4100 FirepowerアプライアンスへのFTDのインストール

はじめに

このドキュメントでは、Firepower 4100セキュリティアプライアンスにCisco Secure Firewall Threat Defense(FTD)ソフトウェアをインストールして登録する方法について説明します。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• FXOS 2.16(0.128)およびFTD 7.6.0が稼働するCisco Firepower 4125セキュリティアプライアンス
• 7.6.0が稼働するCisco Secure Firewall Management Center

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

背景説明

FTDは、次のプラットフォームにインストールできる統合ソフトウェアイメージです。

• Cisco Secure Firewallデバイス(FPR1xxx、FPR12xx、FPR21xx、FPR31xx、FPR42xx)

• Firepowerセキュリティアプライアンス（FPR41xxおよびFPR9300）

• 3000 シリーズ産業用セキュリティ アプライアンス（ISA）
• サービス統合型ルータ(ISR)モジュール

• プライベートクラウド:
  • VMware（ESXi）
  • カーネルベースの仮想マシン(KVM)
  • オープンスタック
  • Cisco HyperFlex

• パブリッククラウド：
  • Amazon Web Services（AWS）
  • Microsoft Azure
  • Google Cloudプラットフォーム
  • Oracleクラウドインフラストラクチャ
  • Nutanixクラウド
  • エクイニクス

設定

ネットワーク図

タスク 1.FTD ソフトウェアのダウンロード

Security > Firewalls > Next-Generation Firewalls (NGFW) > Firepower 4100 Series > Firepower 4125 Security Applianceの順に移動し、次の図に示すようにFirepower Threat Defense Softwareを選択します。

タスク 2.FXOSとFTDの互換性の確認

タスクの要件

シャーシで稼働しているFXOSのバージョンが、セキュリティモジュールにインストールするFTDのバージョンと互換性があることを確認します。

解決方法

ステップ 1：FXOSとFTDの互換性を確認します。

FTDイメージをモジュール/ブレードにインストールする前に、Firepowerのシャーシが互換性のあるFXOSソフトウェアを実行していることを確認します。『FXOS 互換性ガイド』で、「論理デバイスの互換性テーブル」を確認します。FTD 7.6.0を実行するために最低限必要なFXOSのバージョンは2.16です（表1を参照）。

FXOSイメージがターゲットのFTDイメージと互換性がない場合は、最初にFXOSソフトウェアをアップグレードします。

FXOSイメージの確認

方式 1.次の図に示すように、Firepower Chassis Manager(FCM)のUIの概要ページから：

方式 2. 次の図に示すように、FCM System > Updateページに移動します。

方法 3.FXOSのCLIから：

FPR4125# show fabric-interconnect firmware
Fabric Interconnect A:
    Running-Kern-Vers: 5.0(3)N2(4.160.555)
    Running-Sys-Vers: 5.0(3)N2(4.160.555)
    Package-Vers: 2.16(0.128)
    Startup-Kern-Vers: 5.0(3)N2(4.160.555)
    Startup-Sys-Vers: 5.0(3)N2(4.160.555)
    Act-Kern-Status: Ready
    Act-Sys-Status: Ready
    Bootloader-Vers:

タスク 3.FirepowerアプライアンスへのFTDイメージのアップロード

タスクの要件

FTDイメージをFPR4100シャーシにアップロードします。 

解決方法

方式 1.FCMのUIからFTDイメージをアップロードします。

FPR4100 Chassis Managerにログインし、System > Updatesタブに移動します。Upload Imageを選択して、次の図に示すようにファイルをアップロードします。

FTDイメージファイルを参照して選択し、次の図に示すようにUploadをクリックします。

エンドユーザライセンス契約書(EULA)に同意します。

検証は、次の図に示すとおりです。

方式 2.FXOS CLIからFTDイメージをアップロードします。

FTDイメージは、FTP、HTTP、HTTPS、Secure Copy(SCP)、Secure FTP(SFTP)、TFTP、またはUSB経由でアップロードできます（この例では、FTPが使用されています）。

FPR4100# scope ssa
FPR4100 /ssa # scope app-software 
FPR4100 /ssa/app-software # download image ?
  ftp: Location of the image file 
  http: Location of the image file 
  https: Location of the image file 
  scp: Location of the image file 
  sftp: Location of the image file 
  tftp: Location of the image file 
  usbA: Location of the image file

イメージの転送を開始する前に、シャーシ管理インターフェイスとリモートサーバの間の接続を確認します。

FPR4100# connect local-mgmt
FPR4100(local-mgmt)# ping 10.229.24.22
PING 10.229.24.22 (10.229.24.22) from 10.62.148.88 eth0: 56(84) bytes of data.
64 bytes from 10.229.24.22: icmp_seq=1 ttl=124 time=0.385 ms
64 bytes from 10.229.24.22: icmp_seq=2 ttl=124 time=0.577 ms
64 bytes from 10.229.24.22: icmp_seq=3 ttl=124 time=0.347 ms

FTDイメージをダウンロードするには、次のスコープに移動し、download imageコマンドを使用します。

FPR4100# scope ssa
FPR4100 /ssa # scope app-software
FPR4100 /ssa/app-software # download image ftp://ftp_username@10.229.24.22/cisco-ftd.7.6.0.113.SPA.csp
Password:

イメージのアップロードの進捗状況をモニタするには、次のコマンドを使用します。

FPR4100 /ssa/app-software # show download-task detail

Downloads for Application Software:

    File Name: cisco-ftd.7.6.0.113.SPA.csp
    Protocol: Ftp
    Server: 10.229.24.22
    Port: 0
    Userid: ftp
    Path:
    Downloaded Image Size (KB): 95040
    Time stamp: 2016-12-11T20:27:47.856
    State: Downloading
    Transfer Rate (KB/s): 47520.000000
    Current Task: downloading image cisco-ftd.7.6.0.113.SPA.csp from 10.229.24.22(FSM-STAGE:sam:dme:ApplicationDownloaderDownload:Local)

ダウンロードが成功したことを確認するには、次のコマンドを使用します。

FPR4100 /ssa/app-software # show download-task

Downloads for Application Software:
    File Name                      Protocol   Server        Port       Userid    State
    ------------------------------ ---------- ------------- ---------- --------- -----
    cisco-ftd.7.6.0.113.SPA.csp    Ftp        10.229.24.22           0 ftp       Downloaded

詳細情報：

KSEC-FPR4100 /ssa/app-software # show download-task fsm status expand

File Name: cisco-ftd.7.6.0.113.SPA.csp

    FSM Status:

        Affected Object: sys/app-catalogue/dnld-cisco-ftd.7.6.0.113.SPA.csp/fsm
        Current FSM: Download
        Status: Success
        Completion Time: 2016-12-11T20:28:12.889
        Progress (%): 100

        FSM Stage:

        Order  Stage Name                               Status       Try
        ------ ---------------------------------------- ------------ ---
        1      DownloadLocal                            Success      1
        2      DownloadUnpackLocal                      Success      1
File Name: Cisco_FTD_SSP_Upgrade-7.6.0-113.sh

シャーシ リポジトリにイメージが表示されます。

KSEC-FPR4100 /ssa/app-software # exit
KSEC-FPR4100 /ssa # show app

Application:
    Name       Version    Description Author     Deploy Type CSP Type    Is Default App
    ---------- ---------- ----------- ---------- ----------- ----------- --------------
    asa        9.6.2.3    N/A         cisco      Native      Application No
    ftd        7.6.0.113  N/A         cisco      Native      Application No

タスク 4.FTD管理およびデータインターフェイスの設定

タスクの要件

FirepowerアプライアンスでFTDの管理インターフェイスとデータインターフェイスを設定し、有効にします。

解決方法

新しいインターフェイスを作成するには、FCMにログインし、Interfacesタブに移動します。現在のインターフェイスが表示されます。新しいポートチャネルインターフェイスを作成するには、図に示すように、Add New > Port Channelボタンを選択します。

ステップ 1：ポートチャネルデータインターフェイスを作成します。

次の図に示すように、新しいポートチャネルインターフェイスを作成します。

Port Channel IDには、1 ～ 47の値を指定します。

注:PortChannel 48はクラスタに使用されます。

検証は、次の図に示すとおりです。

ステップ 2：管理インターフェイスを作成します。

Interfacesタブで、次の図に示すように、インターフェイスを選択し、Editを選択して、管理インターフェイスを設定します。

タスク 5.新しい論理デバイスの作成と設定

タスクの要件

スタンドアロン論理デバイスとしてFTDを作成し、導入します。

解決方法

ステップ 1：論理デバイスを追加します。

Logical Devicesタブに移動し、Add Deviceボタンを選択して、次の図に示すように新しい論理デバイスを作成します。

次の図に示すように、FTDデバイスを設定します。

ステップ 2：論理デバイスをブートストラップします。

論理デバイスを作成すると、Provisioning - device_nameウィンドウが表示されます。次の図に示すように、デバイスアイコンを選択して設定を開始します。

次の図に示すように、FTDのGeneral Informationタブを設定します。

次の図に示すように、FTDのSettingsタブを設定します。

契約に同意したことを確認し、OKを選択します。

ステップ 3：データインターフェイスを割り当てます。

Data Ports領域を展開し、FTDに割り当てる各インターフェイスを選択します。このシナリオでは、次の図に示すように、1つのインターフェイス(Port-channel1)が割り当てられています。

Saveを選択して、設定を終了します。

ステップ 4：インストールプロセスを監視します。

次の図に示すように、FCMのUIから監視される場合のFTDインストールの進行状況を示します。

Firepower CLIからインストールプロセスを監視します。

FPR4100# connect module 1 console 
Telnet escape character is '~'.
Trying 127.5.1.1...
Connected to 127.5.1.1.
Escape character is '~'.

Firepower-module1>show services status all
Services currently running:
Application Type | Identifier | Oper State | Up Since | Instance ID               
---------------- | ---------- | ---------- | -------- | -----------               
ftd (native)     | FPR4125-1  | RUNNING    | 00:01:56 | ftd_001_JAD22360004VWC84030

タスク 6.Cisco Secure Firewall Management Center(FMC)へのFTDの登録

タスクの要件

FMCにFTDを登録します。

解決方法

ステップ 1：FTDとFMCの間の基本的な接続を確認します。

FTDをFMCに登録する前に、FTDとFMCの間の基本的な接続を確認します。

Firepower-module1>connect ftd
Connecting to ftd(FPR4125-1) console... enter exit to return to bootCLI

> ping system 10.62.148.43
PING 10.62.148.43 (10.62.148.43) 56(84) bytes of data.
64 bytes from 10.62.148.43: icmp_seq=1 ttl=63 time=0.254 ms
64 bytes from 10.62.148.43: icmp_seq=2 ttl=63 time=0.283 ms
64 bytes from 10.62.148.43: icmp_seq=3 ttl=63 time=0.217 ms

ブートストラップ設定により、FTDにはマネージャFMCがすでに設定されています。

> show managers
Type                      : Manager
Host                      : 10.62.148.43
Display name              : 10.62.148.43
Identifier                : 10.62.148.43
Registration              : Pending

ステップ 2：FMCにFTDを追加します。

次の図に示すように、FMCでDevices> Device Managementタブに移動し、Add... > Add Deviceの順に移動します。

次の図に示すように、FTDデバイスを設定します。

Registerボタンを選択します。

FMCで、タスクを確認して登録の進行状況を確認します。FMCでは、登録に加えて次の処理も行います。

• FTDデバイスを検出します（現在のインターフェイス設定を取得）。
• 初期ポリシーを展開します。

登録が正常に完了すると、次の図のようになります。

登録で問題が発生した場合は、次のドキュメントを参照してください。

• Firepowerデバイス登録の設定、確認、トラブルシューティング  

関連情報

• FXOS 互換性ガイド
• Cisco Firepower NGFW のドキュメント
• テクニカル サポートとドキュメント - Cisco Systems