近日利用EVE-NG搭建了Cisco FirePower測試平臺。為了這次搭建這次測試環(huán)境，花了近一個星期時間去研究FirePower系統(tǒng)以及架構(gòu)。因是在EVE-NG環(huán)境上搭建的，首先對電腦性能得要有一定的要求，再次就是得有耐心(安裝FMC，足足花了6個多小時)。以下測試環(huán)境，除了研究官方文檔外，下載了幾個版本的軟件、安裝了N次并修改了N次架構(gòu)才完成。

成都創(chuàng)新互聯(lián)公司于2013年開始，是專業(yè)互聯(lián)網(wǎng)技術(shù)服務(wù)公司，擁有項目成都做網(wǎng)站、成都網(wǎng)站設(shè)計網(wǎng)站策劃，項目實施與項目整合能力。我們以讓每一個夢想脫穎而出為使命，1280元三原做網(wǎng)站,已為上家服務(wù),為三原各地企業(yè)和個人服務(wù),聯(lián)系電話:028-86922220

   在此我得吐槽一下，Cisco系統(tǒng)的兼容性實在太爛了，網(wǎng)官上所述的BUG基本上都能碰到，另外就是實在太豪資源了，8G內(nèi)存、4核CPU跑得卡死了。以前部署Prime Infrastructure生產(chǎn)環(huán)境，標(biāo)準版本系統(tǒng)要求4*4 CPU、32G內(nèi)存、1T硬盤，但是運行起來也是慢得要命；Cisco的Web頁面也爛得很。

   另外圈內(nèi)人士好象對技術(shù)堡壘非常的保守，在網(wǎng)上找了一個星期多，能找能關(guān)于Cisco FirePower相關(guān)的技術(shù)文檔非常非常少(除了官網(wǎng)外)，能找到的也只是介紹部分內(nèi)容。再來就是內(nèi)網(wǎng)關(guān)于EVE-NG上跑Cisco FirePower一丁點資源都沒有(當(dāng)然還是 除了官網(wǎng)外以及外網(wǎng)外)，所以希望大家尊重一下我的勞動成果。

   以下本次實驗環(huán)境的架構(gòu)圖，此架構(gòu)圖還是比較簡單

 1). NET4為EVE-NG橋接到外面主機的網(wǎng)卡，網(wǎng)段為172.16.100.0/24,此方利用橋接的方式連接FMC與FTP的管理接口Eth0。

 2). FMC01: Cisco FirePower Manager Center,用于管理FTD(Cisco Firepower Threat Defense(FTD),IP Address: 172.16.100.50/24 GateWay: 172.16.100.1

 3). FTD01: Cisco Firepower Threat Defense, IP Address: 172.16.100.46/24

 4). R3: Inside Network,內(nèi)網(wǎng)接口E0/0上連接一臺Win 主機，內(nèi)網(wǎng)網(wǎng)段 10.133.32.0/24

 5). R2: Outside Network,模擬外網(wǎng)即是互聯(lián)網(wǎng)，E0/0連接一臺Win主機，外網(wǎng)網(wǎng)段: 192.168.201.0/24

重點：FMC與FTD都是使用e0/0(在虛擬機環(huán)境)做為管理接口，并且所有基礎(chǔ)設(shè)定只能設(shè)定E0/0接口的IP Address作為管理IP,FTD向FMC初始注冊只能使用管理接口，因此FMC與FTD的管理接口之間網(wǎng)絡(luò)必須互相通信。因在測試環(huán)境，故FMC與FTD的管理接口設(shè)定同一網(wǎng)段；跨網(wǎng)段環(huán)境目前還沒有測試。

----------------------------------------------------------------------------------------

• FMC安裝，軟件版本6.2.0-362，按EVE-NG新增FMC軟件后啟動即可，軟件默認要求8G內(nèi)存、4個CPU。系統(tǒng)初次啟動到進入系統(tǒng)，花了近5個小時，所以要完成系統(tǒng)安裝得有耐心。以下是系統(tǒng)安裝步驟，為了寫文檔再次重裝FMC……

   以上是FMC的基本設(shè)定，需要注意的的是就是要使用"sudo su -"進入 root管理權(quán)限并使用configure-network 設(shè)定網(wǎng)卡的IP，然后使用https://172.16.100.50完成后面的設(shè)定。

   注：一定要記得把NTP服務(wù)打開，要不FTD注冊會有問題。我在些被卡過一次，F(xiàn)TD死活注冊不上。 

   以上就是FMC的安裝以及基本設(shè)定

----------------------------------------------------------------------------------------

• FTD安裝，軟件版本6.2.0-362，按EVE-NG新增FTD軟件后啟動即可，軟件默認要求8G內(nèi)存、4個CPU。系統(tǒng)初次啟動到進入系統(tǒng)，花了近1個小時。以下是系統(tǒng)安裝步驟

   

   完成以上就按一下設(shè)定新密碼、IP、system hostname 、firewall mode(routed/transparent，默認為routed模式)。

   因FTD沒有啥設(shè)定的，故以上是系統(tǒng)基本設(shè)定，使用ssh 172.16.100.45登錄FMC并使用show network驗證FMC設(shè)定是否正確。

----------------------------------------------------------------------------------------

• FTD向FMC注冊。使用命令configure manager add 172.16.100.50 cisco123向FMC(172.16.100.50注冊)，后面的cisco123是驗證keys

  FMC添加FTD基本設(shè)定如下：

   增加一條策略以便向FTD上發(fā)布。

   點擊"Register"按鈕后完成注冊，F(xiàn)MC系統(tǒng)將檢查到已經(jīng)注冊的FTD

   在FTD上使用"show managers"檢查注冊是否完成。

----------------------------------------------------------------------------------------

• FMC策略部署，主要設(shè)定FTD接口的IP、Router等信息，其它策略暫時不做測試。

• 在FTD上使用show running-config route等命令進行驗證

   在FMC上增加"EIGRP、OSPF和BGP消息排除從Firepower***檢查的"策略并下發(fā)測試

   在FTD上使用"show access-list"進行驗證