在4100 Firepower设备上安装FTD
简介
本文档说明如何在Firepower 4100安全设备上安装和注册思科安全防火墙威胁防御(FTD)软件。
先决条件
要求
本文档没有任何特定的要求。
使用的组件
本文档中的信息基于以下软件和硬件版本:
- 思科Firepower 4125安全设备,运行FXOS 2.16(0.128)和FTD 7.6.0
- 运行7.6.0的思科安全防火墙管理中心
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
FTD是可在以下平台上安装的统一软件映像:
-
思科安全防火墙设备(FPR1xxx、FPR12xx、FPR21xx、FPR31xx、FPR42xx)
-
Firepower安全设备(FPR41xx和FPR9300)
- 3000系列工业安全设备(ISA)
- 集成服务路由器(ISR)模块
- 私有云:
- VMware(ESXi)
- 基于内核的虚拟机(KVM)
- OpenStack
- 思科HyperFlex
- 公共云:
- Amazon Web Services(AWS)
- Microsoft Azure
- Google云平台
- Oracle云基础架构
- Nutanix云
- Equinix
配置
网络图
任务1. FTD软件下载
导航到安全>防火墙>下一代防火墙(NGFW)> Firepower 4100系列> Firepower 4125安全设备,然后选择Firepower威胁防御软件,如下图所示:
任务2.验证FXOS-FTD兼容性
任务要求
验证机箱上运行的FXOS版本与要在安全模块中安装的FTD版本兼容。
解决方案
步骤1.检查FXOS-FTD兼容性。
将FTD映像安装到模块/刀片之前,请确保Firepower机箱运行兼容的FXOS软件。在《FXOS兼容性指南》中,检查逻辑设备兼容性表。运行FTD 7.6.0所需的最低FXOS版本为2.16,如表1所示:
如果FXOS映像与目标FTD映像不兼容,请先升级FXOS软件。
验证FXOS映像
方法1.从Firepower机箱管理器(FCM)UI概述页面,如下图所示:
方法2.导航到FCM System > Update页,如下图所示:
方法3.从FXOS CLI:
FPR4125# show fabric-interconnect firmware
Fabric Interconnect A:
Running-Kern-Vers: 5.0(3)N2(4.160.555)
Running-Sys-Vers: 5.0(3)N2(4.160.555)
Package-Vers: 2.16(0.128)
Startup-Kern-Vers: 5.0(3)N2(4.160.555)
Startup-Sys-Vers: 5.0(3)N2(4.160.555)
Act-Kern-Status: Ready
Act-Sys-Status: Ready
Bootloader-Vers:
任务3.将FTD映像上传到Firepower设备
任务要求
将FTD映像上传到FPR4100机箱。
解决方案
方法1.从FCM UI上传FTD映像。
登录到FPR4100机箱管理器,然后导航到System > Updates选项卡。选择Upload Image上传文件,如下图所示:
浏览选择FTD映像文件,然后单击Upload,如下图所示:
接受最终用户许可协议(EULA)。
验证如下图所示:
方法2.从FXOS CLI上传FTD映像。
可以从FTP、HTTP、HTTPS、安全复制(SCP)、安全FTP(SFTP)、TFTP或通过USB上传FTD映像。(在本示例中,使用FTP):
FPR4100# scope ssa
FPR4100 /ssa # scope app-software
FPR4100 /ssa/app-software # download image ?
ftp: Location of the image file
http: Location of the image file
https: Location of the image file
scp: Location of the image file
sftp: Location of the image file
tftp: Location of the image file
usbA: Location of the image file
在映像传输开始之前,验证机箱管理接口和远程服务器之间的连接:
FPR4100# connect local-mgmt FPR4100(local-mgmt)# ping 10.229.24.22 PING 10.229.24.22 (10.229.24.22) from 10.62.148.88 eth0: 56(84) bytes of data. 64 bytes from 10.229.24.22: icmp_seq=1 ttl=124 time=0.385 ms 64 bytes from 10.229.24.22: icmp_seq=2 ttl=124 time=0.577 ms 64 bytes from 10.229.24.22: icmp_seq=3 ttl=124 time=0.347 ms
要下载FTD映像,请导航到此范围并使用download image命令:
FPR4100# scope ssa FPR4100 /ssa # scope app-software FPR4100 /ssa/app-software # download image ftp://ftp_username@10.229.24.22/cisco-ftd.7.6.0.113.SPA.csp
Password:
要监控图像上传进度,请执行以下操作:
FPR4100 /ssa/app-software # show download-task detail
Downloads for Application Software:
File Name: cisco-ftd.7.6.0.113.SPA.csp
Protocol: Ftp
Server: 10.229.24.22
Port: 0
Userid: ftp
Path:
Downloaded Image Size (KB): 95040
Time stamp: 2016-12-11T20:27:47.856
State: Downloading
Transfer Rate (KB/s): 47520.000000
Current Task: downloading image cisco-ftd.7.6.0.113.SPA.csp from 10.229.24.22(FSM-STAGE:sam:dme:ApplicationDownloaderDownload:Local)使用以下命令验证下载是否成功:
FPR4100 /ssa/app-software # show download-task
Downloads for Application Software:
File Name Protocol Server Port Userid State
------------------------------ ---------- ------------- ---------- --------- -----
cisco-ftd.7.6.0.113.SPA.csp Ftp 10.229.24.22 0 ftp Downloaded
有关其他详细信息:
KSEC-FPR4100 /ssa/app-software # show download-task fsm status expand
File Name: cisco-ftd.7.6.0.113.SPA.csp
FSM Status:
Affected Object: sys/app-catalogue/dnld-cisco-ftd.7.6.0.113.SPA.csp/fsm
Current FSM: Download
Status: Success
Completion Time: 2016-12-11T20:28:12.889
Progress (%): 100
FSM Stage:
Order Stage Name Status Try
------ ---------------------------------------- ------------ ---
1 DownloadLocal Success 1
2 DownloadUnpackLocal Success 1
File Name: Cisco_FTD_SSP_Upgrade-7.6.0-113.sh该映像显示在机箱存储库中:
KSEC-FPR4100 /ssa/app-software # exit
KSEC-FPR4100 /ssa # show app Application: Name Version Description Author Deploy Type CSP Type Is Default App ---------- ---------- ----------- ---------- ----------- ----------- -------------- asa 9.6.2.3 N/A cisco Native Application No ftd 7.6.0.113 N/A cisco Native Application No
任务4.配置FTD管理和数据接口
任务要求
在Firepower设备上配置并启用FTD的管理和数据接口。
解决方案
要创建新接口,请登录FCM并导航到Interfaces选项卡。当前接口可见。要创建新的端口通道接口,请选择Add New > Port Channel按钮,如图所示:
步骤1.创建端口通道数据接口。
创建新的端口通道接口,如下图所示:
|
端口通道ID |
1 |
|
类型 |
数据 |
|
enable |
Yes |
|
成员ID |
Ethernet1/2、Ethernet 1/3 |
端口通道ID为1到47之间的值。
验证如下图所示:
步骤2.创建管理接口。
在Interfaces选项卡上,选择接口,选择Edit,然后配置管理接口,如下图所示:
任务5.创建和配置新的逻辑设备
任务要求
将FTD创建为独立逻辑设备并进行部署。
解决方案
步骤1.添加逻辑设备。
导航到Logical Devices选项卡并选择Add Device按钮以创建新的逻辑设备,如下图所示:
使用以下图中所示的设置配置FTD设备:
|
设备名 |
FPR4125-1 |
|
模板 |
思科安全防火墙威胁防御 |
|
映像版本 |
7.6.0.113 |
步骤2.引导逻辑设备。
创建逻辑设备后,将显示Provisioning - device_name窗口。选择设备图标以启动配置,如下图所示:
配置FTD General Information选项卡,如下图所示:
|
管理接口 |
Ethernet1/1 |
|
地址类型 |
仅IPv4 |
|
管理IP |
10.62.148.226 |
|
网络掩码 |
255.255.255.128 |
|
网络网关 |
10.62.148.129 |
配置FTD Settings选项卡,如下图所示:
|
注册密钥 |
思科 |
|
密码 |
Pa$$w0rd |
|
思科安全防火墙管理中心IP |
10.62.148.43 |
|
搜索域 |
cisco.com |
|
防火墙模式 |
已路由 |
|
DNS Servers |
192.168.0.2 |
|
完全限定的主机名 |
FPR4125-1.cisco.com |
|
事件接口 |
- |
确保Agreement被接受,然后选择OK。
步骤3.分配数据接口。
展开Data Ports区域,选择要分配给FTD的每个接口。在此场景中,分配了一个接口(Port-channel1),如下图所示:
选择Save以完成配置。
步骤4.监控安装过程。
从FCM UI监控时,FTD安装过程就是这样,如下图所示:
从Firepower CLI监控安装过程:
FPR4100# connect module 1 console
Telnet escape character is '~'.
Trying 127.5.1.1...
Connected to 127.5.1.1.
Escape character is '~'.
Firepower-module1>show services status all
Services currently running:
Application Type | Identifier | Oper State | Up Since | Instance ID
---------------- | ---------- | ---------- | -------- | -----------
ftd (native) | FPR4125-1 | RUNNING | 00:01:56 | ftd_001_JAD22360004VWC84030
任务6.将FTD注册到思科安全防火墙管理中心(FMC)
任务要求
将FTD注册到FMC。
解决方案
步骤1.检验FTD和FMC之间的基本连通性。
在向FMC注册FTD之前,请验证FTD和FMC之间的基本连接:
Firepower-module1>connect ftd
Connecting to ftd(FPR4125-1) console... enter exit to return to bootCLI
> ping system 10.62.148.43
PING 10.62.148.43 (10.62.148.43) 56(84) bytes of data.
64 bytes from 10.62.148.43: icmp_seq=1 ttl=63 time=0.254 ms
64 bytes from 10.62.148.43: icmp_seq=2 ttl=63 time=0.283 ms
64 bytes from 10.62.148.43: icmp_seq=3 ttl=63 time=0.217 ms
由于引导程序配置,FTD已配置管理器FMC:
> show managers
Type : Manager
Host : 10.62.148.43
Display name : 10.62.148.43
Identifier : 10.62.148.43
Registration : Pending
步骤2.将FTD添加到FMC。
在FMC上,导航到Devices> Device Management选项卡,然后导航到Add... > Add Device,如下图所示:
配置FTD设备设置,如下图所示:
选择Register按钮。
在FMC上,选中Tasks(任务)以查看注册过程。除注册外,FMC还:
- 发现FTD设备(检索当前接口配置)。
- 部署初始策略。
成功注册如下图所示:
如果您在注册过程中遇到任何问题,请参考本文档:
相关信息
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
5.0 |
14-Mar-2025
|
更新了软件版本和屏幕截图。已编辑的替换文本。 |
4.0 |
06-Sep-2024
|
更新的格式、间距、样式。 |
3.0 |
16-Aug-2023
|
更新的PII、机器翻译、样式要求、MDF标签和格式。 |
2.0 |
20-Jul-2022
|
重新认证 |
1.0 |
01-Nov-2017
|
初始版本 |
反馈