초판 : 2016 년 5 월 10 일 최종변경 : 2018 년 4 월 17 일 콘솔포트액세스필요 지원되는모델 이미지재설치를수행하려면컴퓨터를콘솔포트에연결해야합니다. Firepower 2100, ASA 5512-X, 5515-X, 5525-X, 5545-X 및 5555-X 의경우연결을설정하려면서드파티직렬대 USB 케이블을사용해야할수도있습니다. 기타모델은소형 USB 유형 B 콘솔포트를포함하므로모든소형 USB 케이블을사용할수있습니다. Windows 의경우, software.cisco.com 에서 USB 직렬드라이버를설치해야할수도있습니다. 콘솔포트옵션과드라이버요건에대한자세한내용은하드웨어가이드 (http://www.cisco.com/go/asa5500x-install) 를참조하십시오. 9600 보드, 8 데이터비트, 패리티없음, 1 정지비트, 흐름제어없음에터미널에뮬레이터설정을사용합니다. 다음모델은 ASA 소프트웨어또는 Firepower Threat Defense 소프트웨어를지원합니다. ASA 및 Firepower Threat Defense 버전지원에대한자세한내용은 ASA 호환성가이드또는 Firepower 호환성가이드를참조하십시오. ASA 5506-X ASA 5506W-X ASA 5506H-X ASA 5508-X ASA 5512-X ASA 5515-X ASA 5516-X ASA 5525-X ASA 5545-X 1
ASA 5500-X 또는 ISA 3000 이미지재설치 ASA 5555-X ISA 3000 Firepower 2100 참고 Firepower 4100 및 9300 도 ASA 또는 Firepower Threat Defense 를지원하지만, 논리적디바이스로설치됩니다. 자세한내용은 FXOS 컨피그레이션가이드를참조하십시오. 참고 ASA 5512-X~ASA 5555-X 에설치된 Firepower Threat Defense 의경우 Cisco SSD(Solid State Drive) 를설치해야합니다. 자세한내용은 ASA 5500-X 하드웨어가이드를참조하십시오. ASA 에서는 ASA FirePOWER 모듈을사용하려는경우에도 SSD 가필요합니다. (ASA 5506-X, 5508-X, 5516-X 에서는 SSD 가표준입니다.) ASA 5500-X 또는 ISA 3000 이미지재설치 대다수의 ASA 5500-X 또는 ISA 3000 Series 모델은 Firepower Threat Defense 또는 ASA 소프트웨어를지원합니다. 지원되는모델, 1 페이지 소프트웨어다운로드, 2 페이지 ROMMON 이미지업그레이드 (ASA 5506-X, 5508-X 및 5516-X), 7 페이지 ASA 를 Firepower Threat Defense 이미지로재설치, 8 페이지 Firepower Threat Defense 를 ASA 이미지로재설치, 12 페이지 소프트웨어다운로드 Firepower Threat Defense 소프트웨어또는 ASA, ASDM 및 ASA FirePOWER 모듈소프트웨어를가져옵니다. 이문서의절차상초기다운로드를위해 TFTP 서버에소프트웨어를둬야합니다. 다른이미지는기타서버유형 ( 예 : HTTP 또는 FTP) 에서다운로드할수있습니다. 정확한소프트웨어패키지및서버유형의경우, 절차를참조하십시오. 참고 Cisco.com 로그인및 Cisco 서비스계약이필요합니다. 2
소프트웨어다운로드 표 1: Firepower Threat Defense 소프트웨어 Firepower Threat Defense 모델 다운로드위치 패키지 ASA 5506-X, ASA 5508-X 및 ASA 5516-X 참조페이지 : http://www.cisco.com/go/asa-firepower-sw 참고 또한.sh 로끝나는패치파일을확인할수있습니다. 패치업그레이드프로세스에대해서는이문서에서다루지않습니다. 부트이미지 사용중인 model( 모델 ) > Firepower Threat Defense Software(Firepower Threat Defense 소프트웨어 ) > version( 버전 ) 을선택합니다. 시스템소프트웨어설치패키지 사용중인 model( 모델 ) > Firepower Threat Defense Software(Firepower Threat Defense 소프트웨어 ) > version( 버전 ) 을선택합니다. 부트이미지의파일이름은 ftd-boot-9.6.2.0.lfbff 와같은형식입니다. 시스템소프트웨어설치패키지의파일이름은 ftd-6.1.0-330.pkg 와같은형식입니다. ASA 5512-X ~ ASA 5555-X 참조페이지 : http://www.cisco.com/go/asa-firepower-sw 참고 또한.sh 로끝나는패치파일을확인할수있습니다. 패치업그레이드프로세스에대해서는이문서에서다루지않습니다. 부트이미지 사용중인 model( 모델 ) > Firepower Threat Defense Software(Firepower Threat Defense 소프트웨어 ) > version( 버전 ) 을선택합니다. 시스템소프트웨어설치패키지 사용중인 model( 모델 ) > Firepower Threat Defense Software(Firepower Threat Defense 소프트웨어 ) > version( 버전 ) 을선택합니다. 부트이미지의파일이름은 ftd-boot-9.6.2.0.cdisk 와같은형식입니다. 시스템소프트웨어설치패키지의파일이름은 ftd-6.1.0-330.pkg 와같은형식입니다. 3
소프트웨어다운로드 Firepower Threat Defense 모델 다운로드위치 패키지 ISA 3000 참조 : http://www.cisco.com/go/ isa3000-software 참고 또한.sh 로끝나는패치파일을확인할수있습니다. 패치업그레이드프로세스에대해서는이문서에서다루지않습니다. 사용중인 model( 모델 ) > Firepower Threat Defense Software(Firepower Threat Defense 소프트웨어 ) > version( 버전 ) 을선택합니다. 사용중인 model( 모델 ) > Firepower Threat Defense Software(Firepower Threat Defense 소프트웨어 ) > version( 버전 ) 을선택합니다. 부트이미지의파일이름은 ftd-boot-9.9.2.0.lfbff 와같은형식입니다. 시스템소프트웨어설치패키지의파일이름은 ftd-6.2.3-330.pkg 와같은형식입니다. 4
소프트웨어다운로드 표 2: ASA 소프트웨어 ASA 모델 다운로드위치 패키지 ASA 5506-X, ASA 5508-X 및 ASA 5516-X http://www.cisco.com/go/asa-firepower-sw ASA 소프트웨어 사용중인 model( 모델 ) > Adaptive Security Appliance (ASA) Software(ASA(Adaptive Security Appliance) 소프트웨어 ) > version( 버전 ) 을선택합니다. ASA 소프트웨어파일이름은 asa962-lfbff-k8.spa 와같은형식입니다. ASDM 소프트웨어 사용중인 model( 모델 ) > Adaptive Security Appliance (ASA) Device Manager(ASA(Adaptive Security Appliance) Device Manager) > version( 버전 ) 을선택합니다. REST API 소프트웨어 사용중인 model( 모델 ) > Adaptive Security Appliance REST API Plugin(Adaptive Security Appliance REST API 플러그인 ) > version( 버전 ) 을선택합니다. ROMMON 소프트웨어 사용중인 model( 모델 ) > ASA Rommon Software(ASA Rommon 소프트웨어 ) > version( 버전 ) 을선택합니다. ASDM 소프트웨어파일이름은 asdm-762.bin 과같은형식입니다. API 소프트웨어파일이름은 asa-restapi-132-lfbff-k8.spa 와같은형식입니다. REST API 를설치하려면 API 빠른시작가이드를참조하십시오. ROMMON 소프트웨어파일이름은 asa5500-firmware-1108.spa 와같은형식입니다. 5
소프트웨어다운로드 ASA 모델 ASA 5512-X ~ ASA 5555-X 다운로드위치 http://www.cisco.com/go/asa-software 패키지 ASA 소프트웨어 사용중인 model( 모델 ) > Software on Chassis( 섀시의소프트웨어 ) > Adaptive Security Appliance(ASA) Software(ASA(Adaptive Security Appliance) 소프트웨어 ) > version( 버전 ) 을선택합니다. ASDM 소프트웨어 사용중인 model( 모델 ) > Software on Chassis( 섀시의소프트웨어 ) > Adaptive Security Appliance(ASA) Device Manager(ASA(Adaptive Security Appliance) Device Manager) > version( 버전 ) 을선택합니다. REST API 소프트웨어 사용중인 model( 모델 ) > Software on Chassis( 섀시의소프트웨어 ) > Adaptive Security Appliance REST API Plugin(Adaptive Security Appliance REST API 플러그인 ) > version( 버전 ) 을선택합니다. Cisco APIC(Application Policy Infrastructure Controller) 용 ASA 디바이스패키지 사용중인 model( 모델 ) > Software on Chassis( 섀시의소프트웨어 ) > ASA for Application Centric Infrastructure (ACI) Device Packages(ACI(Application Centric Infrastructure) 용 ASA 디바이스패키지 ) > version( 버전 ) 을선택합니다. ASA 소프트웨어파일이름은 asa962-smp-k8.bin 과같은형식입니다. ASDM 소프트웨어파일이름은 asdm-762.bin 과같은형식입니다. API 소프트웨어파일이름은 asa-restapi-132-lfbff-k8.spa 와같은형식입니다. REST API 를설치하려면 API 빠른시작가이드를참조하십시오. APIC 1.2(7) 이상의경우 Policy Orchestration with Fabric Insertion 또는 Fabric Insertion 전용패키지를선택합니다. 디바이스패키지소프트웨어파일이름은 asa-device-pkg-1.2.7.10.zip 과같은형식입니다. ASA 디바이스패키지를설치하려면 Cisco APIC 레이어 4~ 레이어 7 서비스구축가이드의 " 디바이스패키지가져오기 " 장을참조하십시오. 6
ROMMON 이미지업그레이드 (ASA 5506-X, 5508-X 및 5516-X) ASA 모델 ISA 3000 다운로드위치 http://www.cisco.com/go/isa3000-software 패키지 ASA 소프트웨어 사용중인 model( 모델 ) > Adaptive Security Appliance (ASA) Software(ASA(Adaptive Security Appliance) 소프트웨어 ) > version( 버전 ) 을선택합니다. ASDM 소프트웨어 사용중인 model( 모델 ) > Adaptive Security Appliance (ASA) Device Manager(ASA(Adaptive Security Appliance) Device Manager) > version( 버전 ) 을선택합니다. REST API 소프트웨어 사용중인 model( 모델 ) > Adaptive Security Appliance REST API Plugin(Adaptive Security Appliance REST API 플러그인 ) > version( 버전 ) 을선택합니다. ASA 소프트웨어파일이름은 asa962-lfbff-k8.spa 와같은형식입니다. ASDM 소프트웨어파일이름은 asdm-762.bin 과같은형식입니다. API 소프트웨어파일이름은 asa-restapi-132-lfbff-k8.spa 와같은형식입니다. REST API 를설치하려면 API 빠른시작가이드를참조하십시오. ROMMON 이미지업그레이드 (ASA 5506-X, 5508-X 및 5516-X) ASA 5506-X Series, ASA 5508-X 및 ASA 5516 X 용 ROMMON 이미지를업그레이드하려면아래단계를수행합니다. 참고 Firepower Threat Defense 로이미지를재설치한후에는 ROMMON 이미지를업그레이드할수없습니다. 시작하기전에 새버전으로업그레이드만가능하며다운그레이드할수없습니다. 현재버전을보려면 show module 명령을입력하고 MAC 주소범위테이블의 Mod 1 에대한출력에서 Fw 버전을확인하십시오. ciscoasa# show module [...] Mod MAC Address Range Hw Version Fw Version Sw Version ---- --------------------------------- ------------ ------------ --------------- 1 7426.aceb.ccea to 7426.aceb.ccf2 0.3 1.1.5 9.4(1) sfr 7426.aceb.cce9 to 7426.aceb.cce9 N/A N/A 7
ASA 를 Firepower Threat Defense 이미지로재설치 프로시저 단계 1 Cisco.com 에서새 ROMMON 이미지를가져와 ASA 에복사할서버에둡니다. 이절차에서는 TFTP 복사에대해설명합니다. 다음위치에서이미지를다운로드합니다. https://software.cisco.com/download/type.html?mdfid=286283326&flowid=77251 단계 2 ASA 플래시메모리에 ROMMON 이미지를복사합니다. copy tftp://server_ip/asa5500-firmware-xxxx.spa disk0:asa5500-firmware-xxxx.spa 단계 3 ROMMON 이미지를업그레이드합니다. upgrade rommon disk0:asa5500-firmware-xxxx.spa ciscoasa# upgrade rommon disk0:asa5500-firmware-1108.spa Verifying file integrity of disk0:/asa5500-firmware-1108.spa Computed Hash Embedded Hash SHA2: d824bdeecee1308fc64427367fa559e9 eefe8f182491652ee4c05e6e751f7a4f 5cdea28540cf60acde3ab9b65ff55a9f 4e0cfb84b9e2317a856580576612f4af SHA2: d824bdeecee1308fc64427367fa559e9 eefe8f182491652ee4c05e6e751f7a4f 5cdea28540cf60acde3ab9b65ff55a9f 4e0cfb84b9e2317a856580576612f4af Digital signature successfully validated File Name : disk0:/asa5500-firmware-1108.spa Image type : Release Signer Information Common Name : abraxas Organization Unit : NCS_Kenton_ASA Organization Name : CiscoSystems Certificate Serial Number : 553156F4 Hash Algorithm : SHA2 512 Signature Algorithm : 2048-bit RSA Key Version : A Verification successful. Proceed with reload? [confirm] 단계 4 프롬프트가표시되면 ASA 다시로드를확인합니다. ASA 가 ROMMON 이미지를업그레이드한다음 ASA OS 를다시로드합니다. ASA 를 Firepower Threat Defense 이미지로재설치 ASA 를 Firepower Threat Defense 소프트웨어이미지로재설치하려면 ROMMON 프롬프트에액세스해야합니다. ROMMON 에서 Firepower Threat Defense 부트이미지를다운로드하려면관리인터페이 8
ASA 를 Firepower Threat Defense 이미지로재설치 스에서 TFTP 를사용해야하며 TFTP 만지원됩니다. 그런다음부트이미지에서 HTTP 또는 FTP 를사용하여 Firepower Threat Defense 시스템소프트웨어설치패키지를다운로드할수있습니다. TFTP 다운로드에시간이오래걸릴수있습니다. 패킷손실을방지하기위해 ASA 와 TFTP 서버간에연결이안정적인지확인합니다. 시작하기전에 ASA 를이미지로재설치하는프로세스를쉽게수행하려면다음과같이하십시오. 1. backup 명령을사용하여전체시스템백업을수행합니다. 자세한내용과기타백업기술은컨피그레이션가이드를참조하십시오. 2. show activation-key 명령을사용하여라이선스를재설치할수있도록현재액티베이션키를복사하고저장합니다. 프로시저 단계 1 관리인터페이스에있는 ASA 에서액세스가능한 TFTP 서버에 Firepower Threat Defense 부트이미지 ( 소프트웨어다운로드, 2 페이지참조 ) 를다운로드합니다. ASA 5506-X, 5508-X, 5516-X, ISA 3000 의경우관리 1/1 포트를사용하여이미지를다운로드해야합니다. 다른모델의경우, 모든인터페이스를사용할수있습니다. 단계 2 관리인터페이스에있는 ASA 에서액세스가능한 HTTP 또는 FTP 서버에 Firepower Threat Defense 시스템소프트웨어설치패키지 ( 소프트웨어다운로드, 2 페이지참조 ) 를다운로드합니다. 단계 3 콘솔포트에서 ASA 를다시로드합니다. reload ciscoasa# reload 단계 4 부팅중에 ROMMON 프롬프트와연결하라는메시지가나타나면 Esc 키를누릅니다. 모니터를자세히살펴봅니다. [...] Booting from ROMMON Cisco Systems ROMMON Version (2.1(9)8) #1: Wed Oct 26 17:14:40 PDT 2011 Platform ASA 5555-X with SW, 8 GE Data, 1 GE Mgmt Use BREAK or ESC to interrupt boot. Use SPACE to begin boot immediately. Boot in 7 seconds. 이시점에서 Esc 키를누릅니다. 9
ASA 를 Firepower Threat Defense 이미지로재설치 다음메시지가나타나고너무오래기다린경우부팅을완료한후 ASA 를다시로드해야합니다. Launching BootLoader... Boot configuration file contains 2 entries. [...] 단계 5 네트워크설정을설정하고다음 ROMMON 명령을사용하여부트이미지를로드합니다. a) interface- (ASA 5512-X, 5515-X, 5525-X, 5545-X 및 5555-X 전용 ) 관리인터페이스 ID. 기타모델은항상관리 1/1 인터페이스를사용합니다. b) address- 관리인터페이스 IP 주소 c) server- TFTP 서버 IP 주소 d) gateway- 서버가같은네트워크에있으면이 IP 주소를 TFTP 서버 IP 주소와동일하게설정합니다. e) file- TFTP 파일경로및이름 f) set- ( 선택사항 ) 네트워크설정을확인합니다. 또한서버에대한연결성을확인하기위해 ping 명령을사용할수있습니다. g) sync- ( 선택사항 ) 네트워크설정을저장합니다. h) tftpdnld- 부트이미지를로드합니다. ASA 5555-X 의예 : rommon #0> interface gigabitethernet0/0 rommon #1> address 10.86.118.4 rommon #2> server 10.86.118.21 rommon #3> gateway 10.86.118.21 rommon #4> file ftd-boot-latest.cdisk rommon #5> set ROMMON Variable Settings: ADDRESS=10.86.118.3 SERVER=10.86.118.21 GATEWAY=10.86.118.21 PORT=GigabitEthernet0/0 VLAN=untagged IMAGE=ftd-boot-latest.cdisk CONFIG= LINKTIMEOUT=20 PKTTIMEOUT=4 RETRY=20 rommon #6> sync Updating NVRAM Parameters... rommon #7> tftpdnld ASA 5506-X 의예 : rommon #0> address 10.86.118.4 rommon #1> server 10.86.118.21 rommon #2> gateway 10.86.118.21 rommon #3> file ftd-boot-latest.lfbff 10
ASA 를 Firepower Threat Defense 이미지로재설치 rommon #4> set ROMMON Variable Settings: ADDRESS=10.86.118.3 SERVER=10.86.118.21 GATEWAY=10.86.118.21 VLAN=untagged IMAGE=ftd-boot-latest.lfbff CONFIG= LINKTIMEOUT=20 PKTTIMEOUT=4 RETRY=20 rommon #5> sync Updating NVRAM Parameters... rommon #6> tftpdnld Firepower Threat Defense 부트이미지가다운로드되고부트 CLI 로부팅됩니다. 단계 6 setup 을입력하고관리인터페이스에서시스템소프트웨어패키지를다운로드및설치하기위한 HTTP 또는 FTP 서버와의임시연결을설정하도록네트워크설정을구성합니다. 예를들면다음과같습니다. 호스트이름 : ftd1 IPv4 주소 : 10.86.118.4 넷마스크 : 255.255.252.0 게이트웨이 : 10.86.116.1 DNS 서버 : 10.86.116.5 Ntp 서버 : ntp.example.com 단계 7 Firepower Threat Defense 시스템소프트웨어설치패키지를다운로드합니다. 다음단계는 HTTP 설치를보여줍니다. system install [noconfirm] url > system install noconfirm http://10.86.118.21/ftd-6.0.1-949.pkg 확인메시지에응답하지않으려면 noconfirm 옵션을포함합니다. 단계 8 설치가완료되고디바이스재부팅옵션이표시되면 Yes( 예 ) 를선택합니다. 재부팅에는 30 분이상소요되며훨씬더오래걸릴수도있습니다. 재부팅시사용자는 Firepower Threat Defense CLI 에있게됩니다. 11
Firepower Threat Defense 를 ASA 이미지로재설치 단계 9 Firepower Device Manager 또는 Firepower Management Center 를사용하여디바이스를관리할수있습니다. 사용중인모델과 Manager 용빠른시작가이드 (http://www.cisco.com/go/ftd-asa-quick) 를참조하여설치를계속합니다. Firepower Threat Defense 를 ASA 이미지로재설치 Firepower Threat Defense 를 ASA 소프트웨어이미지로재설치하려면 ROMMON 프롬프트에액세스해야합니다. ROMMON 에서디스크를지운다음 ASA 이미지를다운로드하기위해관리인터페이스에서 TFTP 를사용합니다. 이때 TFTP 만지원됩니다. ASA 를다시로드한후, 기본설정을구성한다음 FirePOWER 모듈소프트웨어를로드할수있습니다. 시작하기전에 패킷손실을방지하기위해 ASA 와 TFTP 서버간에연결이안정적인지확인합니다. 프로시저 단계 1 단계 2 단계 3 Firepower Management Center 에서 Firepower Threat Defense 디바이스를관리하는경우에는 Management Center 에서디바이스를삭제합니다. Firepower Device Manager 를사용하여 Firepower Threat Defense 를관리하는경우, Smart Software Licensing 서버 (Firepower Device Manager 또는 Smart Software Licensing 서버 ) 에서디바이스등록을취소해야합니다. 관리인터페이스에있는 Firepower Threat Defense 디바이스에서액세스가능한 TFTP 서버에 ASA 이미지 ( 소프트웨어다운로드, 2 페이지참조 ) 를다운로드합니다. ASA 5506-X, 5508-X, 5516-X, ISA 3000 의경우관리 1/1 포트를사용하여이미지를다운로드해야합니다. 다른모델의경우, 모든인터페이스를사용할수있습니다. 단계 4 콘솔포트에서 Firepower Threat Defense 디바이스를재부팅합니다. > reboot This command will reboot the system. Please enter 'YES' or 'NO': yes Continue? 재부팅하려면 yes를입력합니다. 단계 5 부팅중에 ROMMON 프롬프트와연결하라는메시지가나타나면 Esc 키를누릅니다. 모니터를자세히살펴봅니다. [...] Booting from ROMMON Cisco Systems ROMMON Version (2.1(9)8) #1: Wed Oct 26 17:14:40 PDT 2011 12
Firepower Threat Defense 를 ASA 이미지로재설치 Platform ASA 5555-X with SW, 8 GE Data, 1 GE Mgmt Use BREAK or ESC to interrupt boot. Use SPACE to begin boot immediately. Boot in 7 seconds. 이시점에서 Esc 키를누릅니다. 다음메시지가나타나는경우너무오래기다렸다는뜻이며, 부팅을완료한다음에 Firepower Threat Defense 디바이스를다시재부팅해야합니다. Launching BootLoader... Boot configuration file contains 2 entries. [...] 단계 6 Firepower Threat Defense 디바이스에서모든디스크를지웁니다. 내부플래시를 disk0 이라고합니다. 외부 USB 드라이브가있는경우, disk1 입니다. Example: rommon #0> erase disk0: About to erase the selected device, this will erase all files including configuration, and images. Continue with erase? y/n [n]: y Erasing Disk0:... [...] 이단계에서는 ASA 가여러가지오류를유발하는잘못된컨피그레이션파일을로드하려고시도하지않도록 Firepower Threat Defense 파일을지웁니다. 단계 7 네트워크설정을지정하고다음 ROMMON 명령을사용하여 ASA 이미지를로드합니다. interface interface_id address management_ip_address server tftp_ip_address gateway gateway_ip_address filepath/filename set sync tftpdnld ASA 이미지가다운로드되고 CLI 에부팅됩니다. 다음정보를참조하십시오. 13
Firepower Threat Defense 를 ASA 이미지로재설치 interface- (ASA 5512-X, 5515-X, 5525-X, 5545-X 및 5555-X 전용 ) 관리인터페이스 ID 를지정합니다. 기타모델은항상관리 1/1 인터페이스를사용합니다. gateway- 게이트웨이주소가서버 IP 주소와같은네트워크에있으면두주소를동일하게설정합니다. set- 네트워크설정을표시합니다. 또한서버에대한연결성을확인하기위해 ping 명령을사용할수있습니다. sync- 네트워크설정을저장합니다. tftpdnld- 부트이미지를로드합니다. ASA 5555-X 의예 : rommon #2> interface gigabitethernet0/0 rommon #3> address 10.86.118.4 rommon #4> server 10.86.118.21 rommon #5> gateway 10.86.118.21 rommon #6> file asalatest-smp-k8.bin rommon #7> set ROMMON Variable Settings: ADDRESS=10.86.118.3 SERVER=10.86.118.21 GATEWAY=10.86.118.21 PORT=GigabitEthernet0/0 VLAN=untagged IMAGE=asalatest-smp-k8.bin CONFIG= LINKTIMEOUT=20 PKTTIMEOUT=4 RETRY=20 rommon #8> sync Updating NVRAM Parameters... rommon #9> tftpdnld ASA 5506-X 의예 : rommon #2> address 10.86.118.4 rommon #3> server 10.86.118.21 rommon #4> gateway 10.86.118.21 rommon #5> file asalatest-lfbff-k8.spa rommon #6> set ROMMON Variable Settings: ADDRESS=10.86.118.3 SERVER=10.86.118.21 GATEWAY=10.86.118.21 VLAN=untagged IMAGE=asalatest-lfbff-k8.SPA CONFIG= LINKTIMEOUT=20 PKTTIMEOUT=4 RETRY=20 14
Firepower Threat Defense 를 ASA 이미지로재설치 rommon #7> sync Updating NVRAM Parameters... rommon #8> tftpdnld 단계 8 네트워크설정을구성하고디스크를준비합니다. ASA 가처음으로부팅될때는컨피그레이션이없습니다. ASDM 액세스를위해관리인터페이스를구성하려면인터랙티브프롬프트를따르거나저장된컨피그레이션을붙여넣을수있습니다. 또는저장된컨피그레이션이없는경우, 권장되는컨피그레이션 ( 아래 ) 을붙여넣을수있습니다. 저장된컨피그레이션이없는경우, ASA FirePOWER 모듈을사용할계획이라면권장되는컨피그레이션을붙여넣는것이좋습니다. ASA FirePOWER 모듈은관리인터페이스에서관리되며업데이트를위해인터넷에연결해야합니다. 간단한권장되는네트워크구축은관리에연결해주는내부스위치 (FirePOWER 관리전용 ), 내부인터페이스 (ASA 관리및내부트래픽용 ) 및동일한내부네트워크에대한관리 PC 를포함합니다. 네트워크구축에대한자세한내용은빠른시작가이드를참조하십시오. http://www.cisco.com/go/asa5506x-quick http://www.cisco.com/go/asa5508x-quick http://www.cisco.com/go/asa5500x-quick a) ASA 콘솔프롬프트에서관리인터페이스에대한몇가지컨피그레이션을입력할지묻는프롬프트가표시됩니다. Pre-configure Firewall now through interactive prompts [yes]? 컨피그레이션을붙여넣거나동일한네트워크구축을위해권장되는컨피그레이션을생성하려면 no 를입력하고절차를계속진행합니다. 관리인터페이스를구성하려는경우, ASDM 에연결할수있으며 yes 를입력하고프롬프트에따라작업을수행합니다. b) 콘솔프롬프트에서권한있는 EXEC 모드에액세스합니다. enable 다음프롬프트가나타납니다. Password: c) Enter 를누릅니다. 기본적으로비밀번호는비어있습니다. d) 전역컨피그레이션모드에액세스합니다. configure terminal e) 인터랙티브프롬프트를사용하지않은경우, 프롬프트에서컨피그레이션을복사하여붙여넣습니다. 15
Firepower Threat Defense 를 ASA 이미지로재설치 저장된컨피그레이션이없으나빠른시작가이드에설명된대로간단한컨피그레이션을사용하려는경우, 프롬프트에서다음컨피그레이션을복사하여 IP 주소및인터페이스 ID 를알맞게변경하십시오. 프롬프트를사용했지만이컨피그레이션을대신사용하려는경우, clear configure all 명령을사용하여컨피그레이션을먼저지웁니다. interface gigabitethernetn/n nameif outside ip address dhcp setroute no shutdown interface gigabitethernetn/n nameif inside ip address ip_address netmask security-level 100 no shutdown interface managementn/n no shutdown object network obj_any subnet 0 0 nat (any,outside) dynamic interface http server enable http inside_network netmask inside dhcpd address inside_ip_address_start-inside_ip_address_end inside dhcpd auto_config outside dhcpd enable inside logging asdm informational ASA 5506W-X 의경우, wifi 인터페이스에대해다음을추가합니다. same-security-traffic permit inter-interface interface GigabitEthernet 1/9 security-level 100 nameif wifi ip address ip_address netmask no shutdown http wifi_network netmask wifi dhcpd address wifi_ip_address_start-wifi_ip_address_end wifi dhcpd enable wifi f) 디스크를다시포맷합니다. format disk0: format disk1: 내부플래시를 disk0 이라고합니다. 외부 USB 드라이브가있는경우, disk1 입니다. 디스크를다시포맷하지않는경우, ASA 이미지를복사하려고시도할때다음오류가표시됩니다. %Error copying ftp://10.86.89.125/asa971-smp-k8.bin (Not enough space on device) g) 새컨피그레이션을저장합니다. write memory 단계 9 ASA 및 ASDM 이미지를설치합니다. 16
Firepower Threat Defense 를 ASA 이미지로재설치 ROMMON 모드에서 ASA 를부팅해도다시로드를통해시스템이미지가보존되지않습니다. 플래시메모리에이미지를계속해서다운로드해야합니다. 또한플래시메모리에 ASDM 을다운로드해야합니다. a) ASA 및 ASDM 이미지 ( 소프트웨어다운로드, 2 페이지참조 ) 를 ASA 에서액세스가능한서버에다운로드합니다. ASA 는여러서버유형을지원합니다. 자세한내용은 copy 명령 (http://www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/a-h/cmdref1/c4.html#pgfid-2171368) 을참조하십시오. b) ASA 플래시메모리에 ASA 이미지를복사합니다. 다음단계는 FTP 복사를보여줍니다. copy ftp://user:password@server_ip/asa_filedisk0:asa_file ciscoasa# copy ftp://admin:test@10.86.118.21/asa961-smp-k8.bin disk0:asa961-smp-k8.bin c) ASA 플래시메모리에 ASDM 이미지를복사합니다. 다음단계는 FTP 복사를보여줍니다. copy ftp://user:password@server_ip/asdm_filedisk0:asdm_file ciscoasa# copy ftp://admin:test@10.86.118.21/asdm-761.bin disk0:asdm-761.bin d) ASA 를다시로드합니다. reload disk0 의이미지를사용하여 ASA 를다시로드합니다. 단계 10 ( 선택사항 ) ASA FirePOWER 모듈소프트웨어를설치합니다. 이절차에따라 ASA FirePOWER 부트이미지를설치하고 SSD 를분할하며시스템소프트웨어를설치해야합니다. a) 부트이미지를 ASA 에복사합니다. 시스템소프트웨어를전송하지마십시오. 나중에 SSD 로다운로드됩니다. 다음단계는 FTP 복사를보여줍니다. copy ftp://user:password@server_ip/firepower_boot_filedisk0:firepower_boot_file ciscoasa# copy ftp://admin:test@10.86.118.21/asasfr-5500x-boot-6.0.1.img disk0:/asasfr-5500x-boot-6.0.1.img b) Cisco.com 의 ASA FirePOWER Services 시스템소프트웨어설치패키지를관리인터페이스에서액세스할수있는 HTTP, HTTPS 또는 FTP 서버에다운로드합니다. ASA 의 disk0 에다운로드하지마십시오. c) ASA disk0 에서 ASA FirePOWER 모듈부트이미지위치를설정합니다. sw-module module sfr recover configure image disk0:file_path 17
Firepower Threat Defense 를 ASA 이미지로재설치 ciscoasa# sw-module module sfr recover configure image disk0:asasfr-5500x-boot-6.0.1.img d) ASA FirePOWER 부트이미지를로드합니다. sw-module module sfr recover boot ciscoasa# sw-module module sfr recover boot Module sfr will be recovered. This may erase all configuration and all data on that device and attempt to download/install a new image for it. This may take several minutes. Recover module sfr? [confirm] y Recover issued for module sfr. e) ASA FirePOWER 모듈이부팅할때까지몇분정도기다린후현재실행중인 ASA FirePOWER 부트이미지에대한콘솔세션을엽니다. 로그인프롬프트로이동하려면세션을연후 Enter 키를눌러야할수있습니다. 기본사용자이름은 admin 이고기본비밀번호는 Admin123 입니다. ciscoasa# session sfr console Opening console session with module sfr. Connected to module sfr. Escape character sequence is 'CTRL-^X'. asasfr login: admin Password: Admin123 모듈부트가완료되지않을경우 session 명령이실패하고 ttys1 을통해연결할수없다는메시지가표시됩니다. 기다렸다가다시시도하십시오. a) 시스템소프트웨어설치패키지를설치할수있도록시스템을구성합니다. setup 다음에대한프롬프트가표시됩니다. 관리주소, 게이트웨이및 DNS 정보는컨피그레이션을위한핵심설정입니다. 호스트이름 - 공백없이영숫자최대 65 자를사용합니다. 하이픈은허용됩니다. 네트워크주소 - 고정 IPv4 또는 IPv6 주소를사용하거나, DHCP(IPv4 용 ) 또는 IPv6 상태비저장자동컨피그레이션을설정할수있습니다. DNS 정보 - 하나이상의 DNS 서버를지정해야합니다. 도메인이름및검색도메인도설정할수있습니다. NTP 정보 - NTP 를활성화하고, 시스템시간설정을위해 NTP 서버를구성할수있습니다. asasfr-boot> setup 18
Firepower Threat Defense 를 ASA 이미지로재설치 Welcome to Cisco FirePOWER Services Setup [hit Ctrl-C to abort] Default values are inside [] a) 다음을입력하여시스템소프트웨어설치패키지를설치합니다. system install [noconfirm] url 확인메시지에응답하지않으려면 noconfirm 옵션을포함합니다. HTTP, HTTPS 또는 FTP URL 을사용합니다. 사용자이름과비밀번호가필요한경우입력하라는메시지가표시됩니다. 파일이큰경우네트워크상태에따라다운로드하는데시간이오래걸릴수있습니다. 설치가완료되면시스템이다시부팅됩니다. 애플리케이션구성요소설치및 ASA FirePOWER Services 시작에필요한시간은매우다릅니다. 최첨단플랫폼은 10 분이상의시간이걸리지만사양이낮은플랫폼은 60~80 분이상이소요될수있습니다. show module sfr 출력에모든프로세스가 Up 으로표시되어야합니다. asasfr-boot> system install http://admin:pa$$wd@upgrades.example.com/packages/asasfr-sys-6.0.1-58.pkg Verifying Downloading Extracting Package Detail Description: Cisco ASA-FirePOWER 6.0.1-58 System Install Requires reboot: Yes Do you want to continue with upgrade? [y]: y Warning: Please do not interrupt the process or turn off the system. Doing so might leave system in unusable state. Upgrading Starting upgrade process... Populating new system image Reboot is required to complete the upgrade. Press 'Enter' to reboot the system. [type Enter] Broadcast message from root (ttys1) (Mon Feb 17 19:28:38 2016): The system is going down for reboot NOW! Console session with module sfr terminated. a) 패치릴리스를설치해야하는경우, 관리자 (ASDM 또는 Firepower Management Center) 에서나중에수행할수있습니다. 단계 11 액티베이션키를저장하지않은기존 ASA 로 Strong Encryption 라이선스및기타라이선스를받습니다. 자세한내용은 http://www.cisco.com/go/license 를참조하십시오. Manage( 관리 ) > Licenses( 라이선스 ) 섹션에서라이선스를다시다운로드할수있습니다. ASDM( 및기타다른기능 ) 을사용하려면강력한암호화 (3DES/AES) 라이선스를설치해야합니다. 이전에 Firepower Threat Defense 디바이스를이미지로재설치하기전에이 ASA 의라이선스액티베이션키를저장한경우, 액티베이션키를재설치할수있습니다. 액티베이션키를저장하지않았지만이 ASA 에대해라이선스를소유한경우, 이라이선스를다시다운로드할수있습니다. 새로운 ASA 의경우, 새로운 ASA 라이선스를요청해야합니다. 19
Firepower Threat Defense 를 ASA 이미지로재설치 단계 12 새 ASA 용라이선스를받습니다. a) 다음명령을입력하여 ASA 의시리얼번호를가져옵니다. show version grep Serial 이시리얼번호는하드웨어외부에인쇄된섀시시리얼번호와는다릅니다. 섀시시리얼번호는기술지원에사용되지만라이선싱에대해서는사용되지않습니다. b) http://www.cisco.com/go/license 를확인한후 Get Other Licenses( 다른라이선스가져오기 ) 를클릭합니다. 그림 1: 다른라이선스가져오기 c) IPS, Crypto, Other(IPS, 암호화, 기타 ) 를선택합니다. 그림 2: IPS, 암호화, 기타 d) Search by Keyword( 키워드별검색 ) 필드에서 asa 를입력하고 Cisco ASA 3DES/AES License(Cisco ASA 3DES/AES 라이선스 ) 를선택합니다. 20
Firepower Threat Defense 를 ASA 이미지로재설치 그림 3: Cisco ASA 3DES/AES 라이선스 e) Smart Account( 스마트어카운트 ), Virtual Account( 가상어카운트 ) 를선택하고 ASA Serial Number( 시리얼번호 ) 를입력한후에 Next( 다음 ) 를클릭합니다. 그림 4: 스마트어카운트, 가상어카운트, 및시리얼번호 f) 이메일전송주소및최종사용자이름이자동으로채워집니다. 필요시추가이메일주소를입력합니다. I Agree( 동의합니다.) 확인란을선택하고 Submit( 제출 ) 을클릭합니다. 그림 5: 제출 21
Firepower Threat Defense 를 ASA 이미지로재설치 g) 그러면액티베이션키가포함된이메일이수신됩니다. 하지만 Manage( 관리 ) > Licenses( 라이선스 ) 영역에서키를즉시다운로드할수도있습니다. h) 기본라이선스에서 Security Plus 라이선스로업그레이드하거나 AnyConnect 라이선스를구매하려는경우 http://www.cisco.com/go/ccw 를참조하십시오. 라이선스를구매하면 http://www.cisco.com/go/license 에서입력할수있는 PAK( 제품인증키 ) 가포함된이메일을받게됩니다. AnyConnect 라이선스의경우, 사용자세션의동일한풀을사용하는여러 ASA 에적용할수있는다용도의 PAK 를받습니다. 결과액티베이션키는영구라이선스 (3DES/AES 포함 ) 에현재까지등록한모든기능을포함합니다. 기간별라이센스의경우, 각라이센스에는별도의액티베이션키가있습니다. 단계 13 액티베이션키를적용합니다. activation-key key ciscoasa(config)# activation-key 7c1aff4f e4d7db95 d5e191a4 d5b43c08 0d29c996 Validating activation key. This may take a few minutes... Failed to retrieve permanent activation key. Both Running and Flash permanent activation key was updated with the requested key. 이 ASA 에서아직액티베이션키를설치하지않았으므로 Failed to retrieve permanent activation key.( 영구액티베이션키를검색하는데실패했습니다.) 메시지가표시됩니다. 이메시지는무시하셔도됩니다. 하나의영구키만설치하고, 여러개의기간별키를설치할수있습니다. 새영구키를입력하면이전에설치한키를덮어씁니다. 3DES/AES 라이선스를설치한후에추가라이선스를주문한경우, 통합된액티베이션키는 3DES/AES 라이선스외에모든라이선스를포함하므로 3DES/AES 전용키를덮어쓸수있습니다. 단계 14 ASA FirePOWER 모듈은 ASA 에서제공되는별도의라이선싱메커니즘을사용합니다. 라이선스를미리설치하지않았지만주문에따라이상자는다음라이선스에대한라이선스액티베이션키를다운로드할수있도록인쇄물에 PAK 를포함할수있습니다. Control and Protection( 제어및보호 ). 제어는 AVC(Application Visibility and Control) 또는 앱 이라고도합니다. 보호는 IPS 라고도합니다. 이라이선스에대한액티베이션키외에이러한기능에대한자동화된업데이트를위해 사용권한 서브스크립션이필요합니다. Control( 제어 )(AVC) 업데이트는 Cisco 지원계약에포함됩니다. Protection( 보호 )(IPS) 업데이트의경우 http://www.cisco.com/go/ccw 에서 IPS 서브스크립션을구매해야합니다. 이서브스크립션은규칙, 엔진, 취약점, 지리적위치업데이트에대한자격을포함합니다. 참고 : 사용권한서브스크립션은 ASA FirePOWER 모듈용 PAK/ 라이선스액티베이션키를생성하거나요구하지않으며업데이트사용권한만제공합니다. ASA FirePOWER Services 를포함하는 ASA 5500-X 를구매하지않은경우, 필요한라이선스를다운로드하기위해업그레이드번들을구매할수있습니다. 자세한내용은 Cisco ASA with FirePOWER Services 주문가이드를참조하십시오. 구매할수있는기타라이선스는다음과같습니다. AMP(Advanced Malware Protection) 22
Firepower 2100 Series 이미지재설치 URL 필터링 이라이선스는 ASA FirePOWER 모듈용 PAK/ 라이선스액티베이션키를생성합니다. 주문정보는 Cisco ASA with FirePOWER Services 주문가이드를참조하십시오. Cisco Firepower System 기능라이선스도참조하십시오. 제어및보호라이선스및기타선택적인라이선스를설치하려면, 사용중인모델별 ASA 빠른시작가이드를참조하십시오. Firepower 2100 Series 이미지재설치 Firepower 2100 Series는 Firepower Threat Defense 또는 ASA 소프트웨어를지원합니다. 소프트웨어다운로드, 23 페이지 ASA를 Firepower Threat Defense 이미지로재설치, 24 페이지 Firepower Threat Defense를 ASA 이미지로재설치, 29 페이지 소프트웨어다운로드 Firepower Threat Defense 소프트웨어또는 ASA 소프트웨어를다운로드합니다. 이문서의절차상초기다운로드를위해 TFTP 서버에소프트웨어를둬야합니다. 다른이미지는기타서버유형 ( 예 : HTTP 또는 FTP) 에서다운로드할수있습니다. 정확한소프트웨어패키지및서버유형의경우, 절차를참조하십시오. 참고 Cisco.com 로그인및 Cisco 서비스계약이필요합니다. 표 3: Firepower Threat Defense 소프트웨어 Firepower Threat Defense 모델 Firepower 2100 Series 다운로드위치 참조페이지 : https://www.cisco.com/go/ftd-software Firepower Threat Defense 패키지 사용중인 model( 모델 ) > Firepower Threat Defense Software(Firepower Threat Defense 소프트웨어 ) > version( 버전 ) 을선택합니다. 패키지 패키지의파일이름은 cisco-ftd-fp2k.6.2.2.spa 와같은형식입니다. 23
ASA 를 Firepower Threat Defense 이미지로재설치 표 4: ASA 소프트웨어 ASA 모델 Firepower 2100 Series 다운로드위치 참조페이지 : https://www.cisco.com/go/asa-firepower-sw 패키지 ASA 패키지 사용중인 model( 모델 ) > Adaptive Security Appliance (ASA) Software(ASA(Adaptive Security Appliance) 소프트웨어 ) > version( 버전 ) 을선택합니다. ASDM 소프트웨어 ( 업그레이드 ) 현재 ASDM 또는 ASA CLI 를사용하여최신버전의 ASDM 으로업그레이드하려면사용중인 model( 모델 ) > Adaptive Security Appliance(ASA) Device Manager(ASA(Adaptive Security Appliance) Device Manager) > version( 버전 ) 을선택합니다. 패키지의파일이름은 cisco-asa-fp2k.9.8.2.spa 와같은형식입니다. 이패키지에는 ASA, ASDM, FXOS 및 Firepower Chassis Manager 가포함되어있습니다. ASDM 소프트웨어파일이름은 asdm-782.bin 과같은형식입니다. ASA 를 Firepower Threat Defense 이미지로재설치 Firepower 2100 의 ASA 를 Firepower Threat Defense 소프트웨어이미지로재설치하려면 ROMMON 프롬프트에액세스해야합니다. ROMMON 에서디스크를지운다음관리 1/1 인터페이스에서 TFTP 를사용하여 Firepower Threat Defense 패키지에서 FXOS 를로드합니다. 이때 TFTP 만지원됩니다. FXOS 를처음부팅한후에네트워크설정을구성하고, 선택한서버에서 Firepower Threat Defense 패키지를다운로드한후에 FXOS 를재부팅합니다. 프로시저 단계 1 단계 2 Smart Software Licensing 서버 (ASA CLI/ASDM 또는 Smart Software Licensing 서버 ) 에서 ASA 등록을취소합니다. 관리 1/1 인터페이스에있는 ASA 에서액세스가능한 TFTP 서버에 Firepower Threat Defense 이미지 ( 소프트웨어다운로드, 23 페이지참조 ) 를다운로드합니다. 단계 3 콘솔포트에서 FXOS 에 admin 으로로그인하여시스템을다시포맷합니다. connect local-mgmt format everything firepower-2110# connect local-mgmt firepower-2110(local-mgmt)# format everything All configuration and bootable images will be lost. Do you still want to format? (yes/no):yes 24
ASA 를 Firepower Threat Defense 이미지로재설치 yes 를입력하면 Firepower 2100 이재부팅됩니다. 단계 4 부팅중에 ROMMON 프롬프트와연결하라는메시지가나타나면 Esc 키를누릅니다. 모니터를자세히살펴봅니다. ******************************************************************************* Cisco System ROMMON, Version 1.0.03, RELEASE SOFTWARE Copyright (c) 1994-2017 by Cisco Systems, Inc. Compiled Thu 04/06/2017 12:16:16.21 by builder ******************************************************************************* Current image running: Boot ROM0 Last reset cause: ResetRequest DIMM_1/1 : Present DIMM_2/1 : Present Platform FPR-2130 with 32768 MBytes of main memory BIOS has been successfully locked!! MAC Address: 0c:75:bd:08:c9:80 Use BREAK or ESC to interrupt boot. Use SPACE to begin boot immediately. 이시점에서 Esc 키를누릅니다. 중단프롬프트에서 Esc 키를누르지않으면 Firepower 2100 에는이미지가없으며 ROMMON 만사용가능하므로재부팅을 3 회시도합니다. 단계 5 관리 1/1 용네트워크설정을지정하고다음 ROMMON 명령을사용하여 Firepower Threat Defense 패키지의일부분인 FXOS 를로드합니다. address management_ip_address netmask subnet_mask server tftp_ip_address gateway gateway_ip_address filepath/filename set sync tftp -b FXOS 이미지가다운로드되고 CLI 에부팅됩니다. 다음정보를참조하십시오. gateway- 게이트웨이주소가서버 IP 주소와같은네트워크에있으면두주소를동일하게설정합니다. set- 네트워크설정을표시합니다. 또한서버에대한연결성을확인하기위해 ping 명령을사용할수있습니다. sync- 네트워크설정을저장합니다. tftp -b- FXOS 를로드합니다. 25
ASA 를 Firepower Threat Defense 이미지로재설치 rommon 1> address 10.86.118.4 rommon 2> netmask 255.255.252.0 rommon 3> server 10.86.118.21 rommon 4> gateway 10.86.118.21 rommon 5> file cisco-ftd-fp2k.6.2.2.spa rommon 6> set ROMMON Variable Settings: ADDRESS=10.86.118.4 NETMASK=255.255.252.0 GATEWAY=10.86.118.21 SERVER=10.86.118.21 IMAGE=cisco-ftd-fp2k.6.2.2.SPA CONFIG= PS1="rommon! > " rommon 7> sync rommon 8> tftp -b Enable boot bundle: tftp_reqsize = 268435456 ADDRESS: 10.86.118.4 NETMASK: 255.255.252.0 GATEWAY: 10.86.118.21 SERVER: 10.86.118.21 IMAGE: cisco-asa-fp2k.9.8.2.spa MACADDR: d4:2c:44:0c:26:00 VERBOSITY: Progress RETRY: 40 PKTTIMEOUT: 7200 BLKSIZE: 1460 CHECKSUM: Yes PORT: GbE/1 PHYMODE: Auto Detect link up Receiving cisco-ftd-fp2k.6.2.2.spa from 10.86.118.21!!!!!!!! [ ] 단계 6 기본사용자이름인 admin 과비밀번호인 Admin123 을사용하여 FXOS 에로그인합니다. 디바이스가 FXOS 에부팅되면 ROMMON 에서설정한관리 IP 주소가지워지고기본값인 192.168.45.45 로설정됩니다. FXOS 에서네트워크의정확한 IP 주소및기타관련설정을지정해야서버에서 Firepower Threat Defense 패키지를다운로드할수있습니다. 단계 7 DHCP 서버를비활성화합니다. scope system scope services disable dhcp-server commit-buffer 관리 IP 주소를변경하려면 DHCP 서버를비활성화해야합니다. firepower-2110# scope system firepower-2110 /system # scope services 26
ASA 를 Firepower Threat Defense 이미지로재설치 firepower-2110 /system/services # disable dhcp-server firepower-2110 /system/services* # commit-buffer 단계 8 IPv4 관리 IP 주소를구성하고필요한경우게이트웨이를구성합니다. scopefabric-interconnecta setout-of-band staticip ip_addressnetmask network_maskgw gateway_ip_address commit-buffer 현재설정되어있는게이트웨이 ( 기본적으로 0.0.0.0, Firepower Threat Defense 데이터인터페이스를나타냄 ) 를유지하려면 gw 키워드를생략합니다. 다운로드서버가로컬관리 1/1 네트워크에있지않으면게이트웨이 IP 주소를변경합니다. Firepower Threat Defense 데이터인터페이스는아직없으므로기본설정으로는원격서버에연결할수없습니다. firepower-2110# scope fabric-interconnect a firepower-2110 /fabric-interconnect # firepower-2100 /fabric-interconnect # set out-of-band ip 10.86.118.4 netmask 255.255.255.0 Warning: When committed, this change may disconnect the current CLI session firepower-2100 /fabric-interconnect* # commit-buffer firepower-2100 /fabric-interconnect # 단계 9 Firepower Threat Defense 패키지를다운로드하여부팅합니다. a) 패키지를다운로드합니다. scope firmware download image url show download-task 이전에사용했던것과같은 TFTP 서버나관리 1/1 에서연결할수있는다른서버에서패키지를다운로드할수있습니다. firepower-2110# scope firmware firepower-2110 /firmware # download image tftp://10.86.118.21/cisco-ftd-fp2k.6.2.2.spa Please use the command 'show download-task' or 'show download-task detail' to check download progress. firepower-2110 /firmware # show download-task Download task: File Name Protocol Server Port Userid State --------- -------- --------------- ---------- --------------- ----- cisco-ftd-fp2k.6.2.2.spa Tftp 10.88.29.21 0 Downloaded b) 패키지다운로드가완료되면 (Downloaded( 다운로드됨 ) 상태 ) 패키지를부팅합니다. show package scope auto-install install security-pack version version 27
ASA 를 Firepower Threat Defense 이미지로재설치 show package 출력에서 security-pack version 번호용으로 Package-Vers 값을복사합니다. 섀시에 Firepower Threat Defense 이미지가설치되고섀시가재부팅됩니다. firepower 2110 /firmware # show package Name Package-Vers --------------------------------------------- ------------ cisco-ftd-fp2k.6.2.2.spa 6.2.2 firepower 2110 /firmware # scope auto-install firepower 2110 /firmware/auto-install # install security-pack version 6.2.2 The system is currently installed with security software package not set, which has: - The platform version: not set If you proceed with the upgrade 6.2.2, it will do the following: - upgrade to the new platform version 2.2.2.52 - install with CSP ftd version 6.2.2 During the upgrade, the system will be reboot Do you want to proceed? (yes/no):yes This operation upgrades firmware and software on Security Platform Components Here is the checklist of things that are recommended before starting Auto-Install (1) Review current critical/major faults (2) Initiate a configuration backup Attention: If you proceed the system will be re-imaged. All existing configuration will be lost, and the default configuration applied. Do you want to proceed? (yes/no):yes Triggered the install of software package version 6.2.2 Install started. This will take several minutes. For monitoring the upgrade progress, please enter 'show' or 'show detail' command. 단계 10 섀시재부팅이완료될때까지 5~10 분정도기다렸다가기본사용자이름인 admin 과비밀번호인 Admin123 을사용하여 FXOS 에로그인합니다. FXOS 이작동하더라도 Firepower Threat Defense 가작동할때까지 30 분동안기다려야합니다. 다음메시지가나타날때까지기다립니다. [ ] User enable_1 logged in to firepower Logins over the last 1 days: 1. Failed logins since the last login: 0. Type help or '?' for a list of available commands. firepower> Aug 26 01:31:48 firepower port-manager: Alert: Ethernet1/2 link changed to DOWN Aug 26 01:31:48 firepower port-manager: Alert: Ethernet1/1 link changed to DOWN firepower# 나머지 Firepower Threat Defense 시작메시지가표시되고나면 FXOS 프롬프트로돌아올수있습니다. 단계 11 Firepower Threat Defense CLI 에연결합니다. connect ftd 28
Firepower Threat Defense 를 ASA 이미지로재설치 단계 12 EULA 에동의하라는프롬프트가표시됩니다. Enter 키를누른후다음프롬프트가표시될때까지 More( 자세히 ) 프롬프트에서스페이스바를누릅니다. Please enter 'YES' or press <ENTER> to AGREE to the EULA: yes 를입력합니다. 단계 13 비밀번호를변경하고초기설정을수행하라는프롬프트가표시됩니다. Firepower Device Manager 또는 Firepower Management Center 빠른시작가이드를참조하여시스템을구성합니다. Firepower Threat Defense 를 ASA 이미지로재설치 Firepower 2100 의 Firepower Threat Defense 를 ASA 소프트웨어이미지로재설치하려면 ROMMON 프롬프트에액세스해야합니다. ROMMON 에서디스크를지운다음관리 1/1 인터페이스에서 TFTP 를사용하여 ASA 패키지에서 FXOS 를로드합니다. 이때 TFTP 만지원됩니다. FXOS 를처음부팅한후에네트워크설정을구성하고, 선택한서버에서 ASA 패키지를다운로드한후에 FXOS 를재부팅합니다. 프로시저 단계 1 단계 2 단계 3 Firepower Management Center 에서 Firepower Threat Defense 디바이스를관리하는경우에는 Management Center 에서디바이스를삭제합니다. Firepower Device Manager 를사용하여 Firepower Threat Defense 를관리하는경우, Smart Software Licensing 서버 (Firepower Device Manager 또는 Smart Software Licensing 서버 ) 에서디바이스등록을취소해야합니다. 관리 1/1 인터페이스에있는 Firepower Threat Defense 디바이스에서액세스가능한 TFTP 서버에 ASA 이미지 ( 소프트웨어다운로드, 23 페이지참조 ) 를다운로드합니다. 단계 4 콘솔포트에서 FXOS 에 admin 으로로그인하여시스템을다시포맷합니다. connect local-mgmt format everything firepower-2110# connect local-mgmt firepower-2110(local-mgmt)# format everything All configuration and bootable images will be lost. Do you still want to format? (yes/no):yes yes 를입력하면 Firepower 2100 이재부팅됩니다. 단계 5 부팅중에 ROMMON 프롬프트와연결하라는메시지가나타나면 Esc 키를누릅니다. 모니터를자세히살펴봅니다. ******************************************************************************* Cisco System ROMMON, Version 1.0.03, RELEASE SOFTWARE Copyright (c) 1994-2017 by Cisco Systems, Inc. Compiled Thu 04/06/2017 12:16:16.21 by builder 29
Firepower Threat Defense 를 ASA 이미지로재설치 ******************************************************************************* Current image running: Boot ROM0 Last reset cause: ResetRequest DIMM_1/1 : Present DIMM_2/1 : Present Platform FPR-2130 with 32768 MBytes of main memory BIOS has been successfully locked!! MAC Address: 0c:75:bd:08:c9:80 Use BREAK or ESC to interrupt boot. Use SPACE to begin boot immediately. 이시점에서 Esc 키를누릅니다. 중단프롬프트에서 Esc 키를누르지않으면 Firepower 2100 에는이미지가없으며 ROMMON 만사용가능하므로재부팅을 3 회시도합니다. 단계 6 관리 1/1 용네트워크설정을지정하고다음 ROMMON 명령을사용하여 ASA 패키지의일부분인 FXOS 를로드합니다. address management_ip_address netmask subnet_mask server tftp_ip_address gateway gateway_ip_address filepath/filename set sync tftp -b FXOS 이미지가다운로드되고 CLI 에부팅됩니다. 다음정보를참조하십시오. gateway- 게이트웨이주소가서버 IP 주소와같은네트워크에있으면두주소를동일하게설정합니다. set- 네트워크설정을표시합니다. 또한서버에대한연결성을확인하기위해 ping 명령을사용할수있습니다. sync- 네트워크설정을저장합니다. tftp -b- FXOS 를로드합니다. rommon 1> address 10.86.118.4 rommon 2> netmask 255.255.252.0 rommon 3> server 10.86.118.21 rommon 4> gateway 10.86.118.21 rommon 5> file cisco-asa-fp2k.9.8.2.spa rommon 6> set ROMMON Variable Settings: ADDRESS=10.86.118.4 30
Firepower Threat Defense 를 ASA 이미지로재설치 NETMASK=255.255.252.0 GATEWAY=10.86.118.21 SERVER=10.86.118.21 IMAGE=cisco-asa-fp2k.9.8.2.SPA CONFIG= PS1="rommon! > " rommon 7> sync rommon 8> tftp -b Enable boot bundle: tftp_reqsize = 268435456 ADDRESS: 10.86.118.4 NETMASK: 255.255.252.0 GATEWAY: 10.86.118.21 SERVER: 10.86.118.21 IMAGE: cisco-asa-fp2k.9.8.2.spa MACADDR: d4:2c:44:0c:26:00 VERBOSITY: Progress RETRY: 40 PKTTIMEOUT: 7200 BLKSIZE: 1460 CHECKSUM: Yes PORT: GbE/1 PHYMODE: Auto Detect link up Receiving cisco-asa-fp2k.9.8.2.spa from 10.86.118.21!!!!!!!! [ ] 단계 7 기본사용자이름인 admin 과비밀번호인 Admin123 을사용하여 FXOS 에로그인합니다. 디바이스가 FXOS 에부팅되면 ROMMON 에서설정한관리 IP 주소가지워지고기본값인 192.168.45.45 로설정됩니다. FXOS 에서네트워크의정확한 IP 주소및기타관련설정을지정해야서버에서 ASA 패키지를다운로드할수있습니다. 단계 8 DHCP 서버를비활성화합니다. scope system scope services disable dhcp-server commit-buffer 관리 IP 주소를변경하려면 DHCP 서버를비활성화해야합니다. 관리 IP 주소를변경한후새클라이언트 IP 주소를사용하여 DHCP 를다시활성화할수있습니다. firepower-2110# scope system firepower-2110 /system # scope services firepower-2110 /system/services # disable dhcp-server firepower-2110 /system/services* # commit-buffer 단계 9 IPv4 관리 IP 주소를구성하고필요한경우게이트웨이를구성합니다. scopefabric-interconnecta setout-of-band staticip ip_addressnetmask network_maskgw gateway_ip_address 31
Firepower Threat Defense 를 ASA 이미지로재설치 현재설정되어있는게이트웨이 ( 기본값 : ASA 데이터인터페이스를나타내는 0.0.0.0) 를유지하려면 gw 키워드를생략합니다. 다운로드서버가로컬관리 1/1 네트워크에있지않으면게이트웨이 IP 주소를변경합니다. ASA 데이터인터페이스는아직없으므로기본설정으로는원격서버에연결할수없습니다. firepower-2110# scope fabric-interconnect a firepower-2110 /fabric-interconnect # firepower-2110 /fabric-interconnect # set out-of-band static ip 10.86.118.4 netmask 255.255.255.0 Warning: When committed, this change may disconnect the current CLI session firepower-2110 /fabric-interconnect* # 단계 10 새로운네트워크에서관리연결을허용하도록 HTTPS, SSH 및 SNMP 용액세스목록을삭제한후에새로추가합니다. a) 시스템 / 서비스의범위를설정합니다. scope system scope services firepower-2110# scope system firepower-2110 /system # scope services b) 현재액세스목록을확인합니다. show ip-block firepower-2110 /system/services # show ip-block Permitted IP Block: IP Address Prefix Length Protocol --------------- ------------- -------- 192.168.45.0 24 https 192.168.45.0 24 ssh firepower-2140 /system/services # c) 새액세스목록을추가합니다. IPv4 의경우 : enterip-block ip_address prefix [http snmp ssh] IPv6 의경우 : enteripv6-block ipv6_address prefix [https snmp ssh] IPv4 의경우모든네트워크를허용하려면 0.0.0.0 및접두사 0 을입력합니다. IPv6 의경우모든네트워크를허용하려면 :: 및접두사 0 을입력합니다. Firepower Chassis Manager 의 Platform Settings( 플랫폼설정 ) > Access List( 액세스목록 ) 에서액세스목록을추가할수도있습니다. 32
Firepower Threat Defense 를 ASA 이미지로재설치 firepower-2110 /system/services # enter ip-block 192.168.4.0 24 https firepower-2110 /system/services/ip-block* # exit firepower-2110 /system/services* # enter ip-block 192.168.4.0 24 ssh firepower-2110 /system/services/ip-block* # exit firepower-2110 /system/services* # a) 이전액세스목록을삭제합니다. IPv4의경우 : delete ip-block ip_address prefix [http snmp ssh] IPv6의경우 : delete ipv6-block ipv6_address prefix [https snmp ssh] firepower-2110 /system/services # delete ip-block 192.168.45.0 24 https firepower-2110 /system/services* # delete ip-block 192.168.45.0 24 ssh firepower-2110 /system/services* # 단계 11 ( 선택사항 ) IPv4 DHCP 서버를다시활성화합니다. scope system scope services enable dhcp-server start_ip_address end_ip_address firepower-2110# scope system firepower-2110 /system # scope services firepower-2110 /system/services # enable dhcp-server 10.86.118.10 10.86.118.20 단계 12 컨피그레이션을저장합니다. commit-buffer firepower-2110 /system/services* # commit-buffer 단계 13 ASA 패키지를다운로드하여부팅합니다. a) 패키지를다운로드합니다. scope firmware download image url show download-task 33
Firepower Threat Defense 를 ASA 이미지로재설치 이전에사용했던것과같은 TFTP 서버나관리 1/1 에서연결할수있는다른서버에서패키지를다운로드할수있습니다. firepower-2110# scope firmware firepower-2110 /firmware # download image tftp://10.86.118.21/cisco-asa-fp2k.9.8.2.spa Please use the command 'show download-task' or 'show download-task detail' to check download progress. firepower-2110 /firmware # show download-task Download task: File Name Protocol Server Port Userid State --------- -------- --------------- ---------- --------------- ----- cisco-asa-fp2k.9.8.2.spa Tftp 10.88.29.21 0 Downloaded b) 패키지다운로드가완료되면 (Downloaded( 다운로드됨 ) 상태 ) 패키지를부팅합니다. show package scope auto-install install security-pack version version show package 출력에서 security-pack version 번호용으로 Package-Vers 값을복사합니다. 섀시에 ASA 이미지가설치되고섀시가재부팅됩니다. firepower 2110 /firmware # show package Name Package-Vers --------------------------------------------- ------------ cisco-asa-fp2k.9.8.2.spa 9.8.2 firepower 2110 /firmware # scope auto-install firepower 2110 /firmware/auto-install # install security-pack version 9.8.2 The system is currently installed with security software package not set, which has: - The platform version: not set If you proceed with the upgrade 9.8.2, it will do the following: - upgrade to the new platform version 2.2.2.52 - install with CSP asa version 9.8.2 During the upgrade, the system will be reboot Do you want to proceed? (yes/no):yes This operation upgrades firmware and software on Security Platform Components Here is the checklist of things that are recommended before starting Auto-Install (1) Review current critical/major faults (2) Initiate a configuration backup Attention: If you proceed the system will be re-imaged. All existing configuration will be lost, and the default configuration applied. Do you want to proceed? (yes/no):yes Triggered the install of software package version 9.8.2 Install started. This will take several minutes. For monitoring the upgrade progress, please enter 'show' or 'show detail' command. 34
Firepower Threat Defense 를 ASA 이미지로재설치 단계 14 섀시재부팅이완료될때까지 5~10 분정도기다렸다가기본사용자이름인 admin 과비밀번호인 Admin123 을사용하여 FXOS 에로그인합니다. FXOS 이작동하더라도 ASA 가작동할때까지 5 분동안기다려야합니다. 다음메시지가나타날때까지기다립니다. firepower-2110# Cisco ASA: CMD=-install, CSP-ID=cisco-asa.9.8.2 asa_001_jad20280bw90mezr11, FLAG='' Verifying signature for cisco-asa.9.8.2... Verifying signature for cisco-asa.9.8.2... success Cisco ASA: CMD=-start, CSP-ID=cisco-asa.9.8.2 asa_001_jad20280bw90mezr11, FLAG='' Cisco ASA starting... Registering to process manager... Cisco ASA started successfully. [ ] 나머지 ASA 시작메시지가표시되고나면 FXOS 프롬프트로돌아올수있습니다. 단계 15 이절차에서 FXOS 관리 1/1 주소를변경한경우에는 ASA 주소를올바른네트워크의주소로변경해야합니다. 기본 ASA 관리 1/1 인터페이스 IP 주소는 192.168.45.1 입니다. a) 콘솔에서 ASA CLI 에연결하여전역컨피그레이션모드에액세스합니다. connect asa enable configure terminal 활성화비밀번호는기본적으로비어있습니다. firepower-2110# connect asa Attaching to Diagnostic CLI... Press 'Ctrl+a then d' to detach. Type help or '?' for a list of available commands. ciscoasa> enable Password: <blank> ciscoasa# configure terminal ciscoasa(config)# b) 관리 1/1 IP 주소를변경합니다. interface management1/1 ip address ip_address mask ciscoasa(config)# interface management1/1 ciscoasa(config-ifc)# ip address 10.86.118.4 255.255.255.0 c) ASDM 에액세스할수있는네트워크를변경합니다. no http 192.168.45.0 255.255.255.0 management http ip_address maskmanagement 35
다음단계는무엇인가요? ciscoasa(config)# no http 192.168.45.0 255.255.255.0 management ciscoasa(config)# http 10.86.118.0 255.255.255.0 management d) 컨피그레이션을저장합니다. write memory e) FXOS 콘솔로돌아가려면 Ctrl+a, d를입력합니다. 단계 16 Firepower 2100 Series용 ASA 시작가이드를참조하여시스템을구성합니다. 다음단계는무엇인가요? Firepower Threat Defense 사용중인모델및관리애플리케이션별빠른시작가이드를참조하십시오. ASA 5506-X용 Firepower Device Manager ASA 5506-X용 Firepower Management Center ASA 5508-X 및 5516-X용 Firepower Device Manager ASA 5506-X 및 5516-X용 Firepower Management Center ASA 5512-X~ASA 5555-X용 Firepower Device Manager ASA 5512-X~5555-X용 Firepower Management Center Firepower 2100용 Firepower Device Manager Firepower 2100용 Firepower Management Center ASA 사용중인모델별빠른시작가이드를참조하십시오. ASA 5506-X용 ASA ASA 5508-X 및 5516-X용 ASA ASA 5512-X~5555-X용 ASA Firepower 2100용 ASA 36
Cisco 및 Cisco 로고는미국및기타국가에서 Cisco Systems, Inc. 및 / 또는계열사의상표또는등록상표입니다. Cisco 상표목록을보려면다음 URL 로이동하십시오. https://www.cisco.com/go/trademarks 여기에언급된타사상표는해당소유자의자산입니다. " 파트너 " 라는용어는사용에있어 Cisco 와기타회사간의파트너관계를의미하지는않습니다. (1721R) 2018 Cisco Systems, Inc. 모든권리보유.