Usa modalità di configurazione del ripristino per la configurazione di emergenza sul dispositivo

Introduzione

Questo documento descrive FTD 7.7 Use Recovery-config Mode for Emergency on-device Configuration.

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti:

• Cisco Firepower Threat Defense (FTD)
• Cisco Firepower Management Center (FMC)

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

• FTD 7.7.0+
• FMC 7.7.0+

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Introduzione

Questa funzione è stata introdotta nella versione 7.7.0 e può essere utilizzata per apportare modifiche alla configurazione fuori banda quando la connessione di gestione non è attiva.

Le modifiche alla configurazione vengono eseguite direttamente dalla CLI del dispositivo per:

• Ripristinare la connessione di gestione se si utilizza un'interfaccia dati per l'accesso al manager.

• Apportare modifiche ai criteri di selezione che non possono attendere il ripristino della connessione.

Una volta ripristinata la connessione di gestione:

1. È necessario riconoscere le differenze di configurazione mostrate nell'avviso di configurazione fuori banda.
2. Eseguire le stesse modifiche nel FMC prima della distribuzione, poiché le modifiche locali vengono sempre sovrascritte dalla distribuzione del FMC.

È possibile configurare queste aree delle funzionalità nella CLI diagnostica in modalità recovery-config:

• Interfacce

• Route statiche

• Routing dinamico: BGP e OSPF

• Prefiltri

• VPN da sito a sito

Esempio di configurazione

Sfondo del laboratorio

In questo scenario, un dispositivo FTD registrato in un FMC (che utilizza l'interfaccia dati come interfaccia di gestione) ha perso la connessione di gestione e, per risolvere il problema, un percorso statico viene aggiunto all'FTD utilizzando la funzione di configurazione del ripristino.

La FMC ha due dispositivi di difesa dalle minacce registrati (10.0.21.72 e 10.0.21.73), ma solo uno di essi è raggiungibile, come mostrato nelle immagini seguenti (cli e GUI). 

FTD utilizza l'interfaccia dati per il processo di registrazione al CCP. 

Inoltre, FTD non è collegato a FMC tramite sftunnel .

Procedura di configurazione

1. Per utilizzare la funzione recovery-config, è necessario accedere alla CLI di FTD e andare in modalità linea (supporto di sistema diagnostic-cli).

2. Eseguire il comando configure recovery-config.

3. Se si digita il punto interrogativo (?), vengono elencati tutti i comandi supportati, come indicato nell'elenco seguente.

firepower(recovery-config)# ?

  access-list           Configure an access control element
  as-path               BGP autonomous system path filter
  bfd                   BFD configuration commands
  bfd-template          BFD template configuration
  cluster               Cluster configuration
  community-list        Add a community list entry
  crypto                Configure IPSec, ISAKMP, Certification authority, key
  end                   Exit from configure mode
  exit                  Exit from config mode
  extcommunity-list     Add a extended community list entry
  group-policy          Configure or remove a group policy
  interface             Select an interface to configure
  ip                    Configure IP address pools
  ipsec                 Configure transform-set, IPSec SA lifetime and PMTU
                        Aging reset timer
  ipv6                  Configure IPv6 address pools
  ipv6                  Global IPv6 configuration commands
  isakmp                Configure ISAKMP options
  jumbo-frame           Configure jumbo-frame support
  management-interface  Management interface
  mtu                   Specify MTU(Maximum Transmission Unit) for an interface
  no                    Negate a command or set its defaults
  policy-list           Define IP Policy list
  prefix-list           Build a prefix list
  route                 Configure a static route for an interface
  route-map             Create route-map or enter route-map configuration mode
  router                Enable a routing process
  sla                   IP Service Level Agreement
  sysopt                Set system functional options
  tunnel-group          Create and manage the database of connection specific
                        records for IPSec connections
  vpdn                  Configure VPDN feature
  vrf                   Configure a VRF
  zone                  Create or show a Zone

Avviso: È necessario conoscere i comandi necessari per il ripristino o l'utilizzo in caso di emergenza. In caso di dubbi sul comando da utilizzare, si consiglia di contattare Cisco TAC per ottenere assistenza.

4. Dopo aver eseguito il comando configure recovery-config, viene visualizzato un avviso e viene richiesto di confermare e procedere.

5. Una volta confermata, è possibile iniziare a usare i comandi di configurazione disponibili. In questo scenario, all'interfaccia esterna viene aggiunta una route statica. Dopo aver completato la configurazione, eseguire il comando exit per uscire dalla modalità di ripristino.

Viene richiesto di salvare le modifiche e viene visualizzato un avviso che informa che le modifiche non vengono mantenute se il dispositivo viene riavviato.

6. È possibile confermare che la configurazione è stata applicata. In questo caso, visualizzare le route. 

7. Dopo alcuni minuti, questa modifica ripristina la comunicazione con il CCP. Nelle immagini seguenti viene illustrata la connessione stabilita, prima in FTD e poi nella CLI di FMC.

8. Una volta ripristinata la configurazione, nell'interfaccia utente di FMC è possibile selezionare Device > Device Management (Gestione dispositivi) e fare clic sul dispositivo (in questo caso FTD2-HTZ).

Qui è possibile vedere l'avviso di configurazione fuori banda rilevato. Fare clic su in Visualizza dettagli per visualizzare le differenze di configurazione. 

9. Esaminare i dettagli della configurazione fuori banda e riconoscere le differenze.

10. Dopo aver riconosciuto le differenze di configurazione, procedere alla configurazione delle stesse modifiche apportate in modalità di ripristino, ma ora tramite l'interfaccia utente grafica di FMC. In questo scenario, viene aggiunta una route statica.

11. Dopo aver salvato le modifiche alla configurazione, procedere alla distribuzione delle modifiche. Viene visualizzato un altro avviso che informa che le modifiche alla configurazione fuori banda sono state rilevate e riconosciute e che le modifiche vengono sostituite dalla distribuzione corrente. 

Una volta completata la distribuzione, la configurazione sarà nuovamente sincronizzata.

Riferimenti

• https://www.cisco.com/c/en/us/td/docs/security/secure-firewall/release-notes/threat-defense/770/threat-defense-release-notes-77.html
• https://www.cisco.com/c/en/us/td/docs/security/firepower/command_ref/b_Command_Reference_for_Firepower_Threat_Defense/c_3.html#wp4205799262