近日利用EVE-NG搭建了Cisco FirePower测试平台。为了这次搭建这次测试环境，花了近一个星期时间去研究FirePower系统以及架构。因是在EVE-NG环境上搭建的，首先对电脑性能得要有一定的要求，再次就是得有耐心(安装FMC，足足花了6个多小时)。以下测试环境，除了研究官方文档外，下载了几个版本的软件、安装了N次并修改了N次架构才完成。

在此我得吐槽一下，Cisco系统的兼容性实在太烂了，网官上所述的BUG基本上都能碰到，另外就是实在太豪资源了，8G内存、4核CPU跑得卡死了。以前部署Prime Infrastructure生产环境，标准版本系统要求4*4 CPU、32G内存、1T硬盘，但是运行起来也是慢得要命；Cisco的Web页面也烂得很。

另外圈内人士好象对技术堡垒非常的保守，在网上找了一个星期多，能找能关于Cisco FirePower相关的技术文档非常非常少(除了官网外)，能找到的也只是介绍部分内容。再来就是内网关于EVE-NG上跑Cisco FirePower一丁点资源都没有(当然还是 除了官网外以及外网外)，所以希望大家尊重一下我的劳动成果。

以下本次实验环境的架构图，此架构图还是比较简单

1). NET4为EVE-NG桥接到外面主机的网卡，网段为172.16.100.0/24,此方利用桥接的方式连接FMC与FTP的管理接口Eth0。

2). FMC01: Cisco FirePower Manager Center,用于管理FTD(Cisco Firepower Threat Defense(FTD),IP Address: 172.16.100.50/24 GateWay: 172.16.100.1

3). FTD01: Cisco Firepower Threat Defense, IP Address: 172.16.100.46/24

4). R3: Inside Network,内网接口E0/0上连接一台Win 主机，内网网段 10.133.32.0/24

5). R2: Outside Network,模拟外网即是互联网，E0/0连接一台Win主机，外网网段: 192.168.201.0/24

重点：FMC与FTD都是使用e0/0(在虚拟机环境)做为管理接口，并且所有基础设定只能设定E0/0接口的IP Address作为管理IP,FTD向FMC初始注册只能使用管理接口，因此FMC与FTD的管理接口之间网络必须互相通信。因在测试环境，故FMC与FTD的管理接口设定同一网段；跨网段环境目前还没有测试。

----------------------------------------------------------------------------------------

• FMC安装，软件版本6.2.0-362，按EVE-NG新增FMC软件后启动即可，软件默认要求8G内存、4个CPU。系统初次启动到进入系统，花了近5个小时，所以要完成系统安装得有耐心。以下是系统安装步骤，为了写文档再次重装FMC……

以上是FMC的基本设定，需要注意的的是就是要使用"sudo su -"进入 root管理权限并使用configure-network 设定网卡的IP，然后使用https://172.16.100.50完成后面的设定。

注：一定要记得把NTP服务打开，要不FTD注册会有问题。我在些被卡过一次，FTD死活注册不上。

以上就是FMC的安装以及基本设定

----------------------------------------------------------------------------------------

• FTD安装，软件版本6.2.0-362，按EVE-NG新增FTD软件后启动即可，软件默认要求8G内存、4个CPU。系统初次启动到进入系统，花了近1个小时。以下是系统安装步骤

  

完成以上就按一下设定新密码、IP、system hostname 、firewall mode(routed/transparent，默认为routed模式)。

因FTD没有啥设定的，故以上是系统基本设定，使用ssh 172.16.100.45登录FMC并使用show network验证FMC设定是否正确。

----------------------------------------------------------------------------------------

• FTD向FMC注册。使用命令configure manager add 172.16.100.50 cisco123向FMC(172.16.100.50注册)，后面的cisco123是验证keys

FMC添加FTD基本设定如下：

增加一条策略以便向FTD上发布。

点击"Register"按钮后完成注册，FMC系统将检查到已经注册的FTD

在FTD上使用"show managers"检查注册是否完成。

----------------------------------------------------------------------------------------

• FMC策略部署，主要设定FTD接口的IP、Router等信息，其它策略暂时不做测试。

• 在FTD上使用show running-config route等命令进行验证

在FMC上增加"EIGRP、OSPF和BGP消息排除从Firepower***检查的"策略并下发测试

在FTD上使用"show access-list"进行验证