この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。
このドキュメントでは、FirepowerアプライアンスでのFirepower Threat Defense(FTD)ソフトウェアのインストール、アップグレード、および登録について説明します。
このドキュメントに関する固有の要件はありません。
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
FTDは、次のプラットフォームにインストールできる統合ソフトウェアイメージです。
Next-Generation Firewalls (NGFW) > FirePOWER 4100 Series > FirePOWER 4140 Security Applianceに移動し、図に示すようにFirepower Threat Defense Softwareを選択します。
タスクの要件
シャーシで稼働しているFXOSのバージョンが、セキュリティモジュールにインストールするFTDのバージョンと互換性があることを確認します。
解決方法
ステップ 1:FXOSとFTDの互換性を確認します。
FTDイメージをモジュールまたはブレードにインストールする前に、Firepowerシャーシが互換性のあるFXOSソフトウェアを実行していることを確認します。『FXOS 互換性ガイド』で、「論理デバイスの互換性テーブル」を確認します。表2に示すように、FTD 6.1.xを実行するために最低限必要なFXOSのバージョンは1.1(4.95)です。
FXOSイメージがターゲットのFTDイメージと互換性がない場合は、最初にFXOSソフトウェアをアップグレードします。
FXOSイメージの確認
方式 1.図に示すように、Firepower Chassis Manager(FCM)のUI概要ページから:
方式 2. 図に示すように、FCM System > Updateページに移動します。
方法 3.FXOSのCLIから:
FPR4100# show fabric-interconnect firmware Fabric Interconnect A: Running-Kern-Vers: 5.0(3)N2(4.01.35) Running-Sys-Vers: 5.0(3)N2(4.01.35) Package-Vers: 2.0(1.37) Startup-Kern-Vers: 5.0(3)N2(4.01.35) Startup-Sys-Vers: 5.0(3)N2(4.01.35) Act-Kern-Status: Ready Act-Sys-Status: Ready Bootloader-Vers:
タスクの要件
FPR4100シャーシにFTDイメージをアップロードします。
解決方法
方法1:FCMのUIからFTDイメージをアップロードします。
FPR4100 Chassis Managerにログインし、System > Updatesタブに移動します。Upload Imageを選択して、次の図に示すようにファイルをアップロードします。
図に示すように、FTDイメージファイルを参照して選択し、Uploadをクリックします。
エンドユーザライセンス契約書(EULA)に同意します。
検証は図に示すとおりです。
方法2:FXOS CLIからFTDイメージをアップロードする
FTP、セキュアコピー(SCP)、セキュアFTP(SFTP)、またはTFTPサーバからFTDイメージをアップロードできます。
イメージの転送を開始する前に、シャーシ管理インターフェイスとリモートサーバの間の接続を確認します。
FPR4100# connect local-mgmt FPR4100(local-mgmt)# ping 10.229.24.22 PING 10.229.24.22 (10.229.24.22) from 10.62.148.88 eth0: 56(84) bytes of data. 64 bytes from 10.229.24.22: icmp_seq=1 ttl=124 time=0.385 ms 64 bytes from 10.229.24.22: icmp_seq=2 ttl=124 time=0.577 ms 64 bytes from 10.229.24.22: icmp_seq=3 ttl=124 time=0.347 ms
FTDイメージをダウンロードするには、次のスコープに移動し、download imageコマンドを使用します。
FPR4100# scope ssa FPR4100 /ssa # scope app-software FPR4100 /ssa/app-software # download image ftp://ftp_username@10.229.24.22/cisco-ftd.6.1.0.330.SPA.csp
Password:
イメージのアップロードの進捗状況をモニタするには、次のコマンドを使用します。
FPR4100 /ssa/app-software # show download-task detail Downloads for Application Software: File Name: cisco-ftd.6.1.0.330.SPA.csp Protocol: Ftp Server: 10.229.24.22 Port: 0 Userid: ftp Path: Downloaded Image Size (KB): 95040 Time stamp: 2016-12-11T20:27:47.856 State: Downloading Transfer Rate (KB/s): 47520.000000 Current Task: downloading image cisco-ftd.6.1.0.330.SPA.csp from 10.229.24.22(FSM-STAGE:sam:dme:ApplicationDownloaderDownload:Local)
ダウンロードが成功したことを確認するには、次のコマンドを使用します。
FPR4100 /ssa/app-software # show download-task Downloads for Application Software: File Name Protocol Server Port Userid State ------------------------------ ---------- ------------- ---------- --------- ----- cisco-ftd.6.1.0.330.SPA.csp Ftp 10.229.24.22 0 ftp Downloaded
詳細情報:
KSEC-FPR4100 /ssa/app-software # show download-task fsm status expand File Name: cisco-ftd.6.1.0.330.SPA.csp FSM Status: Affected Object: sys/app-catalogue/dnld-cisco-ftd.6.1.0.330.SPA.csp/fsm Current FSM: Download Status: Success Completion Time: 2016-12-11T20:28:12.889 Progress (%): 100 FSM Stage: Order Stage Name Status Try ------ ---------------------------------------- ------------ --- 1 DownloadLocal Success 1 2 DownloadUnpackLocal Success 1 File Name: Cisco_FTD_SSP_Upgrade-6.1.0-330.sh
シャーシ リポジトリにイメージが表示されます。
KSEC-FPR4100 /ssa/app-software # exit
KSEC-FPR4100 /ssa # show app Application: Name Version Description Author Deploy Type CSP Type Is Default App ---------- ---------- ----------- ---------- ----------- ----------- -------------- asa 9.6.2.3 N/A cisco Native Application No ftd 6.1.0.330 N/A cisco Native Application No
タスクの要件
FirepowerアプライアンスでFTDの管理インターフェイスとデータインターフェイスを設定し、有効にします。
解決方法
新しいインターフェイスを作成するには、FCMにログインしてInterfacesタブに移動します。現在のインターフェイスが表示されます。新しいポートチャネルインターフェイスを作成するには、図に示すように、Add Port Channelボタンを選択します。
ステップ 1:ポートチャネルデータインターフェイスを作成します。
図に示すように、新しいポートチャネルインターフェイスを作成します。
Port Channel ID |
10 |
Type |
Data |
[Enable] |
Yes |
Member ID |
Ethernet1/1, Ethernet 1/2 |
Port Channel IDには、1 ~ 47の値を指定します。
注:PortChannel 48はクラスタ用に使用されます。
検証は図に示すとおりです。
ステップ 2:管理インターフェイスを作成します。
図に示すように、Interfacesタブでインターフェイスを選択し、Editを選択して、管理インターフェイスを設定します。
タスクの要件
スタンドアロン論理デバイスとしてFTDを作成し、導入します。
解決方法
ステップ 1:論理デバイスを追加します。
図に示すように、Logical Devicesタブに移動し、Add Deviceボタンを選択して新しい論理デバイスを作成します。
図に示す設定でFTDデバイスを設定します。
Device Name |
FTD |
Template |
Cisco Firepower Threat Defense |
Image Version |
6.1.0.330 |
ステップ 2:論理デバイスをブートストラップします。
論理デバイスを作成すると、Provisioning - device_nameウィンドウが表示されます。図に示すように、デバイスアイコンを選択して設定を開始します。
図に示すように、FTDのGeneral Informationタブを設定します。
Management Interface |
Ethernet1/3 |
Address Type |
IPv4 only |
Management IP |
10.62.148.84 |
ネットワークマスク |
255.255.255.128 |
Network Gateway |
10.62.148.1 |
図に示すように、FTDのSettingsタブを設定します。
登録キー |
cisco |
Password |
Pa$$w0rd |
Firepower Management Center の IP |
10.62.148.50 |
Search domains |
cisco.com |
Firewall Mode |
Routed |
DNS Servers |
192.168.0.1 |
Fully Qualified Hostname |
FTD4100.cisco.com |
Eventing Interface |
- |
契約に同意したことを確認し、OKを選択します。
ステップ 3:データインターフェイスを割り当てます。
Data Ports領域を展開し、FTDに割り当てる各インターフェイスを選択します。このシナリオでは、図に示すように、1つのインターフェイス(Port-channel10)が割り当てられています。
Saveを選択して、設定を終了します。
ステップ 4:インストールプロセスを監視します。
次の図に示すように、FCMのUIから監視される場合のFTDのインストールの進行状況を示します。
Firepower CLIからインストールプロセスを監視します。
FPR4100# connect module 1 console Telnet escape character is '~'. Trying 127.5.1.1... Connected to 127.5.1.1. Escape character is '~'. CISCO Serial Over LAN: Close Network Connection to Exit Cisco FTD: CMD=-start, CSP-ID=cisco-ftd.6.1.0.330__ftd_001_JAD19500F7YHCNL7715, FLAG='' Cisco FTD starting ... Registering to process manager ... VNICs requested: 9,22 Cisco FTD started successfully. Cisco FTD initializing ... Firepower-module1>Setting up VNICs ... Found Firepower management vnic 18. No Firepower eventing vnic configured. Updating /ngfw/etc/sf/arc.conf ... Deleting previous CGroup Configuration ... Initializing Threat Defense ... [ OK ] Starting system log daemon... [ OK ] Stopping mysql... Dec 12 17:12:17 Firepower-module1 SF-IMS[14629]: [14629] pmtool:pmtool [ERROR] Unable to connect to UNIX socket at /ngfw/var/sf/run/PM_Control.sock: No such file or directory Starting mysql... Dec 12 17:12:17 Firepower-module1 SF-IMS[14641]: [14641] pmtool:pmtool [ERROR] Unable to connect to UNIX socket at /ngfw/var/sf/run/PM_Control.sock: No such file or directory Flushing all current IPv4 rules and user defined chains: ...success Clearing all current IPv4 rules and user defined chains: ...success Applying iptables firewall rules: Flushing chain `PREROUTING' Flushing chain `INPUT' Flushing chain `FORWARD' Flushing chain `OUTPUT' Flushing chain `POSTROUTING' Flushing chain `INPUT' Flushing chain `FORWARD' Flushing chain `OUTPUT' Applying rules successed Flushing all current IPv6 rules and user defined chains: ...success Clearing all current IPv6 rules and user defined chains: ...success Applying ip6tables firewall rules: Flushing chain `PREROUTING' Flushing chain `INPUT' Flushing chain `FORWARD' Flushing chain `OUTPUT' Flushing chain `POSTROUTING' Flushing chain `INPUT' Flushing chain `FORWARD' Flushing chain `OUTPUT' Applying rules successed Starting nscd... mkdir: created directory '/var/run/nscd' [ OK ] Starting , please wait......complete. Firstboot detected, executing scripts Executing S01virtual-machine-reconfigure [ OK ] Executing S02aws-pull-cfg [ OK ] Executing S02configure_onbox [ OK ] Executing S04fix-httpd.sh [ OK ] Executing S06addusers [ OK ] Executing S07uuid-init [ OK ] Executing S08configure_mysql [ OK ] ************ Attention ********* Initializing the configuration database. Depending on available system resources (CPU, memory, and disk), this may take 30 minutes or more to complete. ************ Attention ********* Executing S09database-init [ OK ] Executing S11database-populate [ OK ] Executing S12install_infodb [ OK ] Executing S15set-locale.sh [ OK ] Executing S16update-sensor.pl [ OK ] Executing S19cert-tun-init [ OK ] Executing S20cert-init [ OK ] Executing S21disable_estreamer [ OK ] Executing S25create_default_des.pl [ OK ] Executing S30init_lights_out_mgmt.pl [ OK ] Executing S40install_default_filters.pl [ OK ] Executing S42install_default_dashboards.pl [ OK ] Executing S43install_default_report_templates.pl [ OK ] Executing S44install_default_app_filters.pl [ OK ] Executing S45install_default_realms.pl [ OK ] Executing S47install_default_sandbox_EO.pl [ OK ] Executing S50install-remediation-modules [ OK ] Executing S51install_health_policy.pl [ OK ] Executing S52install_system_policy.pl [ OK ] Executing S53change_reconciliation_baseline.pl [ OK ] Executing S70remove_casuser.pl [ OK ] Executing S70update_sensor_objects.sh [ OK ] Executing S85patch_history-init [ OK ] Executing S90banner-init [ OK ] Executing S96grow_var.sh [ OK ] Executing S96install_vmware_tools.pl [ OK ] ********** Attention ********** Initializing the system's localization settings. Depending on available system resources (CPU, memory, and disk), this may take 10 minutes or more to complete. ********** Attention ********** Executing S96localize-templates [ OK ] Executing S96ovf-data.pl [ OK ] Executing S97compress-client-resources [ OK ] Executing S97create_platinum_forms.pl [ OK ] Executing S97install_cas [ OK ] Executing S97install_cloud_support.pl [ OK ] Executing S97install_geolocation.pl [ OK ] Executing S97install_ssl_inspection.pl [ OK ] Executing S97update_modprobe.pl [ OK ] Executing S98check-db-integrity.sh [ OK ] Executing S98htaccess-init [ OK ] Executing S98is-sru-finished.sh [ OK ] Executing S99correct_ipmi.pl [ OK ] Executing S99start-system [ OK ] Executing S99z_db_restore [ OK ] Executing S99_z_cc-integrity.sh [ OK ] Firstboot scripts finished. Configuring NTP... [ OK ] insmod: ERROR: could not insert module /lib/modules/kernel/drivers/uio/igb_uio.ko: File exists rw console=ttyS0,38400 loglevel=2 auto kstack=128 reboot=force panic=1 ide_generic.probe_mask=0x1 ide1=noprobe pci=nocrs processor.max_cstate=1 iommu=pt platform=sspxru boot_img=disk0:/fxos-lfbff-k8.9.6.1.150.SPA ciscodmasz=786432 cisconrsvsz=2359296 hugepagesz=1g hugepages=24 ssp_mode=0 Fru Size : 512 bytes Done VNIC command successful VNIC command successful fatattr: FAT_IOCTL_GET_ATTRIBUTES: Inappropriate ioctl for device fatattr: can't open '/mnt/disk0/.private2': No such file or directory fatattr: can't open '/mnt/disk0/.ngfw': No such file or directory Model reconfigure detected, executing scripts Pinging mysql Found mysql is running Executing 45update-sensor.pl [ OK ] Executing 55recalculate_arc.pl [ OK ] Mon Dec 12 17:16:15 UTC 2016 Starting MySQL... Pinging mysql Pinging mysql, try 1 Found mysql is running Detecting expanded storage... Running initializeObjects... Stopping MySQL... Killing mysqld with pid 32651 Wait for mysqld to exit\c done Mon Dec 12 17:16:21 UTC 2016 Starting sfifd... [ OK ] Starting Cisco Firepower 4140 Threat Defense, please wait...No PM running! ...started. Cisco FTD initialization finished successfully. ... output omitted ... Reading from flash... ! Cryptochecksum (changed): b1abfa7e 63faee14 affdddb0 9bc9d8cd INFO: Power-On Self-Test in process. ....................................................................... INFO: Power-On Self-Test complete. INFO: Starting HW-DRBG health test (DRBG 0)... INFO: HW-DRBG health test (DRBG 0) passed. INFO: Starting HW-DRBG health test (DRBG 1)... INFO: HW-DRBG health test (DRBG 1) passed. INFO: Starting SW-DRBG health test... INFO: SW-DRBG health test passed. Firepower-module1>
Firepower-module1>show services status
Services currently running:
Feature | Instance ID | State | Up Since
-----------------------------------------------------------
ftd | 001_JAD19500F7YHCNL7715 | RUNNING | :00:08:07
タスクの要件
FMCにFTDを登録します。
解決方法
ステップ 1:FTDとFMCの間の基本的な接続を確認します。
FTDをFMCに登録する前に、FTDとFMCの間の基本的な接続を確認します。
Firepower-module1>connect ftd
Connecting to ftd console... enter exit to return to bootCLI
> ping system 10.62.148.50
PING 10.62.148.50 (10.62.148.50) 56(84) bytes of data.
64 bytes from 10.62.148.50: icmp_seq=1 ttl=64 time=0.133 ms
64 bytes from 10.62.148.50: icmp_seq=2 ttl=64 time=0.132 ms
64 bytes from 10.62.148.50: icmp_seq=3 ttl=64 time=0.123 ms
ブートストラップ設定により、FTDにはマネージャFMCがすでに設定されています。
> show managers Host : 10.62.148.50 Registration Key : **** Registration : pending RPC Status :
ステップ 2:FMCにFTDを追加します。
図に示すように、FMCでDevices> Device Managementタブに移動し、Add... > Add Deviceの順に選択します。
図に示すように、FTDデバイスを設定します。
Registerボタンを選択します。
FMCで、タスクをチェックして、登録がどのように進行するかを確認します。FMCでは、登録に加えて次の作業も行います。
正常な登録を次の図に示します。
注:バージョン6.1では、オンボックス管理を提供するためにFirepower Device Manager(FDM)が導入されました。FirepowerアプライアンスにインストールされたFTDは、FDMでは管理できません。
タスクの要件
FTDを6.1.0.330から6.1.0.1にアップグレードします。
ステップ 1:互換性を確認します。
ターゲットのFTDバージョンがFXOSソフトウェアと互換性があることを確認するには、FXOSリリースノートを確認してください。必要に応じて、最初にFXOSソフトウェアをアップグレードします。
ステップ 2:FTDをアップグレードします。
FTDソフトウェアは、FCMではなく、FMCによって管理されます。FTDモジュールをアップグレードするには、図に示すように、FMCに接続し、System > Updatespageに移動して、Upload Updateを選択します。
次の図に示すように、FTDモジュールにアップデートをインストールします。
必要に応じて、準備状況の確認を開始できます。
正常な準備状態の確認を次の図に示します。
アップグレードプロセスを開始するには、図に示すように、Installをクリックします:
図に示すように、アップグレードではFTDのリブートが必要です。
FTDのインストールと同様に、FTDのアップグレードプロセスはFMCのUI(タスク)から監視できます。アップグレードの進行状況は、FTD CLI(CLISHモード)から追跡できます。
アップグレードが完了したら、図に示すように、ポリシーをFTDに展開します。
図に示すように、FMCのUIから:
図に示すように、FCMのUIから:
シャーシのCLIから:
FPR4100# scope ssa FPR4100 /ssa # show app-instance Application Name Slot ID Admin State Operational State Running Version Startup Version Cluster Oper State -------------------- ---------- --------------- -------------------- --------------- --------------- ------------------ ftd 1 Enabled Online 6.1.0.1.53 6.1.0.330 Not Applicable
FTD CLI:
FPR4100# connect module 1 console Telnet escape character is '~'. Trying 127.5.1.1... Connected to 127.5.1.1. Escape character is '~'. CISCO Serial Over LAN: Close Network Connection to Exit > show version ---------------[ FTD4100.cisco.com ]---------------- Model : Cisco Firepower 4140 Threat Defense (76) Version 6.1.0.1 (Build 53) UUID : 22c66994-c08e-11e6-a210-931f3c6bbbea Rules update version : 2016-03-28-001-vrt VDB version : 275 ---------------------------------------------------- >
Firepower 2100のFTDは、FXOSとFTDの両方のイメージを含む単一のバンドルを使用します。したがって、インストールとアップグレードの手順はFP4100/FP9300とは異なります。
次の4つの手順があり、大文字と小文字が区別されます。
ケース1:設定を消去し、同じFTDイメージでシステムを再起動します。
ケース2:新しいアプリケーションソフトウェアバージョンでシステムのイメージを変更します。
ケース3:システムのイメージを工場出荷時のデフォルト設定に戻します。
ケース4:システムを工場出荷時のデフォルト設定に再イメージ化する(管理者パスワードの回復)。
各ケースとその手順に関連する詳細については、次の項目を確認してください。
ケース2はFTDのインストールケースの大部分に対応していますが、ケース3(フォーマットとROMMONからのブート)は特定のケース(システムが不安定な場合やブートループの場合など)に使用できます。
個別のFXOSバンドルがないため、FP2100でFTDをアップグレードするには、次の手順を実行します。
ステップ 1:互換性を確認します。
FTDがFMC(オフボックス管理)で管理されている場合は、ソフトウェアターゲットFTDリリースノートの「互換性」セクションを確認します。
ステップ 2:必要な場合は、最初にFMCをアップグレードします。常に、FTDターゲットソフトウェアバージョンと同等またはそれ以上のFMCソフトウェアバージョンを実行してください。
ステップ 3:FTDをアップグレードします。
FP4100/9300で文書化されている手順と同じ手順を使用します。FTDのアップグレード前に読むべき重要なドキュメント:
現在、この設定に使用できる確認手順はありません。
現在のところ、この設定に関する特定のトラブルシューティング情報はありません。
改定 | 発行日 | コメント |
---|---|---|
4.0 |
06-Sep-2024 |
書式、間隔、スタイルが更新されました。 |
3.0 |
16-Aug-2023 |
PII、機械翻訳、スタイル要件、MDFタグ、およびフォーマットを更新。 |
2.0 |
20-Jul-2022 |
再認定 |
1.0 |
01-Nov-2017 |
初版 |