Introduzione
In questo documento viene illustrato come installare e registrare il software Cisco Secure Firewall Threat Defense (FTD) sui dispositivi di sicurezza Firepower 4100.
Prerequisiti
Requisiti
Nessun requisito specifico previsto per questo documento.
Componenti usati
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
- Cisco Firepower 4125 Security Appliance, con FXOS 2.16(0.128) e FTD 7.6.0
- Cisco Secure Firewall Management Center, con versione 7.6.0
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Premesse
FTD è un'immagine software unificata che può essere installata sulle seguenti piattaforme:
-
Dispositivi Cisco Secure Firewall (FPR1xxx, FPR12xx, FPR21xx, FPR31xx, FPR42xx)
-
Appliance di sicurezza Firepower (FPR41xx e FPR9300)
- Serie 3000 Industrial Security Appliance (ISA)
- Modulo ISR (Integrated Service Router)
- Cloud privato:
- VMware (ESXi)
- Macchina virtuale basata su kernel (KVM)
- OpenStack
- Cisco HyperFlex
- Cloud pubblico:
- Servizi Web Amazon (AWS)
- Microsoft Azure
- Piattaforma Google Cloud
- Oracle Cloud Infrastructure
- Nutanix Cloud
- Equinix
Configurazione
Esempio di rete

Attività 1. Download del software FTD
Selezionare Security > Firewall > Next-Generation Firewall (NGFW) > Firepower serie 4100 > Appliance di sicurezza Firepower 4125 e scegliere Firepower Threat Defense Software come mostrato nell'immagine:

Attività 2. Verifica della compatibilità FXOS-FTD
Attività richiesta
Verificare che la versione FXOS in esecuzione sullo chassis sia compatibile con la versione FTD che si desidera installare nel modulo di sicurezza.
Soluzione
Passaggio 1. Verificare la compatibilità FXOS-FTD.
Prima di installare un'immagine FTD nel modulo/blade, accertarsi che lo chassis Firepower esegua un software FXOS compatibile. Nella Guida alla compatibilità FXOS, controllare la tabella Compatibilità periferica logica. La versione FXOS minima necessaria per eseguire FTD 7.6.0 è 2.16, come mostrato nella Tabella 1:

Se l'immagine FXOS non è compatibile con l'immagine FTD di destinazione, aggiornare prima il software FXOS.
Verifica dell'immagine FXOS
Metodo 1. Dalla pagina Panoramica dell'interfaccia utente di Firepower Chassis Manager (FCM), come mostrato nell'immagine seguente:

Metodo 2. Passare a Sistema FCM > Aggiorna pagina, come mostrato nell'immagine seguente:

Metodo 3. Dalla CLI di FXOS:
FPR4125# show fabric-interconnect firmware
Fabric Interconnect A:
Running-Kern-Vers: 5.0(3)N2(4.160.555)
Running-Sys-Vers: 5.0(3)N2(4.160.555)
Package-Vers: 2.16(0.128)
Startup-Kern-Vers: 5.0(3)N2(4.160.555)
Startup-Sys-Vers: 5.0(3)N2(4.160.555)
Act-Kern-Status: Ready
Act-Sys-Status: Ready
Bootloader-Vers:
Attività 3. Caricamento dell'immagine FTD nell'appliance Firepower
Attività richiesta
Caricare l'immagine FTD nello chassis FPR4100.
Soluzione
Metodo 1. Caricare l'immagine FTD dall'interfaccia utente di FCM.
Accedere a Gestione chassis FPR4100 e selezionare la scheda Sistema > Aggiornamenti. Scegliere Carica immagine per caricare il file, come mostrato nell'immagine:

Selezionare il file immagine FTD e fare clic su Upload, come mostrato nell'immagine:

Accettare il Contratto di Licenza con l'utente finale (EULA).
La verifica è come mostrato in questa immagine:

Metodo 2. Caricare l'immagine FTD dalla CLI di FXOS.
È possibile caricare l'immagine FTD da un FTP, HTTP, HTTPS, Secure Copy (SCP), Secure FTP (SFTP), TFTP o via USB. (In questo esempio, viene utilizzato FTP):
FPR4100# scope ssa
FPR4100 /ssa # scope app-software
FPR4100 /ssa/app-software # download image ?
ftp: Location of the image file
http: Location of the image file
https: Location of the image file
scp: Location of the image file
sftp: Location of the image file
tftp: Location of the image file
usbA: Location of the image file
Prima di avviare il trasferimento dell'immagine, verificare la connettività tra l'interfaccia di gestione dello chassis e il server remoto:
FPR4100# connect local-mgmt
FPR4100(local-mgmt)# ping 10.229.24.22
PING 10.229.24.22 (10.229.24.22) from 10.62.148.88 eth0: 56(84) bytes of data.
64 bytes from 10.229.24.22: icmp_seq=1 ttl=124 time=0.385 ms
64 bytes from 10.229.24.22: icmp_seq=2 ttl=124 time=0.577 ms
64 bytes from 10.229.24.22: icmp_seq=3 ttl=124 time=0.347 ms
Per scaricare l'immagine FTD, passare a questo ambito e utilizzare il comando download image:
FPR4100# scope ssa
FPR4100 /ssa # scope app-software
FPR4100 /ssa/app-software # download image ftp://ftp_username@10.229.24.22/cisco-ftd.7.6.0.113.SPA.csp
Password:
Per monitorare lo stato di caricamento dell'immagine:
FPR4100 /ssa/app-software # show download-task detail
Downloads for Application Software:
File Name: cisco-ftd.7.6.0.113.SPA.csp
Protocol: Ftp
Server: 10.229.24.22
Port: 0
Userid: ftp
Path:
Downloaded Image Size (KB): 95040
Time stamp: 2016-12-11T20:27:47.856
State: Downloading
Transfer Rate (KB/s): 47520.000000
Current Task: downloading image cisco-ftd.7.6.0.113.SPA.csp from 10.229.24.22(FSM-STAGE:sam:dme:ApplicationDownloaderDownload:Local)
Utilizzare questo comando per verificare che il download sia riuscito:
FPR4100 /ssa/app-software # show download-task
Downloads for Application Software:
File Name Protocol Server Port Userid State
------------------------------ ---------- ------------- ---------- --------- -----
cisco-ftd.7.6.0.113.SPA.csp Ftp 10.229.24.22 0 ftp Downloaded
Per ulteriori dettagli:
KSEC-FPR4100 /ssa/app-software # show download-task fsm status expand
File Name: cisco-ftd.7.6.0.113.SPA.csp
FSM Status:
Affected Object: sys/app-catalogue/dnld-cisco-ftd.7.6.0.113.SPA.csp/fsm
Current FSM: Download
Status: Success
Completion Time: 2016-12-11T20:28:12.889
Progress (%): 100
FSM Stage:
Order Stage Name Status Try
------ ---------------------------------------- ------------ ---
1 DownloadLocal Success 1
2 DownloadUnpackLocal Success 1
File Name: Cisco_FTD_SSP_Upgrade-7.6.0-113.sh
L'immagine viene visualizzata nel repository dello chassis:
KSEC-FPR4100 /ssa/app-software # exit
KSEC-FPR4100 /ssa # show app
Application:
Name Version Description Author Deploy Type CSP Type Is Default App
---------- ---------- ----------- ---------- ----------- ----------- --------------
asa 9.6.2.3 N/A cisco Native Application No
ftd 7.6.0.113 N/A cisco Native Application No
Task 4. Configurazione della gestione FTD e delle interfacce dati
Attività richiesta
Configurare e attivare le interfacce di gestione e dati per FTD sull'accessorio Firepower.
Soluzione
Per creare una nuova interfaccia, accedere a FCM e selezionare la scheda Interfacce. Le interfacce correnti sono visibili. Per creare una nuova interfaccia Port Channel, scegliere il pulsante Add New > Port Channel, come mostrato nell'immagine:

Passaggio 1. Creare un'interfaccia dati del canale della porta.
Creare una nuova Port Channel Interface, come mostrato nell'immagine:
ID canale porta
|
1
|
Tipo
|
Dati
|
Abilita
|
Sì
|
ID membro
|
Ethernet 1/2, Ethernet 1/3
|
Per l'ID del canale della porta, un valore compreso tra 1 e 47.
Nota: PortChannel 48 viene utilizzato per i cluster.

La verifica è come mostrato in questa immagine:

Passaggio 2. Creare un'interfaccia di gestione.
Nella scheda Interfacce, scegliere l'interfaccia, selezionare Modifica e configurare l'interfaccia di gestione, come mostrato nell'immagine seguente:

Attività 5. Creazione e configurazione di una nuova periferica logica
Attività richiesta
Creare un FTD come dispositivo logico autonomo e distribuirlo.
Soluzione
Passaggio 1. Aggiungere una periferica logica.
Passare alla scheda Dispositivi logici e scegliere il pulsante Add Device (Aggiungi dispositivo) per creare un nuovo dispositivo logico, come mostrato nell'immagine:

Configurare un dispositivo FTD con le impostazioni mostrate in questa immagine:
Nome dispositivo
|
FPR4125-1
|
Modello
|
Cisco Secure Firewall Threat Defense
|
Versione immagine
|
7.6.0.113
|

Passaggio 2. Avviare il dispositivo logico.
Dopo aver creato la periferica logica, viene visualizzata la finestra Provisioning - nome_periferica. Scegliere l'icona del dispositivo per avviare la configurazione, come mostrato nell'immagine:

Configurare la scheda Informazioni generali FTD, come mostrato nell'immagine seguente:
Interfaccia di gestione
|
Ethernet 1/1
|
Tipo di indirizzo
|
Solo IPv4
|
IP di gestione
|
10.62.148.226
|
Maschera di rete
|
255.255.255.128
|
Gateway di rete
|
10.62.148.129
|

Configurare la scheda Impostazioni FTD, come mostrato nell'immagine:
Chiave di registrazione
|
cisco
|
Password
|
Pa$$w0rd |
Cisco Secure Firewall Management Center IP
|
10.62.148.43
|
Cerca domini
|
cisco.com
|
Modalità firewall
|
Stesura
|
Server DNS
|
192.168.0.2
|
Nome host completo
|
FPR4125-1.cisco.com
|
Interfaccia eventi
|
-
|

Accertarsi che il contratto sia accettato e selezionare OK.
Passaggio 3. Assegnare le interfacce dati.
Espandere l'area Porte dati e scegliere ogni interfaccia da assegnare a FTD. In questo scenario, è stata assegnata un'interfaccia (Port-channel1), come mostrato nell'immagine:

Scegliere Salva per completare la configurazione.
Passaggio 4. Monitorare il processo di installazione.
L'avanzamento dell'installazione FTD è illustrato di seguito quando l'installazione viene monitorata dall'interfaccia utente di FCM, come illustrato nelle immagini seguenti:



Monitorare il processo di installazione dalla CLI di Firepower:
FPR4100# connect module 1 console
Telnet escape character is '~'.
Trying 127.5.1.1...
Connected to 127.5.1.1.
Escape character is '~'.
Firepower-module1>show services status all
Services currently running:
Application Type | Identifier | Oper State | Up Since | Instance ID
---------------- | ---------- | ---------- | -------- | -----------
ftd (native) | FPR4125-1 | RUNNING | 00:01:56 | ftd_001_JAD22360004VWC84030
Attività 6. Registrare FTD nel Cisco Secure Firewall Management Center (FMC)
Attività richiesta
Registrare FTD nel CCP.
Soluzione
Passaggio 1. Verificare la connettività di base tra FTD e FMC.
Prima di registrare l'FTD nel CCP, verificare la connettività di base tra l'FTD e il CCP:
Firepower-module1>connect ftd
Connecting to ftd(FPR4125-1) console... enter exit to return to bootCLI
> ping system 10.62.148.43
PING 10.62.148.43 (10.62.148.43) 56(84) bytes of data.
64 bytes from 10.62.148.43: icmp_seq=1 ttl=63 time=0.254 ms
64 bytes from 10.62.148.43: icmp_seq=2 ttl=63 time=0.283 ms
64 bytes from 10.62.148.43: icmp_seq=3 ttl=63 time=0.217 ms
A causa della configurazione del bootstrap, FTD ha il manager FMC già configurato:
> show managers
Type : Manager
Host : 10.62.148.43
Display name : 10.62.148.43
Identifier : 10.62.148.43
Registration : Pending
Passaggio 2. Aggiungere l'FTD nel CCP.
Nel FMC, selezionare la scheda Dispositivi>Gestione dispositivi e passare a Aggiungi... > Aggiungi dispositivo, come mostrato nell'immagine:

Configurare le impostazioni del dispositivo FTD, come mostrato nell'immagine:

Scegliere il pulsante Registra.
Nel CCP controllare le attività per verificare lo stato della registrazione. Oltre alla registrazione, il CCP:
- Trova il dispositivo FTD (recupera la configurazione dell'interfaccia attuale).
- Distribuisce il criterio iniziale.
La corretta registrazione è come mostrato in questa immagine:

In caso di problemi con la registrazione, consulta questo documento:
Informazioni correlate