Introdução
Este documento descreve como criar e gerenciar dispositivos lógicos no Cisco Firepower 4100/9300 FXOS usando o Firepower Chassis Manager.
Pré-requisitos
Requisitos
A Cisco recomenda que você tenha conhecimento destes tópicos:
- Configuração inicial do chassi do Firepower 4100/9300.
- Configuração de CLI FXOS do Firepower 4100/9300.
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Informações adicionais
Escolha a Versão do Produto FTD
Antes de iniciar, considere atualizar para a versão mais recente do FPR4145 FXOS ou para uma versão compatível com sua versão de instância lógica do FTD de destino.
A versão de FTD de destino para este documento é 7.2.5-208. Portanto, a versão FXOS recomendada para o chassi FPR4145 é 2.12.0-519.
Configurar
Acessar a GUI do Cisco FCM
Faça login no Firepower Chassis Manager e insira o URL na barra de endereços (de um navegador compatível):
https://
Acessar a GUI do FMC
Baixe o pacote de instalação do Secure FTD correspondente para o Firepower 4100/9300 Series em https://software.cisco.com/.
O nome da imagem é cisco-ftd.7.2.5.208.SPA.csp
.
Carregar pacote
Carregue o pacote de instalação do FTD no chassi FXOS. Navegue até System > Updates
.
Escolher Upload image
, navegue e carregue:
Carregar imagem FTD
Dica: depois que a imagem é carregada, o Contrato de Licença de Usuário Final é exibido e você pode aceitar selecionando "Eu entendo e aceito o contrato".
O pacote de instalação do FTD foi carregado com êxito no chassi:
Imagem FTD carregada com êxito no chassi
Criação de um dispositivo lógico
Agora você pode criar um dispositivo lógico navegando até Logical Devices
e clicando em Add
:
Selecione Adicionar instância lógica
Em seguida, escolha Standalone
.
Adicionar Instância Autônoma
Aviso: escolha Independente para Dispositivos Lógicos em HA ou autônomo. Para vários contêineres no modo cluster, escolha Cluster. Observe que se você escolher Cluster, todos os módulos criados dentro do cluster deverão ter o mesmo Tipo.
Especificar o Device Name
e Instance Type
(Nativo ou Contêiner):
Especificar o Nome do Dispositivo e o Tipo de Instância
Observação: o Tipo de Instância pode ser escolhido como Nativo ou Contêiner. A criação de uma instância nativa aloca todos os recursos disponíveis no chassi e nos módulos de segurança, como CPU, RAM e espaço em disco. O Tipo de Instância de Contêiner usa uma fração dos recursos disponíveis. Isso permite a capacidade de instalar várias instâncias de FTD de contêiner no mesmo chassi.
Cuidado: o recurso de várias instâncias só é suportado para o FTD usando o FMC; ele não é suportado para o Adaptive Security Appliance (ASA) ou o FTD usando o Firepower Device Manager.
A tela de provisionamento será carregada posteriormente:
Provisionamento de dispositivo lógico
Cuidado: Certifique-se de que haja pelo menos uma Interface de Gerenciamento para a instância Lógica do FTD que você está criando. Você pode validar isso navegando até a página Interfaces Tab > Edit Interface > Type
. Altere o tipo para gerenciamento.
No painel Portas de Dados, você pode escolher todas as interfaces de gerenciamento e dados para alocar para esta instância clicando em Ethernet 1/1. Essa interface é alocada para a instância do FTD:
Você pode escolher quantas interfaces forem necessárias. Neste exemplo, você pode ver Interfaces Ethernet 1/1
para Ethernet 1/6
são alocados para esta instância de FTD:
Interfaces Eth1/1 a Eth1/6 alocadas para a instância de FTD
Avançando, escolha Click to configure
. A configuração de bootstrap é mostrada a seguir com o comando General Information
.
Especificar o Management Interface
, Address Type
, Management IP
, Network Mask
e Gateway
:
Informações gerais sobre bootstrap
Escolher Ok
e você pode definir as configurações de Bootstrap usando estes:
- Tipo de gerenciamento da instância do aplicativo
- Pesquisar domínios
- Modo de firewall
- Servidores DNS
- Senha
- Confirmar senha
Definições de configuração de bootstrap.
Observação: você pode definir as configurações do FMC e registrar o FTD neste estágio ou posteriormente usando a configuração inicial do FTD CLI.
Escolher Ok
,e Save
:
O Logical Device List
é exibida automaticamente, e o Status da sua Aplicação é mostrado como Starting
:
Logical Device List (Lista de dispositivos lógicos) com o Application Status (Status do aplicativo) como Starting (Iniciando).
Você também pode confirmar e rastrear o status da instância Logical usando a CLI. Conecte via SSH ou console ao chassi FPR4125:
FPR4125# scope ssa
FPR4125 /ssa # show app-instance
O estado Admin é Enabled e o estado Operacional mostra Starting:
O Estado Operacional é Iniciando.
Após alguns minutos, o estado operacional exibe Started:
Estado operacional progredido para Iniciado
O Estado Operacional da Instância do Aplicativo é alterado para Online. Neste ponto, a instância lógica Nativa do FTD foi completamente instalada no chassi do FPR4125 e você pode executar a configuração inicial do FTD.
O estado operacional é alterado para Online
O FCM mostra que a instância Lógica do FTD está Online.
Verificar
Finalmente, você pode validar que o acesso ao dispositivo lógico de FTD é bem-sucedido a partir da CLI do FXOS com estes comandos:
FPR4125# connect module 1 console
Firepower-module1>connect ftd
Connecting to ftd(FTD) console... enter exit to return to bootCLI
> show version
FTD Mostrar saída da versão
Gerenciar Instância Lógica
Os ícones Edit e Options estão disponíveis na guia Logical Device List no lado direito.
A escolha de opções exibe:
- excluir
- Definir versão
- Habilitar estado do link
Selecione Ícone Opções.
Com a opção Delete, você pode remover completamente a instância do dispositivo Lógico de FTD do chassi e liberar todos os recursos dedicados à instância de FTD. Isso também faz com que o Módulo de Segurança seja reiniciado.
A escolha do ícone Definir versão mostra o banner da versão Atualizar imagem e você pode escolher a Nova versão para atualizar o FTD. Observe que você é obrigado a fazer o upload do arquivo de imagem FTD para o chassi FPR4125 com antecedência.
Habilitar estado de link é usado quando o FTD é configurado com uma interface de conjunto em linha e pode habilitar a propagação de estado de link.
Observação: para obter mais informações, consulte este documento, seção Propagação de estado de link de conjunto em linha para o FTD - https://www.cisco.com/c/en/us/td/docs/security/firepower/630/configuration/guide/fpmc-config-guide-v63/firepower_threat_defense_logical_devices.html.
Agora, você pode ver o Disable
, Set Version
, Restart Instance
,e Reinstall Instance
opções de ícone como mostrado nesta imagem:
Ícones de Desativar, Definir versão, Reiniciar e Reinstalar
Aviso: Durante a operação normal do dispositivo FTD, as opções Disable, Restart e Reinstall não são aconselhadas. Se você estiver planejando executar uma reinicialização ou reinicialização de FTD, a abordagem recomendada é executar as referidas ações a partir do Cisco Secure Firewall Management Center ou da CLI de FTD (reinicialização sem problemas).
Desabilitar Ícone.
Esta opção desabilita e desliga a instância lógica de FTD sem remover nenhuma configuração. Ao escolher Disable, você vê o banner de confirmação como mostrado nesta imagem:
Confirme a desativação.
O Status da Instância Lógica é alterado para Parando:
O estado operacional é Parando.
O Status da Instância Lógica de FTD é alterado para Off-line:
O Estado Operacional é Off-line.
Ícone Reiniciar Instância.
Essa opção é usada para reiniciar imediatamente a instância do aplicativo e, muitas vezes, pode ser usada após modificar as configurações de bootstrap de um dispositivo lógico.
Reinstalar.
Escolher essa opção remove todas as configurações do aplicativo e redefine as configurações de fábrica no software de instância lógica do FTD. Um banner de confirmação é exibido antes de continuar:
Confirmar reinstalação.
Troubleshooting
Durante operações anormais, reinicializações ingratas ou inesperadas do dispositivo, o Status operacional da instância lógica pode mostrar estados anormais como 'Módulo de segurança não respondendo':
O Estado Operacional Não Está Respondendo.
Navegue até a página Security Engine
guia. O estado do serviço do mecanismo de segurança mostra Not-responding
.
O estado do Mecanismo de Segurança não está respondendo.
Você pode validar o status operacional da instância do aplicativo a partir da CLI do FXOS emitindo este comando:
# show app-instance detail
O mecanismo de segurança pode ser redefinido caso nenhuma falha crítica ou importante do módulo de segurança seja observada e o estado operacional da instância do aplicativo esteja em Starting
. Escolher Reinitialize Security Engine
.
Aviso: antes de continuar, verifique se você tem um backup de configuração do FTD.
Reinicializar Mecanismo de Segurança
Após 3 a 5 minutos, o Security Engine Service State volta para o estado Online:
O Estado do Mecanismo de Segurança está Online.
Finalmente, a Instância Lógica de FTD também está de volta ao estado Online:
O Estado da Instância Lógica está novamente Online
Observação: se o motivo ou cenário do estado operacional degradado corresponder ao exemplo descrito, use estas etapas para corrigir o problema. Por outros motivos, é recomendável que você entre em contato com o TAC.