Creazione e gestione di dispositivi logici in Gestione chassis FXOS

Aggiornato:19 ottobre 2023

ID documento:221076

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Sommario

Introduzione

Prerequisiti

Requisiti

Componenti usati

Ulteriori informazioni

Scegliere la versione del prodotto FTD

Configurazione

Accesso all'interfaccia utente di Cisco FCM

Carica pacchetto

Creazione di una periferica logica

Verifica

Gestisci istanza logica

Risoluzione dei problemi

Introduzione

Questo documento descrive come creare e gestire dispositivi logici in Cisco Firepower 4100/9300 FXOS utilizzando Firepower Chassis Manager.

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti:

Firepower 4100/9300 - Configurazione iniziale dello chassis.
Configurazione CLI di Firepower 4100/9300 FXOS.

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

Cisco Firepower 4125 Security Appliance
Cisco Firepower Extensible Operating System (FXOS) - 2.12(1.29)
Cisco Secure Firepower Threat Defense (FTD) - 7.2.5-208

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Ulteriori informazioni

Scegliere la versione del prodotto FTD

Prima di iniziare, valutare l'opportunità di eseguire l'aggiornamento all'ultima versione FPR4145 FXOS o a una versione compatibile con la versione dell'istanza logica FTD di destinazione.

La versione FTD di destinazione per questo documento è 7.2.5-208. Pertanto, la versione FXOS consigliata per lo chassis FPR4145 è la 2.12.0-519.

Nota: per rivedere la compatibilità con FXOS e FTD, consultare il documento: sezione Tabella 14 - https://www.cisco.com/c/en/us/td/docs/security/secure-firewall/compatibility/threat-defense-compatibility.html#id_67425.

Configurazione

Accesso all'interfaccia utente di Cisco FCM

Accedere a Firepower Chassis Manager e immettere l'URL nella barra degli indirizzi (da un browser supportato):

https://

Access FMC GUI Accesso all'interfaccia utente di FMC

Scaricare il pacchetto di installazione Secure FTD corrispondente per Firepower serie 4100/9300 dal sito https://software.cisco.com/.

Il nome dell'immagine cisco-ftd.7.2.5.208.SPA.csp.

Carica pacchetto

Caricare il pacchetto di installazione FTD nello chassis FXOS. Passa a System > Updates.

Scegli Upload image, quindi sfoglia e carica:

Upload FTD Image Carica immagine FTD

Suggerimento: una volta caricata l'immagine, viene visualizzato il Contratto di licenza con l'utente finale. Per accettare, selezionare "Accetto e comprendo il contratto".

Il pacchetto di installazione FTD è stato caricato correttamente nello chassis:

FTD Image Uploaded Succesfully to Chassis Caricamento dell'immagine FTD sullo chassis completato

Creazione di una periferica logica

È ora possibile creare un dispositivo logico passando alla Logical Devices e facendo clic su Add:

Choose Add Logical Instance Selezionare Aggiungi istanza logica

Quindi, scegliere Standalone.

Add Standalone Instance Aggiungi istanza autonoma

Avviso: scegliere Standalone per Dispositivi logici in HA o standalone. Per più contenitori in modalità cluster, scegliere Cluster. Se si sceglie Cluster, tutti i moduli creati all'interno del cluster devono avere lo stesso tipo.

Specificare il Device Name e Instance Type (nativo o contenitore):

Specify Device Name and Instance Type Specificare il nome del dispositivo e il tipo di istanza

Nota: il tipo di istanza può essere selezionato come nativo o contenitore. La creazione di un'istanza nativa alloca tutte le risorse disponibili nello chassis e nei moduli di sicurezza, ad esempio CPU, RAM e spazio su disco. Il tipo di istanza contenitore utilizza una frazione delle risorse disponibili. In questo modo è possibile installare più istanze FTD del contenitore nello stesso chassis.

Attenzione: la funzionalità a più istanze è supportata solo per l'FTD che utilizza FMC; non è supportata per l'Adaptive Security Appliance (ASA) o l'FTD che utilizza Firepower Device Manager.

La schermata di provisioning viene caricata successivamente:

Logical Device Provisioning Provisioning dispositivo logico

Attenzione: verificare che esista almeno un'interfaccia di gestione per l'istanza logica FTD che si sta creando. È possibile convalidare questa impostazione passando al Interfaces Tab > Edit Interface > Type . Cambiare il tipo in gestione.

Dal pannello Porte dati, è possibile scegliere tutte le interfacce di gestione e dati da allocare per questa istanza facendo clic su Ethernet 1/1. Tale interfaccia viene allocata all'istanza FTD:

Choose Eth1-1 Tag to Allocate Interfaces

È possibile scegliere il numero di interfacce desiderato. In questo esempio è possibile visualizzare Interfaces Ethernet 1/1 a Ethernet 1/6 sono allocati alla seguente istanza FTD:

Interfaces Eth1/1 to Eth1/6 Allocated to FTD Instance Interfacce da Eth1/1 a Eth1/6 allocate all'istanza FTD

Avanti, scegli Click to configure. La configurazione del bootstrap viene mostrata di seguito con il General Information.

Specificare il Management Interface, Address Type, Management IP, Network Mask e Gateway:

Bootstrap General Information Informazioni generali sul bootstrap

Scegli Ok e le impostazioni di bootstrap possono essere configurate usando questi:

Tipo di gestione dell'istanza di applicazione
Cerca domini
Modalità firewall
Server DNS
Password
Conferma password

Bootstrap Configuration Settings Impostazioni di configurazione bootstrap.

Nota: è possibile configurare le impostazioni FMC e registrare l'FTD in questa fase o in una fase successiva utilizzando la configurazione iniziale di FTD CLI.

Scegli Ok,e Save:

Save Bootstrap Configuration

OSPF (Open Shortest Path First) Logical Device List viene visualizzata automaticamente e lo stato dell'applicazione viene visualizzato come Starting:

Logical Device List with Application Status as Starting. Elenco di dispositivi logici con stato dell'applicazione Avvio.

È inoltre possibile confermare e tenere traccia dello stato dell'istanza logica utilizzando la CLI. Collegamento tramite SSH o console allo chassis FPR4125:

FPR4125# scope ssa
FPR4125 /ssa # show app-instance

Lo stato dell'amministratore è Abilitato e lo stato operativo mostra Avvio:

Operational State is Starting Avvio dello stato operativo in corso.

Dopo alcuni minuti, lo stato operativo visualizza Avviato:

Operational State Progressed to Started Stato operativo progressivo su Avviato

Lo stato operativo dell'istanza dell'applicazione è passato a In linea. A questo punto, l'istanza logica nativa FTD è stata completamente installata nello chassis FPR4125 ed è possibile eseguire la configurazione iniziale di FTD.

Lo stato operativo è impostato su In linea

FCM shows FTD Logical Instance is Online FCM indica che l'istanza logica FTD è in linea.

Verifica

Infine, è possibile verificare che l'accesso al dispositivo logico FTD sia riuscito dalla CLI di FXOS con questi comandi:

FPR4125# connect module 1 console
Firepower-module1>connect ftd
Connecting to ftd(FTD) console... enter exit to return to bootCLI
> show version

FTD Mostra output versione

Gestisci istanza logica

Le icone Modifica e Opzioni sono disponibili nella scheda Elenco periferiche logiche sul lato destro.

La scelta delle opzioni consente di visualizzare:

Elimina
Imposta versione
Abilita stato collegamento

Choose Options Icon Selezionare Icona Opzioni.

Con l'opzione Delete, è possibile rimuovere completamente l'istanza del dispositivo logico FTD dallo chassis e rilasciare tutte le risorse dedicate all'istanza FTD. In questo modo, anche il modulo di sicurezza viene riavviato.

Se si sceglie l'icona Imposta versione, viene visualizzato il banner Aggiorna versione immagine ed è possibile scegliere Nuova versione per aggiornare FTD. Notare che è necessario caricare prima il file di immagine FTD nello chassis FPR4125.

Abilita stato collegamento viene utilizzato quando FTD è configurato con un'interfaccia set inline e può abilitare la propagazione dello stato del collegamento.

Nota: per ulteriori informazioni, fare riferimento a questo documento, sezione Inline Set Link State Propagation for the FTD - https://www.cisco.com/c/en/us/td/docs/security/firepower/630/configuration/guide/fpmc-config-guide-v63/firepower_threat_defense_logical_devices.html.

È ora possibile visualizzare Disable, Set Version, Restart Instance,e Reinstall Instance come mostrato nella seguente immagine:

Disable, Set Version, Restart, and Reinstall Icons Icone Disabilita, Imposta versione, Riavvia e Reinstalla

Avviso: durante il normale funzionamento del dispositivo FTD, le opzioni Disabilita, Riavvia e Reinstalla non sono consigliate. Se si intende eseguire un riavvio FTD o un riavvio, si consiglia di eseguire le azioni suddette dal Cisco Secure Firewall Management Center o dalla CLI FTD (riavvio normale).

Disattiva

Disable Icon Disabilita icona.

Questa opzione disabilita e chiude l'istanza logica FTD senza rimuovere alcuna configurazione. Se si sceglie Disabilita, viene visualizzato il banner di conferma mostrato nella seguente immagine:

Confirm Disable Confermare la disabilitazione.

Lo stato dell'istanza logica viene modificato in Arresto:

Operational State is Stopping Stato operativo in arresto.

Lo stato dell'istanza logica FTD viene impostato su Non in linea:

Operational State is Offline Lo stato operativo è Offline.

Riavvia istanza

Icona Riavvia istanza.

Questa opzione viene utilizzata per riavviare immediatamente l'istanza dell'applicazione e spesso può essere utilizzata dopo la modifica delle impostazioni di bootstrap di un dispositivo logico.

Reinstalla istanza

Reinstallare.

Scegliendo questa opzione vengono rimosse tutte le configurazioni dell'applicazione e vengono ripristinate le impostazioni di fabbrica sul software dell'istanza logica FTD. Prima di procedere, viene visualizzato un banner di conferma:

Confirm Reinstall Confermare la reinstallazione.

Risoluzione dei problemi

Durante operazioni anomale, riavvii ingrati o imprevisti del dispositivo, lo stato operativo dell'istanza logica può mostrare stati anomali come 'Il modulo di sicurezza non risponde':

Operational State is Not Responding Lo stato operativo non risponde.

Passare alla Security Engine scheda. Lo stato del servizio del motore di sicurezza viene visualizzato Not-responding.

Security Engine State is Not-responding Lo stato del motore di sicurezza non risponde.

È possibile convalidare lo stato operativo dell'istanza dell'applicazione dalla CLI di FXOS eseguendo questo comando:

# show app-instance detail

È possibile reimpostare il motore di sicurezza se non vengono rilevati errori critici o gravi del modulo di sicurezza e lo stato operativo dell'istanza dell'app è in Starting. Scegli Reinitialize Security Engine.

Avviso: prima di procedere, verificare di disporre di un backup della configurazione FTD.

Reinitialize Security Engine Reinizializza motore di sicurezza

Dopo 3-5 minuti, lo stato del servizio del motore di sicurezza torna allo stato Online:

Security Engine State is Online Lo stato del motore di sicurezza è In linea.

Infine, l'istanza logica FTD torna allo stato Online:

Logical Instance State is Back to Online Lo stato dell'istanza logica è di nuovo in linea

Nota: se il motivo o lo scenario dello stato operativo danneggiato corrisponde all'esempio descritto, utilizzare questi passi per risolvere il problema. Per altri motivi, si consiglia di contattare TAC.

Cronologia delle revisioni

Revisione	Data di pubblicazione	Commenti
3.0	19-Oct-2023	Sono stati rimossi i seguenti requisiti: Porta console fisicamente collegata a un terminale del computer o a un console server 1 Gbps Ethernet management
2.0	17-Oct-2023	Requisiti modificati: Cisco raccomanda la conoscenza dei seguenti argomenti:
1.0	11-Oct-2023	Versione iniziale

Contributo dei tecnici Cisco

Jesus Cabrera Medina
Cisco TAC Engineer

Questo documento ti è stato utile?

Feedback

Contattaci

Apri una richiesta di assistenza
(Occorre un contratto di servizio Cisco)

Creazione e gestione di dispositivi logici in Gestione chassis FXOS

Linguaggio senza pregiudizi

Informazioni su questa traduzione

Sommario

Introduzione

Prerequisiti

Requisiti

Componenti usati

Ulteriori informazioni

Scegliere la versione del prodotto FTD

Configurazione

Accesso all'interfaccia utente di Cisco FCM

Carica pacchetto

Creazione di una periferica logica

Verifica

Gestisci istanza logica

Risoluzione dei problemi

Cronologia delle revisioni

Contributo dei tecnici Cisco

Questo documento ti è stato utile?

Contattaci

Questo documento si applica a questi prodotti