ASA5506-X - Zmiana management interface

Wiadomość

dawid.mitura · #1

Czesc,

FirePOWER moge konfigurowac przez konsole (session sfr console) oraz ASDM z zakladek FirePOWER (dziala na Windows 7 Prof. x64, na Debian 8.1 Jessie z IceadTea [JRE version 1.7.0_79 OpenJDK 64-Bit Server VM] nie widze okien FirePOWER w ASDMie).

W consoli mam komendy do zmiany interfesju i portu zarzadzania tym modulem. Gdy zmieniam port management na np. LAN (gi1/1), dodaje adresacje, ustawiam 2 opcje enable-management-channel oraz enable-event-channel, na porcie Gi1/1 (LAN) nie moge zarzadzac tym modulem a sh module sfr details pokazuje mi:

Kod: Zaznacz cały

ASA5506-TEST# sh module sfr details                                                                                                                                     
Getting details from the Service Module, please wait...                                                                                                                 
                                                                                                                                                                        
Card Type:          FirePOWER Services Software Module                                                                                                                  
Model:              ASA5506                                                                                                                                             
Hardware version:   N/A                                                                                                                                                 
Serial Number:      JAD190503N7                                                                                                                                         
Firmware version:   N/A                                                                                                                                                 
Software version:   5.4.1-211                                                                                                                                           
MAC Address Range:  84b8.0276.9197 to 84b8.0276.9197                                                                                                                    
App. name:          ASA FirePOWER                                                                                                                                       
App. Status:        Up                                                                                                                                                  
App. Status Desc:   Normal Operation                                                                                                                                    
App. version:       5.4.1-211                                                                                                                                           
Data Plane Status:  Up                                                                                                                                                  
Console session:    Ready                                                                                                                                               
Status:             Up                                                                                                                                                  
DC addr:            No DC Configured                                                                                                                                    
Mgmt IP addr:       0.0.0.0                                                                                                                                             
Mgmt Network mask:  0.0.0.0                                                                                                                                             
Mgmt Gateway:       0.0.0.0                                                                                                                                             
Mgmt web ports:     443                                                                                                                                                 
Mgmt TLS enabled:   true

a show network :

Kod: Zaznacz cały

Configure> show network                                                                                                                                                 
===============[ System Information ]===============                                                                                                                    
Hostname                  : SFR-TEST                                                                                                                                    
Domains                   : example.net                                                                                                                                 
Management port           : 8305                                                                                                                                        
                                                                                                                                                                        
======================[ eth0 ]======================                                                                                                                    
State                     : Disabled                                                                                                                                    
Channels                  : Management & Events                                                                                                                         
Mode                      :                                                                                                                                             
MDI/MDIX                  : Auto/MDIX                                                                                                                                   
MTU                       : 1500                                                                                                                                        
MAC Address               : 84:B8:02:76:91:97                                                                                                                           
----------------------[ IPv4 ]----------------------                                                                                                                    
Configuration             : Disabled                                                                                                                                    
----------------------[ IPv6 ]----------------------                                                                                                                    
Configuration             : Disabled                                                                                                                                    
                                                                                                                                                                        
===============[ Proxy Information ]================                                                                                                                    
State                     : Disabled                                                                                                                                    
Authentication            : Disabled

Gdy powroce do interfejsu Management1/1 (FirePoWER pokazuje mi go jako eth0), sh module sfr details daje mi:

Kod: Zaznacz cały

ASA5506-TEST# sh module sfr details                                                                                                                                     
Getting details from the Service Module, please wait...                                                                                                                 
                                                                                                                                                                        
Card Type:          FirePOWER Services Software Module                                                                                                                  
Model:              ASA5506                                                                                                                                             
Hardware version:   N/A                                                                                                                                                 
Serial Number:      JAD190503N7                                                                                                                                         
Firmware version:   N/A                                                                                                                                                 
Software version:   5.4.1-211                                                                                                                                           
MAC Address Range:  84b8.0276.9197 to 84b8.0276.9197                                                                                                                    
App. name:          ASA FirePOWER                                                                                                                                       
App. Status:        Up                                                                                                                                                  
App. Status Desc:   Normal Operation                                                                                                                                    
App. version:       5.4.1-211                                                                                                                                           
Data Plane Status:  Up                                                                                                                                                  
Console session:    Ready                                                                                                                                               
Status:             Up                                                                                                                                                  
DC addr:            No DC Configured                                                                                                                                    
Mgmt IP addr:       172.31.255.2                                                                                                                                        
Mgmt Network mask:  255.255.255.240                                                                                                                                     
Mgmt Gateway:       172.31.255.1                                                                                                                                        
Mgmt web ports:     443                                                                                                                                                 
Mgmt TLS enabled:   true

a show network:

Kod: Zaznacz cały

Configure> show network                                                                                                                                                 
===============[ System Information ]===============                                                                                                                    
Hostname                  : SFR-TEST                                                                                                                                    
Domains                   : example.net                                                                                                                                 
Management port           : 8305                                                                                                                                        
IPv4 Default route                                                                                                                                                      
  Gateway                 : 172.31.255.1                                                                                                                                
                                                                                                                                                                        
======================[ eth0 ]======================                                                                                                                    
State                     : Enabled                                                                                                                                     
Channels                  : Management & Events                                                                                                                         
Mode                      :                                                                                                                                             
MDI/MDIX                  : Auto/MDIX                                                                                                                                   
MTU                       : 1500                                                                                                                                        
MAC Address               : 84:B8:02:76:91:97                                                                                                                           
----------------------[ IPv4 ]----------------------                                                                                                                    
Configuration             : Manual                                                                                                                                      
Address                   : 172.31.255.2                                                                                                                                
Netmask                   : 255.255.255.240                                                                                                                             
Broadcast                 : 172.31.255.15                                                                                                                               
----------------------[ IPv6 ]----------------------                                                                                                                    
Configuration             : Disabled                                                                                                                                    
                                                                                                                                                                        
===============[ Proxy Information ]================                                                                                                                    
State                     : Disabled                                                                                                                                    
Authentication            : Disabled

***************

Moje pytania brzmia:
1) w jaki sposob moge zmienic interfejs do zarzadzania modulem SFR?
2) Gdzie znajde jakis CLI Guide?

mihu · #2

dawid.mitura pisze: 1) w jaki sposob moge zmienic interfejs do zarzadzania modulem SFR?
2) Gdzie znajde jakis CLI Guide?[/b]

hej,

CLI SFR nadaje się (jest wymagany) tylko do wstępnej konfiguracji i podpięcia pod DC. Główny interfejs do zarządzania to mgmt0/0 współdzielony z ASA (2 MAC adresy widoczne po stronie switcha) , ale (chyba) można też użyć interfejsu którego ASA używa jako inside (nie pamiętam na 100%, jeśli tak nazwa musi być "inside"). Nie korzystałem z nowych AS (5506/5508), ale zakładam, że ASDM, będzie robił za FS/DC i będzie miał te same problemy z Javą.

Co do CLI guide jako takiego nie pamiętam żeby istniał, wszystko było w jednym dolumencie "SourceFire 3D System User Guide". Config guidy możesz znaleźć tutaj

Na początek mogę Ci też polecić 2 poniższe posty odnośnie FPower:
jeden
dwa

dawid.mitura · #3

ale (chyba) można też użyć interfejsu którego ASA używa jako inside (nie pamiętam na 100%, jeśli tak nazwa musi być "inside")

Interfejsy sam nazywam, jak chce. Po rozpakowaniu i wlaczeniu jest pusto. Wlasnie o to mi chodzi, abym modulem SFR zarzadzal na innym interfejsie, niz wbudowany management1/1. Dzieki za linki, jednak bardziej podchodzi mi oficjalna dokumentacja cisco:
- http://www.cisco.com/c/en/us/td/docs/se ... r-qsg.html
- http://www.cisco.com/c/en/us/td/docs/se ... -v541.html
oraz video z LabMinutes: http://www.labminutes.com/video/sec/ASA%20FirePower

FireSIGHT nie mam. "SourceFire 3D System User Guide" mam w wersji 5.4.1, ale nie widze w nim zadnych komend spod CLI.

mihu · #4

dawid.mitura pisze:
ale (chyba) można też użyć interfejsu którego ASA używa jako inside (nie pamiętam na 100%, jeśli tak nazwa musi być "inside")
Interfejsy sam nazywam, jak chce. Po rozpakowaniu i wlaczeniu jest pusto. Wlasnie o to mi chodzi, abym modulem SFR zarzadzal na innym interfejsie, niz wbudowany management1/1. Dzieki za linki, jednak bardziej podchodzi mi oficjalna dokumentacja cisco:
- http://www.cisco.com/c/en/us/td/docs/se ... r-qsg.html
- http://www.cisco.com/c/en/us/td/docs/se ... -v541.html
oraz video z LabMinutes: http://www.labminutes.com/video/sec/ASA%20FirePower

FireSIGHT nie mam. "SourceFire 3D System User Guide" mam w wersji 5.4.1, ale nie widze w nim zadnych komend spod CLI.

nie mam teraz dostepu do SFR. Ja robilem projekt na ASA5525X, z tego co pamietam nie masz za duzo opcji - CLI tylko do podstawowych ustawien i podpięcia do FS/DC, reszta jest wypychana z DC (tak jak na CheckPoincie) Jeśli chodzi o interfejs (na 5515/5525) to mogłem być trochę zbyt optymistyczny i chyba tylko możesz korzystać z mgmt (inside chyba byl jako opcja dla CXa).

Ciekawe jak SFR komunikuje się z FS wbudowanym w ASE na 5506-X, chyba że tym przypadku jest embeded i nie potrzeba podawac DC.

Jeszcze jedna uwaga - z tego interfejsu SFR pobiera wyszstkie updaty z netu.

dawid.mitura · #5

Ciekawe jak SFR komunikuje się z FS wbudowanym w ASE na 5506-X, chyba że tym przypadku jest embeded i nie potrzeba podawac DC.

Na tej malej ASA dziala bez DC, calosc konfiguruje przez ASDMa, o ile MNGT SFRa powiazany jest z MNGT1/1. W innym przypadku ASDM pokaze mi tylko 1 zakladne FirePOWER z ogolnymi informacjami, ze jest, dziala i jaka wersja funkconuje. Z duzymi, nowymi ASA nie mialem jeszcze przyjemnosci.

Jeszcze jedna uwaga - z tego interfejsu SFR pobiera wyszstkie updaty z netu.

Troche chujnia. Ten MNGT1/1 nie jest obslugiwany przez routing, wyczytalem i sprawdzilem. Interfejs MNGT SFRa musi byc zatem podpiety pod interfejs fizyczny MNGT1/1. Jesli bedzie on w odseparowanej sieci, w jaki sposob bede sciagal aktualizacje? ASA mam do testow i lece z materialem wg ksiazki oraz tych video. Moze trafie na to w materialach. Jak bylo u Ciebie?

eljot · #6

Cześć,
Generalnie scenariusze podłączenia AS z FP do reszty świata są dwa i zawsze odbywa się to przez interfejs mgmt:

1. L2: FP i np. inside na asie są w jednym VLANIE
2. L3: FP jest w oddzielnym VLANIE ( razem z mgmt asy ) - ale do tego potrzebne urządzenie L3 wewnątrz sieci. Także routing jest, ale nie przez asę.

Kod: Zaznacz cały

interface Management0/0
nameif management
security-level 0
ip address 192.0.2.1 255.255.255.0
no shutdown

Kod: Zaznacz cały

FirePOWER# show module SFR detail
Mgmt IP addr: 192.0.2.2
Mgmt Network Mask: 255.255.255.0
Mgmt Gateway:192.0.2.254

Tak przynajmniej jest w większych asach, na 5506 nie sprawdzałem.

dawid.mitura · #7

inny mngt ip dla SFR - to by przeszlo, ale nie u malych klientow, dla ktorych ASA5506-X jest jedyna brama i wyjsciem na swiat.

OK, poki co, to wszytko. Wiem, na czym stoje. Dzieki za info.

c0sm0 · #8

Witam,
Communication channel for management interface is not configured!
taki komunikat dostaję po próbie configure manager add IP KEY
Interfejs eth0 na FP mam w klasie zarządzania ASY więc z FP widzę sieć zarządzania oraz internet.

Interfejsu Mgmt0/0 na asie nie używam...

FireSight nie widzi mi FP, gdzie robię błąd ?

CCIE.pl

ASA5506-X - Zmiana management interface

ASA5506-X - Zmiana management interface

Re: ASA5506-X - Zmiana management interface

FP z ASA 5515 problem z wyprowadzeniem na zewnątrz