はじめに
このドキュメントでは、Firepower Threat Defense(FTD)上のManager Access(MA)を管理インターフェイスからデータインターフェイスに変更するプロセスについて説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- Firepower Threat Defense(FTD)
- Firepower Management Center(FMC)
使用するコンポーネント
- Firepower Management Center(FMC)仮想7.4.1
- Firepower Threat Defense(FTD)仮想7.2.5
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
各デバイスには、FMCと通信するための単一の専用管理インターフェイスが含まれています。オプションで、専用の管理インターフェイスの代わりにデータインターフェイスを管理用に使用するようにデバイスを設定できます。データインターフェイスのFMCアクセスは、Firepower Threat Defenseを外部インターフェイスからリモートで管理する場合や、個別の管理ネットワークがない場合に役立ちます。この変更は、FMCによって管理されるFTDのFirepower Management Center(FMC)で実行する必要があります。
データインターフェイスからのFMCアクセスには、いくつかの制限があります。
- 1つの物理データインターフェイスでのみマネージャアクセスを有効にできます。サブインターフェイスまたはEtherChannelは使用できません。
- ルーテッドファイアウォールモードのみ。ルーテッドインターフェイスを使用する。
- PPPoEはサポートされていません。ISPがPPPoEを必要とする場合、Firepower Threat Defense(FTD)とWANモデムの間にPPPoEをサポートするルータを配置する必要があります。
- 個別の管理インターフェイスとイベントのみのインターフェイスは使用できません。
設定
インターフェイスの移行に進む
注:変更を行う前に、FTDとFMCの両方の最新のバックアップを用意することを強くお勧めします。
-
Devices > Device Managementページに移動し、変更するデバイスのEditをクリックします。

2. > セクションに移動し、のリンクをクリックします。

Manager Access Interfaceフィールドには、既存の管理インターフェイスが表示されます。リンクをクリックして、新しいインターフェイスタイプを選択します。これは、Manage device byドロップダウンリストのData Interfaceオプションで、Saveをクリックします。

3. 次に、データインターフェイスで管理アクセスをイネーブルにするに進み、Devices > Device Management > Interfaces > Edit Physical Interface > Manager Accessに移動する必要があります。

注:(オプション)冗長性のためにセカンダリインターフェイスを使用する場合は、冗長性のために使用されるインターフェイスで管理アクセスを有効にします。
(オプション)インターフェイスにDHCPを使用する場合は、Devices > Device Management > DHCP > DDNSの順に選択して、WebタイプのDDNS方式を有効にします。
(オプション)プラットフォーム設定ポリシーでDNSを設定し、Devices > Platform Settings > DNSでこのデバイスに適用します。
4. 脅威対策がデータインターフェイスを介してManagement Centerにルーティングできることを確認し、必要に応じてDevices > Device Management > Routing > Static Route
- 追加するスタティックルートのタイプに応じて、IPv4またはIPv6をクリックします。
- このスタティックルートを適用するインターフェイスを選択します。
- Available Networkリストから、宛先ネットワークを選択します。
- GatewayまたはIPv6 Gatewayフィールドで、このルートのネクストホップであるゲートウェイルータを入力または選択します。
(オプション)ルートの可用性をモニタするには、モニタリングポリシーを定義するサービスレベル契約(SLA)モニタオブジェクトの名前をルートトラッキングフィールドで入力または選択します。

5. 設定変更を導入します。これで、設定変更が現在の管理インターフェイスに適用されます。
6. FTD CLIで、管理インターフェイスにスタティックIPアドレスを使用するように設定し、ゲートウェイにデータインターフェイスを設定します。
network {ipv4 | ipv6} manual ip_address netmask data-interfacesの設定

注:管理インターフェイスを使用する予定はありませんが、固定IPアドレスを設定する必要があります。たとえば、ゲートウェイをdata-interfacesに設定できるようにするプライベートアドレスです。この管理は、tap_nlpインターフェイスを使用してデータインターフェイスに管理トラフィックを転送するために使用されます。
7. Management CenterでManagementを無効にします。 Devices > Device Management > Device > Managementの順に選択して、脅威対策のEditをクリックし、Remote Host Address IP addressesおよび(Optional)Secondary Addressを更新し、接続をイネーブルにします。

プラットフォーム設定でのSSHの有効化
Platform Settings policyでデータインターフェイスのSSHを有効にし、Devices > Platform Settings > SSH Accessでこのデバイスに適用します。
- SSH接続を許可しているホストまたはネットワーク。
- SSH接続を許可するインターフェイスを含むゾーンを追加します。ゾーンに含まれないインターフェイスの場合は、Selected Zones/Interfacesフィールドにinterface nameを入力して、Addをクリックします。
- [OK] をクリックします。 変更を展開します。

注:データインターフェイスではSSHはデフォルトで有効になっていないため、SSHを使用して脅威対策を管理する場合は、明示的に許可する必要があります。
確認
データインターフェイス経由で管理接続が確立されていることを確認します。
FMCのグラフィカルユーザインターフェイス(GUI)からの確認
Management Centerで、Devices > Device > > ページの管理接続のステータスを確認します。

FTDコマンドラインインターフェイス(CLI)からの確認
threat defenseCLIで、thesftunnel-status-briefコマンドを入力して、管理接続のステータスを表示します。

ステータスには、データインターフェイスの接続が成功したことが示され、内部のtap_nlpインターフェイスが示されます。
トラブルシュート
Management Centerで、Devices > Device > > ページの管理接続のステータスを確認します。
threat defenseCLIで、thesftunnel-status-briefコマンドを入力して、管理接続のステータスを表示します。また、usestunnel-statusを使用して詳細な情報を表示することもできます。
管理接続ステータス
正常動作シナリオ

正常に動作しないシナリオ

ネットワーク情報の検証
脅威に対する防御のCLIで、管理およびマネージャアクセスデータインターフェイスのネットワーク設定を表示します。
> show network

マネージャの状態の検証
threat defense CLIで、management centerの登録が完了したことを確認します。
>マネージャの表示

注:このコマンドでは、管理接続の現在のステータスは表示されません。
ネットワーク接続の検証
Management Centerへのping
threat defenseCLIで、データインターフェイスからmanagement centerに対してpingを実行するコマンドを使用します。
> fmc_ipにpingします。

threat defenseCLIで、管理インターフェイスから管理センターに対してpingを実行するコマンドを使用します。管理インターフェイスは、バックプレーンを介してデータインターフェイスにルーティングします。
> pingシステムfmc_ip

インターフェイスのステータス、統計情報、パケットカウントの確認
threat defenseCLIでは、内部バックプレーンインターフェイスであるnlp_int_tapに関する次の情報を参照してください。
> show interface detail

FMCに到達するためのFTD上のルートの検証
threat defenseCLIで、デフォルトルート(S*)が追加されていること、および管理インターフェイス(nlp_int_tap)に内部NATルールが存在することを確認します。
> show route

> show nat

Sftunnelと接続の統計情報の確認
> show running-config sftunnelの順に選択します。

警告:マネージャのアクセス権を変更するプロセスの間、FTD上のマネージャを削除したり、FTDをFMCから登録解除または強制的に削除したりしないでください。
関連情報