Tweet
FMC cho phép quản lý tập trung nhiều thiết bị FTD, từ chính sách, giám sát, đến phân tích log. Vậy bước khởi tạo FMC ban đầu như thế nào? Đây chính là nền móng cho toàn bộ hệ thống firewall của doanh nghiệp.
1. Yêu cầu triển khai vật lý
Cisco cung cấp cả appliance vật lý (1600, 2500, 4600) và bản ảo (virtual FMC). Dù dùng loại nào thì trước tiên bạn phải cấu hình cơ bản để thiết bị có thể hòa vào mạng quản trị.
👉 Mặc định eth0 sẽ dùng DHCP để lấy IP/DNS/Gateway. Nếu thất bại, thiết bị sẽ rơi về:
Thông số này hiếm khi phù hợp với mạng quản trị thật, nên hầu như bạn phải cấu hình thủ công.
💡 Tip: Nếu không dùng in-band management, bạn có thể kết nối trực tiếp qua console, hoặc gắn bàn phím + màn hình vào appliance. Với bản ảo, truy cập console từ hypervisor.
2. Đăng nhập lần đầu vào CLI
3. Đổi mật khẩu Admin
FMC buộc bạn đổi mật khẩu mặc định. Yêu cầu:
📌 Sau khi đổi, mật khẩu áp dụng cho cả CLI và Web GUI. Về sau bạn có thể đổi riêng từng loại, nhưng bước đầu tiên thì đồng bộ.
4. Thực hiện bootstrap cấu hình mạng
CLI sẽ khởi chạy wizard:
Ví dụ:
IP: 192.168.111.20 Mask: 255.255.255.0 Gateway: 192.168.111.254 DNS: 192.168.111.100 NTP: 192.168.123.1
Sau khi nhập, hệ thống hiển thị lại config → bạn xác nhận bằng y. Nếu đang SSH, bạn sẽ bị disconnect và cần SSH lại bằng IP mới.
5. Chỉnh sửa cấu hình mạng sau khi đã khởi tạo
Nếu sau này muốn đổi IP/DNS/Gateway:
Xong xuôi, bạn sẽ nhận được URL để truy cập GUI bằng trình duyệt.
6. Kiểm tra kết nối mạng
Chỉ root mới ping được:
ping 192.168.111.254 # ping gateway ping 192.168.111.50 # ping FTD device
Nhấn Ctrl+C để dừng.
💡 Ví dụ thực tế: Trong một lab, nếu bạn triển khai FMC ảo trên VMware ESXi, hãy map card mạng VM vào port-group VLAN quản trị (ví dụ VLAN 111). Sau khi cấu hình manual IP 192.168.111.20, từ laptop trong cùng VLAN, bạn mở browser:
→ Giao diện GUI của FMC sẽ hiện ra để tiếp tục cấu hình (add FTD, license, policy...).
1. Yêu cầu triển khai vật lý
Cisco cung cấp cả appliance vật lý (1600, 2500, 4600) và bản ảo (virtual FMC). Dù dùng loại nào thì trước tiên bạn phải cấu hình cơ bản để thiết bị có thể hòa vào mạng quản trị.
- Trên appliance, cổng eth0 chính là giao diện quản trị (cổng số 1 phía sau máy).
- Trên FMC ảo, bạn phải đảm bảo card mạng VM được ánh xạ chính xác vào eth0.
- FMC có thể có thêm eth1, eth2 để kết nối vào cùng hoặc khác subnet quản lý, nhưng bước khởi tạo chỉ tập trung vào eth0.
👉 Mặc định eth0 sẽ dùng DHCP để lấy IP/DNS/Gateway. Nếu thất bại, thiết bị sẽ rơi về:
- IP: 192.168.45.45
- Mask: 255.255.255.0
- Gateway: 192.168.45.1
Thông số này hiếm khi phù hợp với mạng quản trị thật, nên hầu như bạn phải cấu hình thủ công.
💡 Tip: Nếu không dùng in-band management, bạn có thể kết nối trực tiếp qua console, hoặc gắn bàn phím + màn hình vào appliance. Với bản ảo, truy cập console từ hypervisor.
2. Đăng nhập lần đầu vào CLI
- Tài khoản mặc định: admin / Admin123 (phân biệt hoa thường).
- Nếu nhập sai nhiều lần, CLI sẽ báo số lần thất bại cùng timestamp.
- Ngay sau khi login, bạn bắt buộc chấp nhận EULA (nhấn Enter để xem, gõ Yes hoặc Enter để đồng ý). Nếu từ chối, hệ thống sẽ log out ngay.
3. Đổi mật khẩu Admin
FMC buộc bạn đổi mật khẩu mặc định. Yêu cầu:
- ≥ 8 ký tự
- Ít nhất 1 chữ thường, 1 chữ hoa, 1 số
- Ít nhất 1 ký tự đặc biệt (@ # - + !)
- Không lặp quá 2 ký tự liên tiếp
- Không được là chuỗi đơn giản hay nằm trong dictionary (ví dụ: abcdefg, passw0rd).
📌 Sau khi đổi, mật khẩu áp dụng cho cả CLI và Web GUI. Về sau bạn có thể đổi riêng từng loại, nhưng bước đầu tiên thì đồng bộ.
4. Thực hiện bootstrap cấu hình mạng
CLI sẽ khởi chạy wizard:
- Hỏi hostname hoặc FQDN (ví dụ: fmc.lab.local). Nếu dùng FQDN, bạn phải khai báo trong DNS và cấu hình SAN cho certificate để tránh báo lỗi khi truy cập GUI.
- Hỏi cấu hình IPv4: DHCP (mặc định) hay manual. Nếu chọn manual, bạn nhập:
- IP, subnet mask, gateway
- DNS servers
- NTP server
Ví dụ:
IP: 192.168.111.20 Mask: 255.255.255.0 Gateway: 192.168.111.254 DNS: 192.168.111.100 NTP: 192.168.123.1
Sau khi nhập, hệ thống hiển thị lại config → bạn xác nhận bằng y. Nếu đang SSH, bạn sẽ bị disconnect và cần SSH lại bằng IP mới.
5. Chỉnh sửa cấu hình mạng sau khi đã khởi tạo
Nếu sau này muốn đổi IP/DNS/Gateway:
- Đăng nhập CLI → gõ expert để vào Linux shell (Admin$fmc:~$).
- Gõ sudo su → nhập mật khẩu để thành root (root@fmc:/...#).
- Chạy lệnh:
/usr/local/sf/bin/configure-network
→ Wizard sẽ hiện lại config cũ trong ngoặc [ ], bạn có thể nhấn Enter để giữ nguyên hoặc nhập giá trị mới.
Xong xuôi, bạn sẽ nhận được URL để truy cập GUI bằng trình duyệt.
6. Kiểm tra kết nối mạng
Chỉ root mới ping được:
ping 192.168.111.254 # ping gateway ping 192.168.111.50 # ping FTD device
Nhấn Ctrl+C để dừng.
💡 Ví dụ thực tế: Trong một lab, nếu bạn triển khai FMC ảo trên VMware ESXi, hãy map card mạng VM vào port-group VLAN quản trị (ví dụ VLAN 111). Sau khi cấu hình manual IP 192.168.111.20, từ laptop trong cùng VLAN, bạn mở browser:
→ Giao diện GUI của FMC sẽ hiện ra để tiếp tục cấu hình (add FTD, license, policy...).
Attached Files