シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

ASA with FirePOWER の初期インストール手順(ASA5585-X)

    1. はじめに

    ASA with FirePOWER は ASA5585-X の場合は HW module、それ以外の ASA5500-X の場合は SW module となります。本 Topic では HW module である ASA5585-X の場合の ASA with FirePOWER の初期インストール手順についてご案内させて頂きます。

     

    それ以外の SW module である ASA5500-X シリーズの ASA with FirePOWER の初期インストール手順については以下の記事を参照してください。

     

    ASA with FirePOWER の初期インストール手順(ASA5500-X wo/ ASA5585-X)

    https://supportforums.cisco.com/ja/document/12475796

     

    本 Topic は以下の条件で動作確認しております。

    HW: ASA:ASA5585-SSP-10 FirePOWER:ASA5585-SSP-SFR10

    SW: ASA:9.2(3)4 FirePOWER:5.3.1-152 FireSIGHT:5.4.1-59

     

    2. 初期インストール手順

    2-1. Cisco ASA Compatibilityshow version より、ASA が FirePOWER をサポートしている version であることを確認します。

     

    Cisco ASA Compatibility

    http://www.cisco.com/c/en/us/td/docs/security/asa/compatibility/asamatrx.html

    ciscoasa# show version
    Cisco Adaptive Security Appliance Software Version 9.2(3)4
    <snip>
    Hardware:   ASA5585-SSP-10, 6144 MB RAM, CPU Xeon 5500 series 2000 MHz, 1 CPU (4 cores)

     

    ASA compatibility より ASA5585-SSP10 は 9.2(2.4) 以上である必要があり、show version より 9.2(3)4 なので問題なしと判断。

     

    2-2. もし、ASA5585 の slot 1 に SSP-CX (Context Aware) や AIP-SSM (Advanced Inspection and Prevention Security) が install されている場合、以下のコマンドで shutdown してからモジュールを抜いてください。

    ciscoasa# hw-module module 1 shutdown

     

    2-3. ASA FirePOWER SFR module initial bootstrap イメージ(.img) を Cisco.com よりダウンロードし、ASA with Firepower からアクセス可能な TFTP サーバにおきます(ex. asasfr-boot-5.3.1-152.img)

     

    2-4. ASA FirePOWER system software イメージ(.pkg) を Cisco.com よりダウンロードし、ASA with FirePOWER からアクセス可能な HTTP, HTTPS, or FTP サーバにおきます(ex. asasfr-sys-5.3.1-152.pkg)

     

    2-5. SFR module を再起動します。再起動の方法は以下の 2 通りございます。

     

    2-5-1. ASA から再起動する場合

    ciscoasa# hw-module module 1 reload
    Reload module 1? [confirm]
    Reload issued for module 1

     

    2-5-2. SFR module から再起動する場合

    Sourcefire3D login: admin
    Password:
    
    Sourcefire Linux OS v5.3.1 (build 43)
    Sourcefire ASA5585-SSP-10 v5.3.1 (build 152)
    > system reboot
    

     

    2-6. 起動途中で BREAK or ESC コマンドで ROMMON mode に移行します。

    The system is restarting...
    CISCO SYSTEMS
    Embedded BIOS Version 2.0(14)1 15:16:31 01/25/14
    
    <snip>
    
    Cisco Systems ROMMON Version (2.0(14)1) #0: Sat Jan 25 16:44:38 CST 2014
    
    Platform ASA 5585-X FirePOWER SSP-10, 8GE
    
    Use BREAK or ESC to interrupt boot.
    Use SPACE to begin boot immediately.
    Boot in 8 seconds.
    
    Boot interrupted.                               
    
    Management0/0
    Link is UP
    MAC Address: xxxx.xxxx.xxxx
    
    Use ? for help.
    rommon #0>

     

    2-7. "2-3" の TFTP サーバにアクセスできるように SFR module の management interface の設定をします。以下が設定例です。

    rommon #1> ADDRESS=198.51.100.3
    rommon #2> GATEWAY=198.51.100.1
    rommon #3> SERVER=198.51.100.100
    rommon #4> IMAGE=/tftpboot/asasfr-boot-5.3.1-152.img
    rommon #5> sync
    
    Updating NVRAM Parameters...
    
    rommon #6> tftp
    ROMMON Variable Settings:
      ADDRESS=198.51.100.3
      SERVER=198.51.100.100
      GATEWAY=198.51.100.1
      PORT=Management0/0
      VLAN=untagged
      IMAGE=/tftpboot/asasfr-boot-5.3.1-152.img
      CONFIG=
      LINKTIMEOUT=20
      PKTTIMEOUT=4
      RETRY=20
    
    tftp /tftpboot/asasfr-boot-5.3.1-152.img@198.51.100.100 via 198.51.100.1
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    <snip>
    Received 41235627 bytes
    
    Launching TFTP Image...
    
    Execute image at 0x14000

     

    2-8. initial boot image に admin/Admin123 でログインします。

    Cisco ASA SFR Boot Image 5.3.1
    
    asasfr login: adminPassword:
    
                Cisco ASA SFR Boot 5.3.1 (152)
                      Type ? for list of commands
     

    2-9. setup コマンドで wizard に従い、"2-4" の HTTP, HTTPS, or FTP サーバにアクセスできるよう SFR module management interface の設定をします。以下が設定例です。

    asasfr-boot>setup
    
                             Welcome to SFR Setup
                              [hit Ctrl-C to abort]
                            Default values are inside []
    
    Enter a hostname [asasfr]: sfr-module-5585
    Do you want to configure IPv4 address on management interface?(y/n) [Y]: Y
    Do you want to enable DHCP for IPv4 address on management interface?(y/n) [N]: N
    Enter an IPv4 address [192.168.8.8]: 198.51.100.3
    Enter the netmask [255.255.255.0]: 255.255.255.0
    Enter the gateway [192.168.8.1]: 198.51.100.1
    Do you want to configure static IPv6 address on management interface?(y/n) [N]: N
    Stateless autoconfiguration will be enabled for IPv6 addresses.
    Enter the primary DNS server IP address: 198.51.100.15
    Do you want to configure Secondary DNS Server? (y/n) [n]: N
    Do you want to configure Local Domain Name? (y/n) [n]: N
    Do you want to configure Search domains? (y/n) [n]: N
    Do you want to enable the NTP service? [Y]: N
    
    Please review the final configuration:
    Hostname:               sfr-module-5585
    Management Interface Configuration
    
    IPv4 Configuration:     static
            IP Address:     198.51.100.3
            Netmask:        255.255.255.0
            Gateway:        198.51.100.1
    
    IPv6 Configuration:     Stateless autoconfiguration
    
    DNS Configuration:
            DNS Server:     198.51.100.15
    
    Apply the changes?(y,n) [Y]: Y
    Configuration saved successfully!
    Applying...
    Restarting network services...
    Restarting NTP service...
    Done.

     

    2-10. system install コマンドで System Software image(.pkg) を install します。以下が設定例です。途中で再起動のために Enter を実行する必要があるので注意してください。

    > system install http://Server_IP_Address/asasfr-sys-5.3.1-152.pkg
    
    Verifying     
    Downloading     
    Extracting     
    
    Package Detail
    Description:                    Cisco ASA-SFR 5.3.1-152 System Install
    Requires reboot:                Yes
    
    Do you want to continue with upgrade? [y]: Y
    Warning: Please do not interrupt the process or turn off the system.
    Doing so might leave system in unusable state.
    
    Upgrading     
    Starting upgrade process ...
    Populating new system image ...

     

    2-11. インストールが完了したら admin/Sourcefire でログインし初期セットアップを行います。以下が設定例です。SW module と異なり、ASA より session sfr コマンドではログインできませんので注意してください。

    Sourcefire3D login: admin
    Password: 
    
    Last login: Fri Jan 30 14:00:51 UTC 2015 on ttyS0
    
    Copyright 2001-2013, Sourcefire, Inc. All rights reserved. Sourcefire is a registered trademark of Sourcefire, Inc. All other trademarks are property of their respective owners.
    
    Sourcefire Linux OS v5.3.1 (build 43)
    Sourcefire ASA5585-SSP-10 v5.3.1 (build 152)
    
    Last login: Wed Feb 18 14:22:19 on ttyS0
    
    System initialization in progress.  Please stand by.  
    You must configure the network to continue.
    You must configure at least one of IPv4 or IPv6.
    Do you want to configure IPv4? (y/n) [y]: y
    Do you want to configure IPv6? (y/n) [n]: n
    Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]: dhcp
    If your networking information has changed, you will need to reconnect.
    [1640209.830367] ADDRCONF(NETDEV_UP): eth0: link is not ready
    [1640212.873978] e1000e: eth0 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: None
    [1640212.966250] ADDRCONF(NETDEV_CHANGE): eth0: link becomes ready
    For HTTP Proxy configuration, run 'configure network http-proxy'
    
    This sensor must be managed by a Defense Center.  A unique alphanumeric registration key is always required.  In most cases, to register a sensor to a Defense Center, you must provide the hostname or the IP address along with the registration key.
    'configure manager add [hostname | ip address ] [registration key ]'
    
    However, if the sensor and the Defense Center are separated by a NAT device, you must enter a unique NAT ID, along with the unique registration key. 'configure manager add DONTRESOLVE [registration key ] [ NAT ID ]'
    
    Later, using the web interface on the Defense Center, you must use the same registration key and, if necessary, the same NAT ID when you add this sensor to the Defense Center.

     

    2-12. その後、FireSIGHT に FirePOWER を登録して初期セットアップが完了します。以下の CSC 記事を参考にしてください。

     

    FireSight-FirePower 登録手順

    https://supportforums.cisco.com/ja/document/12404936

     

    バージョン履歴
    改訂番号
    2/2
    最終更新:
    ‎08-31-2017 01:05 PM
    更新者:
     
    寄稿者: