A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este original descreve como instalar e distribuir o software de Cisco FirePOWER em uma plataforma da lâmina da série do Cisco Unified Computing System E (UCS-E) no modo do sistema de detecção de intrusões (IDS). O exemplo de configuração que é descrito neste original é um suplemento ao Guia do Usuário oficial.
Não existem requisitos específicos para este documento.
As informações neste documento são baseadas nestas versões de software e hardware:
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se sua rede está viva, assegure-se de que você compreenda o impacto potencial do comando any.
Note: Antes que você promova o código à versão 3.14 ou mais recente, assegure-se de que o sistema tenha a memória suficiente, o espaço de disco, e uma licença para a elevação. Refira o exemplo 1: Copie a imagem para piscar: da seção do servidor TFTP do documento Cisco dos procedimentos de upgrade de software dos roteadores de acesso a fim aprender mais sobre upgrades de código.
Note: A fim promover o CIMC, BIOS, e outros componentes de firmware, você pode usar ou Cisco hospeda a utilidade da elevação (HUU), ou você pode promover os componentes de firmware manualmente. A fim aprender mais sobre a upgrade de firmware, refira o melhoramento do firmware na seção dos server das E-séries de Cisco UCS do Guia do Usuário de serviço público da elevação do host para server das E-séries de Cisco UCS e o motor do cálculo da rede das E-séries de Cisco UCS.
Esta seção fornecem a informação sobre as Plataformas de hardware suportado, as licenças, e as limitações com respeito aos componentes e aos procedimentos que são descritos neste original.
Esta seção alista as Plataformas de hardware suportado para o G2 e os dispositivos do 4000 Series.
Estes dispositivos do G2 Series ISR com as lâminas da série UCS-E são apoiados:
Produto | Platform | Modelo UCS-E |
Cisco 2900 Series ISR | 2911 | Única opção larga UCS-E 120/140 |
2921 | Opção larga simples ou duplo UCS-E 120/140/160/180 | |
2951 | Opção larga simples ou duplo UCS-E 120/140/160 | |
Cisco 3900 Series ISR | 3925 | UCS-E única e opção larga dobro de 120/140/160 ou 180 largos dobro |
3925E | UCS-E única e opção larga dobro de 120/140/160 ou 180 largos dobro | |
3945 | UCS-E única e opção larga dobro de 120/140/160 ou 180 largos dobro | |
3945E | UCS-E única e opção larga dobro de 120/140/160 ou 180 largos dobro |
Estes dispositivos do 4000 Series ISR com as lâminas da série UCS-E são apoiados:
Produto | Platform | Modelo UCS-E |
Cisco 4400 Series ISR | 4451 | UCS-E única e opção larga dobro de 120/140/160 ou 180 largos dobro |
4431 | Módulo de interface de rede UCS-E | |
Cisco 4300 Series ISR | 4351 | UCS-E única e opção larga dobro de 120/140/160/180 ou 180 largos dobro |
4331 | Única opção larga UCS-E 120/140 | |
4321 | Módulo de interface de rede UCS-E |
O ISR deve ter uma licença da Segurança K9, assim como uma licença do appx, a fim permitir o serviço.
Estão aqui as duas limitações a propósito da informação que é descrita neste original:
Os BDI não apoiam estas características:
Note: Para um BDI, o tamanho da unidade de transmissão máxima (MTU) pode ser configurado com qualquer valor entre 1,500 e 9,216 bytes.
Esta seção descreve como configurar os componentes que são envolvidos com este desenvolvimento.
A configuração que é descrita neste original usa esta topologia de rede:
Estão aqui os trabalhos para os serviços de FirePOWER que são executado em um UCS-E:
Esta seção descreve como configurar o CIMC.
Há umas formas múltiplas conectar ao CIMC. Neste exemplo, a conexão ao CIMC é terminada através de uma porta do gerenciamento dedicado. Assegure-se de que você conecte a porta M (dedicada) à rede com o uso de um cabo do Ethernet. Uma vez que conectado, execute o comando do subslot do módulo HW da alerta de roteador:
ISR-4451#hw-module subslot 2/0 session imc
IMC ACK: UCSE session successful for IMC
Establishing session connect to subslot 2/0
To exit, type ^a^q
picocom v1.4
port is : /dev/ttyDASH1
flowcontrol : none
baudrate is : 9600
parity is : none
databits are : 8
escape is : C-a
noinit is : no
noreset is : no
nolock is : yes
send_cmd is : ascii_xfr -s -v -l10
receive_cmd is : rz -vv
Terminal ready
Ponta 1: A fim retirar, execute ^a^q.
Ponta 2: O nome de usuário padrão é <password> admin e de senha. O processo de reinicialização da senha é descrito aqui: https://www.cisco.com/c/en/us/td/docs/unified_computing/ucs/e/3-1-1/gs/guide/b_Getting_Started_Guide/b_3_x_Getting_Started_Guide_appendix_01011.html#GUID-73551F9A-4C79-4692-838A-F99C80E20A28
Use esta informação a fim terminar a configuração do CIMC:
Unknown# scope cimc
Unknown /cimc # scope network
Unknown /cimc/network # set dhcp-enabled no
Unknown /cimc/network *# set dns-use-dhcp no
Unknown /cimc/network *# set mode dedicated
Unknown /cimc/network *# set v4-addr 172.16.1.8
Unknown /cimc/network *# set v4-netmask 255.255.255.0
Unknown /cimc/network *# set v4-gateway 172.16.1.1
Unknown /cimc/network *# set preferred-dns-server 64.102.6.247
Unknown /cimc/network *# set hostname 4451-UCS-E
Unknown /cimc/network *# commit
Cuidado: Assegure-se de que você execute o comando commit a fim salvar as mudanças.
Note: O modo está ajustado dedicado quando a porta de gerenciamento é usada.
Execute o comando detail da mostra a fim verificar os ajustes do detalhe:
4451-UCS-E /cimc/network # show detail
Network Setting:
IPv4 Address: 172.16.1.8
IPv4 Netmask: 255.255.255.0
IPv4 Gateway: 172.16.1.1
DHCP Enabled: no
Obtain DNS Server by DHCP: no
Preferred DNS: 64.102.6.247
Alternate DNS: 0.0.0.0
VLAN Enabled: no
VLAN ID: 1
VLAN Priority: 0
Hostname: 4451-UCS-E
MAC Address: E0:2F:6D:E0:F8:8A
NIC Mode: dedicated
NIC Redundancy: none
NIC Interface: console
4451-UCS-E /cimc/network #
Lance a interface da WEB do CIMC de um navegador com o nome de usuário padrão e da senha segundo as indicações da imagem. O nome de usuário padrão e a senha são:
Depois que você registra na interface do utilizador do CIMC, você pode ver uma página similar àquela mostrada nesta imagem. Clique o ícone do console do lançamento KVM, o clique adiciona a imagem, e traça então o ESXi ISO como os media virtuais:
Clique a aba dos Meios virtuais, e clique-a então adicionam a imagem a fim traçar os media virtuais segundo as indicações da imagem.
Depois que o media virtual é traçado, clique o server do ciclo da potência do ciclo de energia do Home Page CIMC o UCS-E. A instalação de ESXi lança-se dos media virtuais. Termine o ESXi instalam.
Note: Grave o endereço IP de Um ou Mais Servidores Cisco ICM NT de ESXi, o username, e a senha para a referência futura.
Esta seção descreve como instalar o cliente do vSphere.
Lance ESXi e use o link do cliente de VSphere da transferência a fim transferir o cliente do vSphere. Instale-o em seu computador.
Lance o cliente do vSphere de seu computador. Entre com o nome de usuário e senha que você criou durante a instalação e segundo as indicações da imagem:
Termine os procedimentos que são descritos no desenvolvimento do centro de gerenciamento de FireSIGHT no documento Cisco de VMware ESXi a fim distribuir um centro de gerenciamento de FireSIGHT no ESXi.
Note: O processo que é usado a fim distribuir um dispositivo de FirePOWER NGIPSv é similar ao processo que é usado a fim distribuir um centro de gerenciamento.
No UCS-E dual-wide, há quatro relações:
No UCS-E single-wide, há três relações:
Ambas as relações UCS-E no ISR4K são portas de tronco.
Os UCS-E 120S e 140S têm o adaptador de rede três mais portas de gerenciamento:
Os UCS-E 140D, 160D, e 180D têm quatro adaptadores de rede:
O vSwitch0 no ESXi é a interface de gerenciamento através de que o ESXi, o centro de gerenciamento de FireSIGHT, e o dispositivo de FirePOWER NGIPSv se comunicam à rede. Propriedades do clique para o vSwitch1 (SF-dentro de) e o vSwitch2 (SF-parte externa) a fim fazer a alguns mudanças.
Esta imagem mostra as propriedades do vSwitch1 (você deve terminar as mesmas etapas para o vSwitch2):
Note: Assegure-se de que o ID de VLAN esteja configurado a 4095 para NGIPSv, isto está exigido de acordo com o original de NGIPSv: http://www.cisco.com/c/en/us/td/docs/security/firepower/60/quick_start/ngips_virtual/NGIPSv-quick/install-ngipsv.html
A configuração do vSwtich no ESXi está completa. Agora você deve verificar os ajustes da relação:
Termine os procedimentos que são descritos no documento Cisco a fim registrar um dispositivo de FirePOWER com um centro de gerenciamento de FireSIGHT.
Use esta seção para confirmar se a sua configuração funciona corretamente.
Esta seção descreve como reorientar o tráfego e como verificar os pacotes.
Use esta informação a fim reorientar o tráfego:
interface GigabitEthernet0/0/1
ip address dhcp
negotiation auto
!
interface ucse2/0/0
no ip address
no negotiation auto
switchport mode trunk
no mop enabled
no mop sysid
service instance 1 ethernet
encapsulation untagged
bridge-domain 1
!
interface BDI1
ip unnumbered GigabitEthernet0/0/1
end
!
utd
mode ids-global
ids redirect interface BDI1
Note: Se você executa atualmente a versão 3.16.1 ou mais recente, execute o comando avançado motor use até esgotar em vez do comando use até esgotar.
Do console ISR, execute este comando a fim verificar se os contadores de pacote de informação incrementam:
cisco-ISR4451# show plat hardware qfp active feature utd stats
Drop Statistics:
Stats were all zero
General Statistics:
Pkts Entered Policy 6
Pkts Entered Divert 6
Pkts Entered Recycle Path 6
Pkts already diverted 6
Pkts replicated 6
Pkt already inspected, policy check skipped 6
Pkt set up for diversion 6
Você pode executar estes comandos show a fim verificar que sua configuração trabalha corretamente:
Esta seção fornece informações que você pode usar na solução de problemas de sua configuração.
Você pode executar estes comandos debug a fim pesquisar defeitos sua configuração: