はじめに
このドキュメントでは、管理ポートに障害が発生した場合に、HyperText Transfer Protocol(HTTP)アクセスをFirepower Thread Defense(FTD)に追加する方法について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- Cisco Firepower 1120スレッド防御バージョン7.4.2
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
設定
コンフィギュレーション
ステップ 1:デバイスのコンソールセッションから、FTDコマンドラインインターフェイス(CLI)セル(CLISH)に接続します。
Cisco Firepower Extensible Operating System (FX-OS) Software
TAC support: http://www.cisco.com/tac
Copyright (c) 2009-2019, Cisco Systems, Inc. All rights reserved.
The copyrights to certain works contained in this software are
owned by other third parties and used and distributed under
license.
Certain components of this software are licensed under the "GNU General Public
License, version 3" provided with ABSOLUTELY NO WARRANTY under the terms of
"GNU General Public License, Version 3", available here:
http://www.gnu.org/licenses/gpl.html. See User Manual (''Licensing'') for
details.
Certain components of this software are licensed under the "GNU General Public
License, version 2" provided with ABSOLUTELY NO WARRANTY under the terms of
"GNU General Public License, version 2", available here:
http://www.gnu.org/licenses/old-licenses/gpl-2.0.html. See User Manual
(''Licensing'') for details.
Certain components of this software are licensed under the "GNU LESSER GENERAL
PUBLIC LICENSE, version 3" provided with ABSOLUTELY NO WARRANTY under the terms
of "GNU LESSER GENERAL PUBLIC LICENSE" Version 3", available here:
http://www.gnu.org/licenses/lgpl.html. See User Manual (''Licensing'') for
details.
Certain components of this software are licensed under the "GNU Lesser General
Public License, version 2.1" provided with ABSOLUTELY NO WARRANTY under the
terms of "GNU Lesser General Public License, version 2", available here:
http://www.gnu.org/licenses/old-licenses/lgpl-2.1.html. See User Manual
(''Licensing'') for details.
Certain components of this software are licensed under the "GNU Library General
Public License, version 2" provided with ABSOLUTELY NO WARRANTY under the terms
of "GNU Library General Public License, version 2", available here:
http://www.gnu.org/licenses/old-licenses/lgpl-2.0.html. See User Manual
(''Licensing'') for details.
KSEC-FPR1140-1# connect ftd
ステップ 2:FTD CLISHから、expertコマンドを使用してLinuxシェルにアクセスし、admin権限に昇格します。
>
> expert
admin@KSEC-FPR1140-1:/$ sudo su
Password:
root@KSEC-FPR1140-1:/#
ステップ 3:LinaConfigToolを使用してHTTPコマンドエントリをLina設定にプッシュし、Linux側で実行しているWebサーバからLina側のnlp_int_tapインターフェイスにトラフィックを送信するスタティックルートを作成します。
root@KSEC-FPR1140-1:/# LinaConfigTool "http 192.168.1.0 255.255.255.0 inside"
root@KSEC-FPR1140-1:/#
root@KSEC-FPR1140-1:/# ip route add 192.168.1.0/24 via 169.254.1.1
root@KSEC-FPR1140-1:/#
root@KSEC-FPR1140-1:/#
ステップ 4:FTD CLISHに戻り、ネットワークアドレス変換(NAT)ルールが自動的に作成されることを確認します。
root@KSEC-FPR1140-1:/#
root@KSEC-FPR1140-1:/#
root@KSEC-FPR1140-1:/# exit
exit
admin@KSEC-FPR1140-1:/$ exit
logout
> show nat detail
Manual NAT Policies Implicit (Section 0)
1 (nlp_int_tap) to (inside) source static nlp_server__http_192.168.1.0_intf4 interface destination static 0_192.168.1.0_3 0_192.168.1.0_3 service tcp https https
translate_hits = 0, untranslate_hits = 0
Source - Origin: 169.254.1.3/32, Translated: 10.10.105.87/24
Destination - Origin: 192.168.1.0/24, Translated: 192.168.1.0/24
Service - Protocol: tcp Real: https Mapped: https
ステップ 5:データ・インタフェース上のFDM UIにアクセスし、UIからデータ・インタフェース上に管理アクセスを作成して、変更を永続的に保持します:


確認
ブラウザを開き、データ・インタフェースのIPアドレスを使用してFDMに到達します。

トラブルシュート
パケットキャプチャを実行し、次のことを確認します。
- トラフィックはデータインターフェイスに到達しています。
- トラフィックがnlp_int_tapインターフェイスに転送されている。