Firepower アプライアンスでの FTD のインストールとアップグレード
内容
はじめに
このドキュメントでは、FirepowerアプライアンスでのFirepower Threat Defense(FTD)ソフトウェアのインストール、アップグレード、および登録について説明します。
前提条件
要件
このドキュメントに関する固有の要件はありません。
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- FXOS 2.0(1.37)が稼働するCisco Firepower 4140セキュリティアプライアンス
- 6.1.0.330を実行するFirepower Management Center(FMC)
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
FTDは、次のプラットフォームにインストールできる統合ソフトウェアイメージです。
- ASA5506-X, ASA5506W-X, ASA5506H-X, ASA5508-X, ASA5516-X
- ASA5512-X、ASA5515-X、ASA5525-X、ASA5545-X、ASA5555-X
- Firepowerデバイス(FPR2100、FPR4100、FPR9300)
- VMware(ESXi)
- Amazon Web Services(AWS)
- カーネルベースの仮想マシン(KVM)
- サービス統合型ルータ(ISR)モジュール
設定
ネットワーク図
タスク 1.FTD ソフトウェアのダウンロード
Next-Generation Firewalls (NGFW) > FirePOWER 4100 Series > FirePOWER 4140 Security Applianceに移動し、図に示すようにFirepower Threat Defense Softwareを選択します。
タスク 2.FXOSとFTDの互換性の確認
タスクの要件
シャーシで稼働しているFXOSのバージョンが、セキュリティモジュールにインストールするFTDのバージョンと互換性があることを確認します。
解決方法
ステップ 1:FXOSとFTDの互換性を確認します。
FTDイメージをモジュールまたはブレードにインストールする前に、Firepowerシャーシが互換性のあるFXOSソフトウェアを実行していることを確認します。『FXOS 互換性ガイド』で、「論理デバイスの互換性テーブル」を確認します。表2に示すように、FTD 6.1.xを実行するために最低限必要なFXOSのバージョンは1.1(4.95)です。
FXOSイメージがターゲットのFTDイメージと互換性がない場合は、最初にFXOSソフトウェアをアップグレードします。
FXOSイメージの確認
方式 1.図に示すように、Firepower Chassis Manager(FCM)のUI概要ページから:
方式 2. 図に示すように、FCM System > Updateページに移動します。
方法 3.FXOSのCLIから:
FPR4100# show fabric-interconnect firmware
Fabric Interconnect A:
Running-Kern-Vers: 5.0(3)N2(4.01.35)
Running-Sys-Vers: 5.0(3)N2(4.01.35)
Package-Vers: 2.0(1.37)
Startup-Kern-Vers: 5.0(3)N2(4.01.35)
Startup-Sys-Vers: 5.0(3)N2(4.01.35)
Act-Kern-Status: Ready
Act-Sys-Status: Ready
Bootloader-Vers:
タスク 3.FirepowerアプライアンスへのFTDイメージのアップロード
タスクの要件
FPR4100シャーシにFTDイメージをアップロードします。
解決方法
方法1:FCMのUIからFTDイメージをアップロードします。
FPR4100 Chassis Managerにログインし、System > Updatesタブに移動します。Upload Imageを選択して、次の図に示すようにファイルをアップロードします。
図に示すように、FTDイメージファイルを参照して選択し、Uploadをクリックします。
エンドユーザライセンス契約書(EULA)に同意します。
検証は図に示すとおりです。
方法2:FXOS CLIからFTDイメージをアップロードする
FTP、セキュアコピー(SCP)、セキュアFTP(SFTP)、またはTFTPサーバからFTDイメージをアップロードできます。
イメージの転送を開始する前に、シャーシ管理インターフェイスとリモートサーバの間の接続を確認します。
FPR4100# connect local-mgmt FPR4100(local-mgmt)# ping 10.229.24.22 PING 10.229.24.22 (10.229.24.22) from 10.62.148.88 eth0: 56(84) bytes of data. 64 bytes from 10.229.24.22: icmp_seq=1 ttl=124 time=0.385 ms 64 bytes from 10.229.24.22: icmp_seq=2 ttl=124 time=0.577 ms 64 bytes from 10.229.24.22: icmp_seq=3 ttl=124 time=0.347 ms
FTDイメージをダウンロードするには、次のスコープに移動し、download imageコマンドを使用します。
FPR4100# scope ssa FPR4100 /ssa # scope app-software FPR4100 /ssa/app-software # download image ftp://ftp_username@10.229.24.22/cisco-ftd.6.1.0.330.SPA.csp
Password:
イメージのアップロードの進捗状況をモニタするには、次のコマンドを使用します。
FPR4100 /ssa/app-software # show download-task detail
Downloads for Application Software:
File Name: cisco-ftd.6.1.0.330.SPA.csp
Protocol: Ftp
Server: 10.229.24.22
Port: 0
Userid: ftp
Path:
Downloaded Image Size (KB): 95040
Time stamp: 2016-12-11T20:27:47.856
State: Downloading
Transfer Rate (KB/s): 47520.000000
Current Task: downloading image cisco-ftd.6.1.0.330.SPA.csp from 10.229.24.22(FSM-STAGE:sam:dme:ApplicationDownloaderDownload:Local)
ダウンロードが成功したことを確認するには、次のコマンドを使用します。
FPR4100 /ssa/app-software # show download-task
Downloads for Application Software:
File Name Protocol Server Port Userid State
------------------------------ ---------- ------------- ---------- --------- -----
cisco-ftd.6.1.0.330.SPA.csp Ftp 10.229.24.22 0 ftp Downloaded
詳細情報:
KSEC-FPR4100 /ssa/app-software # show download-task fsm status expand
File Name: cisco-ftd.6.1.0.330.SPA.csp
FSM Status:
Affected Object: sys/app-catalogue/dnld-cisco-ftd.6.1.0.330.SPA.csp/fsm
Current FSM: Download
Status: Success
Completion Time: 2016-12-11T20:28:12.889
Progress (%): 100
FSM Stage:
Order Stage Name Status Try
------ ---------------------------------------- ------------ ---
1 DownloadLocal Success 1
2 DownloadUnpackLocal Success 1
File Name: Cisco_FTD_SSP_Upgrade-6.1.0-330.sh
シャーシ リポジトリにイメージが表示されます。
KSEC-FPR4100 /ssa/app-software # exit
KSEC-FPR4100 /ssa # show app Application: Name Version Description Author Deploy Type CSP Type Is Default App ---------- ---------- ----------- ---------- ----------- ----------- -------------- asa 9.6.2.3 N/A cisco Native Application No ftd 6.1.0.330 N/A cisco Native Application No
タスク 4.FTD管理およびデータインターフェイスの設定
タスクの要件
FirepowerアプライアンスでFTDの管理インターフェイスとデータインターフェイスを設定し、有効にします。
解決方法
新しいインターフェイスを作成するには、FCMにログインしてInterfacesタブに移動します。現在のインターフェイスが表示されます。新しいポートチャネルインターフェイスを作成するには、図に示すように、Add Port Channelボタンを選択します。
ステップ 1:ポートチャネルデータインターフェイスを作成します。
図に示すように、新しいポートチャネルインターフェイスを作成します。
| Port Channel ID |
10 |
| Type |
Data |
| [Enable] |
Yes |
| Member ID |
Ethernet1/1, Ethernet 1/2 |
Port Channel IDには、1 ~ 47の値を指定します。
検証は図に示すとおりです。
ステップ 2:管理インターフェイスを作成します。
図に示すように、Interfacesタブでインターフェイスを選択し、Editを選択して、管理インターフェイスを設定します。
タスク 5.新しい論理デバイスの作成と設定
タスクの要件
スタンドアロン論理デバイスとしてFTDを作成し、導入します。
解決方法
ステップ 1:論理デバイスを追加します。
図に示すように、Logical Devicesタブに移動し、Add Deviceボタンを選択して新しい論理デバイスを作成します。
図に示す設定でFTDデバイスを設定します。
| Device Name |
FTD |
| Template |
Cisco Firepower Threat Defense |
| Image Version |
6.1.0.330 |
ステップ 2:論理デバイスをブートストラップします。
論理デバイスを作成すると、Provisioning - device_nameウィンドウが表示されます。図に示すように、デバイスアイコンを選択して設定を開始します。
図に示すように、FTDのGeneral Informationタブを設定します。
| Management Interface |
Ethernet1/3 |
| Address Type |
IPv4 only |
| Management IP |
10.62.148.84 |
| ネットワークマスク |
255.255.255.128 |
| Network Gateway |
10.62.148.1 |
図に示すように、FTDのSettingsタブを設定します。
| 登録キー |
cisco |
| Password |
Pa$$w0rd |
| Firepower Management Center の IP |
10.62.148.50 |
| Search domains |
cisco.com |
| Firewall Mode |
Routed |
| DNS Servers |
192.168.0.1 |
| Fully Qualified Hostname |
FTD4100.cisco.com |
| Eventing Interface |
- |
契約に同意したことを確認し、OKを選択します。
ステップ 3:データインターフェイスを割り当てます。
Data Ports領域を展開し、FTDに割り当てる各インターフェイスを選択します。このシナリオでは、図に示すように、1つのインターフェイス(Port-channel10)が割り当てられています。
Saveを選択して、設定を終了します。
ステップ 4:インストールプロセスを監視します。
次の図に示すように、FCMのUIから監視される場合のFTDのインストールの進行状況を示します。
Firepower CLIからインストールプロセスを監視します。
FPR4100# connect module 1 console Telnet escape character is '~'. Trying 127.5.1.1... Connected to 127.5.1.1. Escape character is '~'. CISCO Serial Over LAN: Close Network Connection to Exit Cisco FTD: CMD=-start, CSP-ID=cisco-ftd.6.1.0.330__ftd_001_JAD19500F7YHCNL7715, FLAG='' Cisco FTD starting ... Registering to process manager ... VNICs requested: 9,22 Cisco FTD started successfully. Cisco FTD initializing ... Firepower-module1>Setting up VNICs ... Found Firepower management vnic 18. No Firepower eventing vnic configured. Updating /ngfw/etc/sf/arc.conf ... Deleting previous CGroup Configuration ... Initializing Threat Defense ... [ OK ] Starting system log daemon... [ OK ] Stopping mysql... Dec 12 17:12:17 Firepower-module1 SF-IMS[14629]: [14629] pmtool:pmtool [ERROR] Unable to connect to UNIX socket at /ngfw/var/sf/run/PM_Control.sock: No such file or directory Starting mysql... Dec 12 17:12:17 Firepower-module1 SF-IMS[14641]: [14641] pmtool:pmtool [ERROR] Unable to connect to UNIX socket at /ngfw/var/sf/run/PM_Control.sock: No such file or directory Flushing all current IPv4 rules and user defined chains: ...success Clearing all current IPv4 rules and user defined chains: ...success Applying iptables firewall rules: Flushing chain `PREROUTING' Flushing chain `INPUT' Flushing chain `FORWARD' Flushing chain `OUTPUT' Flushing chain `POSTROUTING' Flushing chain `INPUT' Flushing chain `FORWARD' Flushing chain `OUTPUT' Applying rules successed Flushing all current IPv6 rules and user defined chains: ...success Clearing all current IPv6 rules and user defined chains: ...success Applying ip6tables firewall rules: Flushing chain `PREROUTING' Flushing chain `INPUT' Flushing chain `FORWARD' Flushing chain `OUTPUT' Flushing chain `POSTROUTING' Flushing chain `INPUT' Flushing chain `FORWARD' Flushing chain `OUTPUT' Applying rules successed Starting nscd... mkdir: created directory '/var/run/nscd' [ OK ] Starting , please wait......complete. Firstboot detected, executing scripts Executing S01virtual-machine-reconfigure [ OK ] Executing S02aws-pull-cfg [ OK ] Executing S02configure_onbox [ OK ] Executing S04fix-httpd.sh [ OK ] Executing S06addusers [ OK ] Executing S07uuid-init [ OK ] Executing S08configure_mysql [ OK ] ************ Attention ********* Initializing the configuration database. Depending on available system resources (CPU, memory, and disk), this may take 30 minutes or more to complete. ************ Attention ********* Executing S09database-init [ OK ] Executing S11database-populate [ OK ] Executing S12install_infodb [ OK ] Executing S15set-locale.sh [ OK ] Executing S16update-sensor.pl [ OK ] Executing S19cert-tun-init [ OK ] Executing S20cert-init [ OK ] Executing S21disable_estreamer [ OK ] Executing S25create_default_des.pl [ OK ] Executing S30init_lights_out_mgmt.pl [ OK ] Executing S40install_default_filters.pl [ OK ] Executing S42install_default_dashboards.pl [ OK ] Executing S43install_default_report_templates.pl [ OK ] Executing S44install_default_app_filters.pl [ OK ] Executing S45install_default_realms.pl [ OK ] Executing S47install_default_sandbox_EO.pl [ OK ] Executing S50install-remediation-modules [ OK ] Executing S51install_health_policy.pl [ OK ] Executing S52install_system_policy.pl [ OK ] Executing S53change_reconciliation_baseline.pl [ OK ] Executing S70remove_casuser.pl [ OK ] Executing S70update_sensor_objects.sh [ OK ] Executing S85patch_history-init [ OK ] Executing S90banner-init [ OK ] Executing S96grow_var.sh [ OK ] Executing S96install_vmware_tools.pl [ OK ] ********** Attention ********** Initializing the system's localization settings. Depending on available system resources (CPU, memory, and disk), this may take 10 minutes or more to complete. ********** Attention ********** Executing S96localize-templates [ OK ] Executing S96ovf-data.pl [ OK ] Executing S97compress-client-resources [ OK ] Executing S97create_platinum_forms.pl [ OK ] Executing S97install_cas [ OK ] Executing S97install_cloud_support.pl [ OK ] Executing S97install_geolocation.pl [ OK ] Executing S97install_ssl_inspection.pl [ OK ] Executing S97update_modprobe.pl [ OK ] Executing S98check-db-integrity.sh [ OK ] Executing S98htaccess-init [ OK ] Executing S98is-sru-finished.sh [ OK ] Executing S99correct_ipmi.pl [ OK ] Executing S99start-system [ OK ] Executing S99z_db_restore [ OK ] Executing S99_z_cc-integrity.sh [ OK ] Firstboot scripts finished. Configuring NTP... [ OK ] insmod: ERROR: could not insert module /lib/modules/kernel/drivers/uio/igb_uio.ko: File exists rw console=ttyS0,38400 loglevel=2 auto kstack=128 reboot=force panic=1 ide_generic.probe_mask=0x1 ide1=noprobe pci=nocrs processor.max_cstate=1 iommu=pt platform=sspxru boot_img=disk0:/fxos-lfbff-k8.9.6.1.150.SPA ciscodmasz=786432 cisconrsvsz=2359296 hugepagesz=1g hugepages=24 ssp_mode=0 Fru Size : 512 bytes Done VNIC command successful VNIC command successful fatattr: FAT_IOCTL_GET_ATTRIBUTES: Inappropriate ioctl for device fatattr: can't open '/mnt/disk0/.private2': No such file or directory fatattr: can't open '/mnt/disk0/.ngfw': No such file or directory Model reconfigure detected, executing scripts Pinging mysql Found mysql is running Executing 45update-sensor.pl [ OK ] Executing 55recalculate_arc.pl [ OK ] Mon Dec 12 17:16:15 UTC 2016 Starting MySQL... Pinging mysql Pinging mysql, try 1 Found mysql is running Detecting expanded storage... Running initializeObjects... Stopping MySQL... Killing mysqld with pid 32651 Wait for mysqld to exit\c done Mon Dec 12 17:16:21 UTC 2016 Starting sfifd... [ OK ] Starting Cisco Firepower 4140 Threat Defense, please wait...No PM running! ...started. Cisco FTD initialization finished successfully. ... output omitted ... Reading from flash... ! Cryptochecksum (changed): b1abfa7e 63faee14 affdddb0 9bc9d8cd INFO: Power-On Self-Test in process. ....................................................................... INFO: Power-On Self-Test complete. INFO: Starting HW-DRBG health test (DRBG 0)... INFO: HW-DRBG health test (DRBG 0) passed. INFO: Starting HW-DRBG health test (DRBG 1)... INFO: HW-DRBG health test (DRBG 1) passed. INFO: Starting SW-DRBG health test... INFO: SW-DRBG health test passed. Firepower-module1>
Firepower-module1>show services status
Services currently running:
Feature | Instance ID | State | Up Since
-----------------------------------------------------------
ftd | 001_JAD19500F7YHCNL7715 | RUNNING | :00:08:07
タスク 6.Firepower Management Center(FMC)へのFTDの登録
タスクの要件
FMCにFTDを登録します。
解決方法
ステップ 1:FTDとFMCの間の基本的な接続を確認します。
FTDをFMCに登録する前に、FTDとFMCの間の基本的な接続を確認します。
Firepower-module1>connect ftd
Connecting to ftd console... enter exit to return to bootCLI
> ping system 10.62.148.50
PING 10.62.148.50 (10.62.148.50) 56(84) bytes of data.
64 bytes from 10.62.148.50: icmp_seq=1 ttl=64 time=0.133 ms
64 bytes from 10.62.148.50: icmp_seq=2 ttl=64 time=0.132 ms
64 bytes from 10.62.148.50: icmp_seq=3 ttl=64 time=0.123 ms
ブートストラップ設定により、FTDにはマネージャFMCがすでに設定されています。
> show managers Host : 10.62.148.50 Registration Key : **** Registration : pending RPC Status :
ステップ 2:FMCにFTDを追加します。
図に示すように、FMCでDevices> Device Managementタブに移動し、Add... > Add Deviceの順に選択します。
図に示すように、FTDデバイスを設定します。
Registerボタンを選択します。
FMCで、タスクをチェックして、登録がどのように進行するかを確認します。FMCでは、登録に加えて次の作業も行います。
- FTDデバイスを検出します(現在のインターフェイス設定を取得)。
- 初期ポリシーを展開します。
正常な登録を次の図に示します。
タスク 7.FTDのアップグレード
タスクの要件
FTDを6.1.0.330から6.1.0.1にアップグレードします。
解決方法
ステップ 1:互換性を確認します。
ターゲットのFTDバージョンがFXOSソフトウェアと互換性があることを確認するには、FXOSリリースノートを確認してください。必要に応じて、最初にFXOSソフトウェアをアップグレードします。
ステップ 2:FTDをアップグレードします。
FTDソフトウェアは、FCMではなく、FMCによって管理されます。FTDモジュールをアップグレードするには、図に示すように、FMCに接続し、System > Updatespageに移動して、Upload Updateを選択します。
次の図に示すように、FTDモジュールにアップデートをインストールします。
必要に応じて、準備状況の確認を開始できます。
正常な準備状態の確認を次の図に示します。
アップグレードプロセスを開始するには、図に示すように、Installをクリックします:
図に示すように、アップグレードではFTDのリブートが必要です。
FTDのインストールと同様に、FTDのアップグレードプロセスはFMCのUI(タスク)から監視できます。アップグレードの進行状況は、FTD CLI(CLISHモード)から追跡できます。
アップグレードが完了したら、図に示すように、ポリシーをFTDに展開します。
検証
図に示すように、FMCのUIから:
図に示すように、FCMのUIから:
シャーシのCLIから:
FPR4100# scope ssa FPR4100 /ssa # show app-instance Application Name Slot ID Admin State Operational State Running Version Startup Version Cluster Oper State -------------------- ---------- --------------- -------------------- --------------- --------------- ------------------ ftd 1 Enabled Online 6.1.0.1.53 6.1.0.330 Not Applicable
FTD CLI:
FPR4100# connect module 1 console Telnet escape character is '~'. Trying 127.5.1.1... Connected to 127.5.1.1. Escape character is '~'. CISCO Serial Over LAN: Close Network Connection to Exit > show version ---------------[ FTD4100.cisco.com ]---------------- Model : Cisco Firepower 4140 Threat Defense (76) Version 6.1.0.1 (Build 53) UUID : 22c66994-c08e-11e6-a210-931f3c6bbbea Rules update version : 2016-03-28-001-vrt VDB version : 275 ---------------------------------------------------- >
Firepower 2100
Firepower 2100のFTDは、FXOSとFTDの両方のイメージを含む単一のバンドルを使用します。したがって、インストールとアップグレードの手順はFP4100/FP9300とは異なります。
FP2100へのFTDのインストール
次の4つの手順があり、大文字と小文字が区別されます。
ケース1:設定を消去し、同じFTDイメージでシステムを再起動します。
ケース2:新しいアプリケーションソフトウェアバージョンでシステムのイメージを変更します。
ケース3:システムのイメージを工場出荷時のデフォルト設定に戻します。
ケース4:システムを工場出荷時のデフォルト設定に再イメージ化する(管理者パスワードの回復)。
各ケースとその手順に関連する詳細については、次の項目を確認してください。
ケース2はFTDのインストールケースの大部分に対応していますが、ケース3(フォーマットとROMMONからのブート)は特定のケース(システムが不安定な場合やブートループの場合など)に使用できます。
FP2100でのFTDアップグレード
個別のFXOSバンドルがないため、FP2100でFTDをアップグレードするには、次の手順を実行します。
ステップ 1:互換性を確認します。
FTDがFMC(オフボックス管理)で管理されている場合は、ソフトウェアターゲットFTDリリースノートの「互換性」セクションを確認します。
ステップ 2:必要な場合は、最初にFMCをアップグレードします。常に、FTDターゲットソフトウェアバージョンと同等またはそれ以上のFMCソフトウェアバージョンを実行してください。
ステップ 3:FTDをアップグレードします。
FP4100/9300で文書化されている手順と同じ手順を使用します。FTDのアップグレード前に読むべき重要なドキュメント:
- FTDリリースノート(たとえば、バージョン6.3.0.2にアップグレードする場合は、『6.3.0.2リリースノート』でアップグレードパスとすべての関連情報を確認してください) リリース ノート
- FMCアップグレードガイド(章:Firepower Threat Defenseのアップグレード:その他のデバイス)『Cisco Firepower Management Centerアップグレードガイド、バージョン6.0-7.0』
確認
現在、この設定に使用できる確認手順はありません。
トラブルシュート
現在のところ、この設定に関する特定のトラブルシューティング情報はありません。
関連情報
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
4.0 |
06-Sep-2024 |
書式、間隔、スタイルが更新されました。 |
3.0 |
16-Aug-2023 |
PII、機械翻訳、スタイル要件、MDFタグ、およびフォーマットを更新。 |
2.0 |
20-Jul-2022 |
再認定 |
1.0 |
01-Nov-2017 |
初版 |
フィードバック