FIREPOWER防火墙运行ASA的总结0001.docxVIP

Firepower2110防火墙设备配置问题总结

问题概述

背景描述

在Firepower2110平台上运行ASA版本，在此次安装过程中，发现与普通ASA平台安装存在差异，并遇到不少问题。

问题概述

令版本升级问题

Firepower2110由FXOS底层系统和ASA系统组成，版本升级在底层平台FXOS上进行。

令接口无法使用问题

默认情况下，只有Management1/1，eth1/1和eth1/2接口是在底层平

台FXOS物理启用的，并在ASA配置中以逻辑方式启用。要使用任何其他接口，必须在底层FXOS中启用，然后在ASA配置中启用它，所以在此次安装过程中发现，虽然在ASA中将eth1/3接口noshutdown，接口始终起不来，只有FXOS中将eth1/3接口enable，

ASA中接口才能正常使用。

令NTP、clock、时区配置问题

NTP、clock、时区的配置需要在FXOS底层配置，在ASA系统无法配置。

令3DESlincese问题

此次设备没有购置L-FPR2K-ENC-K9=(StrongEncryption(3DES/AES)license),在配置过程中发现SSH无法配置v2版本，以及会影响ipsecvpn

的加密方式的使用。

令底层FXOS无法SSH登录问题

底层FXOS默认情况下只能通过带外管理同网段的地址来SSH以及WEB登录，如果其他网段需要登录管理FXOS，则需要配置ip-bock来允许访问。

版本升级步骤

在笔记本电脑上开启FTP效劳，并使用网线连接防火墙mgmt口自动获取IP，mgmt口地址为，45FXOS平台设备默认登录帐号密码为：admin/Admin123:

进入FXOS,升级步骤如下：

firepower-2110#scopefirmware

firepower-2110/firmware#downloadimage

t

firepower-2110/firmware#showdownload-taskdetail

firepower-2110/firmware#showpackage

firepower-2110/firmware#scopeauto-install

firepower-2110/firmware/auto-install#installsecurity-packversion

Doyouwanttoproceed?(yes/no):yes

Doyouwanttoproceed?(yes/no):yes

firepower-2110/firmware/auto-install#showdetail

admin

Admin123

connectasa/fxosexiexiup

connectasa/fxos

exiexi

up

底层将接口enble

firepower-2110#scopeeth-uplink

firepower-2110/eth-uplink#scopefabrica

firepower-2110/eth-uplink/fabric#enterinterfaceEthernet1/3

firepower-2110/eth-uplink/fabric/interface#enable

firepower-2110/system/services*#commit-buffer

NTP、clock、时区配置

令配置时区和clock

firepower-2110#scopesystem

firepower-2110/system#scopeservices

firepower-2110/system/services#setclockapr18201893930

firepower-2110/system/services*#settimezone

Pleaseidentifyalocationsothattimezonerulescanbesetcorrectly.

Pleaseselectacontinentorocean.

firepower-2110/system/services*#commit-buffer

令NTP配置

配置FXOSmgmt接口IP

firepower-2110#scopesystem

firepower-2110/system#scopeservices

firepower-2110/system/services#disabledhcp-serve