Firepower Threat Defense（FTD）管理インターフェイスの設定

はじめに

このドキュメントでは、Cisco Secure Firewall Threat Defense(旧称Firepower Threat Defense(FTD))の管理インターフェイス(MMI)の動作と設定について説明します。

注:FTDソフトウェアバージョン7.4以降では、統合管理インターフェイス(CMI)とも呼ばれる統合された管理インターフェイスと診断インターフェイスがサポートされています。
CMIはデフォルトで有効になっており、ユーザが無効にできます。詳細については、https://www.cisco.com/c/en/us/td/docs/security/secure-firewall/management-center/device-config/770/management-center-device-config-77/get-started-device-management.htmlの「統合された管理および診断インターフェイス」の項を参照してください。

このドキュメントで説明する情報は、主に、無効なCMI（統合されていない診断および管理インターフェイス）を持つファイアウォールに適用されます。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

• ASA5508-Xハードウェアアプライアンスで稼働するFTD
• ASA5512-Xハードウェアアプライアンスで稼働するFTD
• FPR9300ハードウェアアプライアンスで稼働するFTD
• 6.1.0（ビルド330）で稼働するFMC

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

背景説明

このドキュメントの目的は以下の事項の説明です。

• ASA5500-X デバイスの FTD 管理インターフェイス アーキテクチャ
• FDM 使用時の FTD 管理インターフェイス
• FP41xx/FP9300 シリーズでの FTD 管理インターフェイス
• Cisco Secure Firewallデバイスの管理インターフェイス(1xxx、12xx、31xx、42xx)
• FTD/Firepower Management Center（FMC）の統合のシナリオ

設定

7.4以降のソフトウェアリリース

7.4の時点では、ファイアウォールはデフォルトでConverged Management Interface(CMI)モードを使用します。

FTD3100# show management-interface convergence
management-interface convergence

NATは、CMIの内部実装として使用されます。

• 内部プライベートIPv4アドレス(203.0.113.130)は、IPv4のデータプレーンで自動的に設定されます。
• 内部プライベートIPv6アドレス(fd00:0:1:1::2)は、IPv6のデータプレーンで自動的に設定されます。

FTD3100# show interface ip brief       
Interface                  IP-Address      OK?           Method Status      Protocol
Internal-Data0/1           unassigned      YES           unset  up          up 
Port-channel5              192.0.2.1       YES           unset  up          up 
Ethernet1/1                unassigned      YES           unset  admin down  down
Ethernet1/2                unassigned      YES           unset  admin down  down
Ethernet1/5                unassigned      YES           unset  admin down  down
Ethernet1/6                unassigned      YES           unset  admin down  down
Ethernet1/7                unassigned      YES           unset  admin down  down
Ethernet1/8                unassigned      YES           unset  admin down  down
Ethernet1/9                unassigned      YES           unset  admin down  down
Ethernet1/10               unassigned      YES           unset  admin down  down
Ethernet1/11               unassigned      YES           unset  admin down  down
Ethernet1/12               unassigned      YES           unset  admin down  down
Ethernet1/13               unassigned      YES           unset  admin down  down
Ethernet1/14               unassigned      YES           unset  admin down  down
Ethernet1/15               unassigned      YES           unset  admin down  down
Ethernet1/16               unassigned      YES           unset  admin down  down
Internal-Control1/1        unassigned      YES           unset  up          up 
Internal-Data1/1           169.254.1.1     YES           unset  up          up 
Internal-Data1/2           unassigned      YES           unset  up          up 
Management1/1              203.0.113.130   YES           unset  up          up  <----

詳細については、https://www.cisco.com/c/en/us/support/docs/security/secure-firewall-threat-defense/222680-claifry-the-purpose-of-ip-address-203-0.htmlを参照してください。

7.4より前のリリース

ASA 5500-X デバイスの管理インターフェイス

注:ASA 5500-Xデバイスのほとんどは、サポート終了および販売終了が発表されています。https://www.cisco.com/c/en/us/products/security/asa-5500-series-next-generation-firewalls/eos-eol-notice-listing.html

FTDイメージがASA 55xxデバイスにインストールされている場合、管理インターフェイスはManagement1/1と表示されます。5512/15/25/45/55-X デバイスでは、これが Management0/0 と表示されます。FTD コマンドライン インターフェイス（CLI）から show tech support を実行すると、この表示を確認できます。

FTD コンソールに接続して、次のコマンドを実行します。

> show tech-support
-----------------[ BSNS-ASA5508-1 ]-----------------
Model                     : Cisco ASA5508-X Threat Defense (75) Version 6.1.0 (Build 330)
UUID                      : 04f55302-a4d3-11e6-9626-880037a713f3
Rules update version      : 2016-03-28-001-vrt
VDB version               : 270
----------------------------------------------------

Cisco Adaptive Security Appliance Software Version 9.6(2)

Compiled on Tue 23-Aug-16 19:42 PDT by builders
System image file is "disk0:/os.img"
Config file at boot was "startup-config"

firepower up 13 hours 43 mins

Hardware:   ASA5508, 8192 MB RAM, CPU Atom C2000 series 2000 MHz, 1 CPU (8 cores)
Internal ATA Compact Flash, 8192MB
BIOS Flash M25P64 @ 0xfed01000, 16384KB

Encryption hardware device : Cisco ASA Crypto on-board accelerator (revision 0x1)
                             Number of accelerators: 1

 1: Ext: GigabitEthernet1/1  : address is d8b1.90ab.c852, irq 255
 2: Ext: GigabitEthernet1/2  : address is d8b1.90ab.c853, irq 255
 3: Ext: GigabitEthernet1/3  : address is d8b1.90ab.c854, irq 255
 4: Ext: GigabitEthernet1/4  : address is d8b1.90ab.c855, irq 255
 5: Ext: GigabitEthernet1/5  : address is d8b1.90ab.c856, irq 255
 6: Ext: GigabitEthernet1/6  : address is d8b1.90ab.c857, irq 255
 7: Ext: GigabitEthernet1/7  : address is d8b1.90ab.c858, irq 255
 8: Ext: GigabitEthernet1/8  : address is d8b1.90ab.c859, irq 255
 9: Int: Internal-Data1/1    : address is d8b1.90ab.c851, irq 255
10: Int: Internal-Data1/2    : address is 0000.0001.0002, irq 0
11: Int: Internal-Control1/1 : address is 0000.0001.0001, irq 0
12: Int: Internal-Data1/3    : address is 0000.0001.0003, irq 0
13:   Ext: Management1/1       : address is d8b1.90ab.c851, irq 0
14: Int: Internal-Data1/4    : address is 0000.0100.0001, irq 0

ASA5512-X の場合

> show tech-support
-------------------[ FTD5512-1 ]--------------------
Model                     : Cisco ASA5512-X Threat Defense (75) Version 6.1.0 (Build 330)
UUID                      : 8608e98e-f0e9-11e5-b2fd-b649ba0c2874
Rules update version      : 2016-03-28-001-vrt
VDB version               : 270
----------------------------------------------------

Cisco Adaptive Security Appliance Software Version 9.6(2)

Compiled on Fri 18-Aug-16 15:08 PDT by builders
System image file is "disk0:/os.img"
Config file at boot was "startup-config"

firepower up 4 hours 37 mins

Hardware:   ASA5512, 4096 MB RAM, CPU Clarkdale 2793 MHz, 1 CPU (2 cores)
            ASA: 1764 MB RAM, 1 CPU (1 core)
Internal ATA Compact Flash, 4096MB
BIOS Flash MX25L6445E @ 0xffbb0000, 8192KB

Encryption hardware device: Cisco ASA Crypto on-board accelerator (revision 0x1)
                             Boot microcode        : CNPx-MC-BOOT-2.00
                             SSL/IKE microcode     : CNPx-MC-SSL-SB-PLUS-0005
                             IPSec microcode       : CNPx-MC-IPSEC-MAIN-0026
                             Number of accelerators: 1
Baseboard Management Controller (revision 0x1) Firmware Version: 2.4

 0: Int: Internal-Data0/0    : address is a89d.21ce.fde6, irq 11
 1: Ext: GigabitEthernet0/0  : address is a89d.21ce.fdea, irq 10
 2: Ext: GigabitEthernet0/1  : address is a89d.21ce.fde7, irq 10
 3: Ext: GigabitEthernet0/2  : address is a89d.21ce.fdeb, irq 5
 4: Ext: GigabitEthernet0/3  : address is a89d.21ce.fde8, irq 5
 5: Ext: GigabitEthernet0/4  : address is a89d.21ce.fdec, irq 10
 6: Ext: GigabitEthernet0/5  : address is a89d.21ce.fde9, irq 10
 7: Int: Internal-Control0/0 : address is 0000.0001.0001, irq 0
 8: Int: Internal-Data0/1    : address is 0000.0001.0003, irq 0
   9: Ext: Management0/0       : address is a89d.21ce.fde6, irq 0

Management Interface Architecture（7.4より前のリリース）

管理インターフェイスは、br1(FPR2100/4100/9300アプライアンスではmanagement0)とdiagnosticの2つの論理インターフェイスに分けられます。

 >configure network ipv4 manual 10.1.1.2 255.0.0.0 10.1.1.1
Setting IPv4 network configuration.
Network settings changed. 

>

  > configure ssh-access-list 10.0.0.0/8

  > show network
  ...
  =======[ br1 ]=======
  State : Enabled
  Channels : Management & Events
  Mode :
  MDI/MDIX : Auto/MDIX
  MTU : 1500
  MAC Address : 18:8B:9D:1E:CA:7B
  ----------------------[ IPv4 ]-----
  Configuration : Manual
  Address : 10.1.1.2
  Netmask : 255.0.0.0
  Broadcast : 10.1.1.255
  ----------------------[ IPv6 ]-----

  firepower# show interface ip brief
..
  Management1/1 192.168.1.1 YES unset up up

  firepower# show run interface m1/1
  !
  interface Management1/1
   management-only
   nameif diagnostic
   security-level 0
   ip address 192.168.1.1 255.255.255.0

FTD のロギング

• ユーザがプラットフォームの設定からFTDロギングを設定すると、FTDは（従来のASAと同様に）syslogメッセージを生成し（従来のASAの場合と同様）、送信元として任意のデータインターフェイスを使用できます（診断を含む）。 その場合に生成される syslog メッセージの例を次に示します。

May 30 2016 19:25:23 firepower : %ASA-6-302020: Built inbound ICMP connection for faddr 192.168.75.14/1 gaddr 192.168.76.14/0 laddr 192.168.76.14/0

• 一方、アクセスコントロールポリシー(ACP)のルールレベルのロギングが有効になっていると、FTDは送信元としてbr1論理インターフェイスを使用してこれらのログを送信します。FTD br1 サブインターフェイスが、ログの送信元になります。

FDM での FTD の管理（オンボックス管理）

6.1 バージョン以降、ASA5500-X アプライアンスにインストールされている FTD は、FMC（オフボックス管理）または Firepower Device Manager（FDM）（オンボックス管理）のいずれかで管理できます。

デバイスが FDM によって管理されているときの FTD CLISH からの出力は、次のようになります。

> show managers
Managed locally.
>

FDM では br1 論理インターフェイスが使用されます。それを図で示します。

FDM の UI で、管理インターフェイスにアクセスするには、[デバイスダッシュボード（Device Dashboard）] > [システム設定（System Settings）] > [デバイス管理IP（Device Management IP）] の順に移動します。

FTD Firepower ハードウェアアプライアンスの管理インターフェイス

FTD は、Firepower 2100、4100、9300 ハードウェアアプライアンスにもインストールできます。Firepower のシャーシは FXOS と呼ばれる独自の OS を実行し、FTD はモジュールやブレードにインストールされます。

FPR21xx アプライアンス

FPR41xx アプライアンス

FPR9300 アプライアンス

FPR4100/9300 では、このインターフェイスは、シャーシ管理専用であり、FP モジュール内で動作する FTD ソフトウェアでは使用または共有できません。FTD モジュール向けには、FTD を管理する個別のデータインターフェイスを割り当てます。

FPR2100 では、このインターフェイスは、シャーシ（FXOS）と FTD 論理アプライアンスの間で共有されます。

> show network
===============[ System Information ]===============
Hostname                  : ftd623
Domains                   : cisco.com
DNS Servers               : 192.168.200.100
                            8.8.8.8
Management port           : 8305
IPv4 Default route
  Gateway                 : 10.62.148.129

==================[ management0 ]===================
State                     : Enabled
Channels                  : Management & Events
Mode                      : Non-Autonegotiation
MDI/MDIX                  : Auto/MDIX
MTU                       : 1500
MAC Address               : 70:DF:2F:18:D8:00
----------------------[ IPv4 ]----------------------
Configuration             : Manual
Address                   : 10.62.148.179
Netmask                   : 255.255.255.128
Broadcast                 : 10.62.148.255
----------------------[ IPv6 ]----------------------
Configuration             : Disabled

> connect fxos
Cisco Firepower Extensible Operating System (FX-OS) Software
...
firepower#

このスクリーンショットは、FTD管理用の個別のインターフェイスが割り当てられているFPR4100上のFirepower Chassis Manager(FCM)UIのものです。この例では、Ethernet1/3がFTD管理インターフェイスとして選択されています：p1

これは、Logical Devicesタブ：p2でも確認できます。

FMCでは、インターフェイスはdiagnostic: p3と表示されます。

CLI を使用した確認

FP4100# connect module 1 console
Firepower-module1>connect ftd
Connecting to ftd console... enter exit to return to bootCLI
>
> show interface
… output omitted …

Interface Ethernet1/3 "diagnostic", is up, line protocol is up
  Hardware is EtherSVI, BW 10000 Mbps, DLY 1000 usec
        MAC address 5897.bdb9.3e0e, MTU 1500
        IP address unassigned
  Traffic Statistics for "diagnostic":
        1304525 packets input, 63875339 bytes
        0 packets output, 0 bytes
        777914 packets dropped
      1 minute input rate 2 pkts/sec,  101 bytes/sec
      1 minute output rate 0 pkts/sec,  0 bytes/sec
      1 minute drop rate, 1 pkts/sec
      5 minute input rate 2 pkts/sec,  112 bytes/sec
      5 minute output rate 0 pkts/sec,  0 bytes/sec
      5 minute drop rate, 1 pkts/sec
        Management-only interface. Blocked 0 through-the-device packets

… output omitted …
>

FTD と FMC の統合 - 管理シナリオ

ASA5500-Xデバイス上で実行されるFTDをFMCから管理できるようにする導入オプションの一部を次に示します。

シナリオ 1.FTDとFMCが同じサブネット上にある。

これは最も簡単な方法です。図に示すように、FMCはFTD br1インターフェイスと同じサブネットにあります。

シナリオ 2.異なるサブネット上のFTDとFMC。コントロール プレーンが FTD を通過しない。

この導入では、FTDにはFMCへのルートおよびその逆のルートが必要です。次のように、FTD のネクストホップは L3 デバイス（ルータ）になります。

関連情報

• テクニカル サポートとドキュメント - Cisco Systems
• https://www.cisco.com/c/en/us/td/docs/security/secure-firewall/management-center/device-config/770/management-center-device-config-77/get-started-device-management.html
• https://www.cisco.com/c/en/us/td/docs/security/secure-firewall/roadmap/management-center-new-features-by-release.html#new-features-fmc-740