使用 VMware 部署Firepower 管理中心虚拟

您可以使用 VMware 部署Firepower 管理中心虚拟 (FMCv)。

虚拟 Firepower 管理中心支持的 VMware 功能

下表列出 FMCv 支持的 VMware 功能。

表 1. FMCv 支持的 VMware 功能

功能

说明

支持(是/否)

备注

冷克隆

VM 在克隆过程中关闭。

¯

热添加

VM 在添加过程中运行。

¯

热克隆

VM 在克隆过程中运行。

¯

热删除

VM 在删除过程中运行。

¯

快照

VM 会冻结几秒钟。

FMC 与受管设备之间存在不同步情况的风险。

暂停和恢复

VM 暂停,然后恢复。

¯

vCloud Director

允许自动部署 VM。

¯

VM 迁移

VM 在迁移过程中关闭。

¯

vMotion

用于实时迁移 VM。

使用共享存储。请参阅vMotion 支持

VMware FT

用于 VM 上的 HA。

¯

VMware HA

用于 ESXi 和服务器故障。

¯

带 VM 心跳信号的 VMware HA

用于 VM 故障。

¯

VMware vSphere 独立 Windows 客户端

用于部署 VM。

¯

VMware vSphere Web 客户端

用于部署 VM。

¯

主机系统要求

您可以通过调配在 VMware ESX 和 ESXi 虚拟机监控程序上托管的 VMware vSphere 来部署Firepower 管理中心虚拟。有关虚拟机监控程序兼容性的信息,请参阅思科 Firepower 兼容性指南

根据所需部署的实例数量和使用要求,FMCv部署所使用的具体硬件可能会有所不同。创建的每台虚拟设备都需要主机满足最低资源配置要求,包括内存、CPU 数量和磁盘空间。

下表列出 FMCv 设备的建议设置和默认设置。


重要

请务必分配足够的内存,以确保的最佳性能FMCv。如果 FMCv 的内存少于 32 GB,则系统可能会遇到策略部署问题。为了提高性能,您可以根据可用的资源来增加虚拟设备的内存和 CPU 数量。默认设置是运行系统软件的最低要求,不能降低。

表 2. FMCv 虚拟设备默认设置

设置

默认

设置可调节?

内存

32 GB

虚拟 CPU

8/4

是,最多 8 个

硬盘调配容量

250 GB

否,取决于所选磁盘格式
表 3. FMCv300 虚拟设备默认设置

设置

默认

设置可调节?

内存

64 GB

虚拟 CPU

32

硬盘调配容量

2.2 TB

否,取决于所选磁盘格式

运行 VMware vCenter 服务器和 ESXi 实例的系统必须满足特定的硬件和操作系统要求。有关支持平台的列表,请参阅 VMware 在线兼容性指南

对虚拟化技术的支持

用作 ESXi 主机的计算机必须满足以下要求:

  • 必须具有可提供虚拟化支持的 64 位 CPU,并采用英特尔虚拟化技术 (VT) 或 AMD Virtualization™ (AMD-V™) 技术。

  • 必须在 BIOS 设置中启用虚拟化技术


    英特尔和 AMD 都提供在线处理器识别实用程序来帮助您识别 CPU 并确定它们的性能。许多服务器虽含有支持的 VT 的 CPU,但默认状态下会禁用 VT,您必须手动启用 VT。请查阅制造商文档,了解如何在您的系统中启用 VT 支持。

  • 如果您的 CPU 支持 VT,但您在 BIOS 中没有看到此选项,请联系您的供应商,获取可让您启用 VT 支持的 BIOS 版本。

  • 必须具有与英特尔 E1000 驱动程序(如 PRO1000MT 双端口服务器适配器或 PRO1000GT 台式机适配器)兼容的网络界面,用以托管虚拟设备。

验证 CPU 支持

您可以使用 Linux 命令行获取 CPU 硬件的相关信息。例如,/proc/cpuinfo 文件包含每个 CPU 核心的详细信息。运行 lesscat 命令,可输出其中的内容。

您可以前往“flags”部分查看以下值:

  • vmx - Intel VT 扩展

  • svm - AMD-V 扩展

要快速查看文件中是否包含这些值,请使用 grep 运行以下命令: 

egrep “vmx|svm” /proc/cpuinfo

如果您的系统支持 VT,您会在“flags”列表中看到 vmxsvm

适用于虚拟 Firepower 管理中心和 VMware 的准则、限制和已知问题

OVF 文件准则

虚拟设备使用开放虚拟化格式 (OVF) 封装。您需要使用虚拟基础设施 (VI) 或 ESXi OVF 模板部署虚拟设备。OVF 文件的选择取决于部署目标,详细如下:

  • 在 vCenter 上部署 - Cisco_Firepower_Management_Center_Virtual_VMware-VI-X.X.X-xxx.ovf

  • 在 ESXi(无 vCenter)上部署 - Cisco_Firepower_Management_Center_Virtual_VMware-ESXi-X.X.X-xxx.ovf

其中,X.X.X-xxx 是要部署的 Firepower 系统软件的版本和内部版本号。请参阅

  • 如果使用 VI OVF 模板部署,安装过程将允许您执行虚拟 Firepower 管理中心设备的整个初始设置。可以指定:

    • 管理员账户的新密码。

    • 使设备可以在管理网络上进行通信的网络设置。


      必须使用 VMware vCenter 管理此虚拟设备。

  • 如果使用 ESXi OVF 模板部署,必须在安装后配置 Firepower 系统所需的设置。可以使用 VMware vCenter 来管理此虚拟设备,或将其用作独立设备。

部署 OVF 模板时需提供以下信息:

表 4. VMware OFV 模板设置

设置

ESXi 或 VI

操作

导入/部署 OVF 模板 (Import/Deploy OVF Template)

两者

浏览至您从 Cisco.com 下载的 OVF 模板。

OVF 模板详细信息 (OVF Template Details)

两者

确认正在安装的设备(思科虚拟 Firepower 管理中心)和部署选项(VI 或 ESXi)。

接受 EULA (Accept EULA)

仅 VI

同意接受 OVF 模板中包含的许可条款。

名称和位置 (Name and Location)

两者

为虚拟设备输入一个有意义的唯一名称,然后选择设备的资产位置。

主机/集群 (Host / Cluster)

两者

选择要部署虚拟设备的主机或集群。

资源池 (Resource Pool)

两者

通过建立有意义的层次结构,管理您在主机或集群内的计算资源。虚拟机和子资源池共享父资源池的资源。

存储

两者

选择一个 datastore 来存储与虚拟机关联的所有文件。

磁盘格式化

两者

选择存储虚拟磁盘的格式:密集调配延迟置零、密集调配快速置零或精简调配。

网络映射 (Network Mapping)

两者

选择虚拟设备的管理接口。

属性 (Properties)

仅 VI

自定义虚拟机初始配置设置。

vMotion 支持

如果计划使用 vMotion,建议仅使用共享存储。在部署过程中,如果有主机集群,则可以在本地(特定主机上)或在共享主机上调配存储。但是,如果您尝试使用 vMotion 将 Firepower Management Center Virtual 迁移到另一台主机,则使用本地存储将会产生错误。

INIT 重生错误消息现象

您可能会在 ESXi 6 和 ESXi 6.5 上运行的虚拟 Firepower 管理中心控制台看到以下错误消息: 

"INIT: Id "fmcv" respawning too fast: disabled for 5 minutes"

解决方法 - 在设备电源关闭时,编辑 vSphere 中的虚拟机设置添加串行端口。

  1. 右键单击虚拟机,然后选择编辑设置

  2. 在虚拟硬件选项卡中,从新建设备下拉菜单中选择串行端口,然后单击添加

    虚拟设备列表的底部将会显示串行端口。

  3. 虚拟硬件选项卡中,展开串行端口,并选择连接类型使用物理串行端口

  4. 取消选中在启动时连接复选框。

    单击确定保存设置。

限制

针对 Vmware 进行部署时,有以下限制:

  • 思科虚拟 Firepower 管理中心设备没有序列号。系统 > 配置页面将会显示未指定,具体取决于虚拟平台。

  • 不支持克隆虚拟机。

  • 不支持使用快照恢复虚拟机。

  • 不支持恢复备份。

  • 不支持无法识别 OVF 封装的 VMware 工作站、播放器、服务器和 Fusion。

下载安装软件包

思科在其支持网站上以压缩存档文件形式 (.tar.gz) 提供适用于 VMware ESX 和 ESXi 主机环境的打包虚拟设备。思科虚拟设备被封装成虚拟机(虚拟硬件版本 7)的形式。每个存档包含适用于 ESXi 或 VI 部署目标的 OVF 模板和清单文件,以及虚拟机磁盘格式 (vmdk) 文件。

从 Cisco.com 下载虚拟 Firepower 管理中心安装软件包,并将其保存到本地磁盘。思科建议始终使用所提供的最新软件包。虚拟设备包通常与系统软件的主要版本(例如,6.1 或 6.2)关联。

过程

步骤 1

导航至思科软件下载页面。

 

需要 Cisco.com 登录信息和思科服务合同。
步骤 2

点击浏览全部以搜索虚拟 Firepower 管理中心部署软件包。

步骤 3

选择 安全 > 防火墙 > 防火墙管理,然后选择 虚拟 Firepower 管理中心设备
步骤 4

使用以下命名约定,查找要为虚拟 Firepower 管理中心设备下载的 VMware 安装软件包:

Cisco_Firepower_Management_Center_Virtual_VMware-X.X.X-xxx.tar.gz

其中,X.X.X-xxx 是要下载的安装软件包的版本和内部版本号。

步骤 5

点击要下载的安装软件包。

 

在登录支持站点时,思科建议下载虚拟设备的所有可用更新,这样,在将虚拟设备安装到主版本之后,就可以更新其系统软件。应始终运行设备支持的最新版本的系统软件。对于思科虚拟 Firepower 管理中心,您还需下载所有新的入侵规则和漏洞数据库 (VDB) 更新。

步骤 6

将安装软件包复制到正在运行 vSphere 客户端的工作站或服务器可访问的位置。

小心 

请勿通过邮件传输存档文件;否则,文件会被损坏。
步骤 7

使用您偏好的工具解压缩安装软件包存档文件,然后提取安装文件。思科虚拟 Firepower 管理中心的安装软件包存档文件如下:

  • Cisco_Firepower_Management_Center_Virtual_VMware-X.X.X-xxx-disk1.vmdk

  • Cisco_Firepower_Management_Center_Virtual_VMware ESXi X.X.X xxx.ovf

  • Cisco_Firepower_Management_Center_Virtual_VMware ESXi X.X.X xxx.mf

  • Cisco_Firepower_Management_Center_Virtual_VMware-VI-X.X.X-xxx.ovf

  • Cisco_Firepower_Management_Center_Virtual_VMware-VI-X.X.X-xxx.mf

其中,X.X.X-xxx 是已下载的存档文件的版本和内部版本号。

 

请确保将所有文件存放在同一目录中。

下一步做什么

使用 VMware vSphere 进行部署

您可以使用 VMware vSphere vCenter、vSphere 客户端、vSphere Web 客户端或 ESXi 虚拟机监控程序(用于单机 ESXi 部署)部署虚拟 Firepower 管理中心。您可以使用 VI 或ESXi OVF 模板进行部署:

  • 如果使用 VI OVF 模板部署,设备必须由 VMware vCenter 管理。

  • 如果使用 ESXi OVF 模板部署,设备可由 VMware vCenter 管理,或部署到独立 ESXi 主机。无论是哪种情况,都必须在安装后配置 Firepower 系统所需的设置。

在向导的每个页面指定设置后,点击下一步继续。为方便起见,向导的最后一个页面允许您在完成操作步骤之前确认设置。

过程

步骤 1

从 VMware vSphere 客户端中选择文件 > 部署 OVF 模板
步骤 2

从下拉列表中,选择想要用于部署虚拟 Firepower 管理中心的 OVF 模板:

  • Cisco_Firepower_Management_Center_Virtual_VMware-VI-X.X.X-xxx.ovf
  • Cisco_Firepower_Management_Center_Virtual_VMware-ESXi-X.X.X-xxx.ovf

其中,X.X.X-xxx 是从 Cisco.com 下载的安装软件包的版本和内部版本号。

步骤 3

查看 OVF 模板详细信息页面,然后点击下一步
步骤 4

如果许可协议封装在 OVF 模板内(仅 VI 模板),系统会显示最终用户许可协议页面。同意接受许可条款并点击下一步
步骤 5

(可选)编辑名称并选择库存中虚拟 Firepower 管理中心所在的文件夹位置,然后点击下一步

 

当 vSphere 客户端直接连接到 ESXi 主机时,不会出现选择文件夹位置的选项。
步骤 6

选择要部署虚拟 Firepower 管理中心的主机或集群,然后点击“下一步”。
步骤 7

导航至想要在其中运行虚拟 Firepower 管理中心的资源池并将其选中,然后点击下一步

仅当集群包含资源池时,系统才会显示此页面。
步骤 8

选择要存储虚拟机文件的存储位置,然后点击下一步

在此页面上,您可以从目标集群或主机上已配置的 Datastore 中选择。虚拟机配置文件和虚拟磁盘文件均存储在 Datastore 上。选择一个足够大的 Datastore,以容纳虚拟机及其所有虚拟磁盘文件。
步骤 9

选择磁盘格式以存储虚拟机虚拟磁盘,然后点击下一步

如果选择密集调配,则会立即分配所有存储。如果选择精简调配,则会在数据写入虚拟磁盘时将按需分配存储。

步骤 10

将虚拟 Firepower 管理中心的管理接口与网络映射屏幕上的 VMware 网络关联。

右键单击您的基础设施中的目标网络 (Destination Networks) 列,选中一个网络以建立网络映射,然后点击下一步 (Next)。
步骤 11

如果用户可配置属性封装在 OVF 模板(仅 VI 模板)内,则设置可配置属性,然后点击下一步
步骤 12

查看并验证准备完成窗口中的设置。

步骤 13

(可选)选中部署后启动选项启动虚拟 Firepower 管理中心,然后点击完成

如果您选择不在部署后启动,可以稍后从 VMware 控制台执行此操作;请参阅初始化虚拟设备。
步骤 14

完成安装后,关闭状态窗口。
步骤 15

完成该向导后,vSphere Web 客户端将处理 VM;您可以在 Global Information 区域的 Recent Tasks 窗格中看到“初始化 OVF 部署”状态。

完成后,您会看到 Deploy OVF Template 完成状态。

然后“库存”中的指定数据中心下会显示思科虚拟 Firepower 管理中心实例。启动新的 VM 最多可能需要 30 分钟。

 

为成功向思科许可授权机构注册虚拟 Firepower 管理中心,Firepower 管理中心需要互联网访问权限。部署之后,可能需要执行其他配置,以实现互联网访问和成功注册许可证。

下一步做什么

  • 请确认虚拟设备的硬件和内存设置是否满足部署需求(参阅验证虚拟机属性)。

验证虚拟机属性

使用 VMware 虚拟机“属性”对话框为选定的虚拟机调整主机资源分配。您可以从此选项卡更改 CPU、内存、磁盘和高级 CPU 资源。也可以更改适用于虚拟机的虚拟以太网适配器配置的启动连接设置、MAC 地址和网络连接。

过程

步骤 1

右键单击新虚拟设备名称,然后从上下文菜单中选择编辑设置,或在主窗口的开始选项卡中点击编辑虚拟机设置
步骤 2

确保内存CPU硬盘 1 的设置不低于默认设置(如第 4 页“虚拟设备的默认设置”中所述)。

窗口左侧列出了设备的内存设置和虚拟 CPU 数量。要查看硬盘的调配容量,请点击硬盘 1
步骤 3

或者,通过点击窗口左侧的相应设置并在窗口右侧执行更改,增加内存和虚拟 CPU 的数量。
步骤 4

确认网络适配器 1 设置如下,必要时执行更改:

  1. 设备状态下,启用打开电源时连接复选框。

  2. MAC 地址下,手动设置虚拟设备管理接口的 MAC 地址。

    将 MAC 地址手动分配到虚拟设备,以避免 MAC 地址更改或动态池中的其他系统出现冲突。

    此外,对于思科虚拟 Firepower 管理中心,如果必须重新映像虚拟设备,手动设置其 MAC 地址可确保不需要再次向思科申请许可证。

  3. 网络连接下,将网络标签设置为虚拟设备管理网络的名称。

步骤 5

点击确定

下一步做什么

  • 初始化虚拟设备;请参阅启动并初始化虚拟设备

  • 或者,在启动设备之前,您可以创建一个额外的管理接口;相关详细信息,请参阅适用于 VMware 的思科 Firepower NGIPSv 快速入门指南

启动并初始化虚拟设备

完成虚拟设备的部署后,在首次启动虚拟设备时,会自动启动初始化。


小心

启动时间取决于多种因素,包括服务器资源的可用性。最多可能需要 40 分钟来完成初始化。请勿中断初始化,否则您可能需要删除设备并重新开始。

过程

步骤 1

启动设备。

在 vSphere 客户端中,右键单击库存清单中虚拟设备的名称,然后从上下文菜单中选择电源 > 打开电源
步骤 2

在 VMware 控制台选项卡上监控初始化。

下一步做什么

部署 FMCv 后,必须通过设置过程完成对新设备的配置,以便新设备能够在可信管理网络上通信。如果在 VMware 上使用 ESXi OVF 模板部署,则 FMCv 设置分为两步。