请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

搜索
热搜: 邮件服务器
查看: 867|回复: 1

[原创翻译]Firepower2100 FTD基本安装与配置指南(节选)

[复制链接]
发表于 2020-9-21 09:16:20 | 显示全部楼层 |阅读模式
本帖最后由 comlan 于 2020-9-21 09:31 编辑



1.      Firepower2100安装准备

1.1平台简介

本文介绍了在思科Firepower2100平台上,如何进行初始化配置和安装的基本步骤,对于详细的安装说明,需要参考相关的安装与配置手册。


                              

思科Firepower2100系列设备,同时支持ASA软件和FTDFirepower Threat Defense)软件。

思科Firepower2100设备支持通过设备自带的FDMFirepower Device Manager)进行本地管理,也支持集中式管理平台FMCFirepower Management Center),具体部署时,要根据实际需要确定采用采用哪种管理方式。


1.2 必读-POV及设备安装注意事项

如果您正在进行POV或者安装Firepower2100FMC,那么请注意以下事项

  • 安装FMC虚机版本时,内存建议32G,至少16G。CPU建议16个vCPU,至少8个vCPU。硬盘容量至少250G,硬盘建议SSD硬盘,或转速10000转以上硬盘或存储。思科标准安装配置文档中的最小值只能适合简单个人LAB,在实际使用资源太少会导致各种无法预测的问题。
  • Firepower2100的FTD管理接口和inside,outside数据接口不要使用相同网段。这样会导致路由问题,出现无法注册或者注册过程中断等问题。Firepower和FMC应该使用最新版本,或者至少应升级至该版本系列最后的patch版本。不要使用任何版本系列第一个版本。(如果没有更新版本,则推荐FMC6.2.2.2和Firepower Threat Defense v6.2.2.2 patch)
  • 安装完FMC后,在设置IP地址前进行一次vmware的快照,方便在任何问题而无法恢复需要重新安装时, 避免长时间的重新安装过程。每次升级完FMC软件时也建议做个快照。
  • 如果希望重启FMC或者Firepower2100,最好在FMC的管理界面完成。并且在一个重启完再重启另一个。不要同时重启FMC和Firepower2100。(重启方法在维护及排障章节查询)
  • FMC和FTD的时间正确非常重要,在安装FMC前请确定vmware的时间准确。并在FMC安装完成后进行二次确认。
  • 在6.2版本以后,所有的FXOS配置只需在FTD界面完成,FTD里有所有必须的命令行供使用。不要在FXOS做配置,除非要升级或者恢复出厂。



2.      FXOS初始化配置

在初次使用Firepower2100设备时,需要先通过FXOS系统完成对Firepower机箱的基本配置,包括机箱的管理IP地址,管理员帐号等基本信息。


2.1 初始化配置
对于新出厂的Firepower2100设备,在设备启动后,通过Console线先连接到设备的管理端口,在配置向导的提示下,完成设备的初始化配置(如下图):


注意:以下初始工作一旦完成,下次进入FTD CLI将不会再出现此界面。除非将Firepower配置初始化,再次连接connect ftd


缺省账号密码:admin/Admin123


firepower# connect ftd






注意(非常重要):在思科官方提供的Firepower2100文档中,使用的是通过数据接口(data interface, 这只能在FDM管理场景使用 。如果您正在使用独立的FMC,那么请按照上图的配置方式直接输入管理口网关的IP地址。


在初始化配置过程中,设置了FXOS的管理IP地址和admin管理帐号的密码,完成配置后,就可以通过HTTPSSSH方式登陆到Firepower2100的管理界面了。


查看manager的配置:


注意:如果Firepower2100装的是ASA的系统,则需要把系统重装为FTD系统,操作文档请参考



2.2 修改FXOS的管理IP地址(可选)

如果要修改Firepower2100设备的管理IP地址,需要通过CLI方式进行,步骤如下:


步骤1:通过Console线连接到Firepower2100设备,并使用admin帐号登陆。


步骤2:进入FTD CLI修查看管理端口的IP地址:

输入connect ftd命令,进入FTD CLI界面:


输入show network命令,查看当前的管理IP地址配置:


上图显示,Firepower2100设备管理IP地址为192.168.90.172

步骤3:设置新的管理IP地址:

通过下面的命令,设置Firepower2100的管理IP地址为192.168.90.172



注意: show running configure是无法看到这个管理地址配置的,需要通过show network进行查看。


3.      FMCv的安装配置和管理
3.1 FMCv安装与初始化配置
FMCv硬件资源建议:


  • 内存:至少16G内存,建议32G内存。
  • 硬盘:大于250G,建议使用SSD硬盘
  • CPU: 至少4vCPU,建议8vCPU
  • 网络接口:一个千兆网口



步骤一: ESXi通过OVF部署


部署需要5-20分钟,速度取决于服务器性能

虚机启动后进入安装过程,时间接近一个小时或者有可能大于1个小时,取决于服务器性能。建议在此期间您去吃饭或者喝咖啡


步骤二: 配置FMC IP地址


登录虚机console命令行窗口,缺省用户及密码“admin/Admin123”


执行命令sudo /var/sf/bin/configure-network




步骤三: 配置初始化参数


浏览器登录FMC管理界面,https://[ip address of FMC]


更改用户密码,设置DNS和时区。使能自动更新特征库rule,和地理位置Geolocation库。



3.2 FPR2100设备配置FMC管理平台

登陆到在FTDCLI界面,输入命令configure manager,输入?号,能够看到以下输出结果:


可以看到这里有三个选项,含义分别是:

  • add:将FPR2100设备添加到FMC管理平台。
  • delete:将FPR2100设备从FMC管理平台中移除。
  • local:设置FPR2100设备的管理方式为FDM。
    首先确认FPR2100设备目前的管理方式,输入命令show managers,输出结果如下:
    上面结果显示,FPR2100设备还没有配置管理方式。如果这里显示为local管理方式,那么就需要通过configure manager delete命令,先删除local管理方式,然后才能配置FMC的管理方式。
    接下来通过configuremanager命令,将FPR2100设备添加到FMC(IP地址为10.74.82.136)上,注册密钥为test123(如下图所示):
    配置完成后,通过“showmanagers”检查,确认“Registration”状态为“pending”


[tr]  [td=568]  
Ø  show managers
  
Ø  Host : 10.74.82.136
  
Ø  Registration Key : ****
  
Registration  : pending
  [/td] [/tr][/table]



  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分1 (1 评价)
发表于 2020-11-2 16:09:15 | 显示全部楼层
了解一下。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 思科 CCO 登录 | 思科 CCO 注册   

本版积分规则

Archiver | 思科社区  

GMT+8, 2020-11-26 08:33 , Processed in 0.101041 second(s), 30 queries .

京ICP备11014401号-17

© 2020 思科系统.版权所有 重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表