本帖最后由 comlan 于 2020-9-21 09:31 编辑
1. Firepower2100安装准备
1.1平台简介
本文介绍了在思科Firepower2100平台上,如何进行初始化配置和安装的基本步骤,对于详细的安装说明,需要参考相关的安装与配置手册。
思科Firepower2100系列设备,同时支持ASA软件和FTD(Firepower Threat Defense)软件。
思科Firepower2100设备支持通过设备自带的FDM(Firepower Device Manager)进行本地管理,也支持集中式管理平台FMC(Firepower Management Center),具体部署时,要根据实际需要确定采用采用哪种管理方式。
1.2 必读-POV及设备安装注意事项
如果您正在进行POV或者安装Firepower2100和FMC,那么请注意以下事项
安装FMC虚机版本时,内存建议32G,至少16G。CPU建议16个vCPU,至少8个vCPU。硬盘容量至少250G,硬盘建议SSD硬盘,或转速10000转以上硬盘或存储。思科标准安装配置文档中的最小值只能适合简单个人LAB,在实际使用资源太少会导致各种无法预测的问题。
Firepower2100的FTD管理接口和inside,outside数据接口不要使用相同网段。这样会导致路由问题,出现无法注册或者注册过程中断等问题。Firepower和FMC应该使用最新版本,或者至少应升级至该版本系列最后的patch版本。不要使用任何版本系列第一个版本。(如果没有更新版本,则推荐FMC6.2.2.2和Firepower Threat Defense v6.2.2.2 patch)
安装完FMC后,在设置IP地址前进行一次vmware的快照,方便在任何问题而无法恢复需要重新安装时, 避免长时间的重新安装过程。每次升级完FMC软件时也建议做个快照。
如果希望重启FMC或者Firepower2100,最好在FMC的管理界面完成。并且在一个重启完再重启另一个。不要同时重启FMC和Firepower2100。(重启方法在维护及排障章节查询)
FMC和FTD的时间正确非常重要,在安装FMC前请确定vmware的时间准确。并在FMC安装完成后进行二次确认。
在6.2版本以后,所有的FXOS配置只需在FTD界面完成,FTD里有所有必须的命令行供使用。不要在FXOS做配置,除非要升级或者恢复出厂。
2. FXOS初始化配置
在初次使用Firepower2100设备时,需要先通过FXOS系统完成对Firepower机箱的基本配置,包括机箱的管理IP地址,管理员帐号等基本信息。
2.1 初始化配置对于新出厂的Firepower2100设备,在设备启动后,通过Console线先连接到设备的管理端口,在配置向导的提示下,完成设备的初始化配置(如下图):
注意:以下初始工作一旦完成,下次进入FTD CLI将不会再出现此界面。除非将Firepower配置初始化,再次连接connect ftd。
缺省账号密码:admin/Admin123
firepower# connect ftd
注意(非常重要):在思科官方提供的Firepower2100文档中,使用的是通过数据接口(data interface), 这只能在FDM管理场景使用 。如果您正在使用独立的FMC,那么请按照上图的配置方式直接输入管理口网关的IP地址。
在初始化配置过程中,设置了FXOS的管理IP地址和admin管理帐号的密码,完成配置后,就可以通过HTTPS或SSH方式登陆到Firepower2100的管理界面了。
查看manager的配置:
注意:如果Firepower2100装的是ASA的系统,则需要把系统重装为FTD系统,操作文档请参考
2.2 修改FXOS的管理IP地址(可选)
如果要修改Firepower2100设备的管理IP地址,需要通过CLI方式进行,步骤如下:
步骤1:通过Console线连接到Firepower2100设备,并使用admin帐号登陆。
步骤2:进入FTD CLI修查看管理端口的IP地址:
输入connect ftd命令,进入FTD CLI界面:
输入show network命令,查看当前的管理IP地址配置:
上图显示,Firepower2100设备管理IP地址为192.168.90.172。
步骤3:设置新的管理IP地址:
通过下面的命令,设置Firepower2100的管理IP地址为192.168.90.172:
注意: show running configure是无法看到这个管理地址配置的,需要通过show network进行查看。
3. FMCv的安装配置和管理3.1 FMCv安装与初始化配置FMCv硬件资源建议:
内存:至少16G内存,建议32G内存。
硬盘:大于250G,建议使用SSD硬盘
CPU: 至少4vCPU,建议8vCPU
网络接口:一个千兆网口
步骤一: 在ESXi通过OVF部署
部署需要5-20分钟,速度取决于服务器性能
虚机启动后进入安装过程,时间接近一个小时或者有可能大于1个小时,取决于服务器性能。建议在此期间您去吃饭或者喝咖啡
步骤二: 配置FMC IP地址
登录虚机console命令行窗口,缺省用户及密码“admin/Admin123”
执行命令sudo /var/sf/bin/configure-network
步骤三: 配置初始化参数
浏览器登录FMC管理界面,https://[ip address of FMC]
更改用户密码,设置DNS和时区。使能自动更新特征库rule,和地理位置Geolocation库。
3.2 在FPR2100设备配置FMC管理平台
登陆到在FTD的CLI界面,输入命令configure manager,输入?号,能够看到以下输出结果:
可以看到这里有三个选项,含义分别是:
add:将FPR2100设备添加到FMC管理平台。
delete:将FPR2100设备从FMC管理平台中移除。
local:设置FPR2100设备的管理方式为FDM。
首先确认FPR2100设备目前的管理方式,输入命令show managers,输出结果如下:
上面结果显示,FPR2100设备还没有配置管理方式。如果这里显示为local管理方式,那么就需要通过configure manager delete命令,先删除local管理方式,然后才能配置FMC的管理方式。
接下来通过configuremanager命令,将FPR2100设备添加到FMC(IP地址为10.74.82.136)上,注册密钥为test123(如下图所示):
配置完成后,通过“showmanagers”检查,确认“Registration”状态为“pending”
Ø show managers
Ø Host : 10.74.82.136
Ø Registration Key : ****
Registration : pending