보안 모듈/엔진 관리

FXOS 보안 모듈/보안 엔진 정보

Firepower Chassis Manager의 Security Modules/Security Engine(보안 모듈/보안 엔진 정보) 페이지에서 보안 모듈/엔진의 상태를 보고 보안 모듈/엔진에서 다양한 기능을 수행할 수 있습니다.

Security Modules/Security Engine(보안 모듈/보안 엔진) 페이지에서는 다음 정보를 제공합니다.

  • Hardware State(하드웨어 상태) - 보안 모듈/엔진 하드웨어의 상태를 보여줍니다.

    • Up(가동) - 보안 모듈/엔진의 전원이 성공적으로 켜졌으며 보안 모듈/엔진에 연결된 논리적 디바이스가 없는 경우에도 에 하드웨어 결함이 표시되지 않습니다.

    • Booting Up(부팅 중) - 보안 모듈/엔진의 전원을 켜는 중입니다.

    • Restarting(재시작) - 보안 모듈/엔진이 재시작되는 중입니다.

    • Down(중단) - 보안 모듈/엔진의 전원이 켜지지 않았거나, 하드웨어 장애 때문에 보안 모듈/엔진을 성공적으로 시작할 수 없습니다.

    • Mismatch(불일치) - 보안 모듈이 해제되었거나 슬롯에 새 보안 모듈이 설치되었습니다. Acknowledge(확인) 기능을 사용하여 보안 모듈을 작동 상태로 되돌립니다.

    • Empty(비어 있음) - 보안 모듈이 해당 슬롯에 설치되어 있지 않습니다.

  • Service State(서비스 상태) - 보안 모듈/엔진에서 소프트웨어의 상태를 보여줍니다.

    • Not-available(사용 불가) - 보안 모듈이 섀시 슬롯에서 제거되었습니다. 보안 모듈을 정상적인 작동 상태로 전환하려면 다시 설치합니다.

    • Online(온라인) - 보안 모듈/엔진이 설치되었고 정상 작동 모드에 있습니다.

    • Not Responding(응답 없음) - 보안 모듈/엔진이 응답하지 않습니다.

    • Token Mismatch(토큰 불일치) - 전에 구성된 것이 아닌 보안 모듈이 섀시 슬롯에 설치되었음을 나타냅니다. 또한 소프트웨어 설치 오류로 인해 발생할 수도 있습니다. 보안 모듈을 작동 상태로 전환하려면 Reinitialize(다시 초기화) 기능을 사용합니다.

    • Fault(장애) - 보안 모듈/엔진이 장애 상태에 있습니다. 결함 상태를 일으킬 수 있는 것에 대해 자세히 알아보려면 시스템 결함 목록을 검토하십시오. 결함의 정보 아이콘에 마우스를 올려 추가 정보를 확인할 수도 있습니다.

    보안 모듈 결함

    • Failsafe Mode(페일세이프 모드) - 보안 모듈이 페일세이프 모드입니다. 이 모드에서는 애플리케이션 시작이 차단됩니다. 트러블슈팅하거나 페일세이프 모드를 비활성화하려면 보안 모듈에 연결합니다. 앱 인스턴스를 삭제할 수도 있습니다.

    • HDD Error(HDD 오류) - 보안 모듈 디스크 드라이브에 오류가 있습니다. 디스크 드라이브가 있는지 확인하고 결함이 해결되지 않으면 결함이 있는 디스크 드라이브를 교체합니다.

    • Filesystem Error(파일 시스템 오류) - 보안 모듈의 디스크 파티션이 호환되지 않습니다. 보안 모듈을 리부팅하면 결함이 복구될 수도 있습니다. 결함이 지속되면 외부 디바이스에 데이터를 백업한 후 슬롯을 다시 초기화하십시오.

    • Format Failure(포맷 장애) - 보안 모듈 디스크 드라이브에서 자동 포맷 시 장애가 발생했습니다. 보안 모듈을 다시 초기화하여 다시 포맷하십시오.

  • Power(전원) - 보안 모듈/엔진의 전원 상태를 보여줍니다.

    • On(켜짐) - 보안 모듈/엔진의 전원 상태를 전환하려면 전원 끄기/켜기 기능을 사용합니다.

    • Off(꺼짐) - 보안 모듈/엔진의 전원 상태를 전환하려면 전원 끄기/켜기 기능을 사용합니다.

  • Application(애플리케이션) - 보안 모듈/엔진에 설치된 논리적 디바이스 유형을 보여줍니다.

Firepower Chassis Manager의 Security Modules/Security Engine(보안 모듈/보안 엔진) 페이지에서 보안 모듈/엔진에 대해 다음 기능을 수행할 수 있습니다.

  • Decommission(해제, 보안 모듈만 해당) - 보안 모듈을 해제하면 보안 모듈이 유지 관리 모드로 전환됩니다. 또한 특정 오류상태를 수정하려면 보안 모듈을 해제한 후 승인할 수도 있습니다. 보안 모듈 해제을 참조하십시오.

  • Acknowledge(확인) - 새로 설치된 보안 모듈을 온라인 상태로 전환합니다. 보안 모듈/엔진 승인을 참조하십시오.

  • Power Cycle(전력 사이클) 보안 모듈/엔진을 재시작합니다. 보안 모듈/엔진 전원 껐다 켜기을 참조하십시오.

  • Reinitialize(다시 초기화) - 보안 모듈/엔진 하드 디스크를 다시 포맷하여 모든 구축된 애플리케이션과 구성을 보안 모듈/엔진에서 제거한 다음 시스템을 다시 시작합니다. 다시 초기화를 완료한 후, 보안 모듈/엔진에 대해 논리적 디바이스가 구성되어 있으면 FXOS에서는 애플리케이션 소프트웨어를 다시 설치하고, 논리적 디바이스를 재구축하고, 애플리케이션을 자동으로 시작합니다. 보안 모듈/엔진 확인 다시 초기화을 참조하십시오.


    경고

    보안 모듈/엔진의 모든 애플리케이션 데이터는 다시 초기화하는 동안 삭제됩니다. 보안 모듈/엔진을 다시 초기화하기 전에 모든 애플리케이션 데이터를 백업하십시오.

  • 전원 끄기/켜기 - 보안 모듈/엔진의 전원 상태를 전환합니다. 보안 모듈/엔진 전원 껐다 켜기의 내용을 참조하십시오.

보안 모듈 해제

보안 모듈을 해제하면, 보안 모듈 객체가 구성에서 삭제되고 보안 모듈은 관리되지 않는 상태가 됩니다. 보안 모듈에서 실행되는 모든 논리적 디바이스 또는 소프트웨어는 비활성 상태가 됩니다.

보안 모듈의 사용을 일시적으로 중단하려는 경우 보안 모듈을 해제할 수 있습니다.

프로시저

단계 1

Security Modules(보안 모듈)를 선택하여 Security Modules(보안 모듈) 페이지를 엽니다.

단계 2

보안 모듈을 해제하려면 해당 보안 모듈에 대해 Decommission(디커미션)을 클릭합니다.

단계 3

Yes(예)를 클릭하여 지정된 보안 모듈의 해제 또는 재위임을 확인합니다.

보안 모듈/엔진 승인

새 보안 모듈을 섀시에 설치하거나 기존 모듈을 PID(제품 ID)가 다른 모듈로 교체하는 경우 보안 모듈 사용을 시작하려면 해당 모듈을 승인해야 합니다.

보안 모듈의 상태가 "mismatch(불일치)" 또는 "token mismatch(토큰 불일치)"로 표시되는 경우 슬롯에 설치된 보안 모듈에 이전에 슬롯에 설치되었던 것과 일치하지 않는 데이터가 있는 것입니다. 보안 모듈에 기존의 데이터가 있고 이것을 새 슬롯에서 사용하려는 경우(다시 말하면, 보안 모듈을 실수로 잘못된 슬롯에 설치한 것이 아닌 경우), 여기에 논리적 디바이스를 구축하려면 먼저 보안 모듈을 다시 초기화해야 합니다.

프로시저

단계 1

Security Modules/Security Engine(보안 모듈/보안 엔진)을 선택하여 Security Modules/Security Engine(보안 모듈/보안 엔진) 페이지를 엽니다.

단계 2

확인할 보안 모듈/엔진에 대해 Acknowledge(확인)를 클릭합니다.

단계 3

Yes(예)를 클릭하여 지정된 보안 모듈/엔진을 확인합니다.

보안 모듈/엔진 전원 껐다 켜기

다음 단계에 따라 보안 모듈/엔진의 전원을 껐다가 켭니다.

프로시저

단계 1

Security Modules/Security Engine(보안 모듈/보안 엔진)을 선택하여 Security Modules/Security Engine(보안 모듈/보안 엔진) 페이지를 엽니다.

단계 2

재부팅하려는 보안 모듈/엔진에 대해 Power Cycle(전원 주기)를 클릭합니다.

단계 3

다음 중 하나를 수행합니다.

  • 지정된 보안 모듈/엔진의 전원을 껐다가 켜기 전에 시스템이 보안 모듈/엔진에서 실행 중인 애플리케이션을 셧다운하도록 최대 5분간 기다리려면 Safe Power Cycle(안전하게 전원 껐다 켜기)을 클릭합니다.

  • 시스템이 지정된 보안 모듈/엔진을 즉시 껐다가 켜려면 Power Cycle Immediately(즉시 전원 껐다 켜기)를 클릭합니다.

보안 모듈/엔진 확인 다시 초기화

보안 모듈/엔진을 다시 초기화하면 보안 모듈/엔진 하드 디스크가 포맷되고 설치된 모든 애플리케이션 인스턴스, 구성 및 데이터가 제거됩니다. 다시 초기화를 완료한 후, 보안 모듈/엔진에 대해 논리적 디바이스가 구성되어 있으면 FXOS에서는 애플리케이션 소프트웨어를 다시 설치하고, 논리적 디바이스를 재구축하고, 애플리케이션을 자동으로 시작합니다.


경고

보안 모듈/엔진의 모든 애플리케이션 데이터는 다시 초기화하는 동안 삭제됩니다. 보안 모듈/엔진을 다시 초기화하기 전에 모든 애플리케이션 데이터를 백업하십시오.

프로시저

단계 1

Security Modules/Security Engine(보안 모듈/보안 엔진)을 선택하여 Security Modules/Security Engine(보안 모듈/보안 엔진) 페이지를 엽니다.

단계 2

다시 초기화할 보안 모듈/엔진에 대해 Reinitialize(다시 초기화)를 클릭합니다.

단계 3

Yes(예)를 클릭하여 지정된 보안 모듈/엔진의 다시 초기화를 확인합니다.

보안 모듈/엔진이 다시 시작되고 보안 모듈의 모든 데이터가 삭제됩니다. 이 작업은 몇 분 정도 걸릴 수 있습니다.

네트워크 모듈 승인

섀시에 새 네트워크 모듈을 설치되거나 기존 모듈을 제품 ID(PID)가 다른 모듈로 교체하면 사용을 시작하기 전에 네트워크 모듈을 승인해야 합니다.

프로시저

단계 1

scope fabric-interconnect 모드를 입력합니다. 


                  scope fabric-interconnect
단계 2

새 모듈을 설치하거나 네트워크 모듈을 유형이 다른(즉, PID가 다른) 다른 모듈로 교체한 후 acknowledge(승인) 명령을 입력하십시오. 


                  acknowledge

예:

FPR1 /fabric-interconnect # acknowledge 
  fault  Fault 
  slot   Card Config Slot Id  <======
단계 3

삽입된 슬롯을 승인할 acknowledge slot(승인 슬롯) 을 입력합니다. 


                  acknowledge slot

예:

FPR1 /fabric-interconnect # acknowledg slot 2 
  0-4294967295  Slot Id
단계 4

구성을 커밋합니다.

commit-buffer

네트워크 모듈 오프라인 또는 온라인 설정

CLI 명령을 사용하여 네트워크 모듈을 오프라인으로 설정하거나 다시 온라인으로 설정하려면 다음 단계를 수행합니다. 이는 모듈 OIR(온라인 삽입 및 제거) 수행 시 예로 사용된 단계입니다.


참고

  • 네트워크 모듈을 제거하고 교체하는 경우 장치에 적절한 설치 가이드의 "유지 보수 및 업그레이드" 장의 지침을 따르십시오. https://www.cisco.com/c/en/us/support/security/firepower-ngfw/products-installation-guides-list.html를 참조하십시오.

  • 8 포트 1G Copper FTW 네트워크 모듈(FPR-NM-8X1G-F FTW)에서 네트워크 모듈 온라인 삽입 및 제거(OIR)를 수행하는 경우, 이 절차를 사용하여 카드를 온라인 상태로 전환할 때까지 네트워크 모듈 LED가 꺼진 상태로 유지됩니다. 먼저 LED가 황색으로 깜박인 다음 네트워크 모듈이 검색되고 애플리케이션이 온라인 상태가 되면 녹색으로 변경됩니다.


참고

FTW 네트워크 모듈을 제거하고 슬롯을 승인하면 네트워크 모듈 포트가 FTD 논리적 디바이스에서 삭제됩니다. 이 경우 네트워크 모듈을 다시 삽입하기 전에 FMC를 사용하여 하드웨어 우회 인라인 집합 구성을 삭제해야 합니다. 네트워크 모듈을 다시 삽입한 후에는 다음을 수행해야 합니다.

  • Firepower Chassis Manager 또는 FXOS CLI(Command Line Interface)를 사용하여 네트워크 모듈 포트를 온라인 관리 상태로 구성합니다.

  • 네트워크 모듈 포트를 FTD 논리적 디바이스에 추가하고 FMC를 사용하여 포트를 재구성합니다.

슬롯을 승인하지 않고 네트워크 모듈을 제거하면, 인라인 집합 구성이 유지되고 포트가 FMC에 down(다운)으로 표시됩니다. 네트워크 모듈을 다시 삽입하면, 이전 구성이 복원됩니다.

인라인 집합의 하드웨어 우회에 대한 자세한 내용은 하드웨어 바이패스 쌍을 참조하십시오.

프로시저

단계 1

모듈을 오프라인으로 설정하려면 다음 명령을 사용하여 /fabric-interconnect 모드를 시작한 다음 /card 모드를 시작합니다. 

scope fabric-interconnect a
scope card ID
단계 2

show detail 명령을 사용하면 현재 상태를 비롯하여 이 카드에 대한 정보를 볼 수 있습니다.

단계 3

모듈을 오프라인으로 설정하려면 다음을 입력합니다. 

set adminstate offline
단계 4

구성 변경 사항을 저장하려면 commit-buffer 명령을 입력합니다.

모듈이 오프라인 상태인지 확인하려면 show detail 명령을 다시 사용할 수 있습니다.

단계 5

네트워크 모듈을 다시 온라인 상태로 설정하려면 다음을 입력합니다. 

set adminstate online
commit-buffer
 

FP9300-A# scope fabric-interconnect a
FP9300-A /fabric-interconnect # scope card 2
FP9300-A /fabric-interconnect/card # show detail 

Fabric Card:
    Id: 2
    Description: Firepower 4x40G QSFP NM
    Number of Ports: 16
    State: Online
    Vendor: Cisco Systems, Inc.
    Model: FPR-NM-4X40G
    HW Revision: 0
    Serial (SN): JAD191601DE
    Perf: N/A
    Admin State: Online
    Power State: Online
    Presence: Equipped
    Thermal Status: N/A
    Voltage Status: N/A
FP9300-A /fabric-interconnect/card # set adminstate offline 
FP9300-A /fabric-interconnect/card* # commit-buffer 
FP9300-A /fabric-interconnect/card # show detail 

Fabric Card:
    Id: 2
    Description: Firepower 4x40G QSFP NM
    Number of Ports: 16
    State: Offline
    Vendor: Cisco Systems, Inc.
    Model: FPR-NM-4X40G
    HW Revision: 0
    Serial (SN): JAD191601DE
    Perf: N/A
    Admin State: Offline
    Power State: Off
    Presence: Equipped
    Thermal Status: N/A
    Voltage Status: N/A
FP9300-A /fabric-interconnect/card #

블레이드 상태 모니터링

Failsafe는 블레이드에서 예기치 않은 애플리케이션 재시작이 지정된 횟수만큼 탐지되면 보안 모듈 또는 엔진에서 무한 부트 루프 상태를 방지하기 위해 작동하며, 이로 인해 이중화 HA 또는 클러스터 구축에서 추가 부작용이 발생할 수 있습니다.

블레이드 플랫폼은 주기적으로 상태 확인을 수행하여 MIO에 보고합니다. 블레이드가 실패 상태인 경우 결함 및 오류 메시지가 표시됩니다.

결함 및 오류 메시지

블레이드에 문제가 있는 경우 플랫폼의 Overview(개요) 페이지에서 결함 및 오류 메시지를 볼 수 있습니다.

  • Overview(개요) 페이지 - 보안 모듈에 작동 상태가 Fault(결함)인 결함 기호가 표시됩니다.

  • Security Module(보안 모듈) 페이지 - 블레이드의 Service State(서비스 상태)가 Fault(결함)로 표시됩니다. 마우스를 올려놓으면 'i' 아이콘에 오류 메시지가 표시됩니다.

  • Logical Devices(논리적 디바이스) 페이지 - 논리적 디바이스를 사용할 수 있고 보안 모듈에 결함이 있는 경우 마우스를 올려놓으면 "i" 아이콘에 오류 메시지가 표시됩니다.


참고

FXOS CLI에서 failsafe 설정을 구성하고 관리할 수 있습니다.