  • Si votre réseau à l’emplacement de mise en place peut accéder aux serveurs DNS et NTP de l’emplacement cible, utilisez les adresses IP pour les serveurs DNS et NTP à l’emplacement cible.
  • Si votre réseau sur le site de préproduction ne peut pas accéder aux serveurs DNS et NTP du site cible, utilisez les informations du site de préproduction, puis effectuez une réinitialisation sur le site cible.

Étape 3

Utilisez le fuseau horaire du déploiement cible si vous définissez l’heure sur le périphérique manuellement au lieu d’utiliser le protocole NTP. Pour en savoir plus, consultez les Guide d'administration Cisco Firepower Management Center pour votre version.

Facteurs à prendre en considération pour l’expédition

Pour préparer l’appareil en vue de son envoi vers l’emplacement cible, vous devez le mettre hors tension et le remballer en toute sécurité. Gardez à l’esprit les considérations suivantes :

  • Utilisez l’emballage d’origine pour remballer l’appareil.

  • Incluez tout le matériel de référence ainsi que les cordons d’alimentation avec l’appareil.

  • Fournissez toutes les informations de paramètre et de configuration à l’emplacement cible, y compris le nouveau mot de passe et le mode de détection.

Résolution de problèmes de la préconfiguration du périphérique

Si votre appareil est correctement préconfiguré pour le déploiement cible, vous pouvez installer et déployer le FMC sans autre configuration.

Si vous avez des difficultés à vous connecter au périphérique, la préconfiguration peut avoir une erreur. Essayez les procédures de résolution de problèmes suivantes :

  • Confirmez que tous les câbles d’alimentation et les câbles de communication sont connectés correctement au périphérique.

  • Confirmez que vous avez le mot de passe actuel pour votre appareil. La configuration initiale à l’emplacement de mise en place vous invite à modifier votre mot de passe. Consultez les renseignements de configuration fournis par l’emplacement de mise en place pour le nouveau mot de passe.

Si vous continuez à rencontrer des difficultés, communiquez avec votre service des technologies de l’information.

Gestion de FMC à l’aide de l’utilitaire de restauration du système

Le FMC fournit un utilitaire de restauration du système que vous pouvez utiliser pour effectuer un certain nombre de fonctions de maintenance :

Le menu de l’utilitaire de restauration

L’utilitaire de restauration pour FMCs utilise un menu interactif pour vous guider dans le processus de restauration.

Le menu affiche les options répertoriées dans le tableau suivant :

Tableau 2. Options de menu de restauration

Option

Description

Pour plus de renseignements, consultez...

1 Configuration IP

Précisez les informations réseau concernant l’interface de gestion du périphérique que vous souhaitez restaurer, afin que le périphérique puisse communiquer avec le serveur où vous avez placé l’image ISO et les fichiers de mise à jour.

Identifier l’interface de gestion de l’appareil

2 Choisir le protocole de transport

Précisez l’emplacement de l’image ISO que vous utiliserez pour restaurer le périphérique, ainsi que les informations d’authentification dont le périphérique a besoin pour télécharger le fichier.

Préciser l’emplacement de l’image ISO et la méthode de transport

3 Sélectionner des correctifs/mises à jour de règles

Précisez une mise à jour du logiciel système et des règles de prévention des intrusions à appliquer après la restauration du périphérique à la version de base dans l’image ISO.

Sélectionner les mises à jour du logiciel système et des règles pendant la restauration

4 Télécharger et monter l’image ISO

Téléchargez l’image ISO appropriée et les mises à jour de logiciel système ou de règles de prévention des intrusions. Montez l’image ISO.

Télécharger les fichiers ISO et de mise à jour et monter l’image

5 Exécuter l’installation

Appelez le processus de restauration.

Restaurer les valeurs par défaut FMC

6 Enregistrer la configuration.

7 Charger la configuration

Enregistrez tout ensemble de configurations de restauration pour une utilisation ultérieure ou chargez un ensemble sauvegardé.

Enregistrer et charger les configurations FMC

8 Effacer le contenu du disque

Nettoyez le disque dur en toute sécurité pour vous assurer que son contenu n’est plus accessible.

Effacer le disque dur

Naviguez dans le menu à l’aide des touches fléchées. Pour sélectionner une option de menu, utilisez les touches fléchées Haut et Bas. Utilisez les touches fléchées de droite et de gauche pour basculer entre les boutons OK et Annuler en bas de la page.

Le menu présente deux options :

  • Pour sélectionner une option numérotée, mettez d’abord en surbrillance l’option correcte à l’aide des flèches vers le haut et le bas, puis appuyez sur Entréependant que le bouton OKau bas de la page est en surbrillance.

  • Pour sélectionner une option à choix multiple (bouton radio), mettez d’abord en surbrillance l’option correcte à l’aide des touches haut et bas, puis appuyez sur la barre d’espace pour marquer cette option d’un X. Pour accepter votre sélection, appuyez sur Enter (entrée) lorsque le bouton OK est mis en surbrillance.

À propos du processus de restauration

L’image ISO que vous utilisez pour restaurer un périphérique dépend du moment où Cisco a introduit la prise en charge de ce modèle de périphérique. À moins que l’image ISO ne soit publiée avec une version mineure pour s’adapter à un nouveau modèle de périphérique, les images ISO sont généralement associées à des versions majeures du logiciel système (par exemple, 6.1 ou 6.2). Pour éviter d’installer une version incompatible du système, nous vous recommandons de toujours utiliser la dernière image ISO disponible pour votre appareil. Pour plus de commodité, vous pouvez installer le logiciel système et les mises à jour des règles de prévention des intrusions dans le cadre du processus de restauration. Gardez à l’esprit que seuls les FMCnécessitent des mises à jour de règles.

Les FMC utilisent un lecteur flash interne pour démarrer le périphérique afin de pouvoir exécuter l’utilitaire de restauration.

Nous vous recommandons également de toujours exécuter la dernière version du logiciel système prise en charge par votre périphérique. Après avoir restauré un périphérique à la dernière version majeure prise en charge, vous devez mettre à jour son logiciel système, ses règles de prévention des intrusions et sa base de données de vulnérabilités (VDB). Pour en savoir plus, consultez les notes de version de la mise à jour que vous souhaitez appliquer, ainsi que le Guide d'administration Cisco Firepower Management Center de votre version.

Avant de commencer à restaurer vos périphériques aux valeurs par défaut, prenez en compte les recommandations suivantes et le comportement attendu du système pendant le processus de restauration :

  • Pour éviter de perturber le flux de trafic sur votre réseau, nous vous recommandons de restaurer vos périphériques pendant une fenêtre de maintenance ou à un moment où l’interruption a le moins d’impact sur votre déploiement.

  • Nous vous recommandons de supprimer ou de déplacer tous les fichiers de sauvegarde qui résident sur votre appareil, puis de sauvegarder les données des événements et de la configuration actuels vers un emplacement externe.

  • La restauration de votre périphérique aux valeurs par défaut entraîne la perte de presque toutes les données de configuration et d’événements sur le périphérique, y compris les paramètres d’affichage de la console. Bien que l’utilitaire de restauration puisse conserver les paramètres de licence, de réseau et (dans certains cas) LOM du périphérique, vous devez effectuer toutes les autres tâches de configuration une fois le processus de restauration terminé.

    La conservation des paramètres LOM après le processus de restauration varie en fonction de la version :

    • Si vous restaurez le FMC à la version 6.2.3 ou antérieure, le système ne réinitialise pas les paramètres LOM, que vous choisissiez ou non de supprimer la licence et les paramètres réseau.

    • Si vous restaurez le FMC à la version 6.3 ou antérieure, le système réinitialise les paramètres LOM, que vous choisissiez ou non de supprimer la licence et les paramètres réseau.

  • Pour restaurer le FMC, démarrez à partir du lecteur flash interne du périphérique et utilisez un menu interactif pour télécharger et installer l’image ISO sur le périphérique. Pour plus de commodité, vous pouvez installer le logiciel système et les mises à jour des règles de prévention des intrusions dans le cadre du processus de restauration.


    Remarque

    Vous ne pouvez pas restaurer un périphérique à l’aide de son interface Web.

  • Pour restaurer le FMC, vous devez vous y connecter de l’une des manières suivantes :

    • Clavier et moniteur/KVM : vous pouvez connecter un clavier USB et un moniteur VGA au périphérique, ce qui est utile pour les périphériques montés en rack connectés à un commutateur KVM (clé, vidéo et souris). Reportez-vous à la figure à Interfaces physiques pour identifier les ports USB et VGA. Si vous avez un KVM accessible à distance, vous pouvez restaurer des périphériques sans accès physique.

    • Serial Connection/ordinateur portable : vous pouvez utiliser le câble de console RJ-45 vers DP-9 fourni avec le périphérique (numéro de pièce Cisco 72-3383-XX) pour connecter un ordinateur au périphérique. Reportez-vous à la figure à Interfaces physiques pour identifier le port série. Pour interagir avec le périphérique, utilisez un logiciel d’émulation de terminal comme HyperTerminal ou XModem.

    • Lights-Out Management à l'aide de Serial over LAN : vous pouvez effectuer un ensemble limité d’actions sur les FMC en utilisant LOM avec une connexion SOL. Si vous n’avez pas d’accès physique à un périphérique, vous pouvez utiliser LOM pour effectuer le processus de restauration. Après vous être connecté à un périphérique via LOM, vous exécutez les commandes de l’utilitaire de restauration comme avec une connexion série physique.


      Remarque
      Vous pouvez utiliser LOM uniquement sur l’interface CIMC (consultez le schéma à Interfaces physiques ). Pour restaurer le FMC à l’aide de LOM, vous devez accorder l’autorisation LOM à l’utilisateur admin. Pour en savoir plus, consultez Configurer Lights-Out Management (Gestion en service réduit).

      Mise en garde

      Lors de la restauration d’un périphérique aux paramètres d’usine pour une version 6.3 ou ultérieure à l’aide de LOM, sans accès physique au périphérique, vous ne pourrez pas y accéder après la restauration.


Remarque

Les procédures de ce chapitre expliquent comment restaurer un périphérique sans l’éteindre. Cependant, si vous devez l’éteindre pour quelque raison que ce soit, utilisez l’interface Web du périphérique, la commande system shutdown (arrêt du système) de l’interface de ligne de commande FMC (prise en charge dans les versions 6.3 et ultérieures) ou la commande shutdown -h now (arrêt -h maintenant) de l’interface Shell du périphérique

Restaurer les valeurs par défaut FMC

Cette rubrique fournit une description de niveau supérieur des tâches nécessaires pour restaurer les valeurs d’usine par défaut de FMC et de l’ordre dans lequel vous devez les effectuer.

Avant de commencer

Prenez connaissance du menu de restauration interactif de FMC. Pour en savoir plus, consultez Le menu de l’utilitaire de restauration.

Procédure

Étape 1

Obtenez les fichiers de restauration et de mise à jour ISO. Consultez Obtenir l’image ISO de restauration et mettre à jour les fichiers.

Étape 2

Démarrez le processus de restauration en utilisant l’une de ces deux méthodes :

Étape 3

Utilisez le menu de restauration interactif pour identifier l’interface de gestion de l'appareil. Consultez Identifier l’interface de gestion de l’appareil.

Étape 4

Utilisez le menu de restauration interactif pour préciser l’emplacement de l’image ISO et la méthode de transport. Consultez Préciser l’emplacement de l’image ISO et la méthode de transport.

Étape 5

(Facultatif) Utilisez le menu de restauration interactif pour sélectionner les mises à jour de logiciel système ou de règles à inclure dans le processus de restauration. Consultez Sélectionner les mises à jour du logiciel système et des règles pendant la restauration.

Étape 6

(Facultatif) Enregistrez la configuration système que vous avez sélectionnée pour l’utiliser dans les activités de restauration futures. Consultez Enregistrer la configuration FMC.

Étape 7

Utilisez le menu de restauration interactif pour télécharger les fichiers ISO et mettre à jour, et monter l’image sur l'appareil. Consultez Télécharger les fichiers ISO et de mise à jour et monter l’image.

Étape 8

Vous avez deux options en fonction de la version du logiciel à laquelle vous restaurez l'appareil :

Prochaine étape

La restauration de votre FMC aux valeurs par défaut entraîne la perte de presque toutes les données de configuration et d’événements sur l'appareil, y compris les paramètres d’affichage de la console.


Remarque

La conservation des paramètres LOM après le processus de restauration varie en fonction de la version :

  • Si vous restaurez le FMC à la version 6.2.3 ou antérieure, le système ne réinitialise pas les paramètres LOM, que vous choisissiez ou non de supprimer la licence et les paramètres réseau.

  • Si vous restaurez le FMC à la version 6.3 ou antérieure, le système réinitialise les paramètres LOM, que vous choisissiez ou non de supprimer la licence et les paramètres réseau. Après avoir terminé le processus de configuration initiale, effectuez l’une des opérations suivantes :

Obtenir l’image ISO de restauration et mettre à jour les fichiers

Avant de commencer

Cisco fournit des images ISO pour la restauration des périphériques aux paramètres d’usine d’origine. Avant de restaurer un appareil, procurez-vous l’image ISO correcte auprès du site d’assistance, comme décrit ici.

Procédure

Étape 1

En utilisant le nom d’utilisateur et le mot de passe de votre compte d’assistance, connectez-vous au site d’assistance à l’adresse https://sso.cisco.com/autho/forms/CDClogin.html.

Étape 2

Accédez à la section de téléchargement de logiciels à l’adresse : https://software.cisco.com/download/navigator.html.

Étape 3

Saisissez une chaîne de recherche dans la zone Rechercher sur la page qui s’affiche pour le logiciel système que vous souhaitez télécharger et installer.

Étape 4

Recherchez l’image (image ISO) que vous souhaitez télécharger. Vous pouvez cliquer sur l’un des liens dans la partie gauche de la page pour afficher la section appropriée de la page.

Exemple:

Cliquez sur Version 6.3.0 pour afficher les images et les notes de version pour la version 6.3.0 du système.

Étape 5

Cliquez sur l’image ISO que vous souhaitez télécharger.

Le téléchargement du fichier commence.

Étape 6

Copiez les fichiers sur un serveur HTTP (Web), un serveur FTP ou un hôte SCP auquel le périphérique peut accéder sur son réseau de gestion.

Mise en garde

 

Ne transférez pas les fichiers ISO ou de mise à jour par courriel ; ils risquent d’être corrompus. De plus, ne modifiez pas le nom des fichiers; l’utilitaire de restauration exige qu’ils soient nommés comme ils le sont sur le site d’assistance.

Démarrer l’utilitaire de restauration à l’aide du KVM ou du port série physique

Pour FMC, Cisco fournit un utilitaire de restauration sur un disque flash interne.

Avant de commencer

Assurez-vous d’avoir effectué les étapes précédentes appropriées dans le processus de restauration, comme décrit dans Restaurer les valeurs par défaut FMC.

Procédure

Étape 1

À l’aide de votre clavier/moniteur ou d’une connexion série, connectez-vous à l’interface Shell du périphérique à l’aide du compte admin. Suivez les étapes adaptées à votre version ; consultez Accédez à la CLI ou au Shell Linux sur le FMC.

Étape 2

Redémarrez le périphérique; entrez sudo reboot. Indiquer le mot de passe administrateur lorsque vous y êtes invité(e).

Remarque

 

Vous devez effectuer les étapes 3 et 4 rapidement pour éviter un redémarrage physique.

Étape 3

Supervisez le processus de redémarrage. Lorsque le menu de démarrage apparaît, sélectionnez rapidement l’option 3 pour restaurer le système.

Remarque

 

Le menu de démarrage ne vous donne que quelques secondes pour effectuer votre sélection avant d’expirer. Si vous ratez votre fenêtre d’occasion, l’appareil lance le processus de redémarrage. Attendez que le redémarrage soit terminé et réessayez.

Étape 4

Le système vous invite à passer en mode d’affichage pour le menu interactif de l’utilitaire de restauration. Choisissez rapidement parmi :

  • Pour une connexion de clavier et de moniteur, saisissez 1 et appuyez sur Enter (Entrée).
  • Pour une connexion série, saisissez 2 et appuyez sur Enter (Entrée).

Si vous ne sélectionnez pas de mode d’affichage, l’utilitaire de restauration utilise l’option marquée d’un astérisque (*).

Remarque

 

Le menu du mode d’affichage ne vous donne que quelques secondes pour effectuer votre sélection avant l’expiration. Si vous ratez votre fenêtre d’occasion et redémarrez accidentellement l’appareil en mode de restauration du système avec la mauvaise sélection de console, attendez la fin du redémarrage, puis éteignez l’appareil. (Vous devez utiliser le bouton d’alimentation pour éteindre l’appareil à ce moment-là, car le logiciel FMC n’est pas en cours d’exécution.) Mettez ensuite l’unité FMC sous tension et recommencez cette tâche.

Sauf s’il s’agit de la première restauration du périphérique à cette version majeure, l’utilitaire charge automatiquement la dernière configuration de restauration que vous avez utilisée. Pour continuer, confirmez les paramètres dans une série de pages.

Étape 5

Appuyez sur Enter (entrée) pour confirmer l’avis de droit d’auteur.

Démarrer l’utilitaire de restauration à l’aide de Lights-Out Management

Si vous devez rétablir les valeurs par défaut de l’appareil et que vous n’avez pas d’accès physique à l'appareil, vous pouvez utiliser Lights-Out Management (LOM) pour effectuer le processus de restauration.

Remarque

Pour les versions 6.3 et ultérieures, le réinitialise les paramètres LOM sur le périphérique; vous ne pouvez pas accéder à un appareil nouvellement restauré à l’aide de LOM.


Mise en garde

Lors de la restauration d’un appareil aux paramètres d’usine pour les for Versions 6.3+ à l’aide du LOM, si vous n’avez pas d’accès physique à l’appareil et que vous supprimez la licence ainsi que les paramètres réseau, vous ne pourrez plus accéder à l’appareil après la restauration.

Avant de commencer

Procédure

Étape 1

À l’invite de commande de votre ordinateur, saisissez la commande IPMI pour démarrer la session SOL :

  • Pour IPMItool, saisissez : sudo ipmitool -I lanplus -H IP_address -U admin sol activate
  • Pour ipmiutil, saisissez : sudo ipmiutil sol -a -V4 -J3 -N IP_address -U admin -P password

L’ IP_address est l’adresse IP de l’interface de gestion sur le périphérique et password est le mot de passe du compte admin. Notez qu’IPMItool vous invite à saisir le mot de passe après avoir exécuté la commande sol activate.

Étape 2

Redémarrez l'appareil en tant qu’utilisateur racine; entrez sudo reboot. Indiquer le mot de passe administrateur lorsque vous y êtes invité(e).

Étape 3

Supervisez le processus de redémarrage. Lorsque le menu de démarrage apparaît, sélectionnez rapidement Option 3 pour restaurer le système.

Remarque

 

Le menu de démarrage ne vous donne que quelques secondes pour effectuer votre sélection avant d’expirer. Si vous ratez votre fenêtre d’occasion, l’appareil lance le processus de redémarrage. Attendez que le redémarrage soit terminé et réessayez.

Étape 4

Le système vous invite à passer en mode d’affichage pour le menu interactif de l’utilitaire de restauration. Saisissez 2 et appuyez sur Enter pour téléverser le menu de restauration interactif à l’aide de la connexion série de l'appareil.

Si vous ne sélectionnez pas de mode d’affichage, l’utilitaire de restauration utilise l’option marquée d’un astérisque (*).

Important

 

Le menu du mode d’affichage ne vous donne que quelques secondes pour effectuer votre sélection avant l’expiration. Si vous manquez la fenêtre d’intervention et redémarrez accidentellement l’appareil en mode de restauration du système avec l’option 1 (pour une connexion clavier et moniteur), vous devez obtenir un accès physique à l’appareil, attendre la fin du redémarrage, puis éteindre l’appareil. (Vous devez utiliser le bouton d’alimentation pour éteindre l’appareil à ce moment-là, car le logiciel FMC n’est pas en cours d’exécution.) Mettez ensuite l’unité FMC sous tension et recommencez cette tâche.

Sauf s’il s’agit de la première restauration du périphérique à cette version majeure, l’utilitaire charge automatiquement la dernière configuration de restauration que vous avez utilisée. Pour continuer, confirmez les paramètres dans une série de pages.

Étape 5

Appuyez sur Enter (entrée) pour confirmer l’avis de droit d’auteur.

Identifier l’interface de gestion de l’appareil

La première étape de l’exécution de l’utilitaire de restauration consiste à identifier l’interface de gestion sur l'appareil que vous souhaitez restaurer, afin que ll'appareil puisse communiquer avec le serveur sur lequel vous avez copié l’image ISO et les fichiers de mise à jour.

Avant de commencer

Assurez-vous d’avoir effectué les étapes précédentes appropriées dans le processus de restauration, comme décrit dans Restaurer les valeurs par défaut FMC.

Procédure

Étape 1

Dans le menu principal de l’utilitaire de restauration, choisissez 1 IP Configuration (Configuration IP).

Étape 2

Choisissez l’interface de gestion du périphérique (généralement eth0).

Étape 3

Choisissez le protocole que vous utilisez pour votre réseau de gestion : IPv4 ou IPv6.

Les options pour attribuer une adresse IP à l’interface de gestion s’affichent.

Étape 4

Choisissez une méthode pour attribuer une adresse IP à l’interface de gestion :

  • Statique : une série de pages vous invite à saisir manuellement l’adresse IP, le masque réseau ou la longueur du préfixe et la passerelle par défaut pour l’interface de gestion.
  • Protocole DHCP (Dynamic Host Configuration Protocol) : le périphérique détecte automatiquement l’adresse IP, le masque réseau ou la longueur du préfixe et la passerelle par défaut pour l’interface de gestion, puis affiche l’adresse IP.

Étape 5

Lorsque vous y êtes invité, confirmez vos paramètres.

Si vous y êtes invité, confirmez l’adresse IP attribuée à l’interface de gestion du périphérique. Si vous utilisez LOM, n’oubliez pas que l’adresse IP de gestion du périphérique n’est pas l’adresse IP LOM.

Préciser l’emplacement de l’image ISO et la méthode de transport

Après avoir configuré l’adresse IP de gestion que le processus de restauration utilisera pour télécharger les fichiers dont il a besoin, vous devez identifier l’image ISO que vous utiliserez pour restaurer le périphérique. Il s’agit de l’image ISO que vous avez téléchargée à partir du site d’assistance (voir Obtenir l’image ISO de restauration et mettre à jour les fichiers) et stockée sur un serveur Web, un serveur FTP ou un hôte compatible avec le protocole SCP.

Avant de commencer

Assurez-vous d’avoir effectué les étapes précédentes appropriées dans le processus de restauration, comme décrit dans Restaurer les valeurs par défaut FMC.

Procédure

Étape 1

Dans le menu principal de l’utilitaire de restauration, choisissez 2 Choisissez le protocole de transport.

Étape 2

Dans la page qui s’affiche, choisissez HTTP, FTP ou SCP.

Étape 3

Utilisez la série de pages présentées par l’utilitaire de restauration pour fournir les informations nécessaires pour le protocole que vous avez choisi; voir Restaurer la configuration du téléchargement des fichiers.

Si vos informations sont correctes, le périphérique se connecte au serveur et affiche une liste des images ISO de Cisco à l’emplacement que vous avez spécifié.

Étape 4

Choisissez l’image ISO que vous souhaitez utiliser.

Étape 5

Lorsque vous y êtes invité, confirmez vos paramètres.

Restaurer la configuration du téléchargement des fichiers

Avant de pouvoir identifier l’image ISO à utiliser pour restaurer l’appareil, vous devez configurer l’adresse IP de gestion que le processus de restauration utilisera pour télécharger les fichiers nécessaires. Le menu interactif sur le FMC vous invite à saisir des informations pour terminer le téléchargement, comme indiqué dans le tableau suivant.

Tableau 3. Informations nécessaires pour télécharger les fichiers de restauration

Pour utiliser...

Vous devez fournir...

HTTP

  • Adresse IP du serveur Web

  • Chemin complet au répertoire de l’image ISO (par exemple, /downloads/ISOs/)

FTP

  • Adresse IP du serveur FTP

  • Chemin d'accès au répertoire de l’image ISO, par rapport au répertoire d’accueil de l’utilisateur dont vous souhaitez utiliser les informations d’authentification (par exemple,mestéléchargements/ISOs/)

  • Nom d’utilisateur et mot de passe autorisés pour le serveur FTP

SCP

  • Adresse IP du serveur SCP

  • Nom d’utilisateur autorisé pour le serveur SCP

  • Chemin complet au répertoire de l’image ISO

  • Mot de passe pour le nom d’utilisateur que vous avez saisi plus tôt

Remarque

 

Avant de saisir votre mot de passe, vous pouvez être invité à ajouter le serveur SCP à la liste des hôtes de confiance. Vous devez accepter pour continuer.

Sélectionner les mises à jour du logiciel système et des règles pendant la restauration

Vous pouvez éventuellement utiliser l’utilitaire de restauration pour mettre à jour le logiciel système et les règles de prévention des intrusions après la restauration du périphérique à la version de base dans l’image ISO. Gardez à l’esprit que seuls les FMC nécessitent des mises à jour de règles.

L’utilitaire de restauration ne peut utiliser qu’une seule mise à jour de logiciel système et une seule mise à jour de règle. Cependant, les mises à jour du système sont cumulatives jusqu’à la dernière version majeure; les mises à jour de règles sont également cumulatives. Nous vous recommandons d’obtenir les dernières mises à jour disponibles pour votre appareil; voir Obtenir l’image ISO de restauration et mettre à jour les fichiers.

Si vous choisissez de ne pas mettre à jour le périphérique pendant le processus de restauration, vous pouvez le mettre à jour ultérieurement en utilisant l’interface Web du système. Pour en savoir plus, consultez les notes de mise à jour que vous souhaitez installer, ainsi que le chapitre Mise à jour du logiciel système dans Guide d'administration Cisco Firepower Management Center.

Avant de commencer

Assurez-vous d’avoir effectué les étapes précédentes appropriées dans le processus de restauration, comme décrit dans Restaurer les valeurs par défaut FMC.

Procédure

Étape 1

Dans le menu principal de l’utilitaire de restauration, choisissez 3 Sélectionner Correctifs/Mises à jour des règles.

L’utilitaire de restauration utilise le protocole et l’emplacement que vous avez spécifiés dans la procédure précédente (voir Préciser l’emplacement de l’image ISO et la méthode de transport) pour récupérer et afficher une liste de tous les fichiers de mise à jour de logiciel système à cet emplacement. Si vous utilisez SCP, saisissez votre mot de passe lorsque vous y êtes invité pour afficher la liste des fichiers de mise à jour.

Étape 2

Choisissez la mise à jour du logiciel système, le cas échéant, que vous souhaitez utiliser. Vous n’avez pas à choisir une mise à jour; appuyez sur Entrée sans sélectionner de mise à jour pour continuer. S’il n’y a aucune mise à jour de logiciel système à l’emplacement approprié, le système vous invite à appuyer sur Entrée pour continuer.

L’utilitaire de restauration récupère et affiche une liste des fichiers de mise à jour de règles. Si vous utilisez SCP, pour afficher la liste, saisissez votre mot de passe lorsque vous y êtes invité.

Étape 3

Sélectionnez la mise à jour de règle, le cas échéant, que vous souhaitez utiliser. Vous n’avez pas à sélectionner une mise à jour; appuyez sur Entrée sans sélectionner de mise à jour pour continuer. S’il n’y a aucune mise à jour de règles à l’emplacement approprié, le système vous invite à appuyer sur Enter (entrée) pour continuer.

Télécharger les fichiers ISO et de mise à jour et monter l’image

Avant de commencer

Assurez-vous d’avoir effectué les étapes précédentes appropriées dans le processus de restauration, comme décrit dans Restaurer les valeurs par défaut FMC.

Procédure

Étape 1

Dans le menu principal de l’utilitaire de restauration, choisissez 4 Télécharger et monter l’ISO.

Étape 2

Lorsque vous y êtes invité, confirmez votre choix. Si vous téléchargez à partir d’un serveur SCP, saisissez votre mot de passe lorsque vous y êtes invité. Le système télécharge et monte les fichiers appropriés.

Mettre à jour l’image de restauration

Lors de la restauration d’un appareil vers une version majeure différente, ce premier passage par l’utilitaire de restauration met à jour l’image de restauration du périphérique et, si nécessaire, l’utilitaire de restauration lui-même.


Remarque

Si vous restaurez un appareil à la même version majeure ou s’il s’agit de votre deuxième transmission directe du processus, n’utilisez pas ces instructions; consultez Installer la nouvelle version du logiciel système.

Avant de commencer

Assurez-vous d’avoir effectué les étapes précédentes appropriées dans le processus de restauration, comme décrit dans Restaurer les valeurs par défaut FMC.

Procédure

Étape 1

Dans le menu principal de l’utilitaire de restauration, choisissez 5 Exécuter l’installation.

Étape 2

Lorsque vous y êtes invité (deux fois), confirmez que vous souhaitez redémarrer le périphérique.

Étape 3

Le système demande le mode d’affichage du menu interactif de l’utilitaire de restauration :

  • Pour une connexion de clavier et de moniteur, saisissez 1 et appuyez sur Enter (Entrée).
  • Pour une connexion série, saisissez 2 et appuyez sur Enter (Entrée).

Si vous ne sélectionnez pas de mode d’affichage, l’utilitaire de restauration utilise l’option marquée d’un astérisque (*).

Sauf s’il s’agit de la première restauration du périphérique à cette version majeure, l’utilitaire charge automatiquement la dernière configuration de restauration que vous avez utilisée. Pour continuer, confirmez les paramètres affichés dans la série de pages suivante.

Étape 4

Appuyez sur Enter (entrée) pour confirmer l’avis de droit d’auteur.

Prochaine étape

Effectuez les tâches lors de la deuxième passe du processus de restauration. Consultez Installer la nouvelle version du logiciel système.

Installer la nouvelle version du logiciel système

Effectuez les tâches suivantes si vous restaurez un appareil vers la même version principale ou s’il s’agit de votre deuxième passage dans le processus de restauration en deux étapes.


Remarque

Le processus de restauration réinitialise les paramètres d’affichage de la console au mode par défaut d’utilisation du port VGA.

Avant de commencer

  • Assurez-vous d’avoir effectué les étapes précédentes appropriées dans le processus de restauration, comme décrit dans Restaurer les valeurs par défaut FMC.

  • Si vous effectuez cette tâche en tant que deuxième passe dans le processus de restauration du système en deux temps, vous devez d’abord télécharger et monter l’image ISO. Consultez Télécharger les fichiers ISO et de mise à jour et monter l’image. (Si vous effectuez le processus de restauration en deux temps, ce sera la deuxième fois que vous téléchargerez et monterez l’image ISO.)

Procédure

Étape 1

Dans le menu principal de l’utilitaire de restauration, choisissez 5 Exécuter l’installation.

Étape 2

Confirmez que vous souhaitez restaurer le périphérique.

Étape 3

Choisissez si vous souhaitez supprimer la licence du périphérique et les paramètres réseau.

Dans la plupart des cas, vous ne souhaitez pas supprimer ces paramètres; les conserver peut raccourcir le processus de configuration initiale. La modification des paramètres après la restauration et la configuration initiale ultérieure prend souvent moins de temps que d’essayer de les réinitialiser maintenant.

Mise en garde

 

Pour les versions 6.3 et ultérieures, le Lors de la restauration d’un périphérique aux paramètres d’usine pour une version 6.3 ou ultérieure à l’aide de LOM, sans accès physique au périphérique, vous ne pourrez pas y accéder après la restauration.

Étape 4

Saisissez votre confirmation finale que vous souhaitez restaurer le périphérique.

L’étape finale du processus de restauration commence. Lorsqu’il a terminé, si vous y êtes invité, confirmez que vous souhaitez redémarrer le périphérique.

Mise en garde

 

Assurez-vous de prévoir suffisamment de temps pour que le processus de restauration se termine. Sur les périphériques avec disques flash internes, l’utilitaire met d’abord à jour le disque flash, qui est ensuite utilisé pour effectuer d’autres tâches de restauration. Si vous quittez (en appuyant sur Ctrl + C, par exemple) pendant la mise à jour de la mémoire flash, vous risquez de provoquer une erreur irrécupérable. Si vous pensez que la restauration prend trop de temps ou si vous rencontrez tout autre problème pendant le processus, ne quittez pas. Communiquez plutôt avec Centre d’assistance technique Cisco (TAC).

Remarque

 

Recréez toujours l’image de vos périphériques pendant une fenêtre de maintenance.

Enregistrer et charger les configurations FMC

Vous pouvez utiliser l’utilitaire de restauration pour enregistrer une configuration si vous devez restaurer le FMC. Bien que l’utilitaire de restauration enregistre automatiquement la dernière configuration utilisée, vous pouvez enregistrer plusieurs configurations, notamment les suivantes :

Le système ne sauvegarde pas les mots de passe SCP. Si la configuration spécifie que l’utilitaire doit utiliser SCP pour transférer les fichiers ISO et d’autres fichiers vers le périphérique, vous devez vous authentifier de nouveau auprès du serveur pour terminer le processus de restauration.

Le meilleur moment pour enregistrer une configuration est après avoir fourni les informations répertoriées ci-dessus, mais avant de télécharger et de monter l’image ISO.

Enregistrer la configuration FMC

Avant de commencer

Effectuez les étapes 1 à 5 de Restaurer les valeurs par défaut FMC.

Procédure

Étape 1

Dans le menu principal de l’utilitaire de restauration, choisissez 6 Save Configuration (6 enregistrer la configuration).

L’utilitaire affiche les paramètres de la configuration que vous enregistrez.

Étape 2

Lorsque vous y êtes invité, confirmez que vous souhaitez enregistrer la configuration.

Étape 3

Lorsque vous y êtes invité, saisissez un nom pour la configuration.

Prochaine étape

Si vous souhaitez utiliser la configuration enregistrée pour effectuer une restauration du système, passez à l’étape 7 de Restaurer les valeurs par défaut FMC.

Charger une configuration enregistrée FMC

Vous pouvez charger une configuration enregistrée précédemment pour restaurer le FMC.

Procédure

Étape 1

Dans le menu principal de l’utilitaire de restauration, choisissez 7 Load Configuration (7 Charger la configuration).

L’utilitaire présente une liste des configurations de restauration enregistrées. La première option, default_config, est la configuration que vous avez utilisée en dernier pour restaurer le périphérique. Les autres options sont de restaurer les configurations que vous avez enregistrées.

Étape 2

Choisissez la configuration que vous souhaitez utiliser.

L’utilitaire affiche les paramètres de la configuration que vous chargez.

Étape 3

Lorsque vous y êtes invité, confirmez que vous souhaitez effectuer la restauration.

La configuration est chargée. Si vous y êtes invité, confirmez l’adresse IP attribuée à l’interface de gestion du périphérique.

Prochaine étape

Pour utiliser la configuration que vous venez de charger pour restaurer le système, passez à l’étape 7 de Restaurer les valeurs par défaut FMC.

Effacer le disque dur

Vous pouvez effacer en toute sécurité le disque dur sur le FMC pour vous assurer que son contenu ne peut plus être consulté. Par exemple, si vous devez renvoyer une appareil défectueuse contenant des données sensibles, vous pouvez utiliser cette fonctionnalité pour écraser les données qu’elle contient.

La séquence d’effacement du disque dur est conforme à la procédure DoD 5220.22-M pour l’assainissement des disques rigides amovibles et non amovibles, qui exige l’écrasement de toutes les zones adressables avec un caractère, son complément, un caractère aléatoire, puis une vérification. Consultez le document DoD pour plus de contraintes.


Mise en garde

L’effacement de votre disque dur entraîne la perte de toutes les données sur l’appareil, qui devient alors inutilisable.

Vous pouvez effacer le disque dur à l’aide d’une option dans le menu interactif du périphérique. Pour en savoir plus, consultez Le menu de l’utilitaire de restauration .

Procédure

Étape 1

Suivez les instructions dans l’une des sections suivantes pour afficher le menu interactif de l’utilitaire de restauration en fonction de la façon dont vous accédez au périphérique :

Étape 2

Dans le menu principal de l’utilitaire de restauration, choisissez 8 Effacer le contenu du disque.

Étape 3

Lorsque vous y êtes invité, confirmez que vous souhaitez effacer le disque dur. Le processus peut prendre quelques heures; les disques plus volumineux prennent plus de temps.