簡介
本文檔介紹將cdFMC管理的虛擬FTD配置為使用冗餘管理器訪問資料介面功能的步驟。
必要條件
需求
思科建議您瞭解以下主題:
- 思科安全防火牆管理中心
- Cisco Defense Orchestrator
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- 雲端提供的防火牆管理中心
- 在Azure雲中託管的虛擬安全防火牆威脅防禦7.3.1版。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
相關產品
本文件也適用於以下硬體和軟體版本:
- 任何能夠運行Firepower威脅防禦7.3.0版或更高版本的物理裝置。
背景資訊
本文檔介紹配置和驗證cdFMC託管vFTD以使用兩個資料介面進行管理的步驟。當客戶需要第二個ISP通過網際網路管理其FTD的資料介面時,此功能通常非常有用。預設情況下,FTD會為兩個介面之間的管理流量執行循環負載平衡;您可以根據本檔案所述修改為作用中/備份部署。
用於管理功能的冗餘資料介面是在Secure Firewall Threat Defense 7.3.0版中引入的。假設vFTD可連線到名稱伺服器,以便解析URL以進行CDO存取。
組態
網路圖表
網路圖表
為管理訪問配置資料介面
通過控制檯登入裝置,並使用configure network management-data-interface命令為管理訪問配置其中一個資料介面:
> configure network management-data-interface
Note: The Management default route will be changed to route through the data interfaces. If you are connected to the Management
interface with SSH, your connection may drop. You must reconnect using the console port.
Data interface to use for management: GigabitEthernet0/0
Specify a name for the interface [outside]: outside-1
IP address (manual / dhcp) [dhcp]: manual
IPv4/IPv6 address: 10.6.2.4
Netmask/IPv6 Prefix: 255.255.255.0
Default Gateway: 10.6.2.1
請記住,原始管理介面不能配置為使用DHCP。您可以使用show network 指令驗證這點。
通過CDO安裝FTD
此進程在包含CDO的Azure FTD上執行,以便它可由雲交付的FMC管理。此過程使用CLI註冊金鑰,如果您的裝置通過DHCP分配了IP地址,則此金鑰很有用。只有Firepower 1000、Firepower 2100或Secure Firewall 3100平台支援其他自註冊方法,如日誌觸控調配和序列號。
步驟 1.在CDO門戶中,導航到Inventory,然後點選Onboard選項:
「清單」頁
步驟2.在FTD磁貼中按一下:
註冊FTD
步驟3.選擇Use CLI Registration key選項
使用CLI註冊金鑰
步驟 4.從configure manager 命令開始複製CLI金鑰:
複製配置管理器命令
註意:CLI金鑰與註冊帶有本地FMC的FTD時使用的格式匹配,您可以在其中配置NAT-ID,以便在受管裝置位於NAT裝置後面時允許註冊:configure manager add <fmc-hostname-or-ipv4> <registration-key> <nat-id> <display-name>
步驟 5.在FTD CLI中貼上命令。如果通訊成功,您必須收到此消息:
Manager cisco-cisco-systems--s1kaau.app.us.cdo.cisco.com successfully configured.
Please make note of reg_key as this will be required while adding Device in FMC.
步驟 6.返回CDO,然後點選下一步:
按一下「下一步」
CDO繼續登記過程,並且顯示一條消息,提示需要很長時間才能完成。您可以通過按一下Services頁面中的Devices連結來檢查註冊過程的狀態。
步驟 7.通過Tools & Services頁面訪問FMC。
訪問cdFMC
按一下Devices連結。
按一下「裝置」
您的FTD現在已登入CDO,可由雲交付的FMC管理。請注意下一個映像中裝置名稱下列出NO-IP。在使用CLI註冊金鑰的註冊過程中,這是預期結果。
代管FTD
為Manager訪問配置冗餘資料介面
此過程為管理訪問分配第二個資料介面。
步驟 1.在Devices索引標籤中,按一下鉛筆圖示以存取FTD編輯模式:
編輯FTD
步驟 2.在Interface頁籤中,編輯要指定為冗餘管理介面的介面。如果之前未執行此操作,請配置介面名稱和IP地址。
步驟 3.在Manager Access頁籤中,啟用Enable management on this interface on the manager覈取方塊:
啟用Manager訪問
步驟 4.在General 索引標籤中,確保將介面指派給安全區域,然後按一下OK:
適用於備援資料介面的安全區域
步驟 5.請注意,現在兩個介面都具有Manager Access標籤。此外,請確保已將主資料介面分配到不同的安全區域:
介面配置檢查
在下一部分中,步驟6到10旨在配置兩條到達CDO的等價預設路由,每條路由都由獨立的SLA跟蹤進程監控。SLA跟蹤確儲存在使用受監控介面與cdFMC通訊的功能路徑。
步驟 6.導航到Routing頁籤,然後在ECMP選單下建立一個包含兩個介面的新ECMP區域:
配置ECMP區域
按一下「OK」和「Save」。
步驟 7.在Routing 索引標籤中,導覽至Static Routes。
按一下鉛筆圖示以編輯您的主要路線。然後點選加號新增新的SLA跟蹤對象:
編輯主要路由以新增SLA跟蹤
步驟 8.功能性SLA跟蹤所需的引數將在下一幅影象中突出顯示。或者,可以調整其他設定,例如資料包數、超時和頻率。
為ISP 1配置SLA跟蹤
在此範例中,Google DNS IP用於監控FTD功能,以透過outside1介面連線至Internet(和CDO)。準備就緒後,按一下ok。
附註:確保您正在追蹤已驗證可從您的FTD外部介面連線的IP。使用無法連線的IP設定追蹤軌跡可能會使此FTD中的預設路由停機,然後阻礙其與CDO通訊的能力。
步驟 9.按一下Save,並確保將新的SLA跟蹤分配給指向主介面的路由:
外部1 SLA跟蹤
按一下OK後,將顯示一個彈出視窗,並顯示下一條警告消息:
配置警告
步驟 10.按一下Add Route 選項為冗餘資料介面新增新路由。從下一張圖中可注意到,路由的Metric值相同;此外,SLA跟蹤具有不同的ID:
配置冗餘靜態路由
配置冗餘資料介面的跟蹤
按一下「Save」。
步驟 11.或者,您可以在Device > Management下指定輔助資料介面IP。 即使如此,由於當前登入方法使用CLI註冊金鑰流程,因此不需要這樣做:
(可選)在管理欄位中為冗餘資料介面指定IP
步驟 12.部署更改。
(可選)為活動/備份介面模式設定介面成本:
預設情況下,資料介面上的冗餘管理使用循環配置在兩個介面之間分配管理流量。或者,如果某個WAN鏈路的頻寬高於另一個,並且您希望該鏈路作為主管理鏈路,而另一個作為備用鏈路,則您可以將該主鏈路的開銷定為1,而將該備用鏈路的開銷定為2。在下一個示例中,介面GigabitEthernet0/0保留為主廣域網鏈路,而GigabitEthernet0/1用作備份管理鏈路:
1.導航到Devices > FlexConfig連結並建立flexConfig策略。如果已配置了flexConfig策略並將其分配給FTD,請對其進行編輯:
訪問FlexConfig選單
2.建立新的FlexConfig對象:
- 為FlexConfig對象指定名稱。
- 在Deployment和Type部分中分別選擇Everytime和Append。
- 使用如圖22所示的下一個命令設定介面的開銷。
- 按一下「Save」。
interface GigabitEthernet0/0
policy-route cost 1 <=== A cost of 1 means this will be the primary interface for management communication with CDO tenant.
interface GigabitEthernet0/1
policy-route cost 2 <=== Cost 2 sets this interface as a backup interface.
新增Flexconfig對象
3.選擇最近建立的對象,然後將其新增到「選定附加FlexConfigs」部分,如圖所示。儲存更改並部署配置。
將對象分配給Flexconfig策略
4.部署更改。
驗證
1.要驗證,請使用命令show network。形成冗餘管理介面的新例項:
> show network
<<---------- output omitted for brevity ---------->>
======================[ eth0 ]======================
State : Enabled
Link : Up
Channels : Management & Events
Mode : Non-Autonegotiation
MDI/MDIX : Auto/MDIX
MTU : 1500
MAC Address : 60:45:BD:D8:62:D7
----------------------[ IPv4 ]----------------------
Configuration : Manual
Address : 10.6.0.4
Netmask : 255.255.255.0
----------------------[ IPv6 ]----------------------
Configuration : Disabled
===============[ Proxy Information ]================
State : Disabled
Authentication : Disabled
. . .
===============[ GigabitEthernet0/0 ]===============
State : Enabled
Link : Up
Name : outside-1
MTU : 1500
MAC Address : 60:45:BD:D8:6F:5C
----------------------[ IPv4 ]----------------------
Configuration : Manual
Address : 10.6.2.4
Netmask : 255.255.255.0
Gateway : 10.6.3.1
----------------------[ IPv6 ]----------------------
Configuration : Disabled
===============[ GigabitEthernet0/1 ]===============
State : Enabled
Link : Up
Name : outside-2
MTU : 1500
MAC Address : 60:45:BD:D8:67:CA
----------------------[ IPv4 ]----------------------
Configuration : Manual
Address : 10.6.3.4
Netmask : 255.255.255.0
Gateway : 10.6.3.1
----------------------[ IPv6 ]----------------------
Configuration : Disabled
2.該介面現在是sftunnel 域的一部分。您可以使用show sftunnel interfaces和show running-config sftunnel 指令確認這點:
> show sftunnel interfaces
Physical Interface Name of the Interface
GigabitEthernet0/0 outside-1
GigabitEthernet0/1 outside-2
> show running-config sftunnel
sftunnel interface outside-2
sftunnel interface outside-1
sftunnel port 8305
sftunnel route-map FMC_GEN_19283746_RBD_DUAL_WAN_RMAP_91827346
3.基於策略的路由會自動拼寫。如果未指定介面開銷,adaptive-interface選項將設定循環排程處理,以平衡兩個介面之間的管理流量:
> show running-config route-map
!
route-map FMC_GEN_19283746_RBD_DUAL_WAN_RMAP_91827346 permit 5
match ip address FMC_GEN_056473829_RBD_DUAL_WAN_ACL_165748392
set adaptive-interface cost outside-1 outside-2
> show access-list FMC_GEN_056473829_RBD_DUAL_WAN_ACL_165748392
access-list FMC_GEN_056473829_RBD_DUAL_WAN_ACL_165748392; 1 elements; name hash: 0x8e8cb508
access-list FMC_GEN_056473829_RBD_DUAL_WAN_ACL_165748392 line 1 extended permit tcp any any eq 8305 (hitcnt=26) 0x9e36863c
4.使用show running-config interface <interface> 命令檢查介面設定:
> show running-config interface GigabitEthernet 0/0
!
interface GigabitEthernet0/0
nameif outside-1
security-level 0
zone-member outside-ecmp
ip address 10.6.2.4 255.255.255.0
policy-route cost 1
> show running-config interface GigabitEthernet 0/1
!
interface GigabitEthernet0/1
nameif outside-2
security-level 0
zone-member outside-ecmp
ip address 10.6.3.4 255.255.255.0
policy-route cost 2
其他一些命令可用於檢查已配置路由的跟蹤:
> show track
Track 1
Response Time Reporter 2 reachability
Reachability is Up <============= Ensure reachability is up for the monitored interfaces.
2 changes, last change 09:45:00
Latest operation return code: OK
Latest RTT (millisecs) 10
Tracked by:
STATIC-IP-ROUTING 0
Track 2
Response Time Reporter 1 reachability
Reachability is Up <============= Ensure reachability is up for the monitored interfaces.
2 changes, last change 09:45:00
Latest operation return code: OK
Latest RTT (millisecs) 1
Tracked by:
STATIC-IP-ROUTING 0
> show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF, BI - BGP InterVRF
Gateway of last resort is 10.6.3.1 to network 0.0.0.0
S* 0.0.0.0 0.0.0.0 [1/0] via 10.6.3.1, outside-2
[1/0] via 10.6.2.1, outside-1
C 10.6.2.0 255.255.255.0 is directly connected, outside-1
L 10.6.2.4 255.255.255.255 is directly connected, outside-1
C 10.6.3.0 255.255.255.0 is directly connected, outside-2
L 10.6.3.4 255.255.255.255 is directly connected, outside-2
相關資訊