1. Firepower9300平台简介
本文描述了在Firepower9300平台上,进行初始化配置和安装ASA软件的基本步骤,对于详细的安装说明,需要参考对应的安装手册。
Firepower9300设备,需要通过机箱操作系统FXOS(Firepower eXtensible Operating System)系统进行基本配置,FXOS支持CLI界面和基于Web界面的配置方式。在完成初始化配置之后,ASA或FTD的软件的安装和配置,都需要通过FXOS的Web界面来配置。
Firepower9300设备支持最多三块Security Module,因此可以在不同的Security Module上安装分别安装ASA或FTD软件。
2. FXOS初始化配置
在初次使用Firepower9300设备时,需要先通过FXOS系统完成对Firepower机箱的基本配置,包括机箱的管理IP地址,管理员帐号等基本信息。
对于新出厂的Firepower9300设备,在设备启动后,通过Console线先连接到设备的管理端口,在配置向导的提示下,完成设备的初始化配置:
在初始化配置过程中,设置了FXOS的管理IP地址和admin管理帐号的密码,完成配置后,就可以通过HTTPS或SSH方式登陆到FXOS的管理界面了。
如果要修改Firepower9300设备的管理IP地址,需要通过CLI方式进行,步骤如下:
步骤1:通过Console线连接到Firepower9300设备,并使用admin帐号登陆。
步骤2:将scope设置为fabric-inteconnect:
FP9300-A# scope fabric-interconnect a
步骤3:通过show命令查看当前的配置:
步骤4:设置新的管理IP地址:
FP9300-A/fabric-interconnect # set out-of-band ip 173.39.194.100 netmask 255.255.255.0gw 173.39.194.1
步骤5:通过show命令查看修改后的配置:
步骤6:保存配置:
FP9300-A /fabric-interconnect* # commit-buffer
如果需要升级FXOS软件,可以在CLI或Web界面进行,推荐通过Web界面进行。
在FXOS的Web界面上,能够看到目前运行的硬件型号和FXOS的版本:
硬件型号为Firepower9300,FXOS版本为1.1(3.84)。
步骤1. 下载FXOS软件
在CCO网站下载FXOS软件时,需要选择的路径是:
Products > Security > Firewalls > Next-GenerationFirewalls (NGFW)
然后在选择Firepower平台和对应的FXOS系统软件。以Firepower9300为例,可以选择FX-OS image for Firepower文件下载:
步骤2. 上传和安装FXOS软件
在Firepower 9300的Web管理界面,进入System > Updates,将FX-OS软件上传到设备上,然后进行安装即可。
3. FXOS管理界面概览
通过浏览器https方式,登陆FP9300设备的Web管理界面,在登陆窗口输入帐号和密码:
登陆成功后,在Overview界面查看Firepower9300设备的前面板:
在FXOS的Web管理界面上,主要功能界面如下:
Overview – 监控Firepower机箱的状态和告警信息
Interfaces – 查看和配置网络接口
Logical Devices – 安装和配置ASA软件或FTD软件
Security Engines – 对已经安装的应用进行维护和管理
Platform Settings – 设置与系统有关的参数
Interfaces配置
登陆Firepower9300的Web管理界面,对Interface进行管理。
注意:如果需要创建PortChannel的话,也要在Interface配置界面下完成。
为Firepower9300的面板的接口状态:
Firepower9300设备配置了3个Network Module:
Network Module1:自带的8个千兆光口
Network Module2:4个40G光口
Network Module3:8个10G光口
绿色接口:表示安装了GLC-T或SFP,并已经连接到交换机上
红色接口:表示安装了GLC-T或SFP,但还没有已经连接到交换机上
启用Ethernet1/1到Ethernet1/8接口,绿色表明已经被启用:
将接口Ethernet1/1-1/7设置为data类型,可以用于ASA的数据接口:
将接口Ethernet1/8设置为mgmt类型,可以用于ASA的数据接口:
完成配置后:
Logical Device配置
通过FXOS管理界面创建Logical Device时,可以选择在Logical Device上面部署ASA或FTD的Image,并为其进行初始化配置,并分配相应的Data接口和Management接口。
Firepower9300平台支持两种类型的Logical Device:Standalone和Cluster。
步骤1:进入Logical Devices标签,并点击“Add Device”,在弹出的窗口上,选择需要部署的Image的类型和软件版本,然后点击“OK”
步骤2:接下来在左侧的接口列表的窗口中,选择分配Data接口:
步骤3:点击ASA-9.5.2.1图标,分配Management接口和Security Module
为SM1分配了ASA软件,管理接口为Ethernet1/8,管理IP地址为192.168.1.1。
步骤4:配置完成后,然后点击Save:
步骤5:查看Logical Devices的Status:
如果Status显示“Security module not present”,表明Security Module还不可用。等待几分钟后,Status显示Online。
此时,ASA软件已经安装完成,接下来,可以通过Console线连接Firepower设备的管理口,通过下面命令进入ASA软件的CLI界面:
FP9300-A# connect module 1console
Firepower-module1>connect asa
asa>
这样,以后再通过Console线连接到Firepower设备的管理口时,就可以直接进入ASA的CLI界面了。
6. Security Engine管理
通过Security Engine能够对已经安装的Logical Device设备,比如ASA或FTD进行各种维护和操作:
注意:在ASA或FTD安装并正常运行的情况下,可以跳过此步骤。
Security Engine支持的操作说明如下:
Decommission/Recommission:Decommission操作将Security设置为Maintenance状态。Recommission将Maintenance状态改为正常状态。
Acknowledge:将已经部署了Logical Device的Security Module上线
Power Cycle:重启Security Module
Reinitialize:重新格式化Security Module的硬盘,删除已经部署的所有软件和应用,并且重启系统。完成Reinitialize后,如果已经为Security Module配置好了Logical Device,那么FXOS会重新部署Logical Device,并且自动重启应用。
Power Off/On:将Security Module下电或上电。
Platform Settings管理
通过Platform Settings能够完成与系统相关的参数设置,包括NTP,SSH,SNMP等:
License管理
Firepower平台设备采用了Smart License的许可管理方式,与传统的PAK方式的License不同。申请Smart License的方法,请见本文的附录说明。
在初始配置时,Firepower4100/9300设备本身只启用了DES加密算法,3DES没有启用。若启用3DES加密算法,需要通过Smart License方式激活。
通过Smart License Manager申请好License的Token文件后,然后登陆到FXOS的管理界面,进入System > Licensing,在Smart License部分,输入申请到的Token:
将Token文件的内容复制到剪贴板上,在输入框中粘贴刚刚复制下来的Token:
然后点击Register后,界面显示Smart Licensing is ENABLED,Status为UNREGISTERED:
等待几分钟,再刷新页面,Status为REGISTERED:
注意:这里输入的Token使用的是FPR9300的Smart License Account,因此显示结果为Out of Compliance。
通过ASA的CLI查看License的状态,结果显示3DES的License已经被激活:
asa# show license features
Serial Number: FLM2006EP5U
License mode: Smart Licensing
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited
Maximum VLANs : 1024
Inside Hosts : Unlimited
Failover : Active/Active
Encryption-DES : Enabled
Encryption-3DES-AES : Enabled
Security Contexts : 10
Carrier : Disabled
AnyConnect Premium Peers : 10000
AnyConnect Essentials : Disabled
Other VPN Peers : 10000
Total VPN Peers : 10000
AnyConnect for Mobile : Enabled
AnyConnect for Cisco VPN Phone : Enabled
Advanced Endpoint Assessment : Enabled
Shared License : Disabled
Botnet Traffic Filter : Enabled
Cluster : Enabled
附录:Smart License申请步骤
如果已经获取了Smart License Manager的账号,就可以直接申请用于测试的Smart License。
步骤1:登陆Smart License Manager
https://software.cisco.com/
步骤2:选择Inventory标签,在Virtual Account: FPR9300 Internal PoC
步骤3:生成新的Token,输入Description后,点击Create Token按钮:
步骤4:看到已经生成了新的Token,点击最右侧的Action按钮,再点击Copy或Download,则将Token复制或保持到本地:
步骤5:通过FXOS管理界面,进入System > Licensing > Smart License,然后将Token内容粘贴到输入框,再点击Register。
步骤6:登陆到ASA的CLI或GUI管理界面,查看Smart License是否生效。
至此完成了Smart License的申请和导入。