管理インターフェイスからデータインターフェイスへのFTDでのマネージャアクセスの設定

ダウンロード オプション

  • PDF     (1.8 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (1.7 MB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (1.5 MB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2025 年 8 月 12 日
Document ID:222145

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、Firepower Threat Defense(FTD)上のManager Access(MA)を管理インターフェイスからデータインターフェイスに変更するプロセスについて説明します。

    前提条件

    要件

    次の項目に関する知識があることが推奨されます。

    • Firepower Threat Defense(FTD)
    • Firepower Management Center(FMC)

    使用するコンポーネント

    • Firepower Management Center(FMC)仮想7.4.1
    • Firepower Threat Defense(FTD)仮想7.2.5

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    背景説明

    各デバイスには、FMCと通信するための単一の専用管理インターフェイスが含まれています。オプションで、専用の管理インターフェイスの代わりにデータインターフェイスを管理用に使用するようにデバイスを設定できます。データインターフェイスのFMCアクセスは、Firepower Threat Defenseを外部インターフェイスからリモートで管理する場合や、個別の管理ネットワークがない場合に役立ちます。この変更は、FMCによって管理されるFTDのFirepower Management Center(FMC)で実行する必要があります。

    データインターフェイスからのFMCアクセスには、いくつかの制限があります。

    • 1つの物理データインターフェイスでのみマネージャアクセスを有効にできます。サブインターフェイスまたはEtherChannelは使用できません。
    • ルーテッドファイアウォールモードのみ。ルーテッドインターフェイスを使用する。
    • PPPoEはサポートされていません。ISPがPPPoEを必要とする場合、Firepower Threat Defense(FTD)とWANモデムの間にPPPoEをサポートするルータを配置する必要があります。
    • 個別の管理インターフェイスとイベントのみのインターフェイスは使用できません。

    設定

    インターフェイスの移行に進む

    note-icon

    :変更を行う前に、FTDとFMCの両方の最新のバックアップを用意することを強くお勧めします。

    1. Devices > Device Managementページに移動し、変更するデバイスのEditをクリックします。

    Navigate to Device Management to Edit

    2. Device > Managementセクションに移動し、Manager Access Interfaceのリンクをクリックします。

    Modify the Management Access Interface

    Manager Access Interfaceフィールドには、既存の管理インターフェイスが表示されます。リンクをクリックして、新しいインターフェイスタイプを選択します。これは、Manage device byドロップダウンリストのData Interfaceオプションで、Saveをクリックします。

    Change the Manager Access Interface from Management to Data

    3. 次に、データインターフェイスで管理アクセスをイネーブルにするに進み、Devices > Device Management > Interfaces > Edit Physical Interface > Manager Accessに移動する必要があります。

    Enable Management Access on Interface

    note-icon

    :(オプション)冗長性のためにセカンダリインターフェイスを使用する場合は、冗長性のために使用されるインターフェイスで管理アクセスを有効にします。

    (オプション)インターフェイスにDHCPを使用する場合は、Devices > Device Management > DHCP > DDNSの順に選択して、WebタイプのDDNS方式を有効にします。

    (オプション)プラットフォーム設定ポリシーでDNSを設定し、Devices > Platform Settings > DNSでこのデバイスに適用します。

    4. 脅威対策がデータインターフェイスを介してManagement Centerにルーティングできることを確認し、必要に応じてDevices > Device Management > Routing > Static Routeでスタティックルートを追加します。

    1. 追加するスタティックルートのタイプに応じて、IPv4またはIPv6をクリックします。
    2. このスタティックルートを適用するインターフェイスを選択します。
    3. Available Networkリストから、宛先ネットワークを選択します。
    4. GatewayまたはIPv6 Gatewayフィールドで、このルートのネクストホップであるゲートウェイルータを入力または選択します。

      (オプション)ルートの可用性をモニタするには、モニタリングポリシーを定義するサービスレベル契約(SLA)モニタオブジェクトの名前をルートトラッキングフィールドで入力または選択します。

    Configure Static Route for FTD

    5. 設定変更を導入します。これで、設定変更が現在の管理インターフェイスに適用されます。

    6. FTD CLIで、管理インターフェイスにスタティックIPアドレスを使用するように設定し、ゲートウェイにデータインターフェイスを設定します。

    • network {ipv4 | ipv6} manual ip_address netmask data-interfacesの設定

    Configure Management on FTD to Use Data Interface as Gateway

    note-icon

    :管理インターフェイスを使用する予定はありませんが、固定IPアドレスを設定する必要があります。たとえば、ゲートウェイをdata-interfacesに設定できるようにするプライベートアドレスです。この管理は、tap_nlpインターフェイスを使用してデータインターフェイスに管理トラフィックを転送するために使用されます。

    7. Management CenterManagementを無効にします。 Devices > Device Management > Device > Managementの順に選択して、脅威対策のEditをクリックし、Remote Host Address IP addressesおよび(Optional)Secondary Addressを更新し、接続をイネーブルにします。

    Disable FTD Management on FMC

    プラットフォーム設定でのSSHの有効化

    Platform Settings policyでデータインターフェイスのSSHを有効にし、Devices > Platform Settings > SSH Accessでこのデバイスに適用します。 [Add] をクリックします。

    1. SSH接続を許可しているホストまたはネットワーク。
    2. SSH接続を許可するインターフェイスを含むゾーンを追加します。ゾーンに含まれないインターフェイスの場合は、Selected Zones/Interfacesフィールドにinterface nameを入力して、Addをクリックします。
    3. [OK] をクリックします。 変更を展開します。

    Configure SSH in Platform Settings

    note-icon

    :データインターフェイスではSSHはデフォルトで有効になっていないため、SSHを使用して脅威対策を管理する場合は、明示的に許可する必要があります。

    確認

    データインターフェイス経由で管理接続が確立されていることを確認します。

    FMCのグラフィカルユーザインターフェイス(GUI)からの確認

    Management Centerで、Devices > Device Management > Device > Management > Manager Access - Configuration Details > Connection Statusページの管理接続のステータスを確認します。

    Verify the Management Connectivity Status Between FMC and FTD

    FTDコマンドラインインターフェイス(CLI)からの確認

    threat defenseCLIで、thesftunnel-status-briefコマンドを入力して、管理接続のステータスを表示します。

    Command Output of sftunnel-status-brief

    ステータスには、データインターフェイスの接続が成功したことが示され、内部のtap_nlpインターフェイスが示されます。

    トラブルシュート

    Management Centerで、Devices > Device Management > Device > Management > Manager Access - Configuration Details > Connection Statusページの管理接続のステータスを確認します。

    threat defenseCLIで、thesftunnel-status-briefコマンドを入力して、管理接続のステータスを表示します。また、usestunnel-statusを使用して詳細な情報を表示することもできます。

    管理接続ステータス

    正常動作シナリオ

    Command Output of sftunnel-status-brief Indicating tap_nlp Interface

    正常に動作しないシナリオ

    Command Output of sftunnel-status Connectivity Status

    ネットワーク情報の検証

    脅威に対する防御のCLIで、管理およびマネージャアクセスデータインターフェイスのネットワーク設定を表示します。

    > show network

    Show Network Output on FTD

    マネージャの状態の検証

    threat defense CLIで、management centerの登録が完了したことを確認します。

      >マネージャの表示

    Show Managers Command Output on FTD

    note-icon

    :このコマンドでは、管理接続の現在のステータスは表示されません。

    ネットワーク接続の検証

    Management Centerへのping

    threat defenseCLIで、データインターフェイスからmanagement centerに対してpingを実行するコマンドを使用します。

      > fmc_ipにpingします。

    Ping to FMC to Verify Connectivity from FMC

    threat defenseCLIで、管理インターフェイスから管理センターに対してpingを実行するコマンドを使用します。管理インターフェイスは、バックプレーンを介してデータインターフェイスにルーティングします。

      > pingシステムfmc_ip

    Ping to FMC to Verify Connectivity from FMC over Management Interface

    インターフェイスのステータス、統計情報、パケットカウントの確認

    threat defenseCLIでは、内部バックプレーンインターフェイスであるnlp_int_tapに関する次の情報を参照してください。

      > show interface detail

    Interface Stats on FTD

    FMCに到達するためのFTD上のルートの検証

    threat defenseCLIで、デフォルトルート(S*)が追加されていること、および管理インターフェイス(nlp_int_tap)に内部NATルールが存在することを確認します。

      > show route

    Validating Route on FTD

      > show nat

    NAT Config on FTD for Management Traffic

    Sftunnelと接続の統計情報の確認

      > show running-config sftunnelの順に選択します。

    Running Config for Sftunnel

    warning-icon

    警告:マネージャのアクセス権を変更するプロセスの間、FTD上のマネージャを削除したり、FTDをFMCから登録解除または強制的に削除したりしないでください。

    関連情報

    更新履歴

    改定 発行日 コメント
    2.0
    12-Aug-2025
    更新された書式。再認定
    1.0
    18-Jul-2024
    初版
    TAC Authored

    シスコ エンジニア提供

    • サイクマール・ボインパリー
      セキュリティ技術コンサルティングエンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています