Configura accesso manager su FTD da gestione a interfaccia dati

Opzioni per il download

  • PDF     (1.7 MB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (1.7 MB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.5 MB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:12 agosto 2025
ID documento:222145

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritto il processo di modifica di Manager Access su Firepower Threat Defense (FTD) da un'interfaccia di gestione a un'interfaccia dati.

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • Firepower Threat Defense (FTD)
    • Firepower Management Center (FMC)

    Componenti usati

    • Firepower Management Center Virtual 7.4.1
    • Firepower Threat Defense Virtual 7.2.5

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Premesse

    Ogni dispositivo è dotato di un'unica interfaccia di gestione dedicata per la comunicazione con il CCP. Se si desidera, è possibile configurare il dispositivo in modo che utilizzi un'interfaccia dati per la gestione anziché l'interfaccia di gestione dedicata. L'accesso FMC a un'interfaccia dati è utile se si desidera gestire Firepower Threat Defense in remoto dall'interfaccia esterna oppure non si dispone di una rete di gestione separata. Questa modifica deve essere eseguita su Firepower Management Center per FTD gestito da FMC.

    L'accesso al FMC da un'interfaccia dati presenta alcune limitazioni:

    • È possibile abilitare l'accesso al manager solo su un'interfaccia dati fisica. Non è possibile utilizzare una sottointerfaccia o EtherChannel.
    • Solo modalità firewall con routing, tramite un'interfaccia con routing.
    • PPPoE non supportato. Se l'ISP richiede PPPoE, è necessario collegare un router con supporto PPPoE tra Firepower Threat Defense e il modem WAN.
    • Non è possibile utilizzare interfacce separate di gestione e solo eventi.

    Configurazione

    Procedere con la migrazione dell'interfaccia

    note-icon

    Nota: Si consiglia di disporre del backup più recente di FTD e FMC prima di procedere con eventuali modifiche.

    1. Passare alla pagina Dispositivi > Gestione dispositivi, quindi fare clic su Modifica per il dispositivo che si sta modificando.

    Navigate to Device Management to Edit

    2. Andare alla sezione Dispositivo > Gestione e fare clic sul collegamento per Interfaccia di accesso Manager.

    Modify the Management Access Interface

    Nel campo Interfaccia di accesso responsabile viene visualizzata l'interfaccia di gestione esistente. Fare clic sul collegamento per selezionare il nuovo tipo di interfaccia, ovvero l'opzione Data Interface (Interfaccia dati) nell'elenco a discesa Manage device by (Gestisci dispositivo per) e fare clic su Save (Salva).

    Change the Manager Access Interface from Management to Data

    3. A questo punto, è necessario passare a Abilita accesso di gestione su un'interfaccia dati, selezionare Dispositivi > Gestione dispositivi > Interfacce > Modifica interfaccia fisica > Accesso manager.

    Enable Management Access on Interface

    note-icon

    Nota: (facoltativo) se si utilizza un'interfaccia secondaria per la ridondanza, abilitare l'accesso di gestione sull'interfaccia utilizzata a scopo di ridondanza.

    (Facoltativo) Se si utilizza DHCP per l'interfaccia, abilitare il metodo DDNS di tipo Web nella finestra di dialogo Dispositivi > Gestione dispositivi > DHCP > DNS.

    (Facoltativo) Configurare il DNS in un criterio Impostazioni piattaforma e applicarlo al dispositivo in Dispositivi > Impostazioni piattaforma > DNS.

    4. Assicurarsi che la difesa contro le minacce possa essere indirizzata verso il centro di gestione attraverso l'interfaccia dati; Se necessario, aggiungere una route statica in Dispositivi > Gestione dispositivi > Instradamento > Instradamento statico.

    1. Fare clic su IPv4o IPv6 a seconda del tipo di route statica che si sta aggiungendo.
    2. Selezionare l'interfaccia a cui applicare la route statica.
    3. Nell'elenco Reti disponibili, scegliere la rete di destinazione.
    4. Nel campo Gateway o Gateway IPv6, immettere o scegliere il router gateway che rappresenta l'hop successivo per la route.

      (Facoltativo) Per controllare la disponibilità del ciclo di lavorazione, immettere o scegliere il nome di un oggetto di monitoraggio del contratto di servizio (SLA) che definisce il criterio di monitoraggio nel campo Tracciamento del ciclo di lavorazione.

    Configure Static Route for FTD

    5. Distribuire le modifiche alla configurazione. Le modifiche alla configurazione vengono ora distribuite sull'interfaccia di gestione corrente.

    6. Dalla CLI dell'FTD, impostare l'interfaccia di gestione in modo che utilizzi un indirizzo IP statico e il gateway come interfacce dati.

    • configure network {ipv4 | ipv6} manual ip_address netmask data-interfaces

    Configure Management on FTD to Use Data Interface as Gateway

    note-icon

    Nota: Sebbene non si preveda di utilizzare l'interfaccia di gestione, è necessario impostare un indirizzo IP statico. Ad esempio, un indirizzo privato che consente di impostare il gateway sulle interfacce dati. Questa gestione viene utilizzata per inoltrare il traffico di gestione all'interfaccia dati tramite l'interfaccia tap_nlp.

    7. Disabilitare la gestione nel centro di gestione. Fare clic su Modifica e aggiornare l'indirizzo IP dell'indirizzo host remoto e (facoltativo)l'indirizzo secondario per la difesa dalle minacce nella sezione Dispositivi > Gestione dispositivi > Dispositivo > Gestione e abilitare la connessione.

    Disable FTD Management on FMC

    Abilitazione del protocollo SSH sulle impostazioni della piattaforma

    Abilitare SSH per l'interfaccia dati nel criterio Impostazioni piattaforma e applicarlo al dispositivo in Dispositivi > Impostazioni piattaforma > Accesso SSH. Fare clic su Aggiungi.

    1. Gli host o le reti a cui è consentito effettuare connessioni SSH.
    2. Aggiungere le zone che contengono le interfacce per consentire le connessioni SSH. Per le interfacce non incluse in una zona, è possibile digitare il nome dell'interfaccia nell'elenco Zone selezionate/Interfacce e fare clic su Aggiungi.
    3. Fare clic su OK. Distribuire le modifiche.

    Configure SSH in Platform Settings

    note-icon

    Nota: SSH non è abilitato per impostazione predefinita sulle interfacce dati, quindi se si desidera gestire la difesa dalla minaccia con SSH, è necessario abilitarlo esplicitamente.

    Verifica

    Verificare che la connessione di gestione sia stabilita tramite l'interfaccia dati.

    Verifica dall'interfaccia grafica utente (GUI) di FMC

    Nel centro di gestione, controllare lo stato della connessione di gestione nella pagina Dispositivi > Gestione dispositivi > Dispositivo > Gestione > Accesso manager - Dettagli configurazione > Stato connessione.

    Verify the Management Connectivity Status Between FMC and FTD

    Verifica da CLI (Command Line Interface) FTD

    In corrispondenza di threat defenseCLI, immettere thesftunnel-status-brief per visualizzare lo stato della connessione di gestione.

    Command Output of sftunnel-status-brief

    Lo stato indica che la connessione per un'interfaccia dati è stata stabilita correttamente e mostra l'interfaccia tap_nlp interna.

    Risoluzione dei problemi

    Nel centro di gestione, controllare lo stato della connessione di gestione nella pagina Dispositivi > Gestione dispositivi > Dispositivo > Gestione > Accesso manager - Dettagli configurazione > Stato connessione.

    In corrispondenza di threat defenseCLI, immettere thesftunnel-status-brief per visualizzare lo stato della connessione di gestione. È inoltre possibile utilizzare ftunnel-status per visualizzare informazioni più complete.

    Stato connessione di gestione

    Scenario di lavoro

    Command Output of sftunnel-status-brief Indicating tap_nlp Interface

    Scenario non lavorativo

    Command Output of sftunnel-status Connectivity Status

    Convalida le informazioni di rete

    In corrispondenza di threat defenseCLI, visualizzare le impostazioni di rete dell'interfaccia di accesso ai dati di gestione e manager:

    > show network

    Show Network Output on FTD

    Convalida lo stato del manager

    Dalla CLI di difesa delle minacce, verificare che la registrazione del management center sia stata completata.

      > mostra manager

    Show Managers Command Output on FTD

    note-icon

    Nota: Questo comando non visualizza lo stato corrente della connessione di gestione.

    Convalida connettività di rete

    Eseguire il ping del centro di gestione

    Su threat defenseCLI, usare il comando per eseguire il ping del centro di gestione dalle interfacce dati:

      > ping ip_fmc

    Ping to FMC to Verify Connectivity from FMC

    In corrispondenza di threat defenseCLI, usare il comando per eseguire il ping del centro di gestione dall'interfaccia di gestione, che instrada il backplane verso le interfacce dati:

      > sistema ping fmc_ip

    Ping to FMC to Verify Connectivity from FMC over Management Interface

    Controllo dello stato dell'interfaccia, delle statistiche e del numero di pacchetti

    Su threat defenseCLI, vedere le informazioni sull'interfaccia del backplane interno, nlp_int_tap:

      > show interface detail

    Interface Stats on FTD

    Convalida ciclo di lavorazione su FTD per raggiungere FMC

    In corrispondenza di threat defenseCLI, verificare che la route predefinita (S*) sia stata aggiunta e che esistano regole NAT interne per l'interfaccia di gestione (nlp_int_tap).

      > show route

    Validating Route on FTD

      > show nat

    NAT Config on FTD for Management Traffic

    Controllare le statistiche di Sftunnel e connessione

      > show running-config tunnel

    Running Config for Sftunnel

    warning-icon

    Avviso: Durante il processo di modifica dell'accesso del responsabile, astenersi dall'eliminare il responsabile sull'FTD o dall'annullare/forzare l'eliminazione dell'FTD dal FMC.

    Informazioni correlate

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    2.0
    12-Aug-2025
    Formattazione aggiornata. Certificazione
    1.0
    18-Jul-2024
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Saikumar Boinpally
      Tecnico di consulenza per la sicurezza

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti