Introduzione
Questo documento descrive come creare e gestire dispositivi logici in Cisco Firepower 4100/9300 FXOS utilizzando Firepower Chassis Manager.
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- Firepower 4100/9300 - Configurazione iniziale dello chassis.
- Configurazione CLI di Firepower 4100/9300 FXOS.
Componenti usati
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Ulteriori informazioni
Scegliere la versione del prodotto FTD
Prima di iniziare, valutare l'opportunità di eseguire l'aggiornamento all'ultima versione FPR4145 FXOS o a una versione compatibile con la versione dell'istanza logica FTD di destinazione.
La versione FTD di destinazione per questo documento è 7.2.5-208. Pertanto, la versione FXOS consigliata per lo chassis FPR4145 è la 2.12.0-519.
Configurazione
Accesso all'interfaccia utente di Cisco FCM
Accedere a Firepower Chassis Manager e immettere l'URL nella barra degli indirizzi (da un browser supportato):
https://
Accesso all'interfaccia utente di FMC
Scaricare il pacchetto di installazione Secure FTD corrispondente per Firepower serie 4100/9300 dal sito https://software.cisco.com/.
Il nome dell'immagine cisco-ftd.7.2.5.208.SPA.csp
.
Carica pacchetto
Caricare il pacchetto di installazione FTD nello chassis FXOS. Passa a System > Updates
.
Scegli Upload image
, quindi sfoglia e carica:
Carica immagine FTD
Suggerimento: una volta caricata l'immagine, viene visualizzato il Contratto di licenza con l'utente finale. Per accettare, selezionare "Accetto e comprendo il contratto".
Il pacchetto di installazione FTD è stato caricato correttamente nello chassis:
Caricamento dell'immagine FTD sullo chassis completato
Creazione di una periferica logica
È ora possibile creare un dispositivo logico passando alla Logical Devices
e facendo clic su Add
:
Selezionare Aggiungi istanza logica
Quindi, scegliere Standalone
.
Aggiungi istanza autonoma
Avviso: scegliere Standalone per Dispositivi logici in HA o standalone. Per più contenitori in modalità cluster, scegliere Cluster. Se si sceglie Cluster, tutti i moduli creati all'interno del cluster devono avere lo stesso tipo.
Specificare il Device Name
e Instance Type
(nativo o contenitore):
Specificare il nome del dispositivo e il tipo di istanza
Nota: il tipo di istanza può essere selezionato come nativo o contenitore. La creazione di un'istanza nativa alloca tutte le risorse disponibili nello chassis e nei moduli di sicurezza, ad esempio CPU, RAM e spazio su disco. Il tipo di istanza contenitore utilizza una frazione delle risorse disponibili. In questo modo è possibile installare più istanze FTD del contenitore nello stesso chassis.
Attenzione: la funzionalità a più istanze è supportata solo per l'FTD che utilizza FMC; non è supportata per l'Adaptive Security Appliance (ASA) o l'FTD che utilizza Firepower Device Manager.
La schermata di provisioning viene caricata successivamente:
Provisioning dispositivo logico
Attenzione: verificare che esista almeno un'interfaccia di gestione per l'istanza logica FTD che si sta creando. È possibile convalidare questa impostazione passando al Interfaces Tab > Edit Interface > Type
. Cambiare il tipo in gestione.
Dal pannello Porte dati, è possibile scegliere tutte le interfacce di gestione e dati da allocare per questa istanza facendo clic su Ethernet 1/1. Tale interfaccia viene allocata all'istanza FTD:
È possibile scegliere il numero di interfacce desiderato. In questo esempio è possibile visualizzare Interfaces Ethernet 1/1
a Ethernet 1/6
sono allocati alla seguente istanza FTD:
Interfacce da Eth1/1 a Eth1/6 allocate all'istanza FTD
Avanti, scegli Click to configure
. La configurazione del bootstrap viene mostrata di seguito con il General Information
.
Specificare il Management Interface
, Address Type
, Management IP
, Network Mask
e Gateway
:
Informazioni generali sul bootstrap
Scegli Ok
e le impostazioni di bootstrap possono essere configurate usando questi:
- Tipo di gestione dell'istanza di applicazione
- Cerca domini
- Modalità firewall
- Server DNS
- Password
- Conferma password
Impostazioni di configurazione bootstrap.
Nota: è possibile configurare le impostazioni FMC e registrare l'FTD in questa fase o in una fase successiva utilizzando la configurazione iniziale di FTD CLI.
Scegli Ok
,e Save
:
OSPF (Open Shortest Path First) Logical Device List
viene visualizzata automaticamente e lo stato dell'applicazione viene visualizzato come Starting
:
Elenco di dispositivi logici con stato dell'applicazione Avvio.
È inoltre possibile confermare e tenere traccia dello stato dell'istanza logica utilizzando la CLI. Collegamento tramite SSH o console allo chassis FPR4125:
FPR4125# scope ssa
FPR4125 /ssa # show app-instance
Lo stato dell'amministratore è Abilitato e lo stato operativo mostra Avvio:
Avvio dello stato operativo in corso.
Dopo alcuni minuti, lo stato operativo visualizza Avviato:
Stato operativo progressivo su Avviato
Lo stato operativo dell'istanza dell'applicazione è passato a In linea. A questo punto, l'istanza logica nativa FTD è stata completamente installata nello chassis FPR4125 ed è possibile eseguire la configurazione iniziale di FTD.
Lo stato operativo è impostato su In linea
FCM indica che l'istanza logica FTD è in linea.
Verifica
Infine, è possibile verificare che l'accesso al dispositivo logico FTD sia riuscito dalla CLI di FXOS con questi comandi:
FPR4125# connect module 1 console
Firepower-module1>connect ftd
Connecting to ftd(FTD) console... enter exit to return to bootCLI
> show version
FTD Mostra output versione
Gestisci istanza logica
Le icone Modifica e Opzioni sono disponibili nella scheda Elenco periferiche logiche sul lato destro.
La scelta delle opzioni consente di visualizzare:
- Elimina
- Imposta versione
- Abilita stato collegamento
Selezionare Icona Opzioni.
Con l'opzione Delete, è possibile rimuovere completamente l'istanza del dispositivo logico FTD dallo chassis e rilasciare tutte le risorse dedicate all'istanza FTD. In questo modo, anche il modulo di sicurezza viene riavviato.
Se si sceglie l'icona Imposta versione, viene visualizzato il banner Aggiorna versione immagine ed è possibile scegliere Nuova versione per aggiornare FTD. Notare che è necessario caricare prima il file di immagine FTD nello chassis FPR4125.
Abilita stato collegamento viene utilizzato quando FTD è configurato con un'interfaccia set inline e può abilitare la propagazione dello stato del collegamento.
È ora possibile visualizzare Disable
, Set Version
, Restart Instance
,e Reinstall Instance
come mostrato nella seguente immagine:
Icone Disabilita, Imposta versione, Riavvia e Reinstalla
Avviso: durante il normale funzionamento del dispositivo FTD, le opzioni Disabilita, Riavvia e Reinstalla non sono consigliate. Se si intende eseguire un riavvio FTD o un riavvio, si consiglia di eseguire le azioni suddette dal Cisco Secure Firewall Management Center o dalla CLI FTD (riavvio normale).
Disabilita icona.
Questa opzione disabilita e chiude l'istanza logica FTD senza rimuovere alcuna configurazione. Se si sceglie Disabilita, viene visualizzato il banner di conferma mostrato nella seguente immagine:
Confermare la disabilitazione.
Lo stato dell'istanza logica viene modificato in Arresto:
Stato operativo in arresto.
Lo stato dell'istanza logica FTD viene impostato su Non in linea:
Lo stato operativo è Offline.
Icona Riavvia istanza.
Questa opzione viene utilizzata per riavviare immediatamente l'istanza dell'applicazione e spesso può essere utilizzata dopo la modifica delle impostazioni di bootstrap di un dispositivo logico.
Reinstallare.
Scegliendo questa opzione vengono rimosse tutte le configurazioni dell'applicazione e vengono ripristinate le impostazioni di fabbrica sul software dell'istanza logica FTD. Prima di procedere, viene visualizzato un banner di conferma:
Confermare la reinstallazione.
Risoluzione dei problemi
Durante operazioni anomale, riavvii ingrati o imprevisti del dispositivo, lo stato operativo dell'istanza logica può mostrare stati anomali come 'Il modulo di sicurezza non risponde':
Lo stato operativo non risponde.
Passare alla Security Engine
scheda. Lo stato del servizio del motore di sicurezza viene visualizzato Not-responding
.
Lo stato del motore di sicurezza non risponde.
È possibile convalidare lo stato operativo dell'istanza dell'applicazione dalla CLI di FXOS eseguendo questo comando:
# show app-instance detail
È possibile reimpostare il motore di sicurezza se non vengono rilevati errori critici o gravi del modulo di sicurezza e lo stato operativo dell'istanza dell'app è in Starting
. Scegli Reinitialize Security Engine
.
Avviso: prima di procedere, verificare di disporre di un backup della configurazione FTD.
Reinizializza motore di sicurezza
Dopo 3-5 minuti, lo stato del servizio del motore di sicurezza torna allo stato Online:
Lo stato del motore di sicurezza è In linea.
Infine, l'istanza logica FTD torna allo stato Online:
Lo stato dell'istanza logica è di nuovo in linea
Nota: se il motivo o lo scenario dello stato operativo danneggiato corrisponde all'esempio descritto, utilizzare questi passi per risolvere il problema. Per altri motivi, si consiglia di contattare TAC.