在4100 Firepower裝置上安裝FTD
簡介
本文示範如何在Firepower 4100安全裝置上安裝和註冊思科安全防火牆威脅防禦(FTD)軟體。
必要條件
需求
本文件沒有特定需求。
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- 思科Firepower 4125安全裝置,運行FXOS 2.16(0.128)和FTD 7.6.0
- 思科安全防火牆管理中心,運行7.6.0
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
FTD是可在以下平台上安裝的整合軟體映像:
-
思科安全防火牆裝置(FPR1xxx、FPR12xx、FPR21xx、FPR31xx、FPR42xx)
-
Firepower安全裝置(FPR41xx和FPR9300)
- 3000系列產業資安裝置(ISA)
- 整合服務路由器(ISR)模組
- 私有雲:
- VMWare (ESXi)
- 基於核心的虛擬機器(KVM)
- OpenStack
- 思科HyperFlex
- 公共雲:
- Amazon Web Services (AWS)
- Microsoft Azure
- Google雲端平台
- Oracle雲基礎架構
- Nutanix雲端
- Equinix
設定
網路圖表
任務1. FTD軟體下載
導覽至Security > Firewalls > Next-Generation Firewalls(NGFW)> Firepower 4100 Series > Firepower 4125 Security Appliance,然後選擇Firepower威脅防禦軟體,如下圖所示:
任務2.驗證FXOS-FTD相容性
任務要求
驗證機箱上運行的FXOS版本是否與要在安全模組中安裝的FTD版本相容。
解決方案
步驟1.檢查FXOS-FTD相容性。
將FTD映像安裝到模組/刀鋒之前,請確保Firepower機箱執行相容的FXOS軟體。在《FXOS相容性指南》中,檢查「邏輯裝置相容性」表。運行FTD 7.6.0所需的最低FXOS版本為2.16,如表1所示:
如果FXOS映像與目標FTD映像不相容,請先升級FXOS軟體。
驗證FXOS映像
方法1.從Firepower機箱管理器(FCM)UI Overview頁面,如下圖所示:
方法2.導覽至FCM System > Update頁面,如下圖所示:
方法3.在FXOS CLI上:
FPR4125# show fabric-interconnect firmware
Fabric Interconnect A:
Running-Kern-Vers: 5.0(3)N2(4.160.555)
Running-Sys-Vers: 5.0(3)N2(4.160.555)
Package-Vers: 2.16(0.128)
Startup-Kern-Vers: 5.0(3)N2(4.160.555)
Startup-Sys-Vers: 5.0(3)N2(4.160.555)
Act-Kern-Status: Ready
Act-Sys-Status: Ready
Bootloader-Vers:
任務3.將FTD映像上傳到Firepower裝置
任務要求
將FTD映像上傳到FPR4100機箱。
解決方案
方法1.從FCM UI上傳FTD映像。
登入到FPR4100機箱管理器,然後導航到System > Updates頁籤。選擇Upload Image以上傳檔案,如下圖所示:
瀏覽以選擇FTD映像檔,然後按一下Upload,如下圖所示:
接受終端使用者許可協定(EULA)。
驗證如下圖所示:
方法2.從FXOS CLI上傳FTD映像。
您可以從FTP、HTTP、HTTPS、安全複製(SCP)、安全FTP(SFTP)、TFTP或透過USB上傳FTD映像。(在本範例中使用的是FTP):
FPR4100# scope ssa
FPR4100 /ssa # scope app-software
FPR4100 /ssa/app-software # download image ?
ftp: Location of the image file
http: Location of the image file
https: Location of the image file
scp: Location of the image file
sftp: Location of the image file
tftp: Location of the image file
usbA: Location of the image file
開始映像傳輸之前,驗證機箱管理介面和遠端伺服器之間的連線:
FPR4100# connect local-mgmt FPR4100(local-mgmt)# ping 10.229.24.22 PING 10.229.24.22 (10.229.24.22) from 10.62.148.88 eth0: 56(84) bytes of data. 64 bytes from 10.229.24.22: icmp_seq=1 ttl=124 time=0.385 ms 64 bytes from 10.229.24.22: icmp_seq=2 ttl=124 time=0.577 ms 64 bytes from 10.229.24.22: icmp_seq=3 ttl=124 time=0.347 ms
若要下載FTD映像,請導覽至此範圍並使用download image指令:
FPR4100# scope ssa FPR4100 /ssa # scope app-software FPR4100 /ssa/app-software # download image ftp://ftp_username@10.229.24.22/cisco-ftd.7.6.0.113.SPA.csp
Password:
監控映像上傳進度:
FPR4100 /ssa/app-software # show download-task detail
Downloads for Application Software:
File Name: cisco-ftd.7.6.0.113.SPA.csp
Protocol: Ftp
Server: 10.229.24.22
Port: 0
Userid: ftp
Path:
Downloaded Image Size (KB): 95040
Time stamp: 2016-12-11T20:27:47.856
State: Downloading
Transfer Rate (KB/s): 47520.000000
Current Task: downloading image cisco-ftd.7.6.0.113.SPA.csp from 10.229.24.22(FSM-STAGE:sam:dme:ApplicationDownloaderDownload:Local)使用以下命令驗證下載是否成功:
FPR4100 /ssa/app-software # show download-task
Downloads for Application Software:
File Name Protocol Server Port Userid State
------------------------------ ---------- ------------- ---------- --------- -----
cisco-ftd.7.6.0.113.SPA.csp Ftp 10.229.24.22 0 ftp Downloaded
有關其他詳細資訊:
KSEC-FPR4100 /ssa/app-software # show download-task fsm status expand
File Name: cisco-ftd.7.6.0.113.SPA.csp
FSM Status:
Affected Object: sys/app-catalogue/dnld-cisco-ftd.7.6.0.113.SPA.csp/fsm
Current FSM: Download
Status: Success
Completion Time: 2016-12-11T20:28:12.889
Progress (%): 100
FSM Stage:
Order Stage Name Status Try
------ ---------------------------------------- ------------ ---
1 DownloadLocal Success 1
2 DownloadUnpackLocal Success 1
File Name: Cisco_FTD_SSP_Upgrade-7.6.0-113.sh該影象顯示在機箱儲存庫中:
KSEC-FPR4100 /ssa/app-software # exit
KSEC-FPR4100 /ssa # show app Application: Name Version Description Author Deploy Type CSP Type Is Default App ---------- ---------- ----------- ---------- ----------- ----------- -------------- asa 9.6.2.3 N/A cisco Native Application No ftd 7.6.0.113 N/A cisco Native Application No
任務4.配置FTD管理和資料介面
任務要求
在Firepower裝置上為FTD配置並啟用管理和資料介面。
解決方案
要建立新介面,請登入到FCM並導航到Interfaces頁籤。當前介面可見。若要建立新的連線埠通道介面,請選擇Add New > Port Channel按鈕,如下圖所示:
步驟1.建立埠通道資料介面。
建立一個新的連線埠通道介面,如下圖所示:
|
埠通道ID |
1 |
|
類型 |
資料 |
|
啟用 |
是 |
|
成員ID |
Ethernet1/2、Ethernet 1/3 |
埠通道ID為1到47之間的值。
驗證如下圖所示:
步驟2.建立管理介面。
在Interfaces索引標籤上,選擇介面,選擇Edit,並設定管理介面,如下圖所示:
任務5.建立和配置新的邏輯裝置
任務要求
建立FTD作為獨立邏輯裝置並進行部署。
解決方案
步驟1.新增邏輯裝置。
導覽至Logical Devices索引標籤,然後選擇Add Device按鈕以建立新的邏輯裝置,如下圖所示:
使用以下圖中所示的設定設定FTD裝置:
|
裝置名稱 |
FPR4125-1 |
|
模板 |
思科安全防火牆威脅防禦 |
|
映像版本 |
7.6.0.113 |
步驟2.啟動邏輯裝置。
建立邏輯裝置後,將顯示Provisioning - device_name視窗。選擇裝置圖示以啟動配置,如下圖所示:
設定FTD General Information標簽,如下圖所示:
|
管理介面 |
Ethernet1/1 |
|
地址型別 |
僅限IPv4 |
|
管理IP |
10.62.148.226 |
|
網路遮罩 |
255.255.255.128 |
|
網路閘道 |
10.62.148.129 |
設定FTD Settings選項卡,如下圖所示:
|
註冊金鑰 |
cisco |
|
密碼 |
Pa$$w0rd |
|
Cisco Secure Firewall Management Center IP |
10.62.148.43 |
|
搜尋域 |
cisco.com |
|
防火牆模式 |
循路 |
|
DNS伺服器 |
192.168.0.2 |
|
完全限定的主機名 |
FPR4125-1.cisco.com |
|
事件介面 |
- |
確保Agreement被接受,然後選擇OK。
步驟3.分配資料介面。
展開Data Ports區域,選擇要分配給FTD的每個介面。在此案例中,指派了一個介面(Port-channel1),如下圖所示:
選擇Save以完成配置。
步驟4.監控安裝過程。
這是從FCM UI監控時FTD安裝的進度,如下圖所示:
從Firepower CLI監控安裝過程:
FPR4100# connect module 1 console
Telnet escape character is '~'.
Trying 127.5.1.1...
Connected to 127.5.1.1.
Escape character is '~'.
Firepower-module1>show services status all
Services currently running:
Application Type | Identifier | Oper State | Up Since | Instance ID
---------------- | ---------- | ---------- | -------- | -----------
ftd (native) | FPR4125-1 | RUNNING | 00:01:56 | ftd_001_JAD22360004VWC84030
任務6.將FTD註冊到思科安全防火牆管理中心(FMC)
任務要求
在FMC中註冊FTD。
解決方案
步驟1.驗證FTD和FMC之間的基本連線。
將FTD註冊到FMC之前,請驗證FTD和FMC之間的基本連線:
Firepower-module1>connect ftd
Connecting to ftd(FPR4125-1) console... enter exit to return to bootCLI
> ping system 10.62.148.43
PING 10.62.148.43 (10.62.148.43) 56(84) bytes of data.
64 bytes from 10.62.148.43: icmp_seq=1 ttl=63 time=0.254 ms
64 bytes from 10.62.148.43: icmp_seq=2 ttl=63 time=0.283 ms
64 bytes from 10.62.148.43: icmp_seq=3 ttl=63 time=0.217 ms
由於啟動程式配置,FTD已配置管理器FMC:
> show managers
Type : Manager
Host : 10.62.148.43
Display name : 10.62.148.43
Identifier : 10.62.148.43
Registration : Pending
步驟2.將FTD新增到FMC中。
在FMC上,導覽至Devices> Device Management索引標籤,然後導覽至Add... > Add Device,如下圖所示:
設定FTD裝置設定,如下圖所示:
選擇Register按鈕。
在FMC上,檢查Tasks以檢視註冊進度。除註冊外,FMC還:
- 發現FTD裝置(擷取目前的介面組態)。
- 部署初始策略。
成功註冊如下圖所示:
如果您在註冊時遇到任何問題,請參閱以下文檔:
相關資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
5.0 |
14-Mar-2025
|
更新了軟體版本和螢幕截圖。編輯的替代文字。 |
4.0 |
06-Sep-2024
|
更新的格式、間距、樣式。 |
3.0 |
16-Aug-2023
|
更新的PII、機器翻譯、樣式要求、MDF標籤和格式。 |
2.0 |
20-Jul-2022
|
重新認證 |
1.0 |
01-Nov-2017
|
初始版本 |
意見