逻辑设备 Firepower 4100/9300

Firepower 4100/9300 是具有灵活性的安全平台,可在其中安装一个或多个逻辑设备。本章介绍基本的接口配置以及如何使用 机箱管理器添加独立或高可用性逻辑设备。要添加集群逻辑设备,请参阅Firepower 4100/9300 的 ASA 集群。要使用 FXOS CLI,请参阅 FXOS CLI 配置指南。有关更多高级 FXOS 程序和故障排除,请参阅 FXOS 配置指南。

关于接口

Firepower 4100/9300 机箱支持物理接口和 EtherChannel(端口通道)接口。EtherChannel 接口最多可以包含同一类型的 16 个成员接口。

机箱管理接口

机箱管理接口用于通过 SSH 或 机箱管理器来管理 FXOS 机箱。此接口在接口 (Interfaces) 选项卡顶部显示为 MGMT,您只可在接口 (Interfaces) 选项卡上启用或禁用此接口。此接口独立于分配给应用管理用逻辑设备的 MGMT 型接口。

要配置此接口参数,必须从 CLI 进行配置。要在 FXOS CLI 中查看此接口,请连接到本地管理并显示管理端口:

Firepower # connect local-mgmt

Firepower(local-mgmt) # show mgmt-port

请注意,即使将物理电缆或小型封装热插拨模块拔下,或者执行了 mgmt-port shut 命令,机箱管理接口仍会保持正常运行状态。


机箱管理接口不支持巨型帧。

接口类型

物理接口 和 EtherChannel(端口通道)接口可以是下列类型之一:

  • 数据 - 用于常规数据。不能在逻辑设备之间共享数据接口,且逻辑设备无法通过背板与其他逻辑设备通信。对于数据接口上的流量,所有流量必须在一个接口上退出机箱,并在另一个接口上返回以到达另一个逻辑设备。

  • 数据共享 - 用于常规数据。仅容器实例支持这些数据接口,可由一个或多个逻辑设备/容器实例(仅限威胁防御-使用-管理中心 )共享。

  • 管理 - 用于管理应用程序实例。这些接口可以由一个或多个逻辑设备共享,以访问外部主机;逻辑设备无法通过此接口与共享接口的其他逻辑设备通信。只能为每个逻辑设备分配一个管理接口。根据您的应用和管理器,您可以稍后从数据接口启用管理;但必须将管理接口分配给逻辑设备,即使您不打算在启用数据管理后使用该接口。有关独立机箱管理接口的信息,请参阅机箱管理接口

    管理接口更改会导致逻辑设备重新启动,例如将管理接口从 e1/1 更改为 e1/2 会导致逻辑设备重新启动以应用新的管理接口。

  • 事件 - 用作 威胁防御-using-管理中心 设备的辅助管理接口。


    安装每个应用实例时,会分配一个虚拟以太网接口。如果应用不使用事件接口,则虚拟接口将处于管理员关闭状态。

    Firepower # show interface Vethernet775
Firepower # Vethernet775 is down (Administratively down)
Bound Interface is Ethernet1/10
Port description is server 1/1, VNIC ext-mgmt-nic5

  • 集群 - 用作集群逻辑设备的集群控制链路。默认情况下,系统会在端口通道 48 上自动创建集群控制链路。“集群”类型仅在 EtherChannel 接口上受支持。

有关独立部署和集群部署中威胁防御和 ASA 应用的接口类型支持,请参阅下表。

表 1. 接口类型支持

应用

数据

数据:子接口

数据共享

数据共享:子接口

管理

事件

集群(仅 EtherChannel)

集群:子接口

威胁防御

独立本地实例

支持

支持

支持

独立容器实例

支持

支持

支持

支持

支持

支持

集群本地实例

支持

(EtherChannel 仅用于机箱间集群)

支持

支持

支持

集群容器实例

支持

(EtherChannel 仅用于机箱间集群)

支持

支持

支持

支持

ASA

独立本地实例

支持

支持

支持

集群本地实例

支持

(EtherChannel 仅用于机箱间集群)

支持

支持

FXOS 接口与应用接口

Firepower 4100/9300 管理物理接口和 EtherChannel(端口通道)接口的基本以太网设置。在应用中,您可以配置更高级别的设置。例如,您只能在 FXOS 中创建 EtherChannel;但是,您可以为应用中的 EtherChannel 分配 IP 地址。

下文将介绍 FXOS 接口与应用接口之间的交互。

VLAN 子接口

对于所有逻辑设备,您可以在应用内创建 VLAN 子接口。

机箱和应用中的独立接口状态

您可以从管理上启用和禁用机箱和应用中的接口。必须在两个操作系统中都启用能够正常运行的接口。由于接口状态可独立控制,因此机箱与应用之间可能出现不匹配的情况。

关于逻辑设备

逻辑设备允许您运行一个应用实例(ASA 或 威胁防御)和一个可选修饰器应用 (Radware DefensePro) 以形成服务链

当您添加逻辑设备时,还应定义应用实例类型和版本,分配接口,并配置推送至应用配置的引导程序设置。

对于 Firepower 9300,可以在机箱中的独立模块上安装不同类型的应用(ASA 和 威胁防御)。还可以在独立模块上运行一种应用实例的不同版本。

独立和集群逻辑设备

您可以添加以下类型的逻辑设备:

  • 独立 - 独立逻辑设备作为独立单元或高可用性对中的单元运行。

  • 集群 - 集群逻辑设备允许您将多个单元集合在一起,具有单个设备的全部便捷性(管理、集成到一个网络中),同时还能实现吞吐量增加和多个设备的冗余性。Firepower 9300 等多模块设备支持机箱内集群。对于 Firepower 9300,所有三个模块必须参与集群,同时适用于本地实例和容器实例

硬件和软件组合的要求与前提条件

Firepower 4100/9300支持多种型号、安全模块、应用类型以及高可用性和可扩展性功能。请参阅以下要求,了解允许的组合。

Firepower 9300 的要求

Firepower 9300 包括 3 个安全模块插槽和多种类型的安全模块。请参阅以下要求:

  • 安全模块类型 - 您可以在 Firepower 9300 中安装不同类型的模块。例如,您可以将 SM-48 作为模块 1、SM-40 作为模块 2、SM-56 作为模块 3 安装。

  • 本地和容器实例 - 在安全模块上安装容器实例时,该模块只能支持其他容器实例。本地实例将使用模块的所有资源,因此只能在模块上安装一个本地实例。可以在某些模块上使用本地实例,在其他模块上使用容器实例。例如,您可以在模块 1 和模块 2 上安装本地实例,但在模块 3 上安装容器实例。

  • 集群 - 集群中的所有安全模块(无论是机箱内还是机箱间)都必须为同一类型。您可以在各机箱中安装不同数量的安全模块,但机箱中存在的所有模块(包括任何空插槽)必须属于集群。例如,您可以在机箱 1 中安装 2 个 SM-40,在机箱 2 中安装 3 个 SM-40。 如果在同一机箱中安装了 1 个 SM-48 和 2 个 SM-40,则无法使用集群。

  • 高可用性 - 仅在 Firepower 9300 上的同类模块间支持高可用性。 但是,这两个机箱可以包含混合模块。例如,每个机箱都设有 SM-40、SM-48 和 SM-56。可以在 SM-40 模块之间、SM-48 模块之间和 SM-56 模块之间创建高可用性对。

  • ASA 和 威胁防御 应用类型-您可以在机箱中的独立模块上安装不同类型的应用。例如,您可以在模块 1 和模块 2 上安装 ASA,在模块 3 上安装 威胁防御

  • ASA 或 威胁防御 版本 - 您可以在单独的模块上运行不同版本的应用实例类型,或在同一模块上运行单独的容器实例。例如,您可以在模块 1 上安装 威胁防御 6.3,在模块 2 上安装 威胁防御 6.4,在模块 3 上安装 威胁防御 6.5。

Firepower 4100 的要求

Firepower 4100 有多个型号。请参阅以下要求:

  • 本地和容器实例 - 在 Firepower 4100 上安装容器实例时,该设备只能支持其他容器实例。本地实例将使用设备的所有资源,因此只能在设备上安装一个本地实例。

  • 集群 - 集群内的所有机箱都必须为同一型号。

  • 高可用性 - 仅在同类模块间支持高可用性。

  • ASA 和 威胁防御 应用类型 - Firepower 4100 只能运行一种应用类型。

逻辑设备的准则和限制

有关准则和限制,请参阅以下章节。

接口的准则和限制

默认 MAC 地址

默认 MAC 地址分配取决于接口类型。

  • 物理接口 - 物理接口使用已刻录的 MAC 地址。

  • EtherChannel - 对于 EtherChannel,属于通道组的所有接口共用同一个 MAC 地址。此功能使 EtherChannel 对网络应用和用户透明,因为他们只看到一个逻辑连接;而不知道各个链路。端口通道接口使用来自池中的唯一 MAC 地址;接口成员身份不影响 MAC 地址。

一般准则和限制

防火墙模式

您可以在 威胁防御和 ASA 的引导程序配置中将防火墙模式设置为路由或透明模式。

高可用性

  • 在应用配置中配置高可用性。

  • 可以将任何数据接口用作故障转移和状态链路。 不支持数据共享接口。

情景模式

  • 部署后,请在 ASA 中启用多情景模式。

高可用性的要求和前提条件

  • 高可用性故障转移配置中的两个设备必须:

    • 位于单独的机箱上;不支持 Firepower 9300 的机箱内高可用性。

    • 型号相同。

    • 将同一接口分配至高可用性逻辑设备。

    • 拥有相同数量和类型的接口。启用高可用性之前,所有接口必须在 FXOS 中进行相同的预配置。

  • 仅 Firepower 9300 上同种类型模块之间支持高可用性;但是两个机箱可以包含混合模块。例如,每个机箱都设有 SM-56、SM-48 和 SM-40。可以在 SM-56 模块之间、SM-48 模块之间和 SM-40 模块之间创建高可用性对。

  • 有关其他高可用性系统要求,请参阅 故障转移系统要求一章。

配置接口

默认情况下,物理接口处于禁用状态。可以启用接口,添加 Etherchannel,编辑接口属性。


如果在 FXOS 中删除一个接口(例如,如果您移除网络模块,移除 EtherChannel,或将某个接口重新分配到 EtherChannel),则 ASA 配置会保留原始命令,以便您可以进行任何必要的调整;从配置中删除接口会产生广泛的影响。您可以在 ASA OS 中手动移除旧的接口配置。

启用或禁用接口

可以将每个接口的管理状态更改为启用或禁用。默认情况下,物理接口处于禁用状态。

过程

步骤 1

选择接口 (Interfaces) 打开接口页面。

“接口 (Interfaces)”页面顶部显示当前已安装的接口的直观展示图,在下表中提供已安装接口列表。

步骤 2

要启用接口,请点击已禁用滑块已禁用滑块已禁用,使其更改为已启用滑块已启用滑块已启用

点击,确认更改。以直观展示图表现的对应接口从灰色变为绿色。

步骤 3

要禁用接口,请点击已启用滑块已启用滑块已启用,使其更改为已禁用滑块已禁用滑块已禁用

点击,确认更改。以直观展示图表现的对应接口从绿色变为灰色。

配置物理接口

您可以通过物理方式启用和禁用接口,并设置接口速度和双工。要使用某一接口,必须在 FXOS 中以物理方式启用它,并在应用中以逻辑方式启用它。

对于 QSFPH40G-CUxM,默认情况下自动协商会始终处于启用状态,并且您无法将其禁用。

开始之前

  • 不能单独修改已经是 EtherChannel 成员的接口。务必在将接口添加到 EtherChannel 之前为其配置设置。

过程

步骤 1

选择接口 (Interfaces) 打开“接口”(Interfaces) 页面。

所有接口页面顶部显示当前已安装的接口的直观展示图,在下表中提供已安装接口列表。

步骤 2

在您要编辑的接口所对应的行中点击编辑 (Edit),可打开编辑接口 (Edit Interface) 对话框。

步骤 3

要启用接口,请选中启用复选框。要禁用接口,请取消选中启用复选框。

步骤 4

选择接口类型

有关接口类型使用的详细信息,请参阅接口类型

  • 数据

  • 管理

  • 集群 - 请勿选择集群类型;默认情况下,系统会自动在端口通道 48 上创建集群控制链路。

步骤 5

(可选) 从速度 (Speed) 下拉列表中选择接口的速度。

步骤 6

(可选) 如果您的接口支持自动协商,请点击是 (Yes)否 (No) 单选按钮。

步骤 7

(可选) 从双工 (Duplex) 下拉列表中选择接口双工。

步骤 8

(可选) 明确配置防反跳时间 (ms)。输入 0-15000 毫秒之间的值。

步骤 9

点击确定 (OK)

添加 EtherChannel(端口通道)

EtherChannel(也称为端口通道)最多可以包含 16 个同一介质类型和容量的成员接口,并且必须设置为相同的速度和双工模式。介质类型可以是 RJ-45 或 SFP;可以混合使用不同类型(铜缆和光纤)的 SFP。不能通过在大容量接口上将速度设置为较低值来混合接口容量(例如 1GB 和 10GB 接口)。链路聚合控制协议 (LACP) 将在两个网络设备之间交换链路汇聚控制协议数据单元 (LACPDU),进而汇聚接口。

您可以将 EtherChannel 中的每个物理数据接口配置为:

  • Active - 发送和接收 LACP 更新。主用 EtherChannel 可以与主用或备用 EtherChannel 建立连接。除非您需要最大限度地减少 LACP 流量,否则应使用主用模式。

  • 开启 - EtherChannel 始终开启,并且不使用 LACP。“开启”的 EtherChannel 只能与另一个“开启”的 EtherChannel 建立连接。

如果将其模式从打开更改为主用或从主用更改为打开状态,则可能需要多达三分钟的时间才能使 EtherChannel 进入运行状态。

非数据接口仅支持主用模式。

LACP 将协调自动添加和删除指向 EtherChannel 的链接,而无需用户干预。LACP 还会处理配置错误,并检查成员接口的两端是否连接到正确的通道组。 如果接口发生故障且未检查连接和配置,“开启”模式将不能使用通道组中的备用接口。

Firepower 4100/9300 机箱 创建 EtherChannel 时,EtherChannel 将处于挂起状态(对于主动 LACP 模式)或关闭状态(对于打开 LACP 模式),直到将其分配给逻辑设备,即使物理链路是连通的。EtherChannel 在以下情况下将退出挂起状态:

  • 将 EtherChannel 添加为独立逻辑设备的数据或管理端口

  • 将 EtherChannel 添加为属于集群一部分的逻辑设备的管理接口或集群控制链路

  • 将 EtherChannel 添加为属于集群一部分的逻辑设备的数据端口,并且至少有一个单元已加入该集群

请注意,EtherChannel 在您将它分配到逻辑设备前不会正常工作。如果从逻辑设备移除 EtherChannel 或删除逻辑设备,EtherChannel 将恢复为挂起关闭状态。

过程

步骤 1

选择接口 (Interfaces) 打开“接口”(Interfaces) 页面。

所有接口页面顶部显示当前已安装的接口的直观展示图,在下表中提供已安装接口列表。

步骤 2

点击接口表上方的添加端口通道 (Add Port Channel),可打开添加端口通道 (Add Port Channel) 对话框。

步骤 3

端口通道 ID (Port Channel ID) 字段中输入端口通道 ID。有效值介于 1 与 47 之间。

部署集群逻辑设备时,端口通道 48 为集群控制链路预留。如果不想将端口通道 48 用于集群控制链路,可以将其删除并为集群类型 EtherChannel 配置不同的 ID。您可以添加多个集群类型 Etherchannel,并添加 VLAN 子接口以与多实例集群结合使用。对于机箱内集群,请不要将任何接口分配给集群 EtherChannel。

步骤 4

要启用端口通道,请选中启用复选框。要禁用端口通道,请取消选中启用复选框。

步骤 5

选择接口类型

有关接口类型使用的详细信息,请参阅接口类型

  • 数据

  • 管理

  • 集群

步骤 6

从下拉列表设置成员接口要求的管理速度

如果添加未达到指定速度的成员接口,接口将无法成功加入端口通道。

步骤 7

对于数据接口,选择 LACP 端口通道模式主用保持

对于非数据接口,模式始终是主用模式。

步骤 8

为成员接口、全双工半双工设置所需的管理双工

如果添加以指定双工配置的成员接口,接口将无法成功加入端口通道。

步骤 9

要将接口添加到端口通道,请在可用接口 (Available Interface) 列表中选择该接口,点击添加接口 (Add Interface),将接口移动至“成员 ID”列表。

您最多可以添加相同介质类型和容量的 16 个成员接口。成员接口必须设置为相同的速度和双工,并且必须与您为此端口通道配置的速度和双工相匹配。介质类型可以是 RJ-45 或 SFP;可以混合使用不同类型(铜缆和光纤)的 SFP。不能通过在大容量接口上将速度设置为较低值来混合接口容量(例如 1GB 和 10GB 接口)。

提示

 

一次可添加多个接口。要选择多个独立接口,请点击所需的接口,同时按住 Ctrl 键。要选择一个接口范围,请选择范围中的第一个接口,然后,在按住 Shift 键的同时,点击选择范围中的最后一个接口。

步骤 10

要从端口通道删除接口,请点击“成员 ID”(Member ID) 列表中接口右侧的删除 (Delete) 按钮。

步骤 11

点击确定 (OK)

配置逻辑设备

Firepower 4100/9300 机箱上添加独立逻辑设备或高可用性对。

有关集群,请参阅

添加独立 ASA

独立逻辑设备可单独使用,也可在高可用性对中使用。在具有多个安全模块的 Firepower 9300 上,可以配置集群或独立设备。集群必须使用所有模块,因此无法将双模块集群和独立设备进行混用和搭配。

您可以通过 Firepower 4100/9300 机箱部署一个路由或透明防火墙模式的 ASA。

对于多情景模式,您必须先部署逻辑设备,然后在 ASA 应用中启用多情景模式。

开始之前

  • 从 Cisco.com 下载要用于逻辑设备的应用映像,然后将映像上传Firepower 4100/9300 机箱

    对于 Firepower 9300,可以在机箱中的独立模块上安装不同类型的应用(ASA 和 威胁防御)。还可以在独立模块上运行一种应用实例的不同版本。

  • 配置逻辑设备要使用的管理接口。管理接口是必需的。请注意,此管理接口不同于仅用于机箱管理的机箱管理端口 (并且在接口选项卡的顶部显示为 MGMT

  • 收集以下信息:

    • 此设备的接口 ID

    • 管理接口 IP 地址和网络掩码

    • 网关 IP 地址

过程

步骤 1

选择逻辑设备

步骤 2

点击添加 > 独立设备,并设置以下参数:

  1. 提供设备名称

    此名称由机箱管理引擎用于配置管理设置和分配接口;它不是在应用配置中使用的设备名称。

     

    添加逻辑设备后,无法更改此名称。

  2. 对于模板,请选择思科:自适应安全设备

  3. 选择映像版本

  4. 点击确定 (OK)

    屏幕会显示调配 - 设备名称窗口。

步骤 3

展开数据端口 (Data Ports) 区域,然后点击要分配给设备的每个端口。

仅可分配先前在接口 (Interfaces) 页面上启用的数据接口。稍后您将在 ASA 上启用和配置这些接口,包括设置 IP 地址。

步骤 4

点击屏幕中心的设备图标。

系统将显示对话框,可以在该对话框中配置初始引导程序设置。这些设置仅用于仅初始部署或灾难恢复。为了实现正常运行,稍后可以更改应用 CLI 配置中的大多数值。

步骤 5

一般信息 (General Information) 页面上,完成下列操作:

  1. (对于 Firepower 9300)在安全模块选择下,点击您想用于此逻辑设备的安全模块。

  2. 选择管理接口

    此接口用于管理逻辑设备。此接口独立于机箱管理端口。

  3. 选择管理接口地址类型仅 IPv4仅 IPv6 IPv4 和 IPv6

  4. 配置管理 IP 地址。

    设置用于此接口的唯一 IP 地址。

  5. 输入网络掩码前缀长度

  6. 输入网络网关地址。

步骤 6

点击设置 (Settings) 选项卡。

步骤 7

选择防火墙模式路由式透明

在路由模式下,ASA 被视为网络中的一个路由器跃点。要在其间路由的每个接口都位于不同的子网上。另一方面,透明防火墙是一个第 2 层防火墙,充当“线缆中的块”或“隐蔽的防火墙”,不被视为是到所连接设备的路由器跃点。

系统仅在初始部署时设置防火墙模式。如果您重新应用引导程序设置,则不会使用此设置。

步骤 8

输入并确认管理员用户和启用密码密码

预配置的 ASA 管理员用户/密码和启用密码在进行密码恢复时非常有用;如果有 FXOS 访问权限,在忘记管理员用户密码/启用密码时,可以将其重置。

步骤 9

点击确定 (OK) 关闭配置对话框。

步骤 10

点击保存 (Save)

机箱通过下载指定软件版本,并将引导程序配置和管理接口设置推送至应用实例来部署逻辑设备。在逻辑设备 (Logical Devices) 页面中,查看新逻辑设备的状态。当逻辑设备将其状态显示为在线时,可以开始在应用中配置安全策略。

步骤 11

请参阅 ASA 配置指南,以开始配置安全策略。

添加高可用性对

威胁防御ASA 高可用性(也称为故障转移)是在应用中配置,而不是在 FXOS 中配置。但为了让您的机箱做好配置高可用性的准备,请参阅以下步骤。

开始之前

请参阅故障转移系统要求

过程

步骤 1

将相同的接口分配给各个逻辑设备。

步骤 2

为故障转移和状态链路分配 1 个或 2 个数据接口。

这些接口用于交换 2 个机箱之间的高可用性流量。我们建议您将一个 10 GB 数据接口用于组合的故障转移和状态链路。如果您有可用的接口,可以使用单独的故障转移和状态链路;状态链路需要的带宽最多。不能将管理类型的接口用于故障转移或状态链路。我们建议您在机箱之间使用一个交换机,并且不将同一网段中的其他任何设备作为故障转移接口。

步骤 3

在逻辑设备上启用高可用性。请参阅通过故障转移实现高可用性

步骤 4

如果您在启用高可用性后需要更改接口,请先在备用设备上执行更改,然后再在主用设备上执行更改。

 

对于 ASA,如果在 FXOS 中移除一个接口(例如,如果您移除网络模块,移除 EtherChannel,或将某个接口重新分配到 EtherChannel),则 ASA 配置会保留原始命令,以便您可以进行任何必要的调整;从配置中移除接口会产生广泛的影响。您可以在 ASA OS 中手动移除旧的接口配置。

更改 ASA 逻辑设备上的接口

可以在 ASA 逻辑设备上分配、取消分配或替换管理接口。ASDM 会自动发现新接口。

添加新接口或删除未使用的接口对 ASA 配置的影响很小。但是,如果在 FXOS 中删除已分配的接口(例如,如果删除网络模块、删除 EtherChannel,或将分配的接口重新分配给 EtherChannel),并且在安全策略中使用该接口,则删除操作会影响 ASA 配置。在这种情况下,ASA 配置会保留原始命令,以便您可以进行任何必要的调整。您可以在 ASA OS 中手动移除旧的接口配置。


您可以编辑已分配的 EtherChannel 的成员,而不影响逻辑设备。

开始之前

  • 根据配置物理接口添加 EtherChannel(端口通道)配置您的接口,并添加任何 EtherChannel。

  • 如果您要将已分配的接口添加到 EtherChannel(例如,默认情况下将所有接口分配给集群),则需要先从逻辑设备取消分配接口,然后再将该接口添加到 EtherChannel。对于新的 EtherChannel,您可以随后将 EtherChannel 分配到设备。

  • 如果要将管理接口替换为管理 EtherChannel,则需要创建至少具有 1 个取消分配数据成员接口的 EtherChannel,然后将当前管理接口替换为 EtherChannel。在 ASA 重新加载(管理接口更改导致重新加载)后,您还可以将(当前取消分配的)管理接口添加到 EtherChannel。

  • 对于集群或故障转移,请确保添加或移除所有设备上的接口。我们建议先在数据/备用设备上更改接口,然后再在控制/主用设备上更改接口。新的接口在管理性关闭的状态下添加,因此,它们不会影响接口监控。

过程

步骤 1

机箱管理器中,选择逻辑设备

步骤 2

点击右上角的编辑图标以编辑逻辑设备。

步骤 3

通过在数据端口 (Data Ports) 区域中取消选择数据接口来取消分配该接口。

步骤 4

通过在数据端口 (Data Ports) 区域中选择新的数据接口来分配该接口。

步骤 5

替换管理接口:

对于此类型的接口,在您保存更改后,设备会重新加载。

  1. 点击页面中心的设备图标。

  2. 常规/集群信息 (General/Cluster Information) 选项卡上,从下拉列表中选择新的管理接口 (Management Interface)

  3. 点击确定 (OK)

步骤 6

点击保存 (Save)

连接到应用控制台

使用以下程序连接至应用的控制台。

过程

步骤 1

使用控制台连接或 Telnet 连接来连接至模块 CLI。

connect module slot_number { console | telnet}

要连接至不支持多个安全模块的设备的安全引擎,请使用 1 作为 slot_number

使用 Telnet 连接的优点在于,您可以同时对模块开展多个会话,并且连接速度更快。

示例:


Firepower# connect module 1 console
Telnet escape character is '~'.
Trying 127.5.1.1...
Connected to 127.5.1.1.
Escape character is '~'.

CISCO Serial Over LAN:
Close Network Connection to Exit

Firepower-module1>

步骤 2

连接到应用控制台。

connect asa name

要查看实例名称,请输入不含名称的命令。

示例:


Firepower-module1> connect asa asa1
Connecting to asa(asa1) console... hit Ctrl + A + D  to return to bootCLI
[...]
asa>

步骤 3

退出应用控制台到 FXOS 模块 CLI。

  • ASA - 输入 Ctrl-a, d

步骤 4

返回 FXOS CLI 的管理引擎层。

退出控制台:

  1. 输入 ~

    您将退出至 Telnet 应用。

  2. 要退出 Telnet 应用,请输入:

    telnet>quit

退出 Telnet 会话:

  1. 输入 Ctrl-],。

示例

以下示例连接至安全模块 1 上的 ASA,然后退回到 FXOS CLI 的管理引擎层。 

Firepower# connect module 1 console
Telnet escape character is '~'.
Trying 127.5.1.1...
Connected to 127.5.1.1.
Escape character is '~'.

CISCO Serial Over LAN:
Close Network Connection to Exit

Firepower-module1>connect asa asa1
asa> ~
telnet> quit
Connection closed.
Firepower#

逻辑设备的历史记录

特性

Version

详细信息

用于 Firepower 4112 的 ASA

9.14(1)

我们推出了 Firepower 4112。

 

需要 FXOS 2.8.1。

Firepower 9300 SM-56 支持

9.12.2

我们推出了 SM-56 安全模块。

 

需要 FXOS 2.6.1.157。

适用于 Firepower 4115、4125 和 4145 的 ASA

9.12(1)

我们推出了 Firepower 4115、4125 和 4145。

 

需要 FXOS 2.6.1。

Firepower 9300 SM-40 和 SM-48 支持

9.12.1

我们引入了 SM-40 和 SM-48 安全模块。

 

需要 FXOS 2.6.1。

支持在同一个 Firepower 9300 上使用独立的 ASA 和 威胁防御 模块

9.12.1

您现在可以在同一个 Firepower 9300 上同时部署 ASA 和 威胁防御 逻辑设备。

 

需要 FXOS 2.6.1。

Firepower 4100/9300 的集群控制链路可自定义 IP 地址

9.10.1

默认情况下,集群控制链路使用 127.2.0.0/16 网络。现在,可以在 FXOS 中部署集群时设置网络。机箱根据机箱 ID 和插槽 ID 自动生成每个设备的集群控制链路接口 IP 地址:127.2.chassis_id.slot_id。但是,某些网络部署不允许 127.2.0.0/16 流量通过。因此,您现在可以为 FXOS 中的集群控制链路设置一个自定义的 /16 子网(环回 (127.0.0.0/8) 和组播 (224.0.0.0/4) 地址除外)。

 

需要 FXOS 2.4.1。

新增/修改的 Firepower 机箱管理器菜单项:

逻辑设备 > 添加设备 > 集群信息 > CCL 子网 IP 字段

支持保存模式下的数据 Etherchannel

9.10.1

现在可以将数据和数据共享 Etherchannel 设置为“主用”LACP 模式或“保持”模式。其他类型 Etherchannel 仅支持“主用”模式。

 

需要 FXOS 2.4.1。

新增/修改的 Firepower 机箱管理器菜单项:

接口 > 所有接口 > 编辑端口通道 > 模式

Firepower 4100/9300 机箱上的 ASA 的站点间集群改进

9.7(1)

现在,您可以在部署 ASA 集群时为每个 Firepower 4100/9300 机箱配置站点 ID。以前,您必须在 ASA 应用中配置站点 ID;此新功能简化了最初的部署。请注意,您不能再在 ASA 配置中设置站点 ID。此外,为了实现与站点间集群的最佳兼容性,我们建议您升级到 ASA 9.7(1) 和 FXOS 2.1.1,升级版包含对稳定性和性能的多项改进。

修改了以下菜单项:配置 > 设备管理 > 高可用性和扩展性 > ASA 集群 > 集群配置

支持 Firepower 4100 系列

9.6(1)

使用 FXOS 1.1.4,ASA 在 Firepower 4100 系列上支持机箱间集群。

未修改任何菜单项。

6 个模块的机箱间集群,以及 Firepower 9300 ASA 应用的站点间集群

9.5(2.1)

现在您可利用 FXOS 1.1.3 启用机箱内集群,并扩展至站点间集群。在最多 6 个机箱中最多可以包含 6 个模块。

未修改任何菜单项。

Firepower 9300 的机箱内 ASA 集群

9.4(1.150)

最多可对 Firepower 9300 机箱内的 3 个安全模块建立集群。机箱中的所有模块都必须属于该集群。

引入了以下菜单项:配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群复制