Crie e gerencie dispositivos lógicos no gerenciador de chassi FXOS

Introdução

Este documento descreve como criar e gerenciar dispositivos lógicos no Cisco Firepower 4100/9300 FXOS usando o Firepower Chassis Manager.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

• Configuração inicial do chassi do Firepower 4100/9300.
• Configuração de CLI FXOS do Firepower 4100/9300.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• Dispositivo de segurança Cisco Firepower 4125.

• Sistema operacional extensível (FXOS) Cisco Firepower - 2.12(1.29)
• Defesa contra ameaças (FTD) do Cisco Secure Firepower - 7.2.5-208

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Informações adicionais

Escolha a Versão do Produto FTD

Antes de iniciar, considere atualizar para a versão mais recente do FPR4145 FXOS ou para uma versão compatível com sua versão de instância lógica do FTD de destino.

A versão de FTD de destino para este documento é 7.2.5-208. Portanto, a versão FXOS recomendada para o chassi FPR4145 é 2.12.0-519.

Configurar

Acessar a GUI do Cisco FCM

Faça login no Firepower Chassis Manager e insira o URL na barra de endereços (de um navegador compatível):

https:// 
     

Acessar a GUI do FMC

Baixe o pacote de instalação do Secure FTD correspondente para o Firepower 4100/9300 Series em https://software.cisco.com/.

O nome da imagem é cisco-ftd.7.2.5.208.SPA.csp.

Carregar pacote

Carregue o pacote de instalação do FTD no chassi FXOS. Navegue até System > Updates.

Escolher Upload image, navegue e carregue:

Carregar imagem FTD

O pacote de instalação do FTD foi carregado com êxito no chassi:

Imagem FTD carregada com êxito no chassi

Criação de um dispositivo lógico

Agora você pode criar um dispositivo lógico navegando até Logical Devices e clicando em Add:

Selecione Adicionar instância lógica

Em seguida, escolha Standalone.

Adicionar Instância Autônoma

Especificar o Device Name e Instance Type (Nativo ou Contêiner):

Especificar o Nome do Dispositivo e o Tipo de Instância

A tela de provisionamento será carregada posteriormente:

Provisionamento de dispositivo lógico

No painel Portas de Dados, você pode escolher todas as interfaces de gerenciamento e dados para alocar para esta instância clicando em Ethernet 1/1. Essa interface é alocada para a instância do FTD:

Você pode escolher quantas interfaces forem necessárias. Neste exemplo, você pode ver Interfaces Ethernet 1/1 para Ethernet 1/6 são alocados para esta instância de FTD:

Interfaces Eth1/1 a Eth1/6 alocadas para a instância de FTD

Avançando, escolha Click to configure. A configuração de bootstrap é mostrada a seguir com o comando General Information.

Especificar o Management Interface, Address Type, Management IP, Network Mask e Gateway:

Informações gerais sobre bootstrap

Escolher Ok e você pode definir as configurações de Bootstrap usando estes:

• Tipo de gerenciamento da instância do aplicativo
• Pesquisar domínios
• Modo de firewall
• Servidores DNS
• Senha
• Confirmar senha

Definições de configuração de bootstrap.

Escolher Ok,e Save:

O Logical Device List é exibida automaticamente, e o Status da sua Aplicação é mostrado como Starting:

Logical Device List (Lista de dispositivos lógicos) com o Application Status (Status do aplicativo) como Starting (Iniciando).

Você também pode confirmar e rastrear o status da instância Logical usando a CLI. Conecte via SSH ou console ao chassi FPR4125:

FPR4125# scope ssa
FPR4125 /ssa # show app-instance

O estado Admin é Enabled e o estado Operacional mostra Starting:

O Estado Operacional é Iniciando.

Após alguns minutos, o estado operacional exibe Started:

Estado operacional progredido para Iniciado

O Estado Operacional da Instância do Aplicativo é alterado para Online. Neste ponto, a instância lógica Nativa do FTD foi completamente instalada no chassi do FPR4125 e você pode executar a configuração inicial do FTD.

O estado operacional é alterado para Online

O FCM mostra que a instância Lógica do FTD está Online.

Verificar

Finalmente, você pode validar que o acesso ao dispositivo lógico de FTD é bem-sucedido a partir da CLI do FXOS com estes comandos:

FPR4125# connect module 1 console
Firepower-module1>connect ftd
Connecting to ftd(FTD) console... enter exit to return to bootCLI
> show version

FTD Mostrar saída da versão

Gerenciar Instância Lógica

Os ícones Edit e Options estão disponíveis na guia Logical Device List no lado direito.

A escolha de opções exibe:

• excluir
• Definir versão
• Habilitar estado do link

Selecione Ícone Opções.

Com a opção Delete, você pode remover completamente a instância do dispositivo Lógico de FTD do chassi e liberar todos os recursos dedicados à instância de FTD. Isso também faz com que o Módulo de Segurança seja reiniciado.

A escolha do ícone Definir versão mostra o banner da versão Atualizar imagem e você pode escolher a Nova versão para atualizar o FTD. Observe que você é obrigado a fazer o upload do arquivo de imagem FTD para o chassi FPR4125 com antecedência.

Habilitar estado de link é usado quando o FTD é configurado com uma interface de conjunto em linha e pode habilitar a propagação de estado de link.

Agora, você pode ver o Disable, Set Version, Restart Instance,e Reinstall Instance opções de ícone como mostrado nesta imagem:

Ícones de Desativar, Definir versão, Reiniciar e Reinstalar

• Desabilitado

Desabilitar Ícone.

Esta opção desabilita e desliga a instância lógica de FTD sem remover nenhuma configuração. Ao escolher Disable, você vê o banner de confirmação como mostrado nesta imagem:

Confirme a desativação.

O Status da Instância Lógica é alterado para Parando:

O estado operacional é Parando.

O Status da Instância Lógica de FTD é alterado para Off-line:

O Estado Operacional é Off-line.

• Reiniciar instância

Ícone Reiniciar Instância.

Essa opção é usada para reiniciar imediatamente a instância do aplicativo e, muitas vezes, pode ser usada após modificar as configurações de bootstrap de um dispositivo lógico.

• Reinstalar instância

Reinstalar.

Escolher essa opção remove todas as configurações do aplicativo e redefine as configurações de fábrica no software de instância lógica do FTD. Um banner de confirmação é exibido antes de continuar:

Confirmar reinstalação.

Troubleshooting

Durante operações anormais, reinicializações ingratas ou inesperadas do dispositivo, o Status operacional da instância lógica pode mostrar estados anormais como 'Módulo de segurança não respondendo':

O Estado Operacional Não Está Respondendo.

Navegue até a página Security Engine guia. O estado do serviço do mecanismo de segurança mostra Not-responding.

O estado do Mecanismo de Segurança não está respondendo.

Você pode validar o status operacional da instância do aplicativo a partir da CLI do FXOS emitindo este comando:

# show app-instance detail

O mecanismo de segurança pode ser redefinido caso nenhuma falha crítica ou importante do módulo de segurança seja observada e o estado operacional da instância do aplicativo esteja em Starting. Escolher Reinitialize Security Engine.

Reinicializar Mecanismo de Segurança

Após 3 a 5 minutos, o Security Engine Service State volta para o estado Online:

O Estado do Mecanismo de Segurança está Online.

Finalmente, a Instância Lógica de FTD também está de volta ao estado Online:

O Estado da Instância Lógica está novamente Online