Installeer FTD op 4100 Firepower applicaties
Inhoud
Inleiding
Dit document toont aan hoe u de software Cisco Secure Firewall Threat Defence (FTD) op FirePOWER 4100 security applicaties kunt installeren en registreren.
Voorwaarden
Vereisten
Er zijn geen specifieke vereisten van toepassing op dit document.
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Cisco FirePOWER 4125 security applicatie die FXOS 2.16(0.128) en FTD 7.6.0 gebruikt
- Cisco Secure Firewall Management Center voor gebruik van 7.6.0
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
FTD is een geünificeerd software-image dat op deze platforms kan worden geïnstalleerd:
-
Cisco beveiligde firewallapparaten (FPR1xxx, FPR12xx, FPR21xx, FPR31xx, FPR42xx)
-
Firepower security applicaties (FPR41xx en FPR9300)
- 3000 Series industriële security applicaties (ISA)
- Geïntegreerde services router (ISR) module
- Private Cloud:
- VMware (ESXi)
- Op kernen gebaseerde virtuele machine (KVM)
- OpenStack
- Cisco HyperFlex HX
- Publieke cloud:
- Amazon Web Services (AWS)
- Microsoft Azure
- Google Cloud-platform
- Oracle-cloudinfrastructuur
- Nutanix Cloud
- equinix
Configureren
Netwerkdiagram
Taak 1. FTD-softwaredownloads
Ga naar Security > Firewalls > Firewalls van de volgende generatie (NGFW) > Firepower 4100 Series > Firepower 4125 security applicatie en kies Firepower Threat Defense Software zoals in deze afbeelding:
Taak 2. Controleer FXOS-FTD compatibiliteit
Taakvereiste
Controleer of de FXOS-versie die op het chassis draait compatibel is met de FTD-versie die u in de beveiligingsmodule wilt installeren.
Oplossing
Stap 1. Controleer de FXOS-FTD compatibiliteit.
Zorg ervoor dat voordat u een FTD-afbeelding in de module/blade installeert, het Firepower chassis een compatibele FXOS-software gebruikt. Controleer in de FXOS Compatibility Guide de compatibiliteitstabel voor logische apparaten. De minimaal vereiste FXOS-versie voor gebruik van FTD 7.6.0 is 2.16, zoals weergegeven in tabel 1:
Als het FXOS-beeld niet compatibel is met het beoogde FTD-beeld, upgrade dan eerst de FXOS-software.
Controleer het FXOS-beeld
Methode 1. Van Firepower Chassis Manager (FCM) UI - overzichtspagina, zoals in deze afbeelding wordt getoond:
Methode 2. Navigeer naar FCM System > Update page, zoals in deze afbeelding:
Methode 3. Van FXOS CLI:
FPR4125# show fabric-interconnect firmware
Fabric Interconnect A:
Running-Kern-Vers: 5.0(3)N2(4.160.555)
Running-Sys-Vers: 5.0(3)N2(4.160.555)
Package-Vers: 2.16(0.128)
Startup-Kern-Vers: 5.0(3)N2(4.160.555)
Startup-Sys-Vers: 5.0(3)N2(4.160.555)
Act-Kern-Status: Ready
Act-Sys-Status: Ready
Bootloader-Vers:
Taak 3. FTD-afbeelding uploaden naar Firepower applicatie
Taakvereiste
Upload het FTD-beeld naar het FPR4100-chassis.
Oplossing
Methode 1. Upload het FTD-beeld vanuit de FCM UI.
Log in de FPR4100 Chassis Manager en navigeer naar Systeem > Updates tabblad. Kies Afbeelding uploaden om het bestand te uploaden, zoals in deze afbeelding:
Blader naar het FTD-beeldbestand en klik op Upload, zoals in deze afbeelding:
Accepteer de Gebruiksrechtovereenkomst (EULA).
Verificatie vindt plaats zoals in deze afbeelding:
Methode 2. Upload het FTD-beeld vanuit de FXOS CLI.
U kunt de FTD-afbeelding uploaden via FTP, HTTP, HTTPS, Secure Copy (SCP), Secure FTP (SFTP), TFTP of via USB. (In dit voorbeeld wordt FTP gebruikt):
FPR4100# scope ssa
FPR4100 /ssa # scope app-software
FPR4100 /ssa/app-software # download image ?
ftp: Location of the image file
http: Location of the image file
https: Location of the image file
scp: Location of the image file
sftp: Location of the image file
tftp: Location of the image file
usbA: Location of the image file
Voordat de beeldoverdracht wordt gestart, dient u te controleren of de verbinding tussen de interface voor chassisbeheer en de externe server aanwezig is:
FPR4100# connect local-mgmt FPR4100(local-mgmt)# ping 10.229.24.22 PING 10.229.24.22 (10.229.24.22) from 10.62.148.88 eth0: 56(84) bytes of data. 64 bytes from 10.229.24.22: icmp_seq=1 ttl=124 time=0.385 ms 64 bytes from 10.229.24.22: icmp_seq=2 ttl=124 time=0.577 ms 64 bytes from 10.229.24.22: icmp_seq=3 ttl=124 time=0.347 ms
Om de FTD-afbeelding te downloaden navigeer je naar deze scope en gebruik je de opdracht Afbeelding downloaden:
FPR4100# scope ssa FPR4100 /ssa # scope app-software FPR4100 /ssa/app-software # download image ftp://ftp_username@10.229.24.22/cisco-ftd.7.6.0.113.SPA.csp
Password:
U kunt als volgt de voortgang van het uploaden van het image controleren:
FPR4100 /ssa/app-software # show download-task detail
Downloads for Application Software:
File Name: cisco-ftd.7.6.0.113.SPA.csp
Protocol: Ftp
Server: 10.229.24.22
Port: 0
Userid: ftp
Path:
Downloaded Image Size (KB): 95040
Time stamp: 2016-12-11T20:27:47.856
State: Downloading
Transfer Rate (KB/s): 47520.000000
Current Task: downloading image cisco-ftd.7.6.0.113.SPA.csp from 10.229.24.22(FSM-STAGE:sam:dme:ApplicationDownloaderDownload:Local)Gebruik deze opdracht om te controleren of de download geslaagd is:
FPR4100 /ssa/app-software # show download-task
Downloads for Application Software:
File Name Protocol Server Port Userid State
------------------------------ ---------- ------------- ---------- --------- -----
cisco-ftd.7.6.0.113.SPA.csp Ftp 10.229.24.22 0 ftp Downloaded
Voor nadere bijzonderheden:
KSEC-FPR4100 /ssa/app-software # show download-task fsm status expand
File Name: cisco-ftd.7.6.0.113.SPA.csp
FSM Status:
Affected Object: sys/app-catalogue/dnld-cisco-ftd.7.6.0.113.SPA.csp/fsm
Current FSM: Download
Status: Success
Completion Time: 2016-12-11T20:28:12.889
Progress (%): 100
FSM Stage:
Order Stage Name Status Try
------ ---------------------------------------- ------------ ---
1 DownloadLocal Success 1
2 DownloadUnpackLocal Success 1
File Name: Cisco_FTD_SSP_Upgrade-7.6.0-113.shHet beeld wordt getoond in de chassisopslagplaats:
KSEC-FPR4100 /ssa/app-software # exit
KSEC-FPR4100 /ssa # show app Application: Name Version Description Author Deploy Type CSP Type Is Default App ---------- ---------- ----------- ---------- ----------- ----------- -------------- asa 9.6.2.3 N/A cisco Native Application No ftd 7.6.0.113 N/A cisco Native Application No
Taak 4. FTD-beheer en -gegevensinterfaces configureren
Taakvereiste
Beheer- en gegevensinterfaces voor FTD op het FirePOWER-apparaat configureren en inschakelen.
Oplossing
Om een nieuwe interface te maken, logt u in op de FCM en navigeert u naar het tabblad Interfaces. De huidige interfaces zijn zichtbaar. Als u een nieuwe interface voor poortkanaal wilt maken, kiest u de knop Nieuw toevoegen > Poortkanaal, zoals in de afbeelding:
Stap 1. Maak een poortkanaaldatainterface.
Maak een nieuwe poortkanaalinterface, zoals in deze afbeelding:
|
Poortkanaal-id |
1 |
|
Type |
Gegevens |
|
Inschakelen |
Ja |
|
ID van lid |
Ethernet1/2-, Ethernet1/Ethernet3- |
Voor de Port Channel ID, een waarde van 1 tot 47.
Verificatie vindt plaats zoals in deze afbeelding:
Stap 2. Maak een beheerinterface.
Kies in het tabblad Interfaces de interface, selecteer Bewerken en configureer de beheerinterface, zoals in deze afbeelding:
Taak 5. Nieuw logisch apparaat maken en configureren
Taakvereiste
Maak een FTD als een standalone logisch apparaat en implementeer het.
Oplossing
Stap 1. Voeg een logisch apparaat toe.
Navigeer naar het tabblad Logische apparaten en kies de knop Apparaat toevoegen om een nieuw logisch apparaat te maken, zoals in deze afbeelding:
Configureer een FTD-apparaat met de instellingen die in deze afbeelding worden weergegeven:
|
Device Name (Apparaatnaam) |
FPR4125-1 |
|
Modelformulier |
Cisco Secure Firewall-bescherming tegen bedreigingen |
|
Versie afbeelding |
7.6.0.113 |
Stap 2. Bootstrap het logische apparaat.
Nadat u het logische apparaat hebt gemaakt, wordt het venster Provisioning - device_name weergegeven. Kies het apparaatpictogram om de configuratie te starten, zoals in deze afbeelding wordt getoond:
Configureer het tabblad Algemene informatie van de FTD zoals in deze afbeelding wordt weergegeven:
|
Beheerinterface |
Ethernet1/E1 |
|
Adrestype |
Alleen IPv4 |
|
IP-beheer |
10.62.148.226 |
|
Netwerkmasker |
255.255.255.128 |
|
Netwerkgateway |
10.62.148.129 |
Configureer het tabblad FTD-instellingen zoals in deze afbeelding wordt weergegeven:
|
Registratiesleutel |
Cisco |
|
Wachtwoord |
Pa$$w0rd |
|
Cisco Secure Firewall Management Center IP |
10.62.148.43 |
|
Zoeken naar domeinen |
cisco.com |
|
Firewallmodus |
Verstuurd |
|
DNS-servers |
192.168.0.2 |
|
Volledig gekwalificeerde Hostname |
FPR4125-1.cisco.com |
|
Event-interface |
- |
Zorg ervoor dat de overeenkomst is geaccepteerd en selecteer OK.
Stap 3. Wijs de Data Interfaces toe.
Breid het gebied Data Ports uit en kies elke interface om toe te wijzen aan FTD. In dit scenario is één interface (Port-channel1) toegewezen, zoals in deze afbeelding:
Kies Opslaan om de configuratie te voltooien.
Stap 4. Controleer het installatieproces.
Dit is hoe de FTD-installatie vordert wanneer deze wordt bewaakt vanuit de FCM UI, zoals wordt getoond in deze beelden:
Bewaak het installatieproces vanaf de Firepower CLI:
FPR4100# connect module 1 console
Telnet escape character is '~'.
Trying 127.5.1.1...
Connected to 127.5.1.1.
Escape character is '~'.
Firepower-module1>show services status all
Services currently running:
Application Type | Identifier | Oper State | Up Since | Instance ID
---------------- | ---------- | ---------- | -------- | -----------
ftd (native) | FPR4125-1 | RUNNING | 00:01:56 | ftd_001_JAD22360004VWC84030
Taak 6. Registreer FTD in het Cisco Secure Firewall Management Center (FMC)
Taakvereiste
Registreer FTD in het VCC.
Oplossing
Stap 1. Controleer de basisconnectiviteit tussen het FTD en het FMC.
Alvorens het FTD bij het FMC te registreren, moet u de basisconnectiviteit tussen het FTD en het FMC controleren:
Firepower-module1>connect ftd
Connecting to ftd(FPR4125-1) console... enter exit to return to bootCLI
> ping system 10.62.148.43
PING 10.62.148.43 (10.62.148.43) 56(84) bytes of data.
64 bytes from 10.62.148.43: icmp_seq=1 ttl=63 time=0.254 ms
64 bytes from 10.62.148.43: icmp_seq=2 ttl=63 time=0.283 ms
64 bytes from 10.62.148.43: icmp_seq=3 ttl=63 time=0.217 ms
Wegens bootstrap configuratie, FTD heeft de manager FMC reeds gevormd:
> show managers
Type : Manager
Host : 10.62.148.43
Display name : 10.62.148.43
Identifier : 10.62.148.43
Registration : Pending
Stap 2. Voeg het FTD toe aan het VCC.
Navigeer in het VCC naar het tabblad Apparaten> Apparaatbeheer en navigeer naar Add... > Add Device, zoals in deze afbeelding wordt getoond:
Configureer de instellingen van het FTD-apparaat, zoals aangegeven in deze afbeelding:
Kies de knop Registreren.
Controleer in het VCC de taken om te zien hoe de registratie verloopt. Behalve de registratie moet het VCC ook:
- Ontdekt het FTD-apparaat (haal huidige interfaceconfiguratie op).
- Stelt het initiële beleid in.
De registratie is geslaagd, zoals in deze afbeelding wordt weergegeven:
Als u problemen ondervindt met de registratie, raadpleegt u dit document:
Gerelateerde informatie
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
5.0 |
14-Mar-2025
|
Bijgewerkte SW versie en screenshots. Geredigeerde alternatieve tekst. |
4.0 |
06-Sep-2024
|
Bijgewerkte opmaak, spatiëring, stijl. |
3.0 |
16-Aug-2023
|
Bijgewerkt PII, machinevertaling, Stijl Vereisten, MDF-tags en Opmaak. |
2.0 |
20-Jul-2022
|
Hercertificering |
1.0 |
01-Nov-2017
|
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)