はじめに
このドキュメントでは、FTDがインストールされたSecure Firewall 2100シリーズに対して、Secure Firewall Device Management(FDM)オンボックス管理サービスを設定する方法について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- Cisco Secure Firewall 2100、FTDソフトウェアのインストール
- Cisco Secure Firewall(CSF)Threat Defense(FTD)の基本設定とトラブルシューティング
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- Cisco Secure Firewall 2100シリーズ
- Cisco FTDバージョン6.2.3
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
このドキュメントの主な目的は、セキュアファイアウォール 2100シリーズでFDMオンボックス管理を有効にするために必要な手順を説明することです。
Secure Firewall Threat Defense(FTD)をsecure firewall 2100シリーズにインストールして管理するには、次の2つのオプションがあります。
- Secure Firewall Device Management(FDM)オンボックス管理
- Cisco Secure Firewall Management Center(FMC)
注意:セキュア・ファイアウォール2100にインストールされたFTDは、FDMとFMCの両方で同時に管理することはできません。Secure Firewall 2100 FTDでFDMオンボックス管理を有効にすると、ローカル管理が無効にされ、FMC用に再設定されない限り、FMC経由の管理ができなくなります。逆に、FTDをFMCに登録すると、デバイス上のFDMオンボックス管理サービスが自動的に無効になります。
Secure Firewall Migration Tool(FMT)を使用して、FDMを使用してローカルで管理されているデバイスから、FMCによって管理されているデバイスに設定をシームレスに移行します。詳細は、「移行ツールを使用したFDM管理対象デバイスのCisco Secure Firewall Threat Defenseへの移行」を参照してください。
管理インターフェイスは、br1(2100/4100/9300アプライアンスのmanagement0)とdiagnosticの2つの論理インターフェイスに分けられます。

|
管理 – br1/management0 |
管理 - 診断 |
目的 |
- このインターフェイスは、FTD/FMC 通信に使用される FTD の IP を割り当てるために使用されます。
- FMC/FTD 間における sftunnel の終端となります。
- ルールベースの syslog の送信元として使用されます。
- SSH および HTTPS による、FTD アプライアンスへのアクセスを可能にします。
|
- ASAエンジンへのリモートアクセス(SNMPなど)を提供します。
- LINAレベルのsyslog、AAA、SNMPなどのメッセージの送信元として使用されます。
|
Mandatory |
はい。FTD/FMC通信に使用されるため(sftunnelが終端します)。
|
いいえ。設定することは推奨されません。代わりにデータインターフェイスを使用することをお勧めします(以下の注を参照)。
|
注:診断インターフェイスのIPアドレスをオフのままにしておくと、管理インターフェイスを他のデータインターフェイスと同じネットワークに配置できるという利点があります。診断インターフェイスを設定する場合、そのIPアドレスは管理IPアドレスと同じネットワーク上にある必要があり、他のデータインターフェイスと同じネットワーク上に存在できない通常のインターフェイスとしてカウントされます。管理インターフェイスは更新のためにインターネットアクセスを必要とするため、管理インターフェイスを内部FTDインターフェイスと同じネットワークに配置することは、LAN上のスイッチのみを使用してFTDを展開し、内部インターフェイスを管理インターフェイスのデフォルトゲートウェイとして指定することを意味します(これは、FTDがルーテッドモードで展開される場合にのみ適用されます)。
FTDは、セキュアなファイアウォール2100アプライアンスにインストールできます。シャーシは、Secure Firewall eXtensible Operating System(FXOS)と呼ばれる独自のオペレーティングシステムを実行してデバイスの基本動作を制御し、FTD論理デバイスはモジュール/ブレードにインストールされます。
注:fchassis機能の設定には、Secure Firewall Chassis Manager(FCM)と呼ばれるFXOSのGraphic User Interface(GUI;グラフィックユーザインターフェイス)またはFXOSのCommand Line Interface(CLI;コマンドラインインターフェイス)を使用できます。ただし、FTDが2100シリーズにインストールされている場合は、FXOS CLIのみが使用できます。
セキュアファイアウォール21xxアプライアンス:

注:セキュアファイアウォール 2100シリーズでは、管理インターフェイスはシャーシのFXOSとFTDの論理デバイスの間で共有されます。
設定
ネットワーク図
デフォルト設定では、特定のsecure firewall 2100インターフェイスが内部および外部ネットワークに使用されることが想定されています。これらの期待に基づいてネットワークケーブルをインターフェイスに接続すると、初期設定が簡単になります。セキュアファイアウォール 2100シリーズのケーブル配線については、次の図を参照してください。

注:次の図は、レイヤ2スイッチを使用する簡単なトポロジを示しています。その他のトポロジを使用でき、基本的な論理ネットワーク接続、ポート、アドレッシング、および設定要件によって導入環境が異なる場合があります。
コンフィギュレーション
セキュアファイアウォール 2100シリーズでFDMオンボックス管理を有効にするには、次の手順を実行します。
1. 2100シャーシへのコンソールアクセスとFTDアプリケーションへの接続
firepower# connect ftd
>
2. FTD管理IPアドレスを設定します。
>configure network ipv4 manual 10.88.243.253 255.255.255.128 10.88.243.1
3. 管理タイプをローカルとして設定します。
>configure manager local
4. FTDへのオンボックス管理アクセスを許可できるIPアドレス/サブネットを設定します。
>configure https-access-list 0.0.0.0/0
5. ブラウザを開き、FTDを管理するために設定したIPアドレスにhttpsで入ります。これにより、FDM(On-Box)マネージャが開きます。

6. ログインし、デフォルトのセキュアファイアウォール(SSH)クレデンシャル、ユーザ名admin、およびパスワードAdmin123を使用します。

確認
1. 次のコマンドを使用して、FTDに対して設定したネットワーク設定を確認します。
> show network
===============[ System Information ]===============
Hostname : firepower
DNS Servers : 10.67.222.222
10.67.220.220
Management port : 8305
IPv4 Default route
Gateway : 10.88.243.129
==================[ management0 ]===================
State : Enabled
Channels : Management & Events
Mode : Non-Autonegotiation
MDI/MDIX : Auto/MDIX
MTU : 1500
MAC Address : 00:2C:C8:41:09:80
----------------------[ IPv4 ]----------------------
Configuration : Manual
Address : 10.88.243.253
Netmask : 255.255.255.128
Broadcast : 10.88.243.255
----------------------[ IPv6 ]----------------------
Configuration : Disabled
===============[ Proxy Information ]================
State : Disabled
Authentication : Disabled
2. 次のコマンドを使用して、FTDに対して設定した管理タイプを確認します。
> show managers
Managed locally.
関連情報