- はじめに
- 事前準備
- リイメージと ASA初期セットアップ手順
- はじめに
- 1. 初期化とFXOSのブート
- 2. FXOS設定とASAイメージのインストール
- 3. FXOSからのインターフェイス割り当て
- CLIで 追加インターフェイス有効化
- CLIで ポートチャネル設定 (option)
- WebUI(FCM)で インターフェイス設定
- 4. ASAソフトウェアのASDM管理アクセス設定
- よくある質問
- FXOSとASAソフトウェアの機能の違いを教えてください
- Firepower2100シリーズと Firepower4100/9300シリーズのFXOSの違いを教えてください
- 参考情報
はじめに
本ドキュメントでは Firepower2100シリーズのリイメージ、及び ASAソフトウェアの初期セットアップ手順を紹介します。 ASA バージョン 9.12以下を利用時、もしくは、ASA 9.13以降で「プラットフォームモード」を使用時に利用可能な手順です。
なお、Firepower 2100 ASA 9.13以降でデフォルトの「アプライアンスモード」を利用時は、当ドキュメント手順は使えません。アプライアンスモードについて詳しくは、コチラ を参照してください。
なお、Firepower2100シリーズでは、ASAパッケージに、シャーシ管理用のスーパーバイザーであるFXOSが統合されています。初期セットアップ時は、FXOSよりASAソフトウェアイメージのインストールや インターフェイス割り当てを行います。 その後は、他のASA製品と同様に、ASAソフトウェアの利用が可能です。
本ドキュメントは、Firepower 2120を利用し確認、作成しております。
事前準備
事前に以下を準備してください。
- ASAパッケージの入手 (例:cisco-asa-fp2k.9.8.2.15.SPA)
- TFTP/FTPサーバに、ASAパッケージの事前アップロード
- TFTP/FTPサーバを、Firepower2100 Management1/1に接続
リイメージと ASA初期セットアップ手順
はじめに
ASA プラットフォームモード (ASA 9.12以前デフォルト)を利用時は、FXOSにCLIアクセスを行ってから、以下操作を行ってください。
ASAアプライアンスモード (ASA 9.13以降デフォルト)を利用時は、ASA CLIから 「connect fxos admin」 コマンドで FXOS CLIにアクセスしてから、以下操作を行ってください。
ソフトウェアの破損などで FXOSが正しく起動せず再起動を繰り返す場合は、ブートアップ中に 「Use BREAK or ESC to interrupt boot.」の出力時に タイミングよく ESCキーを入力することで、ROMMONに移行ができます。
1. 初期化とFXOSのブート
事前に既存バージョン確認のため、以下コマンドを実行
firepower# show version detail Bootloader-Vers: 1.0.00 System Running-Vers: 2.2(1.47) Npu Running-Vers: 2.2(1.47) Service Manager Running-Vers: 2.2(1.47) Package-Vers: 6.2.1-327 <--- バージョン情報
設定とイメージの初期化のため、以下コマンドを実行
firepower# connect local-mgmt firepower(local-mgmt)# format everything All configuration and bootable images will be lost. Do you still want to format? (yes/no):yes 100+0 records in 100+0 records out 51200 bytes (51 kB) copied, 0.00373564 s, 13.7 MB/s 4+0 records in 4+0 records out 2048 bytes (2.0 kB) copied, 7.4196e-05 s, 27.6 MB/s 100+0 records in 100+0 records out 51200 bytes (51 kB) copied, 0.00344207 s, 14.9 MB/s Broadcast message from root@ Cisco FTD: CMD=-stop, CSP-ID=cisco-ftd.6.2.1.327__ftd_001_JMX2119L0AZ639NBC1, FLAG='' Device type is FPR-2120. (77/B) Cisco FTD stopping ...
ROMMONに移行するため、セットアップ用のIP情報やASAパッケージを指定し、setコマンドで設定が正しいことを確認
Platform FPR-2120 with 16384 MBytes of main memory
BIOS has been successfully locked !!
MAC Address: a0:23:9f:92:09:80
Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.
--- snip ---
rommon 1 >
rommon 1 > address 1.100.100.101
rommon 2 > netmask 255.0.0.0
rommon 3 > gateway 1.0.0.100
rommon 4 > file cisco-asa-fp2k.9.8.2.15.SPA
rommon 5 > server 1.0.0.1
rommon 6 > set
ADDRESS=1.100.100.101
NETMASK=255.0.0.0
GATEWAY=1.0.0.100
SERVER=1.0.0.1
IMAGE=cisco-asa-fp2k.9.8.2.15.SPA
CONFIG=
FXOSのブートのため、tftp -bコマンドで、任意TFTPサーバからASAパッケージをダウンロードし実行
rommon 9 > tftpdnld -b
MACADDR: a0:23:9f:92:09:80
link up
Receiving cisco-asa-fp2k.9.8.2.15.SPA from 1.0.0.1!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
--- snip ---
File reception completed.
Boot buffer bigbuf=7d93e3d8
Boot image size = 136525776 (0x82337d0) bytes
[image size] 136525776
[MD5 signaure] 5974ce04d9b4a12a4e385a10c670e79a
+-------------------------------------------------------------------+
+------------------------- SUCCESS ---------------------------------+
+-------------------------------------------------------------------+
| |
| LFBFF signature authentication passed !!! |
| |
+-------------------------------------------------------------------+
LFBFF signature verified.
+-------------------------------------------------------------------+
+------------------------- SUCCESS ---------------------------------+
+-------------------------------------------------------------------+
| |
| LFBFF controller type check passed !!! |
| |
+-------------------------------------------------------------------+
INIT: version 2.88 booting
Starting udev
Hardware tweak APPLIED: Disable SATA Throttle.1
Hardware tweak APPLIED: Disable SATA Throttle.2
Configuring network interfaces... done.
数分から10分程度で、デフォルトのFXOS設定で起動する。なお、この時点ではASAイメージはインストールされていない状態。ユーザ名/パスワード admin/Admin123でログイン
Cisco FPR Series Security Appliance
firepower-2120 login: Dec 7 19:52:42 firepower-2120 FPRM: <<%%FPRM-2-DEFAULT_INFRA_VERSION_MISSING>> [F1309][critical][default-infra-version-missing][org-root/fw-infra-pack-default] Bundle version in firmware package is empty, need to re-install
Dec 7 19:52:47 firepower-2120 port-manager: Alert: Internal1/2 link changed to UP
Dec 7 19:52:47 firepower-2120 port-manager: Alert: Internal1/1 link changed to UP
Dec 7 19:52:47 firepower-2120 port-manager: Alert: Forcing CPU uplink link state to DOWN
Dec 7 19:52:47 firepower-2120 port-manager: Alert: Internal1/1 link changed to DOWN
Dec 7 19:53:44 firepower-2120 port-manager: Alert: Ethernet1/2 link changed to UP
Dec 7 19:53:44 firepower-2120 port-manager: Alert: Ethernet1/1 link changed to UP
Cisco FPR Series Security Appliance
firepower-2120 login: admin <--- デフォルト admin/Admin123
Password:
Successful login attempts for user 'admin' : 1
Cisco Firepower Extensible Operating System (FX-OS) Software
TAC support: http://www.cisco.com/tac
--- snip ---
firepower-2120#
2. FXOS設定とASAイメージのインストール
DHCPサービスの無効化と管理IPアドレスを再設定
firepower-2120# scope system firepower-2120 /system # scope service firepower-2120 /system/services # disable dhcp-server firepower-2120 /system/services* # commit-buffer firepower-2120 /system/services # exit firepower-2120 /system # exit firepower-2120# firepower-2120# scope fabric-interconnect a firepower-2120 /fabric-interconnect # set out-of-band static ip 1.100.100.101 netmask 255.0.0.0 Warning: When committed, this change may disconnect the current CLI session. Use commit-buffer command to commit the changes. firepower-2120 /fabric-interconnect* # commit-buffer firepower-2120 /fabric-interconnect # exit firepower-2120#
※補足: gwを明示的に設定したい場合は、gwオプション(任意)をつけてください。
CLI例:set out-of-band static ip 1.100.100.101 netmask 255.0.0.0 gw 1.0.0.1
WebUIやSSH管理アクセスを許可
firepower-2120# scope system firepower-2120 /system # scope services firepower-2120 /system/services # enter ip-block 0.0.0.0 0 https firepower-2120 /system/services/ip-block* # exit firepower-2120 /system/services* # enter ip-block 0.0.0.0 0 ssh firepower-2120 /system/services/ip-block* # exit firepower-2120 /system/services* # commit-buffer firepower-2120 /system/services # exit firepower-2120 /system # exit firepower-2120#
任意FTPサーバからASAイメージのダウンロード。 ダウンロード状況は show download-task もしくは show download-task detailコマンドで確認
firepower-2120# scope firmware firepower-2120 /firmware # download image ftp://1.0.0.1/de/cisco-asa-fp2k.9.8.2.15.SPA Password: <--- Anonymous時は空Enter入力 Please use the command 'show download-task' or 'show download-task detail' to check download progress. firepower-2120 /firmware # firepower-2120 /firmware # show download-task Download task: File Name Protocol Server Port Userid State --------- -------- --------------- ---------- --------------- ----- cisco-asa-fp2k.9.8.2.15.SPA Ftp 1.0.0.1 0 anonymous Downloading firepower-2120 /firmware # firepower-2120 /firmware # show download-task detail Download task: File Name: cisco-asa-fp2k.9.8.2.15.SPA Protocol: Ftp Server: 1.0.0.1 Port: 0 Userid: anonymous Path: /de Downloaded Image Size (KB): 25030 State: Downloading Status: Downloading the image Transfer Rate (KB/s): 12515.000000 Current Task: downloading image cisco-asa-fp2k.9.8.2.15.SPA from 1.0.0.1(FSM -STAGE:sam:dme:FirmwareDownloaderDownload:Local)
ダウンロード完了後、show packageコマンドでパッケージバージョン確認し、そのバージョンを指定してのインストール実施。 自動で再起動が行われる
firepower-2120 /firmware # show package
Name Package-Vers
--------------------------------------------- ------------
cisco-asa-fp2k.9.8.2.15.SPA 9.8.2.15
firepower-2120 /firmware #
firepower-2120 /firmware # scope auto-install
firepower-2120 /firmware/auto-install # install security-pack version 9.8.2.15
The system is currently installed with security software package not set, which has:
- The platform version: not set
If you proceed with the upgrade 9.8.2.15, it will do the following:
- upgrade to the new platform version 2.2.2.61
- install with CSP asa version 9.8.2.15
During the upgrade, the system will be reboot
Do you want to proceed ? (yes/no):yes
This operation upgrades firmware and software on Security Platform Components
Here is the checklist of things that are recommended before starting Auto-Install
(1) Review current critical/major faults
(2) Initiate a configuration backup
Do you want to proceed? (yes/no):yes
Triggered the install of software package version 9.8.2.15
Install started. This will take several minutes.
For monitoring the upgrade progress, please enter 'show' or 'show detail' command.
firepower-2120 /firmware/auto-install #
-- snip ---
Stopping internet superserver: xinetd.
stopping idmapd: done
stopping statd: done
Stopping crond: OK
Stopping rpcbind daemon...
done.
Deactivating swap...
Unmounting local filesystems...
Rebooting... [ 5096.892141] Restarting system.
起動後、admin/Admin123でログインし、asaが指定バージョンでインストールが完了し Onlineであることを確認
INFO: Security level for "management" set to 0 by default.
INFO: Security level for "outside" set to 0 by default.
INFO: Security level for "inside" set to 100 by default.
WARNING: This command will not take effect until interface 'outside' has been assigned an IPv4 address
User enable_1 logged in to cisco
Cisco FPR Series Security Appliance
firepower-2120 login: admin
Password:
Last login: Thu Dec 7 19:55:31 UTC 2017 on ttyS0
Successful login attempts for user 'admin' : 1
Cisco Firepower Extensible Operating System (FX-OS) Software
TAC support: http://www.cisco.com/tac
--- snip ---
firepower-2120#
firepower-2120# scope ssa
firepower-2120 /ssa # show app-instance
Application Name Slot ID Admin State Operational State Running Ver
sion Startup Version Cluster Oper State
-------------------- ---------- --------------- -------------------- -----------
---- --------------- ------------------
asa 1 Enabled Online 9.8.2.15
9.8.2.15 Not Applicable
firepower-2120 /ssa #
3. FXOSからのインターフェイス割り当て
リイメージ後のデフォルトの有効インターフェイスは以下です。
- Management 1/1
- Ethernet1/1
- Ethernet1/2
上記以外のInterfaceの利用や、Speed/Duplx変更、ポートチャネル設定はFXOSから実施が必要です。 ポートチャネルは LACP mode activeのみサポートします。
CLIで 追加インターフェイス有効化
指定インターフェイスの有効化やSpeed/Duplex変更と確認
以下コマンドを実行し インターフェイスモードにアクセス
firepower-2120# firepower-2120# scope eth-uplink firepower-2120 /eth-uplink # scope fabric a
有効化したい任意インターフェイス名を入力し、enableで有効化
firepower-2120 /eth-uplink/fabric # enter interface ethernet1/3 firepower-2120 /eth-uplink/fabric/interface # enable firepower-2120 /eth-uplink/fabric/interface* #
(option) Speed/Duplexを変更したい場合は setコマンドで指定
firepower-2120 /eth-uplink/fabric/interface* # set ? admin-duplex Admin Duplex admin-speed Admin Speed auto-negotiation Auto negotiation eth-link-profile Ethernet Link Profile name flow-control-policy flow control policy port-type Port Type user-label User Label firepower-2120 /eth-uplink/fabric/interface* # set admin-speed 1gbps firepower-2120 /eth-uplink/fabric/interface* # set admin-duplex fullduplex
設定を保存
firepower-2120 /eth-uplink/fabric/interface* # commit-buffer firepower-2120 /eth-uplink/fabric/interface #
show interfaceや show interface detailで確認
firepower-2120 /eth-uplink/fabric/interface # exit
firepower-2120 /eth-uplink/fabric # show interface
Interface:
Port Name Port Type Admin State Oper State State Reason
-------------- ------------------ ----------- ---------------- ------------
Ethernet1/1 Data Enabled Up Up
Ethernet1/2 Data Enabled Up Up
Ethernet1/3 Data Enabled Link Down Down
Ethernet1/4 Data Disabled Link Down Down
Ethernet1/5 Data Disabled Link Down Down
Ethernet1/6 Data Disabled Link Down Down
Ethernet1/7 Data Disabled Link Down Down
Ethernet1/8 Data Disabled Link Down Down
Ethernet1/9 Data Disabled Link Down Down
--- snip ---
firepower-2120 /eth-uplink/fabric # show interface detail
Interface:
Port Name: Ethernet1/1
User Label:
Port Type: Data
Admin State: Enabled
Oper State: Up
State Reason: Up
flow control policy: default
Auto negotiation: Yes
Admin Speed: 1 Gbps
Oper Speed: 1 Gbps
Admin Duplex: Full Duplex
Oper Duplex: Full Duplex
Ethernet Link Profile name: default
Oper Ethernet Link Profile name: fabric/lan/eth-link-prof-default
Udld Oper State: Unknown
Inline Pair Admin State: Enabled
Inline Pair Peer Port Name:
Current Task:
CLIで ポートチャネル設定 (option)
ポートチャネルを作成し、任意メンバーポートを追加し、commitで保存
firepower-2120# scope eth-uplink firepower-2120 /eth-uplink # scope fabric a firepower-2120 /eth-uplink/fabric # firepower-2120 /eth-uplink/fabric # create port-channel 1 firepower-2120 /eth-uplink/fabric/port-channel* # enable firepower-2120 /eth-uplink/fabric/port-channel* # firepower-2120 /eth-uplink/fabric/port-channel* # create member-port ethernet1/3 firepower-2120 /eth-uplink/fabric/port-channel/member-port* # exit firepower-2120 /eth-uplink/fabric/port-channel* # create member-port ethernet1/4 firepower-2120 /eth-uplink/fabric/port-channel/member-port* # exit firepower-2120 /eth-uplink/fabric/port-channel* # firepower-2120 /eth-uplink/fabric/port-channel* # commit-buffer firepower-2120 /eth-uplink/fabric/port-channel # exit
show port-channelや show port-channel expandで 設定状況の確認
firepower-2120 /eth-uplink/fabric # show port-channel Port Channel: Port Channel Id Name Port Type Admin State Oper State State Reason --------------- ---------------- ------------------ ----------- ------------ ---- ------------ 1 Port-channel1 Data Enabled Link Down Down firepower-2120 /eth-uplink/fabric # firepower-2120 /eth-uplink/fabric # show port-channel expand Port Channel: Port Channel Id: 1 Name: Port-channel1 Port Type: Data Admin State: Enabled Oper State: Link Down State Reason: Down Member Port: Port Name Membership Oper State State Reason --------------- ------------------ ---------------- ------------ Ethernet1/3 Down Link Down Down Ethernet1/4 Down Link Down Down
WebUI(FCM)で インターフェイス設定
任意ブラウザからFXOSの管理IPにHTTPSで Firepower Chassis Manager(FCM)にアクセスしログイン。 デフォルトのユーザ名/パスワードはadmin/Admin123
インターフェイスタブを開き、有効化したい任意Interfaceの管理状態の有効化や、適宜ポートチャネルの追加を実施
4. ASAソフトウェアのASDM管理アクセス設定
リイメージ後の ASAソフトウェア デフォルト管理IPアドレスは 192.168.45.1/24のため、Managemnet 1/1に 192.168.45.xxの任意端末を接続すればASDMアクセス可能です。
ASAソフトウェア管理IPアドレスを個別設定したい場合は以下の手順を実施してください。
FXOS CLIよりASAソフトウェアの特権モードにアクセス
firepower-2120# connect asa Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach. Type help or '?' for a list of available commands. ciscoasa> ciscoasa> enable Password: <--- 空Enter ciscoasa#
管理InterfaceのIPアドレスを 任意IPアドレスに変更
ciscoasa# ciscoasa# conf t ciscoasa(config)# ciscoasa(config)# interface Management1/1 ciscoasa(config-if)# ip address 1.100.100.102 255.0.0.0
デフォルトのASDM管理アクセス許可設定の削除、および、管理アクセスを許可するIPやセグメントを設定
ciscoasa(config)# no http 192.168.45.0 255.255.255.0 management ciscoasa(config)# ciscoasa(config)# http 1.100.100.0 255.255.255.0 management ciscoasa(config)#
ASAソフトウェアの管理IPアドレスにHTTPSアクセスし、必要に応じてASDM Launcherのインストール、及び Run ASDMを実行。 なお、ユーザ名、パスワードを求められた場合は 空Enter
以下はASDMアクセス後の画面
よくある質問
FXOSとASAソフトウェアの機能の違いを教えてください
FXOSはシャーシ管理用のスーパーバイザであり、物理レイヤの管理や、ASAソフトウェアにインターフェイス割り当てなどを担います。
ASAソフトウェアは FXOS上で動作し、ACLやNAT、VPNなどの、ファイアウォール/VPN機能を提供します。
Firepower2100シリーズと Firepower4100/9300シリーズのFXOSの違いを教えてください
Firepower4100/9300シリーズでは、FXOSと、そのうえで動作するASAやFTDソフトウェアは分離されており、別々のインストールや管理・設定が可能でした。
Firepower2100シリーズでは、これら機能が一部統合・簡略化され、ASAパッケージの中にFXOSが含まれるように変わりました。
参考情報
Reimage the Cisco ASA or Firepower Threat Defense Device
https://www.cisco.com/c/en/us/td/docs/security/firepower/quick_start/reimage/asa-ftd-reimage.html
Firepower2100: リイメージと FTD初期セットアップ手順
https://supportforums.cisco.com/t5/-/-/ta-p/3293044
ASA による Firepower 1000/2100 の Cisco FXOS トラブルシューティング
https://www.cisco.com/c/ja_jp/td/docs/security/asa/fxos/troubleshoot/asa-fxos-troubleshoot/asa-fxos-troubleshoot_chapter_00.html#task_ahc_1hs_tgb
ファイアウォール トラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161736
Firepower System and FTDトラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161733
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
