1. はじめに
ASA with FirePOWER は ASA5585-X の場合は HW module、それ以外の ASA5500-X の場合は SW module となります。本 Topic では HW module である ASA5585-X の場合の ASA with FirePOWER の初期インストール手順についてご案内させて頂きます。
※ 本 topic は以下の条件で動作確認しております。
HW: ASA:ASA5585-SSP-10 FirePOWER:ASA5585-SSP-SFR10
SW: ASA:9.2(3)4 FirePOWER:5.3.1-152 FireSIGHT:5.4.1-59
それ以外の SW module である ASA5500-X シリーズの ASA with FirePOWER の初期インストール手順については以下の記事を参照して頂ければと思います。
2. 初期インストール手順
2-1. Cisco ASA Compatibility と show version より、ASA が FirePOWER をサポートしている version であることを確認します。
ciscoasa# show version Cisco Adaptive Security Appliance Software Version 9.2(3)4 <snip> Hardware: ASA5585-SSP-10, 6144 MB RAM, CPU Xeon 5500 series 2000 MHz, 1 CPU (4 cores)
ASA compatibility より ASA5585-SSP10 は 9.2(2.4) 以上である必要があり、show version より 9.2(3)4 なので問題なしと判断。
2-2. もし、ASA5585 の slot 1 に SSP-CX (Context Aware) や AIP-SSM (Advanced Inspection and Prevention Security) が install されている場合、以下のコマンドで shutdown してからモジュールを抜いてください。
ciscoasa# hw-module module 1 shutdown
2-3. ASA FirePOWER SFR module initial bootstrap イメージ(.img) を Cisco.com よりダウンロードし、ASA with Firepower からアクセス可能な TFTP サーバにおきます(ex. asasfr-boot-5.3.1-152.img)
2-4. ASA FirePOWER system software イメージ(.pkg) を Cisco.com よりダウンロードし、ASA with FirePOWER からアクセス可能な HTTP, HTTPS, or FTP サーバにおきます(ex. asasfr-sys-5.3.1-152.pkg)
2-5. SFR module を再起動します。再起動の方法は以下の 2 通りございます。
2-5-1. ASA から再起動する場合
ciscoasa# hw-module module 1 reload Reload module 1? [confirm] Reload issued for module 1
2-5-2. SFR module から再起動する場合
Sourcefire3D login: admin Password: Sourcefire Linux OS v5.3.1 (build 43) Sourcefire ASA5585-SSP-10 v5.3.1 (build 152) > system reboot
2-6. 起動途中で BREAK or ESC コマンドで ROMMON mode に移行します。
The system is restarting... CISCO SYSTEMS Embedded BIOS Version 2.0(14)1 15:16:31 01/25/14 <snip> Cisco Systems ROMMON Version (2.0(14)1) #0: Sat Jan 25 16:44:38 CST 2014 Platform ASA 5585-X FirePOWER SSP-10, 8GE Use BREAK or ESC to interrupt boot. Use SPACE to begin boot immediately. Boot in 8 seconds. Boot interrupted. Management0/0 Link is UP MAC Address: xxxx.xxxx.xxxx Use ? for help. rommon #0>
2-7. "2-3" の TFTP サーバにアクセスできるように SFR module の management interface の設定をします。以下が設定例です。
rommon #1> ADDRESS=198.51.100.3 rommon #2> GATEWAY=198.51.100.1 rommon #3> SERVER=198.51.100.100 rommon #4> IMAGE=/tftpboot/asasfr-boot-5.3.1-152.img rommon #5> sync Updating NVRAM Parameters... rommon #6> tftp ROMMON Variable Settings: ADDRESS=198.51.100.3 SERVER=198.51.100.100 GATEWAY=198.51.100.1 PORT=Management0/0 VLAN=untagged IMAGE=/tftpboot/asasfr-boot-5.3.1-152.img CONFIG= LINKTIMEOUT=20 PKTTIMEOUT=4 RETRY=20 tftp /tftpboot/asasfr-boot-5.3.1-152.img@198.51.100.100 via 198.51.100.1 !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! <snip> Received 41235627 bytes Launching TFTP Image... Execute image at 0x14000
2-8. initial boot image に admin/Admin123 でログインします。
Cisco ASA SFR Boot Image 5.3.1
asasfr login: adminPassword:
Cisco ASA SFR Boot 5.3.1 (152)
Type ? for list of commands
2-9. setup コマンドで wizard に従い、"2-4" の HTTP, HTTPS, or FTP サーバにアクセスできるよう SFR module management interface の設定をします。以下が設定例です。
asasfr-boot>setup Welcome to SFR Setup [hit Ctrl-C to abort] Default values are inside [] Enter a hostname [asasfr]: sfr-module-5585 Do you want to configure IPv4 address on management interface?(y/n) [Y]: Y Do you want to enable DHCP for IPv4 address on management interface?(y/n) [N]: N Enter an IPv4 address [192.168.8.8]: 198.51.100.3 Enter the netmask [255.255.255.0]: 255.255.255.0 Enter the gateway [192.168.8.1]: 198.51.100.1 Do you want to configure static IPv6 address on management interface?(y/n) [N]: N Stateless autoconfiguration will be enabled for IPv6 addresses. Enter the primary DNS server IP address: 198.51.100.15 Do you want to configure Secondary DNS Server? (y/n) [n]: N Do you want to configure Local Domain Name? (y/n) [n]: N Do you want to configure Search domains? (y/n) [n]: N Do you want to enable the NTP service? [Y]: N Please review the final configuration: Hostname: sfr-module-5585 Management Interface Configuration IPv4 Configuration: static IP Address: 198.51.100.3 Netmask: 255.255.255.0 Gateway: 198.51.100.1 IPv6 Configuration: Stateless autoconfiguration DNS Configuration: DNS Server: 198.51.100.15 Apply the changes?(y,n) [Y]: Y Configuration saved successfully! Applying... Restarting network services... Restarting NTP service... Done.
2-10. system install コマンドで System Software image(.pkg) を install します。以下が設定例です。途中で再起動のために Enter を実行する必要があるので注意してください。
> system install http://Server_IP_Address/asasfr-sys-5.3.1-152.pkg Verifying Downloading Extracting Package Detail Description: Cisco ASA-SFR 5.3.1-152 System Install Requires reboot: Yes Do you want to continue with upgrade? [y]: Y Warning: Please do not interrupt the process or turn off the system. Doing so might leave system in unusable state. Upgrading Starting upgrade process ... Populating new system image ...
2-11. インストールが完了したら admin/Sourcefire でログイン(5.3, 5.4 の場合)し初期セットアップを行います。以下が設定例です。SW module と異なり、ASA より session sfr コマンドではログインできませんので注意してください。
Sourcefire3D login: admin Password: Sourcefire Last login: Fri Jan 30 14:00:51 UTC 2015 on ttyS0 Copyright 2001-2013, Sourcefire, Inc. All rights reserved. Sourcefire is a registered trademark of Sourcefire, Inc. All other trademarks are property of their respective owners. Sourcefire Linux OS v5.3.1 (build 43) Sourcefire ASA5585-SSP-10 v5.3.1 (build 152) Last login: Wed Feb 18 14:22:19 on ttyS0 System initialization in progress. Please stand by. You must configure the network to continue. You must configure at least one of IPv4 or IPv6. Do you want to configure IPv4? (y/n) [y]: y Do you want to configure IPv6? (y/n) [n]: n Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]: dhcp If your networking information has changed, you will need to reconnect. [1640209.830367] ADDRCONF(NETDEV_UP): eth0: link is not ready [1640212.873978] e1000e: eth0 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: None [1640212.966250] ADDRCONF(NETDEV_CHANGE): eth0: link becomes ready For HTTP Proxy configuration, run 'configure network http-proxy' This sensor must be managed by a Defense Center. A unique alphanumeric registration key is always required. In most cases, to register a sensor to a Defense Center, you must provide the hostname or the IP address along with the registration key. 'configure manager add [hostname | ip address ] [registration key ]' However, if the sensor and the Defense Center are separated by a NAT device, you must enter a unique NAT ID, along with the unique registration key. 'configure manager add DONTRESOLVE [registration key ] [ NAT ID ]' Later, using the web interface on the Defense Center, you must use the same registration key and, if necessary, the same NAT ID when you add this sensor to the Defense Center.
2-12. その後、FireSIGHT に FirePOWER を登録して初期セットアップが完了します。以下の CSC 記事を参考にしてください。
Last reviewed on Dec 31, 2017 by toishika
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
