请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

搜索
热搜: 邮件服务器
查看: 533|回复: 0

[原创翻译]Firepower9300基本配置指南

[复制链接]
发表于 2020-9-21 09:43:25 | 显示全部楼层 |阅读模式

1.          Firepower9300平台简介
         本文描述了在Firepower9300平台上,进行初始化配置和安装ASA软件的基本步骤,对于详细的安装说明,需要参考对应的安装手册。
Firepower9300设备,需要通过机箱操作系统FXOSFirepower eXtensible Operating System)系统进行基本配置,FXOS支持CLI界面和基于Web界面的配置方式。在完成初始化配置之后,ASAFTD的软件的安装和配置,都需要通过FXOSWeb界面来配置。
Firepower9300设备支持最多三块Security Module,因此可以在不同的Security Module上安装分别安装ASAFTD软件。
         
2.          FXOS初始化配置
在初次使用Firepower9300设备时,需要先通过FXOS系统完成对Firepower机箱的基本配置,包括机箱的管理IP地址,管理员帐号等基本信息。


    • 初始化配置

对于新出厂的Firepower9300设备,在设备启动后,通过Console线先连接到设备的管理端口,在配置向导的提示下,完成设备的初始化配置:
                              
在初始化配置过程中,设置了FXOS的管理IP地址和admin管理帐号的密码,完成配置后,就可以通过HTTPSSSH方式登陆到FXOS的管理界面了。


    • 修改FXOS的管理IP地址

如果要修改Firepower9300设备的管理IP地址,需要通过CLI方式进行,步骤如下:
步骤1:通过Console线连接到Firepower9300设备,并使用admin帐号登陆。
步骤2:将scope设置为fabric-inteconnect
FP9300-A# scope fabric-interconnect  a
步骤3:通过show命令查看当前的配置:
步骤4:设置新的管理IP地址:
FP9300-A/fabric-interconnect # set out-of-band ip 173.39.194.100 netmask 255.255.255.0gw 173.39.194.1
步骤5:通过show命令查看修改后的配置:
步骤6:保存配置:
FP9300-A /fabric-interconnect* # commit-buffer


    • 升级FXOS系统软件

如果需要升级FXOS软件,可以在CLIWeb界面进行,推荐通过Web界面进行。
FXOSWeb界面上,能够看到目前运行的硬件型号和FXOS的版本:
硬件型号为Firepower9300FXOS版本为1.1(3.84)
步骤1. 下载FXOS软件
CCO网站下载FXOS软件时,需要选择的路径是:
Products > Security > Firewalls > Next-GenerationFirewalls (NGFW)
然后在选择Firepower平台和对应的FXOS系统软件。以Firepower9300为例,可以选择FX-OS image for Firepower文件下载:
步骤2. 上传和安装FXOS软件
Firepower 9300Web管理界面,进入System > Updates,将FX-OS软件上传到设备上,然后进行安装即可。
3.          FXOS管理界面概览
通过浏览器https方式,登陆FP9300设备的Web管理界面,在登陆窗口输入帐号和密码:
登陆成功后,在Overview界面查看Firepower9300设备的前面板:
FXOSWeb管理界面上,主要功能界面如下:
  • Overview – 监控Firepower机箱的状态和告警信息
  • Interfaces – 查看和配置网络接口
  • Logical Devices – 安装和配置ASA软件或FTD软件
  • Security Engines – 对已经安装的应用进行维护和管理
  • Platform Settings – 设置与系统有关的参数
    Interfaces配置
    登陆Firepower9300的Web管理界面,对Interface进行管理。
    注意:如果需要创建PortChannel的话,也要在Interface配置界面下完成。
    为Firepower9300的面板的接口状态:
    Firepower9300设备配置了3个Network Module:

  • Network Module1:自带的8个千兆光口
  • Network Module2:4个40G光口
  • Network Module3:8个10G光口
    绿色接口:表示安装了GLC-T或SFP,并已经连接到交换机上
    红色接口:表示安装了GLC-T或SFP,但还没有已经连接到交换机上
    启用Ethernet1/1到Ethernet1/8接口,绿色表明已经被启用:
    将接口Ethernet1/1-1/7设置为data类型,可以用于ASA的数据接口:
    将接口Ethernet1/8设置为mgmt类型,可以用于ASA的数据接口:
    完成配置后:
    Logical Device配置
    通过FXOS管理界面创建Logical Device时,可以选择在Logical Device上面部署ASA或FTD的Image,并为其进行初始化配置,并分配相应的Data接口和Management接口。
    Firepower9300平台支持两种类型的Logical Device:Standalone和Cluster。
    步骤1:进入Logical Devices标签,并点击“Add Device”,在弹出的窗口上,选择需要部署的Image的类型和软件版本,然后点击“OK”
    步骤2:接下来在左侧的接口列表的窗口中,选择分配Data接口:
    步骤3:点击ASA-9.5.2.1图标,分配Management接口和Security Module
    为SM1分配了ASA软件,管理接口为Ethernet1/8,管理IP地址为192.168.1.1。
    步骤4:配置完成后,然后点击Save:
    步骤5:查看Logical Devices的Status:
    如果Status显示“Security module not present”,表明Security Module还不可用。等待几分钟后,Status显示Online。

此时,ASA软件已经安装完成,接下来,可以通过Console线连接Firepower设备的管理口,通过下面命令进入ASA软件的CLI界面:
FP9300-A# connect module 1console
Firepower-module1>connect asa
asa>
这样,以后再通过Console线连接到Firepower设备的管理口时,就可以直接进入ASACLI界面了。
6.          Security Engine管理
通过Security Engine能够对已经安装的Logical Device设备,比如ASAFTD进行各种维护和操作:
注意:在ASAFTD安装并正常运行的情况下,可以跳过此步骤。
Security Engine支持的操作说明如下:
  • Decommission/Recommission:Decommission操作将Security设置为Maintenance状态。Recommission将Maintenance状态改为正常状态。
  • Acknowledge:将已经部署了Logical Device的Security Module上线
  • Power Cycle:重启Security Module
  • Reinitialize:重新格式化Security Module的硬盘,删除已经部署的所有软件和应用,并且重启系统。完成Reinitialize后,如果已经为Security Module配置好了Logical Device,那么FXOS会重新部署Logical Device,并且自动重启应用。
  • Power Off/On:将Security Module下电或上电。
    Platform Settings管理
    通过Platform Settings能够完成与系统相关的参数设置,包括NTP,SSH,SNMP等:
    License管理
    Firepower平台设备采用了Smart License的许可管理方式,与传统的PAK方式的License不同。申请Smart License的方法,请见本文的附录说明。
    在初始配置时,Firepower4100/9300设备本身只启用了DES加密算法,3DES没有启用。若启用3DES加密算法,需要通过Smart License方式激活。
    通过Smart License Manager申请好License的Token文件后,然后登陆到FXOS的管理界面,进入System > Licensing,在Smart License部分,输入申请到的Token:
    将Token文件的内容复制到剪贴板上,在输入框中粘贴刚刚复制下来的Token:
    然后点击Register后,界面显示Smart Licensing is ENABLED,Status为UNREGISTERED:
    等待几分钟,再刷新页面,Status为REGISTERED:
    注意:这里输入的Token使用的是FPR9300的Smart License Account,因此显示结果为Out of Compliance。
    通过ASA的CLI查看License的状态,结果显示3DES的License已经被激活:
    asa# show license features
    Serial Number: FLM2006EP5U
    License mode: Smart Licensing
    Licensed features for this platform:
    Maximum Physical Interfaces       : Unlimited      
    Maximum VLANs                     : 1024           
    Inside Hosts                      : Unlimited      
    Failover                          : Active/Active  
    Encryption-DES                    : Enabled        
    Encryption-3DES-AES               : Enabled        
    Security Contexts                 : 10            
    Carrier                           : Disabled      
    AnyConnect Premium Peers          : 10000         
    AnyConnect Essentials             : Disabled      
    Other VPN Peers                   : 10000         
    Total VPN Peers                   : 10000         
    AnyConnect for Mobile             : Enabled        
    AnyConnect for Cisco VPN Phone    : Enabled        
    Advanced Endpoint Assessment      : Enabled        
    Shared License                    : Disabled      
    Botnet Traffic Filter             : Enabled        
    Cluster                           : Enabled        
    附录:Smart License申请步骤
    如果已经获取了Smart License Manager的账号,就可以直接申请用于测试的Smart License。
    步骤1:登陆Smart License Manager
    https://software.cisco.com/
    步骤2:选择Inventory标签,在Virtual Account: FPR9300 Internal PoC
      
    步骤3:生成新的Token,输入Description后,点击Create Token按钮:
    步骤4:看到已经生成了新的Token,点击最右侧的Action按钮,再点击Copy或Download,则将Token复制或保持到本地:
    步骤5:通过FXOS管理界面,进入System > Licensing > Smart License,然后将Token内容粘贴到输入框,再点击Register。
    步骤6:登陆到ASA的CLI或GUI管理界面,查看Smart License是否生效。
    至此完成了Smart License的申请和导入。

  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 思科 CCO 登录 | 思科 CCO 注册   

本版积分规则

Archiver | 思科社区  

GMT+8, 2020-11-26 10:09 , Processed in 0.089099 second(s), 28 queries .

京ICP备11014401号-17

© 2020 思科系统.版权所有 重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表