リモート FTD による FMC の展開

この章の対象読者

使用可能なすべてのオペレーティングシステムとマネージャを確認するには、「最適なオペレーティングシステムとマネージャを見つける方法」を参照してください。この章は、中央の本社の FMC を使用するリモート支社の FTD に適用されます。

各 FTD は、トラフィックを制御、検査、監視、および分析して、管理 FMC に報告します。FMC は、サービスの管理、分析、レポートのタスクを実行できる Web インターフェイスを備えた集中管理コンソールを提供し、ローカルネットワークを保護します。

中央の本社の管理者が、CLI または FDM を使用して FTD を事前設定してから、リモート支社に FTD を送信します
支社の管理者が、FTD をケーブルで接続して電源をオンにします。
中央の管理者が、FMC を使用して FTD の設定を完了します。

（注）

リモート支社への展開には、バージョン 6.7 以降が必要です。

ファイアウォールについて

ハードウェアでは、FTD ソフトウェアまたは ASA ソフトウェアを実行できます。FTD と ASA の間で切り替えを行う際には、デバイスの再イメージ化が必要になります。現在インストールされているものとは異なるソフトウェアバージョンが必要な場合も再イメージ化が必要です。「Cisco ASA および Firepower Threat Defense 再イメージ化ガイド」を参照してください。

ファイアウォールは、Firepower eXtensible オペレーティングシステム（FXOS）と呼ばれる基盤となるオペレーティングシステムを実行します。ファイアウォールは FXOS Firepower Chassis Manager をサポートしていません。トラブルシューティング用として限られた CLI のみがサポートされています。詳細については、Cisco FXOS トラブルシューティングガイド（Firepower Threat Defense を実行している Firepower 1000/2100 シリーズ向け）を参照してください。

プライバシー収集ステートメント：ファイアウォールには個人識別情報は不要で、積極的に収集することもありません。ただし、ユーザー名などの設定では、個人識別情報を使用できます。この場合、設定作業時や SNMP の使用時に、管理者が個人識別情報を確認できる場合があります。

はじめる前に　

FMC の初期設定を展開して実行します。Cisco Firepower Management Center 1600, 2600, and 4600 Hardware Installation Guideを参照してください。

エンドツーエンドの手順

シャーシで FMC を使用して FTD を展開するには、次のタスクを参照してください。


	CLI または FDM （中央の管理者）	（任意）ソフトウェアの確認と新しいバージョンのインストール CLI を使用した事前設定。 FDM を使用した事前設定
	物理的なセットアップ（支社の管理者）	ファイアウォールをインストールします。ハードウェア設置ガイドを参照してください。
	物理的なセットアップ（支社の管理者）	ファイアウォールのケーブル接続。
	物理的なセットアップ（支社の管理者）	ファイアウォールの電源を入れます
	FMC （中央の管理者）	へのログインFMC。
	Cisco Commerce Workspace （中央の管理者）	基本ライセンスとオプションの機能ライセンスを購入します（「FMC のライセンスの取得」）。
	Smart Software Manager （中央の管理者）	FMC のライセンストークンを生成します（「FMC のライセンスの取得」）。
	FMC （中央の管理者）	スマートライセンシングサーバーに FMC を登録します（「FMC のライセンスの取得」）。
	FMC （中央の管理者）	FMC への FTD の登録。
	FMC （中央の管理者）	基本的なセキュリティポリシーの設定。

リモート管理の仕組み

FMC でインターネットを介して FTD を管理できるようにするには、管理インターフェイスの代わりに外部のインターフェイスを使用して FMC を管理します。ほとんどのリモート支社には 1 つのインターネット接続しかないため、外部から FMC にアクセスして中央管理を行えるようにします。

（注）

FMC へのアクセスには任意のデータインターフェイスを使用できます。たとえば、内部 FMC がある場合は内部インターフェイスなどです。ただし、このガイドでは主に外部インターフェイスアクセスについて説明します。これは、リモート支社で最も用いられる可能性が高いシナリオであるためです。

管理インターフェイスは、FTD データインターフェイスとは別に設定される特別なインターフェイスであり、独自のネットワーク設定があります。データインターフェイスで FMC アクセスを有効にした場合でも、管理インターフェイスのネットワーク設定が使用されます。すべての管理トラフィックは、引き続き管理インターフェイスを発信元または宛先とします。データインターフェイスで FMC アクセスを有効にすると、FTD はバックプレーンを介して管理インターフェイスに着信管理トラフィックを転送します。発信管理トラフィックの場合、管理インターフェイスはバックプレーンを介してデータインターフェイスにトラフィックを転送します。

データインターフェイスからの FMC アクセスには、次の制限があります。

FMC アクセスを有効にできるのは、1 つの物理的なデータインターフェイスのみです。サブインターフェイスと EtherChannel は使用できません。
このインターフェイスは管理専用にできません。
ルーテッドインターフェイスを使用するルーテッドファイアウォールモードのみです。
ハイアベイラビリティはサポートされません。この場合、管理インターフェイスを使用する必要があります。
PPPoE はサポートされていません。ISP で PPPoE が必要な場合は、PPPoE をサポートするルータを FTD と WAN モデムの間に配置する必要があります。
インターフェイスを配置する必要があるのはグローバル VRF のみです。
管理インターフェイスとイベント専用インターフェイスを別々に使用することはできません。
SSH はデータインターフェイスではデフォルトで有効になっていないため、後で FMC を使用して SSH を有効にする必要があります。また、管理インターフェイスゲートウェイがデータインターフェイスに変更されるため、configure network static-routes コマンドを使用して管理インターフェイス用の静的ルートを追加しない限り、リモートネットワークから管理インターフェイスに SSH 接続することはできません。

次の図は、中央の本社にある FMC と外部インターフェイスで FMC にアクセスできる FTD を示しています。

FTD と FMC ではどちらも、インバウンド管理接続を許可するためのパブリック IP アドレスまたはホスト名が必要であり、初期設定のためにこのような IP アドレスを把握しておかなればなりません。DHCP IP の割り当ての変更に対応するために、オプションで外部インターフェイスのダイナミック DNS（DDNS）を設定することもできます。

中央の管理者による事前設定

FTD は、支社に送信する前に手動で事前に設定する必要があります。

（任意）ソフトウェアの確認と新しいバージョンのインストール

ソフトウェアのバージョンを確認し、必要に応じて別のバージョンをインストールするには、次の手順を実行します。ファイアウォールを設定する前に対象バージョンをインストールすることをお勧めします。別の方法として、稼働後にアップグレードを実行することもできますが、設定を保持するアップグレードでは、この手順を使用するよりも時間がかかる場合があります。

実行するバージョン

ソフトウェアダウンロードページのリリース番号の横にある、金色の星が付いている Gold Star リリースを実行することをお勧めします。https://www.cisco.com/c/en/us/products/collateral/security/firewalls/bulletin-c25-743178.html に記載されているリリース戦略も参照してください。たとえば、この速報では、（最新機能を含む）短期的なリリース番号、長期的なリリース番号（より長期間のメンテナンスリリースとパッチ）、または非常に長期的なリリース番号（政府認定を受けるための最長期間のメンテナンスリリースとパッチ）について説明しています。

手順

ステップ 1

CLI に接続します。詳細については、FTD および FXOS CLI へのアクセスを参照してください。この手順ではコンソールポートを使用していますが、代わりに SSH を使用することもできます。

admin ユーザとデフォルトパスワードの Admin123 を使用してログインします。

FXOS CLI に接続します。初めてログインしたとき、パスワードを変更するよう求められます。このパスワードは、SSH の FTD ログインにも使用されます。

（注）

パスワードがすでに変更されていて、パスワードがわからない場合は、デバイスを再イメージ化してパスワードをデフォルトにリセットする必要があります。再イメージ化の手順については、『FXOS troubleshooting guide』を参照してください。

例:


firepower login: admin
Password: Admin123
Successful login attempts for user 'admin' : 1

[...]

Hello admin. You must change your password.
Enter new password: ********
Confirm new password: ********
Your password was updated successfully.

[...]

firepower#

ステップ 2

FXOS CLI で、実行中のバージョンを表示します。

scope ssa

show app-instance

例:


Firepower# scope ssa
Firepower /ssa # show app-instance

Application Name     Slot ID    Admin State     Operational State    Running Version Startup Version Cluster Oper State
-------------------- ---------- --------------- -------------------- --------------- --------------- ------------------
ftd                  1          Enabled         Online               7.1.0.65        7.1.0.65        Not Applicable

ステップ 3

新しいバージョンをインストールする場合は、次の手順を実行します。

管理インターフェイスに静的 IP アドレスを設定する必要がある場合は、「CLI を使用した事前設定」を参照してください。デフォルトでは、管理インターフェイスは DHCP を使用します。

管理インターフェイスからアクセスできるサーバーから新しいイメージをダウンロードする必要があります。
FXOS のトラブルシューティングガイドに記載されている再イメージ化の手順を実行します。

FDM を使用した事前設定

FDM に接続して、FTD の初期設定を実行します。FDM を使用して初期セットアップを実行すると、管理と FMC のアクセス設定に加えて、管理のために FMC に切り替えたときに、FDM で完了したすべてのインターフェイス設定が保持されます。アクセスコントロールポリシーやセキュリティゾーンなどの他のデフォルト設定は保持されないことに注意してください。CLI を使用すると、管理と FMC のアクセス設定のみが保持されます（たとえば、デフォルトの内部インターフェイスの設定は保持されません）。

始める前に

FMC の初期設定を展開して実行します。Cisco Firepower Management Center 1600, 2600, and 4600 Hardware Installation Guideを参照してください。FTD をセットアップする前に、FMC の IP アドレスまたはホスト名を把握しておく必要があります。
Firefox、Chrome、Safari、Edge、または Internet Explorer の最新バージョンを使用します。

手順

ステップ 1

管理コンピュータを内部（Ethernet 1/2）インターフェイスに接続します

ステップ 2

ファイアウォールの電源を入れます。

（注）

FTD を初めて起動するときは、初期化に約 15 ～ 30 分かかります。

ステップ 3

FDM にログインします。

ブラウザに URL（https://192.168.95.1 ）を入力します。
ユーザー名 admin、デフォルトパスワード Admin123 を使用してログインします。
エンドユーザーライセンス契約書を読んで同意し、管理者パスワードを変更するように求められます。

ステップ 4

初期設定を完了するには、最初に FDM にログインしたときにセットアップウィザードを使用します。必要に応じて、ページの下部にある [デバイスの設定をスキップ（Skip device setup）] をクリックしてセットアップウィザードをスキップできます。

セットアップウィザードを完了すると、内部インターフェイス（Ethernet1/2）のデフォルト設定に加えて、FMC の管理に切り替えるときに維持される外部（Ethernet1/1）インターフェイスも設定できます。

外部インターフェイスおよび管理インターフェイスに対して次のオプションを設定し、[次へ（Next）] をクリックします。
1. [外部インターフェイスアドレス（Outside Interface Address）]：このインターフェイスは通常インターネットゲートウェイであり、FMC アクセスインターフェイスとして使用される場合があります。デバイスの初期設定時に別の外部インターフェイスを選択することはできません。最初のデータインターフェイスがデフォルトの外部インターフェイスです。
  
  FMC アクセスに外部（または内部）とは異なるインターフェイスを使用する場合は、セットアップウィザードの完了後に手動で設定する必要があります。
  
  [IPv4の設定（Configure IPv4）]：外部インターフェイス用の IPv4 アドレスです。DHCP を使用するか、または手動でスタティック IP アドレス、サブネットマスク、およびゲートウェイを入力できます。[オフ（Off）] を選択して、IPv4 アドレスを設定しないという選択肢もあります。セットアップウィザードを使用して PPPoE を設定することはできません。インターフェイスが DSL モデム、ケーブルモデム、または ISP への他の接続に接続されており、ISP が PPPoE を使用して IP アドレスを提供している場合は、PPPoE が必要になる場合があります。ウィザードの完了後に PPPoE を設定できます。
  
  [IPv6の設定（Configure IPv6）]：外部インターフェイス用の IPv6 アドレスです。DHCP を使用するか、または手動でスタティック IP アドレス、プレフィックス、およびゲートウェイを入力できます。[オフ（Off）] を選択して、IPv6 アドレスを設定しないという選択肢もあります。
2. [管理インターフェイス（Management Interface）]
  
  CLI で初期設定を実行した場合、管理インターフェイスの設定は表示されません。
  
  データインターフェイスで FMC アクセスを有効にした場合でも、管理インターフェイスの設定が使用されます。たとえば、データインターフェイスを介してバックプレーン経由でルーティングされる管理トラフィックは、データインターフェイス DNS サーバーではなく、管理インターフェイス DNS サーバーを使用して FQDN を解決します。
  
  [DNSサーバ（DNS Servers）]：システムの管理アドレス用の DNS サーバ。名前解決用に 1 つ以上の DNS サーバのアドレスを入力します。デフォルトは OpenDNS パブリック DNS サーバです。フィールドを編集し、デフォルトに戻したい場合は、[OpenDNSを使用（Use OpenDNS）] をクリックすると、フィールドに適切な IP アドレスがリロードされます。
  
  [ファイアウォールホスト名（Firewall Hostname）]：システムの管理アドレスのホスト名です。
[時刻設定（NTP）（Time Setting (NTP)）] を設定し、[次へ（Next）] をクリックします。
1. [タイムゾーン（Time Zone）]：システムのタイムゾーンを選択します。
2. [NTPタイムサーバ（NTP Time Server）]：デフォルトの NTP サーバを使用するか、使用している NTP サーバのアドレスを手動で入力するかを選択します。バックアップ用に複数のサーバを追加できます。
[登録せずに 90 日間の評価期間を開始（Start 90 day evaluation period without registration）] を選択します。

FTD を Smart Software Manager に登録しないでください。すべてのライセンスは FMC で実行されます。
[終了（Finish）] をクリックします。
[クラウド管理（Cloud Management）]または [スタンドアロン（Standalone）] を選択するよう求められます。FMC の管理については、[スタンドアロン（Standalone）] を選択してから、[Got It（了解）] を選択します。

ステップ 5

（必要に応じて）管理インターフェイスを設定します。[デバイス（Device）] > [インターフェイス（Interfaces）] の管理インターフェイスを参照してください。

管理インターフェイスには、データインターフェイスに設定されたゲートウェイが必要です。デフォルトでは、管理インターフェイスは DHCP から IP アドレスとゲートウェイを受信します。DHCP からゲートウェイを受信しない場合（たとえば、管理インターフェイスをネットワークに接続していない場合）、ゲートウェイはデフォルトでデータインターフェイスになり、何も設定する必要はありません。DHCP からゲートウェイを受信した場合は、代わりに管理インターフェイスに静的 IP アドレスを設定し、ゲートウェイをデータインターフェイスに設定する必要があります。

ステップ 6

FMC アクセスに使用する外部または内部以外のインターフェイスを含む追加のインターフェイスを設定する場合は、[デバイス（Device）] を選択し、[インターフェイス（Interface）] のサマリーにあるリンクをクリックします。

FDM におけるインターフェイスの設定の詳細については、「FDM でのファイアウォールの設定」を参照してください。FMC にデバイスを登録すると、FDM の他の設定は保持されません。

ステップ 7

[デバイス（Device）] > [システム設定（Device System Settings）] > [中央管理 (Central Management)] > [Management Center] > [Management Center] > [デバイス（Device）] > [システム設定（System Settings）] > [中央管理（Central Management）] > [Management Center] を選択し、 [続行（Proceed）] をクリックして FMC の管理を設定します。 > >

ステップ 8

[Management Center/CDOの詳細（Management Center/CDO Details）] > [FMCの詳細 (FMC Details)] > [FMCの詳細 (FMC Details)] を構成します。

[Management Center/CDOのホスト名またはIPアドレスを知っていますか（Do you know the FMC hostname or IP address）] 、[FMCのホスト名またはIPアドレスを知っていますか（Do you know the FMC hostname or IP address）] で、IP アドレスまたはホスト名を使用して FMC/CDO に到達できる場合は [はい（Yes）] をクリックし、FMC/CDO が NAT の背後にあるか、パブリック IP アドレスまたはホスト名がない場合は [いいえ（No）] をクリックします。

双方向の SSL 暗号化通信チャネルを 2 台のデバイス間に確立するには、少なくても 1 台以上のデバイス（FMC/CDO または FTD デバイス）に到達可能な IP アドレスが必要です。
[はい（Yes）] を選択した場合は、、FMC のホスト名/IP アドレスを入力します。
FMC 登録キーを指定します。

このキーは、FTD デバイスを登録するときに FMC でも指定する任意の 1 回限りの登録キーです。登録キーは 37 文字以下にする必要があります。有効な文字には、英数字（A～Z、a～z、0～9）、およびハイフン（-）などがあります。この ID は、FMC に登録する複数のデバイスに使用できます。
[NAT ID] を指定します。

この ID は、FMC でも指定する任意の 1 回限りの文字列です。いずれかのデバイスの IP アドレスのみを指定する場合、このフィールドは必須です。両方のデバイスの IP アドレスがわかっている場合でも、NAT ID を指定することを推奨します。NAT ID は 37 文字以下にする必要があります。有効な文字には、英数字（A～Z、a～z、0～9）、およびハイフン（-）などがあります。この ID は、FMC に登録する他のデバイスには使用できません。NAT ID は、正しいデバイスからの接続であることを確認するために IP アドレスと組み合わせて使用されます。 IP アドレス/NAT ID の認証後にのみ、登録キーがチェックされます。

ステップ 9

[接続の設定（Connectivity Configuration）] を設定します。

[FTDホスト名（FTD Hostname）] を指定します。

この FQDN は、外部インターフェイス、または FMC アクセスインターフェイス用に選択したインターフェイスに使用されます。
[DNSサーバーグループ（DNS Server Group）] を指定します。

既存のグループを選択するか、新しいグループを作成します。デフォルトの DNS グループは CiscoUmbrellaDNSServerGroup と呼ばれ、OpenDNS サーバーが含まれます。

この設定により、データインターフェイス DNS サーバーが設定されます。セットアップウィザードで設定した管理 DNS サーバーは、管理トラフィックに使用されます。データ DNS サーバーは、DDNS（設定されている場合）またはこのインターフェイスに適用されるセキュリティポリシーに使用されます。管理トラフィックとデータトラフィックの両方が外部インターフェイス経由で DNS サーバーに到達するため、管理に使用したものと同じ DNS サーバーグループを選択する可能性があります。

FMC では、この FTD に割り当てるプラットフォーム設定ポリシーでデータインターフェイス DNS サーバーが設定されます。FMC に FTD を追加すると、ローカル設定が維持され、DNS サーバーはプラットフォーム設定ポリシーに追加されません。ただし、DNS 設定を含む FTD に後でプラットフォーム設定ポリシーを割り当てると、その設定によってローカル設定が上書きされます。FMC と FTD を同期させるには、この設定に一致するように DNS プラットフォーム設定をアクティブに設定することをお勧めします。

また、ローカル DNS サーバーは、DNS サーバーが初期登録で検出された場合にのみ FMC で保持されます。
FMC アクセスインターフェイスについては、[外部（outside）] を選択します。

設定済みの任意のインターフェイスを選択できますが、このガイドでは外部を使用していることを前提としています。

ステップ 10

外部とは別のデータインターフェイスを選択した場合は、デフォルトルートを追加します。

インターフェイスを通過するデフォルトルートがあることを確認するように求めるメッセージが表示されます。外部を選択した場合は、セットアップウィザードの一環としてこのルートがすでに設定されています。別のインターフェイスを選択した場合は、FMC に接続する前にデフォルトルートを手動で設定する必要があります。FDM におけるスタティックルートの設定の詳細については、「FDM でのファイアウォールの設定」を参照してください。

ステップ 11

[ダイナミックDNS（DDNS）方式の追加（Add a Dynamic DNS (DDNS) method）] をクリックします。

DDNS は、FTD の IP アドレスが変更された場合に FMC が完全修飾ドメイン名（FQDN）で FTD に到達できるようにします。[デバイス（Device）] > [システム設定（System Settings）] > [DDNSサービス（DDNS Service）] を参照して DDNS を設定します。

FTD を FMC に追加する前に DDNS を設定すると、FTD は Cisco Trusted Root CA バンドルからすべての主要 CA の証明書を自動的に追加するため、FTD は HTTPS 接続の DDNS サーバー証明書を検証できます。FTD は、DynDNS リモート API 仕様（https://help.dyn.com/remote-access-api/）を使用するすべての DDNS サーバーをサポートします。

ステップ 12

[接続（Connect）] をクリックします。[登録ステータス（Registration Status）] [FMC登録ステータス（FMC Registration Status）] [FMC登録ステータス (FMC Registration Status)] ダイアログボックスには、FMC への切り替えの現在のステータスが表示されます。[Management Center/CDO登録設定の保存（Saving Management Center/CDO Registration Settings）] [FMC登録設定の保存（Saving FMC Registration Settings）] [FMC登録設定の保存（Saving FMC Registration Settings）] ステップの後、FMC に移動し、ファイアウォールを追加します。

FMC への切り替えをキャンセルする場合は、[登録のキャンセル（Cancel Registration）] をクリックします。キャンセルしない場合は、[Management Center/CDO登録設定の保存（Saving Management Center/CDO Registration Settings）] [FMC登録設定の保存（Saving FMC Registration Settings）] [FMC登録設定の保存（Saving FMC Registration Settings）] のステップが完了するまで FDM ブラウザウィンドウを閉じないでください。閉じた場合、プロセスは一時停止し、FDM に再接続した場合のみ再開されます。

[Management Center/CDO登録設定の保存（Saving Management Center/CDO Registration Settings）] [FMC登録設定の保存（Saving FMC Registration Settings）] [FMC登録設定の保存（Saving FMC Registration Settings）] ステップの後に FDM に接続したままにする場合、その後 [Management CenterまたはCDOとの正常接続 (Successful Connection with Management Center or CDO)] [FMCとの正常接続（Successful Connection with FMC）] [FMCとの正常接続（Successful Connection with FMC）] ダイアログボックスが表示され、FDM から切断されます。

CLI を使用した事前設定

FTD CLI に接続して初期設定を行います。初期設定で CLI を使用すると、管理および FMC アクセスインターフェイスの設定のみが保持されます。FDM を使用して初期セットアップを実行すると、管理および FMC アクセスインターフェイスの設定に加えて、管理のために FMC に切り替えたときに、FDM で完了したすべてのインターフェイス設定が保持されます。アクセスコントロールポリシーなどの他のデフォルト設定は保持されないことに注意してください。

始める前に

FMC の初期設定を展開して実行します。Cisco Firepower Management Center 1600, 2600, and 4600 Hardware Installation Guideを参照してください。FTD をセットアップする前に、FMC の IP アドレスまたはホスト名を把握しておく必要があります。

手順

ステップ 1

ファイアウォールの電源を入れます。

（注）

FTD を初めて起動するときは、初期化に約 15 ～ 30 分かかります。

ステップ 2

コンソールポートで FTD CLI に接続します。

コンソールポートは FXOS CLI に接続します。

ステップ 3

ユーザー名 admin およびパスワード Admin123 でログインします。

初めて FXOS にログインしたときは、パスワードを変更するよう求められます。このパスワードは、SSH の FTD ログインにも使用されます。

（注）

パスワードがすでに変更されていてわからない場合は、デバイスを再イメージ化してパスワードをデフォルトにリセットする必要があります。再イメージ化の手順については、FXOS のトラブルシューティングガイドを参照してください。

例:


firepower login: admin
Password: Admin123
Successful login attempts for user 'admin' : 1

[...]

Hello admin. You must change your password.
Enter new password: ********
Confirm new password: ********
Your password was updated successfully.

[...]

firepower#

ステップ 4

FTD CLI に接続します。

connect ftd

例:


firepower# connect ftd
>

ステップ 5

FTD に初めてログインすると、エンドユーザーライセンス契約（EULA）に同意し、SSH 接続を使用している場合は、管理者パスワードを変更するように求められます。その後、管理インターフェイスの設定用の CLI セットアップスクリプトが表示されます。

データインターフェイスで FMC アクセスを有効にした場合でも、管理インターフェイスの設定が使用されます。

（注）

設定をクリア（たとえば、イメージを再作成することにより）しないかぎり、CLI セットアップウィザードを繰り返すことはできません。ただし、これらの設定すべては、後から CLI で configure network コマンドを使用して変更できます。Secure Firewall Threat Defense のコマンドリファレンスを参照してください。

デフォルト値または以前に入力した値がカッコ内に表示されます。以前に入力した値をそのまま使用する場合は、Enter を押します。

次のガイドラインを参照してください。

[DHCP経由または手動でIPv4を設定しますか？（Configure IPv4 via DHCP or manually?）]：[手動（manual）] を選択します。管理インターフェイスを使用する予定がない場合でも、プライベートアドレスなどの IP アドレスを設定する必要があります。管理インターフェイスが DHCP に設定されている場合、管理用のデータインターフェイスを設定することはできません。これは、data-interfaces である必要があるデフォルトルートが DHCP サーバーから受信したルートで上書きされる可能性があるためです。
[管理インターフェイスのIPv4デフォルトゲートウェイを入力（Enter the IPv4 default gateway for the management interface）]：ゲートウェイを [data-interfaces] に設定します。この設定は、FMC アクセスデータインターフェイスを通じてルーティングできるように、バックプレーンを介して管理トラフィックを転送します。
[ネットワーク情報が変更された場合は再接続が必要（If your networking information has changed, you will need to reconnect）]：SSH で接続している場合は、接続が切断されます。管理コンピュータが管理ネットワーク上にある場合は、新しい IP アドレスとパスワードで再接続できます。（データインターフェイス経由で）デフォルトルートが変更されたため、リモートネットワークからはまだ再接続できません。コンソール接続は影響を受けません。
[デバイスをローカルで管理しますか（Manage the device locally?）]：FMC を使用するには「no」を入力します。yes と入力すると、代わりに FDM を使用することになります。
[ファイアウォールモードを設定しますか？（Configure firewall mode?）]：routed と入力します。外部 FMCアクセスは、ルーテッドファイアウォールモードでのみサポートされています。

例:


You must accept the EULA to continue.
Press <ENTER> to display the EULA:
End User License Agreement
[...]

Please enter 'YES' or press <ENTER> to AGREE to the EULA: 

System initialization in progress.  Please stand by.
You must change the password for 'admin' to continue.
Enter new password: ********
Confirm new password: ********
You must configure the network to continue.
You must configure at least one of IPv4 or IPv6.
Do you want to configure IPv4? (y/n) [y]:
Do you want to configure IPv6? (y/n) [n]:
Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]:
Enter an IPv4 address for the management interface [192.168.45.45]: 10.10.10.15
Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.192
Enter the IPv4 default gateway for the management interface [data-interfaces]: 
Enter a fully qualified hostname for this system [firepower]: ftd-1.cisco.com
Enter a comma-separated list of DNS servers or 'none' [208.67.222.222,208.67.220.220]:
Enter a comma-separated list of search domains or 'none' []:
If your networking information has changed, you will need to reconnect.
For HTTP Proxy configuration, run 'configure network http-proxy'

Manage the device locally? (yes/no) [yes]: no
Configure firewall mode? (routed/transparent) [routed]:
Configuring firewall mode ... 

Update policy deployment information
    - add device configuration
    - add network discovery
    - add system policy

You can register the sensor to a Firepower Management Center and use the
Firepower Management Center to manage it. Note that registering the sensor
to a Firepower Management Center disables on-sensor Firepower Services
management capabilities.

When registering the sensor to a Firepower Management Center, a unique
alphanumeric registration key is always required.  In most cases, to register
a sensor to a Firepower Management Center, you must provide the hostname or
the IP address along with the registration key.
'configure manager add [hostname | ip address ] [registration key ]'

However, if the sensor and the Firepower Management Center are separated by a
NAT device, you must enter a unique NAT ID, along with the unique registration
key.
'configure manager add DONTRESOLVE [registration key ] [ NAT ID ]'

Later, using the web interface on the Firepower Management Center, you must
use the same registration key and, if necessary, the same NAT ID when you add
this sensor to the Firepower Management Center.
>

ステップ 6

FMC アクセス用の外部インターフェイスを設定します。

configure network management-data-interface

その後、外部インターフェイスの基本的なネットワーク設定を行うように求めるプロンプトが表示されます。このコマンドの使用については、次の詳細を参照してください。

データインターフェイスを管理に使用する場合、管理インターフェイスでは DHCP を使用できません。初期セットアップ時に IP アドレスを手動で設定しなかった場合は、configure network {ipv4 | ipv6} manual コマンドを使用して設定できるようになりました。管理インターフェイスゲートウェイを data-interfaces に設定しなかった場合は、ここでこのコマンドで設定します。
FTD を FMC に追加すると、FMC はインターフェイス設定（インターフェイス名と IP アドレス、ゲートウェイへの静的ルート、DNS サーバー、DDNS サーバーなど）を検出して維持します。DNS サーバー設定の詳細については、次を参照してください。FMC では、後で FMC アクセスインターフェイスの設定を変更できますが、FTD または FMC による管理接続の再確立を妨げるような変更を加えないようにしてください。管理接続が中断された場合、FTD には以前の展開を復元する configure policy rollback コマンドが含まれます。
DDNS サーバー更新の URL を設定すると、FTD は Cisco Trusted Root CA バンドルからすべての主要 CA の証明書を自動的に追加するため、FTD は HTTPS 接続の DDNS サーバー証明書を検証できます。FTD は、DynDNS リモート API 仕様（https://help.dyn.com/remote-access-api/）を使用するすべての DDNS サーバーをサポートします。
このコマンドは、「データ」インターフェイス DNS サーバーを設定します。セットアップスクリプトで（または configure network dns servers コマンドを使用して）設定した管理 DNS サーバーは、管理トラフィックに使用されます。データ DNS サーバーは、DDNS（設定されている場合）またはこのインターフェイスに適用されるセキュリティポリシーに使用されます。

FMC では、この FTD に割り当てるプラットフォーム設定ポリシーでデータインターフェイス DNS サーバーが設定されます。FMC に FTD を追加すると、ローカル設定が維持され、DNS サーバーはプラットフォーム設定ポリシーに追加されません。ただし、DNS 設定を含む FTD に後でプラットフォーム設定ポリシーを割り当てると、その設定によってローカル設定が上書きされます。FMC と FTD を同期させるには、この設定に一致するように DNS プラットフォーム設定をアクティブに設定することをお勧めします。

また、ローカル DNS サーバーは、DNS サーバーが初期登録で検出された場合にのみ FMC で保持されます。たとえば、管理インターフェイスを使用してデバイスを登録し、後で configure network management-data-interface コマンドを使用してデータインターフェイスを設定した場合、FTD 設定と一致するように、DNS サーバーを含むこれらの設定のすべてを FMC で手動で設定する必要があります。
管理インターフェイスは、FTD を FMC に登録した後に、管理インターフェイスまたは別のデータインターフェイスのいずれかに変更できます。
セットアップウィザードで設定した FQDN がこのインターフェイスに使用されます。
コマンドの一部としてデバイス設定全体をクリアできます。このオプションはリカバリシナリオで使用できますが、初期セットアップや通常の操作には使用しないでください。
データ管理を無効にするには、configure network management-data-interface disable コマンドを入力します。

例:


> configure network management-data-interface
Data interface to use for management: ethernet1/1
Specify a name for the interface [outside]:
IP address (manual / dhcp) [dhcp]:  
DDNS server update URL [none]: https://deanwinchester:pa$$w0rd17@domains.example.com/nic/update?hostname=<h>&myip=<a>
Do you wish to clear all the device configuration before applying ? (y/n) [n]:

Configuration done with option to allow FMC access from any network, if you wish to change the FMC access network 
use the 'client' option in the command 'configure network management-data-interface'.

Setting IPv4 network configuration.
Network settings changed.

>

例:


> configure network management-data-interface
Data interface to use for management: ethernet1/1
Specify a name for the interface [outside]: internet
IP address (manual / dhcp) [dhcp]: manual
IPv4/IPv6 address: 10.10.6.7
Netmask/IPv6 Prefix: 255.255.255.0
Default Gateway: 10.10.6.1
Comma-separated list of DNS servers [none]: 208.67.222.222,208.67.220.220
DDNS server update URL [none]:
Do you wish to clear all the device configuration before applying ? (y/n) [n]:

Configuration done with option to allow FMC access from any network, if you wish to change the FMC access network
use the 'client' option in the command 'configure network management-data-interface'.

Setting IPv4 network configuration.
Network settings changed.

>

ステップ 7

（任意）特定のネットワーク上の FMC に対するデータインターフェイスアクセスを制限します。

configure network management-data-interface client ip_address netmask

デフォルトでは、すべてのネットワークが許可されます。

ステップ 8

この FTD を管理する FMC を特定します。

configure manager add {hostname | IPv4_address | IPv6_address | DONTRESOLVE} reg_key [nat_id]

{hostname | IPv4_address | IPv6_address | DONTRESOLVE}—Specifies either the FQDN or IP address of the FMC.FMC を直接アドレス指定できない場合は、DONTRESOLVE を使用します。双方向の SSL 暗号化通信チャネルを 2 台のデバイス間に確立するには、少なくても 1 台以上のデバイス（FMC または FTD）に到達可能な IP アドレスが必要です。このコマンドで DONTRESOLVE を指定するには、到達可能な IP アドレスまたはホスト名が FTD に必要です。
reg_key：FTD を登録するときに FMC でも指定する任意のワンタイム登録キーを指定します。登録キーは 37 文字以下にする必要があります。有効な文字には、英数字（A～Z、a～z、0～9）、およびハイフン（-）などがあります。
nat_id：FMC でも指定する、任意で一意の 1 回限りの文字列を指定します。管理にデータインターフェイスを使用する場合は、登録用に FTD と FMC の両方で NAT ID を指定する必要があります。NAT ID は 37 文字以下にする必要があります。有効な文字には、英数字（A～Z、a～z、0～9）、およびハイフン（-）などがあります。この ID は、FMC に登録する他のデバイスには使用できません。

例:


> configure manager add fmc-1.example.com regk3y78 natid56
Manager successfully configured.

ステップ 9

デバイスをリモート支社に送信できるように FTD をシャットダウンします。

システムを適切にシャットダウンすることが重要です。単純に電源プラグを抜いたり、電源スイッチを押したりすると、重大なファイルシステムの損傷を引き起こすことがあります。バックグラウンドでは常に多数のプロセスが実行されており、電源プラグを抜いたり、電源を切断したりすると、システムをグレースフルシャットダウンできないことを覚えておいてください。

shutdown コマンドを入力します。
電源 LED とステータス LED を観察して、シャーシの電源が切断されていることを確認します（LED が消灯）。
シャーシの電源が正常に切断されたら、必要に応じて電源プラグを抜き、シャーシから物理的に電源を取り外すことができます。

支社へのインストール

中央の本社から FTD を受け取ったら、外部インターフェイスからインターネットにアクセスできるように、ファイアウォールにケーブルを接続して電源をオンにするだけです。そうすると、中央の管理者は設定を完了できます。

ファイアウォールのケーブル接続

FMC と管理コンピュータはリモートの本社にあり、FTD にはインターネット経由で到達できます。Cisco Secure Firewall 3100 をケーブル接続するには、次の手順を参照してください。

手順

ステップ 1	シャーシを取り付けます。ハードウェア設置ガイドを参照してください。
ステップ 2	外部インターフェイス（Ethernet 1/1）を外部ルータに接続します。 FMC へのアクセスには任意のデータインターフェイスを使用できます。たとえば、内部 FMC がある場合は内部インターフェイスなどです。ただし、このガイドでは主に外部インターフェイスアクセスについて説明します。これは、リモート支社で最も用いられる可能性が高いシナリオであるためです。
ステップ 3	内部インターフェイス（Ethernet 1/2 など）を内部スイッチまたはルータに接続します。内部には任意のインターフェイスを選択できます。
ステップ 4	残りのインターフェイスに他のネットワークを接続します。
ステップ 5	（任意）管理コンピュータをコンソールポートに接続します。支社では、日常的に使用するためのコンソール接続は必要ありません。ただし、トラブルシューティングに必要な場合があります。

ファイアウォールの電源を入れます

システムの電源は、ファイアウォールの背面にあるロッカー電源スイッチによって制御されます。電源スイッチは、ソフト通知スイッチとして実装されています。これにより、システムのグレースフルシャットダウンがサポートされ、システムソフトウェアおよびデータの破損のリスクが軽減されます。

（注）

FTD を初めて起動するときは、初期化に約 15 ～ 30 分かかります。

始める前に

ファイアウォールに対して信頼性の高い電力を供給することが重要です（無停電電源装置（UPS）を使用するなど）。最初のシャットダウンを行わないで電力が失われると、重大なファイルシステムの損傷を引き起こす可能性があります。バックグラウンドでは常に多数のプロセスが実行されていて、電力が失われると、システムをグレースフルシャットダウンできません。

手順

ステップ 1

電源コードをファイアウォールに接続し、電源コンセントに接続します。

ステップ 2

シャーシの背面で、電源コードに隣接する標準的なロッカータイプの電源オン/オフスイッチを使用して電源をオンにします。

ステップ 3

ファイアウォールの背面にある電源 LED を確認します。緑色に点灯している場合は、ファイアウォールの電源が入っています。

ステップ 4

ファイアウォールの背面にあるシステム LED を確認します。緑色に点灯している場合は、電源投入診断に合格しています。

（注）

スイッチを ON から OFF に切り替えると、システムの電源が最終的に切れるまで数秒かかることがあります。この間は、シャーシの前面パネルの電源 LED が緑に点滅します。電源 LED が完全にオフになるまで電源を切らないでください。

中央の管理者による事後設定

外部インターフェイスからインターネットにアクセスできるようにリモート支社の管理者が FTD をケーブル接続すると、FTD を FMC に登録してデバイスの設定を完了できます。

へのログインFMC

FMC を使用して、FTD を設定および監視します。

始める前に

サポートされているブラウザの詳細については、使用するバージョンのリリースノート（https://www.cisco.com/go/firepower-notes）を参照してください。

手順

ステップ 1

サポートされているブラウザを使用して、次の URL を入力します。

https://fmc_ip_address

ステップ 2

ユーザー名とパスワードを入力します。

ステップ 3

[ログイン（Log In）] をクリックします。

FMC のライセンスの取得

すべてのライセンスは、FMC によって FTD に提供されます。オプションで、次の機能ライセンスを購入できます。

基本：（必須）基本ライセンス。
脅威：セキュリティインテリジェンスと次世代 IPS
マルウェア：マルウェア
URL：URL フィルタリング
RA VPN：AnyConnect Plus、AnyConnect Apex、または AnyConnect VPN 専用

シスコライセンスの概要については詳しくは、cisco.com/go/licensingguide を参照してください。

始める前に

Smart Software Manager にマスターアカウントを持ちます。

まだアカウントをお持ちでない場合は、リンクをクリックして新しいアカウントを設定してください。Smart Software Manager では、組織のマスターアカウントを作成できます。
（輸出コンプライアンスフラグを使用して有効化される）機能を使用するには、ご使用のスマートソフトウェアライセンシングアカウントで強力な暗号化（3DES/AES）ライセンスを使用できる必要があります。

手順

ステップ 1

お使いのスマートライセンシングアカウントに、必要なライセンスが含まれていることを確認してください。

ライセンスは、シスコまたは販売代理店からデバイスを購入した際に、スマートソフトウェアライセンシングアカウントにリンクされています。ただし、主導でライセンスを追加する必要がある場合は、Cisco Commerce Workspace で [製品とソリューションの検索（Find Products and Solutions）] 検索フィールドを使用します。次のライセンス PID を検索します。

（注）

PID が見つからない場合は、注文に手動で PID を追加できます。

基本ライセンス：
- L-FPR3110-BSE=
- L-FPR3120-BSE=
- L-FPR3130-BSE=
- L-FPR3140-BSE=
脅威、マルウェア、および URL ライセンスの組み合わせ：
- L-FPR3110T-TMC=
- L-FPR3120T-TMC=
- L-FPR3130T-TMC=
- L-FPR3140T-TMC=
上記の PID のいずれかを注文に追加すると、次のいずれかの PID に対応する期間ベースのサブスクリプションを選択できます。
- L-FPR3110T-TMC-1Y
- L-FPR3110T-TMC-3Y
- L-FPR3110T-TMC-5Y
- L-FPR3120T-TMC-1Y
- L-FPR3120T-TMC-3Y
- L-FPR3120T-TMC-5Y
- L-FPR3130T-TMC-1Y
- L-FPR3130T-TMC-3Y
- L-FPR3130T-TMC-5Y
- L-FPR3140T-TMC-1Y
- L-FPR3140T-TMC-3Y
- L-FPR3140T-TMC-5Y
RA VPN：『Cisco AnyConnect Ordering Guide』を参照してください。

ステップ 2

まだの場合は、Smart Software Manager に FMC を登録します。

登録を行うには、Smart Software Manager で登録トークンを生成する必要があります。詳細については、『FMC コンフィグレーションガイド』を参照してください。ロータッチプロビジョニングの場合は、Smart Software Manager に登録するとき、または登録した後に、ロータッチプロビジョニングのクラウドアシスタンスを有効にする必要があります。[システム（System）] > [ライセンス（Licenses）] > [スマートライセンス（Smart Licenses）] ページを参照してください。

FMC への FTD の登録

FTD を FMC に登録します。

始める前に

FTD の初期設定で設定した次の情報を収集します。
- FTD の管理 IP アドレスまたはホスト名、および NAT ID
- FMC の登録キー

手順

ステップ 1

FMC で、[デバイス（Devices）] > [デバイス管理（Device Management）] の順に選択します。

ステップ 2

[追加（Add）] ドロップダウンリストから、[デバイスの追加（Add Device）] を選択します。

次のパラメータを設定します。

[ホスト（Host）]：追加する FTD の IP アドレスかホスト名を入力します。FTD の最初の設定で FMC の IP アドレスと NAT ID の両方を指定した場合は、このフィールドを空のままにしておくことができます。

（注）

HA 環境では、両方の FMC が NAT の背後にある場合、プライマリ FMC のホスト IP または名前なしで FTD を登録できます。ただし、FTD をセカンダリ FMC に登録するには、FTD の IP アドレスかホスト名を指定する必要があります。

[表示名（Display Name）] フィールドに、FMC に表示する FTD の名前を入力します。
[登録キー（Registration key）]：FTD の最初の設定で指定したものと同じ登録キーを入力します。
[ドメイン（Domain）]：マルチドメイン環境を使用している場合は、デバイスをリーフドメインに割り当てます。
[グループ（Group）]：グループを使用している場合は、デバイスグループに割り当てます。
[アクセスコントロールポリシー（Access Control Policy）]：初期ポリシーを選択します。使用する必要があることがわかっているカスタマイズ済みのポリシーがすでにある場合を除いて、[新しいポリシーの作成（Create new policy）] を選択し、[すべてのトラフィックをブロック（Block all traffic）] を選択します。後でこれを変更してトラフィックを許可することができます。「内部から外部へのトラフィックの許可」を参照してください。

図 9. New Policy
[スマートライセンス（Smart Licensing）]：展開する機能に必要なスマートライセンスとして、[マルウェア（Malware）]（マルウェアインスペクションを使用する予定の場合）、[脅威（Threat）]（侵入防御を使用する予定の場合）、および [URL]（カテゴリベースの URL フィルタリングを実行する予定の場合）を割り当てます。注：デバイスを追加した後、[システム（System）] > [ライセンス（Licenses）] > [スマートライセンス（Smart Licenses）] ページから AnyConnect リモートアクセス VPN のライセンスを適用できます。
[一意のNAT ID（Unique NAT ID）]：FTD の最初の設定で指定した NAT ID を指定します。
[パケットの転送（Transfer Packets）]：デバイスから FMC へのパケット転送を許可します。このオプションを有効にして IPS や Snort などのイベントがトリガーされた場合は、デバイスが検査用としてイベントメタデータ情報とパケットデータを FMC に送信します。このオプションを無効にした場合は、イベント情報だけが FMC に送信され、パケットデータは送信されません。

ステップ 3

[登録（Register）] をクリックし、登録が成功したことを確認します。

登録が成功すると、デバイスがリストに追加されます。失敗した場合は、エラーメッセージが表示されます。FTD が登録に失敗した場合は、次の項目を確認してください。

ping：FTD CLI にアクセスし、次のコマンドを使用して FMC の IP アドレスへの ping を実行します。

ping system ip_address

ping が成功しない場合は、show network コマンドを使用してネットワーク設定を確認します。FTD 管理 IP アドレスを変更する必要がある場合は、configure network management-data-interface コマンドを使用します。
登録キー、NAT ID、および FMC IP アドレス：両方のデバイスで同じ登録キーを使用していることを確認し、使用している場合は NAT ID を使用していることを確認します。configure manager add コマンドを使用して、FTD で登録キーと NAT ID を設定することができます。

トラブルシューティングの詳細については、https://cisco.com/go/fmc-reg-error を参照してください。

基本的なセキュリティポリシーの設定

ここでは、次の設定を使用して基本的なセキュリティポリシーを設定する方法について説明します。

内部インターフェイスと外部インターフェイス：内部インターフェイスにスタティック IP アドレスを割り当て、外部インターフェイスに DHCP を使用します。
DHCP サーバー：クライアントの内部インターフェイスで DHCP サーバーを使用します。
デフォルトルート：外部インターフェイスを介してデフォルトルートを追加します。
NAT：外部インターフェイスでインターフェイス PAT を使用します。
アクセスコントロール：内部から外部へのトラフィックを許可します。
SSH：FMC アクセスインターフェイスで SSH を有効にします。

基本的なセキュリティポリシーを設定するには、次のタスクを実行します。


	インターフェイスの設定。
	DHCP サーバーの設定。
	デフォルトルートの追加。
	NAT の設定。
	内部から外部へのトラフィックの許可。
	FMC アクセスデータインターフェイスでの SSH の設定。
	設定の展開。

インターフェイスの設定

FTD インターフェイスを有効にし、それらをセキュリティゾーンに割り当てて IP アドレスを設定します。通常は、システムで意味のあるトラフィックを通過させるように、少なくとも 2 つのインターフェイスを設定する必要があります。通常は、アップストリームルータまたはインターネットに面した外部インターフェイスと、組織のネットワークの 1 つ以上の内部インターフェイスを使用します。これらのインターフェイスの一部は、Web サーバーなどのパブリックアクセスが可能なアセットを配置する「緩衝地帯」（DMZ）となる場合があります。

一般的なエッジルーティングの状況は、内部インターフェイスでスタティックアドレスを定義すると同時に、ISP から DHCP を介して外部インターフェイスアドレスを取得することです。

次の例では、DHCP によるスタティックアドレスとルーテッドモードの外部インターフェイスを使用して、ルーテッドモードの内部インターフェイスを設定します。

手順

ステップ 1

[デバイス（Devices）] > [デバイス管理（Device Management）] の順に選択し、ファイアウォールのをクリックします。

ステップ 2

[インターフェイス（Interfaces）] をクリックします。

ステップ 3

ステップ 4

内部に使用するインターフェイスのをクリックします。

[全般（General）] タブが表示されます。

48 文字までの [名前（Name）] を入力します。

たとえば、インターフェイスに inside という名前を付けます。
[有効（Enabled）] チェックボックスをオンにします。
[モード（Mode）] は [なし（None）] に設定したままにします。
[セキュリティゾーン（Security Zone）] ドロップダウンリストから既存の内部セキュリティゾーンを選択するか、[新規（New）] をクリックして新しいセキュリティゾーンを追加します。

たとえば、inside_zone という名前のゾーンを追加します。各インターフェイスは、セキュリティゾーンおよびインターフェイスグループに割り当てる必要があります。インターフェイスは、1 つのセキュリティゾーンにのみ属することも、複数のインターフェイスグループに属することもできます。ゾーンまたはグループに基づいてセキュリティポリシーを適用します。たとえば、内部インターフェイスを内部ゾーンに割り当て、外部インターフェイスを外部ゾーンに割り当てることができます。この場合、トラフィックが内部から外部に移動できるようにアクセスコントロールポリシーを設定することはできますが、外部から内部に向けては設定できません。ほとんどのポリシーはセキュリティゾーンのみサポートしています。NAT ポリシー、プレフィルタポリシー、および QoS ポリシーで、ゾーンまたはインターフェイスグループを使用できます。
[IPv4] タブ、[IPv6] タブ、または両方のタブをクリックします。
- [IPv4]：ドロップダウンリストから [スタティックIPを使用する（Use Static IP）] を選択し、IP アドレスとサブネットマスクをスラッシュ表記で入力します。
  
  たとえば、192.168.1.1/24 などと入力します。
- [IPv6]：ステートレス自動設定の場合は [自動設定（Autoconfiguration）] チェックボックスをオンにします。
[OK] をクリックします。

ステップ 5

「外部」に使用するインターフェイスをクリックします。

[全般（General）] タブが表示されます。

（注）

FMC アクセス管理用にこのインターフェイスを事前に設定している場合、インターフェイスにはすでに名前が付けられており、有効化とアドレス指定が完了しています。これらの基本設定は変更しないでください。変更すると、FMC の管理接続が中断されます。この画面でも、通過トラフィックポリシーのセキュリティゾーンを設定できます。

48 文字までの [名前（Name）] を入力します。

たとえば、インターフェイスに「outside」という名前を付けます。
[有効（Enabled）] チェックボックスをオンにします。
[モード（Mode）] は [なし（None）] に設定したままにします。
[セキュリティゾーン（Security Zone）] ドロップダウンリストから既存の外部セキュリティゾーンを選択するか、[新規（New）] をクリックして新しいセキュリティゾーンを追加します。

たとえば、「outside_zone」という名前のゾーンを追加します。
[IPv4] タブ、[IPv6] タブ、または両方のタブをクリックします。
- [IPv4]：[DHCPの使用（Use DHCP）] を選択し、次のオプションのパラメータを設定します。
  - [DHCP を使用してデフォルトルートを取得（Obtain default route using DHCP）]：DHCP サーバーからデフォルトルートを取得します。
  - [DHCPルートメトリック（DHCP route metric）]：アドミニストレーティブディスタンスを学習したルートに割り当てます（1 ～ 255）。学習したルートのデフォルトのアドミニストレーティブディスタンスは 1 です。
- [IPv6]：ステートレス自動設定の場合は [自動設定（Autoconfiguration）] チェックボックスをオンにします。
[OK] をクリックします。

ステップ 6

[保存（Save）] をクリックします。

DHCP サーバーの設定

クライアントで DHCP を使用して FTD から IP アドレスを取得するようにする場合は、DHCP サーバーを有効にします。

手順

ステップ 1	[デバイス（Devices）] > [デバイス管理（Device Management）] を選択し、デバイスをクリックします。
ステップ 2	[DHCP] > [DHCPサーバー（DHCP Server）] を選択します。
ステップ 3	[サーバー（Server）] ページで、[追加（Add）] をクリックして、次のオプションを設定します。 [インターフェイス（Interface）]：ドロップダウンリストからインターフェイスを選択します。 [アドレスプール（Address Pool）]：DHCP サーバーが使用する IP アドレスの最下位から最上位の間の範囲を設定します。IP アドレスの範囲は、選択したインターフェイスと同じサブネット上に存在する必要があり、インターフェイス自身の IP アドレスを含めることはできません。 [DHCPサーバーを有効にする（Enable DHCP Server）]：選択したインターフェイスの DHCP サーバーを有効にします。
ステップ 4	[OK] をクリックします。
ステップ 5	[保存（Save）] をクリックします。

デフォルトルートの追加

デフォルトルートは通常、外部インターフェイスから到達可能なアップストリームルータを指し示します。外部インターフェイスに DHCP を使用する場合は、デバイスがすでにデフォルトルートを受信している可能性があります。手動でルートを追加する必要がある場合は、次の手順を実行します。DHCP サーバーからデフォルトルートを受信した場合は、[デバイス（Devices）] > [デバイス管理（Device Management）] > [ルーティング（Routing）] > [スタティックルート（Static Route）] ページの [IPv4ルート（IPv4 Routes）] または [IPv6ルート（IPv6 Routes）] テーブルに表示されます。

手順

ステップ 1	[デバイス（Devices）] > [デバイス管理（Device Management）] を選択し、デバイスをクリックします。
ステップ 2	[ルーティング（Routing）] > [スタティックルート（Static route）] を選択し、[ルートを追加（Add route）] をクリックして、次のように設定します。 [タイプ（Type）]：追加するスタティックルートのタイプに応じて、[IPv4] または [IPv6] オプションボタンをクリックします。 [インターフェイス（Interface）]：出力インターフェイスを選択します。通常は外部インターフェイスです。 [使用可能なネットワーク（Available Network）]：IPv4 デフォルトルートの場合は [ipv4] を選択し、IPv6 デフォルトルートの場合は [any] を選択し、[追加（Add）] をクリックして [選択したネットワーク（Selected Network）] リストに移動させます。 [ゲートウェイ（Gateway）] または [IPv6ゲートウェイ（IPv6 Gateway）]：このルートのネクストホップであるゲートウェイルータを入力または選択します。IP アドレスまたはネットワーク/ホストオブジェクトを指定できます。 [メトリック（Metric）]：宛先ネットワークへのホップの数を入力します。有効値の範囲は 1 ～ 255 で、デフォルト値は 1 です。
ステップ 3	[OK] をクリックします。ルートがスタティックルートテーブルに追加されます。
ステップ 4	[保存（Save）] をクリックします。

NAT の設定

一般的な NAT ルールでは、内部アドレスを外部インターフェイスの IP アドレスのポートに変換します。このタイプの NAT ルールのことをインターフェイスポートアドレス変換（PAT）と呼びます。

手順

ステップ 1

[デバイス（Devices）] > [NAT] をクリックし、[新しいポリシー（New Policy）] > [Threat Defense NAT] をクリックします。

ステップ 2

ポリシーに名前を付け、ポリシーを使用するデバイスを選択し、[保存（Save）] をクリックします。

ポリシーが FMC に追加されます。引き続き、ポリシーにルールを追加する必要があります。

ステップ 3

[ルールの追加（Add Rule）] をクリックします。

[NATルールの追加（Add NAT Rule）] ダイアログボックスが表示されます。

ステップ 4

基本ルールのオプションを設定します。

[NATルール（NAT Rule）]：[自動NATルール（Auto NAT Rule）] を選択します。
[タイプ（Type）]：[ダイナミック（Dynamic）] を選択します。

ステップ 5

[インターフェイスオブジェクト（Interface objects）] ページで、[使用可能なインターフェイスオブジェクト（Available Interface Objects）] 領域から [宛先インターフェイスオブジェクト（Destination Interface Objects）] 領域に外部ゾーンを追加します。

ステップ 6

[変換（Translation）] ページで、次のオプションを設定します。

[元の送信元（Original Source）]：をクリックして、すべての IPv4 トラフィック（0.0.0.0/0）のネットワークオブジェクトを追加します。

（注）

自動 NAT ルールはオブジェクト定義の一部として NAT を追加するため、システム定義の any-ipv4 オブジェクトを使用することはできません。また、システム定義のオブジェクトを編集することはできません。

[変換済みの送信元（Translated Source）]：[宛先インターフェイスIP（Destination Interface IP）] を選択します。

ステップ 7

[保存（Save）] をクリックしてルールを追加します。

ルールが [ルール（Rules）] テーブルに保存されます。

ステップ 8

NAT ページで [保存（Save）] をクリックして変更を保存します。

内部から外部へのトラフィックの許可

FTD を FMC に登録したときに、基本の [すべてのトラフィックをブロック（Block all traffic）] アクセスコントロールポリシーを作成した場合は、デバイスを通過するトラフィックを許可するためにポリシーにルールを追加する必要があります。次の手順では、内部ゾーンから外部ゾーンへのトラフィックを許可するルールを追加します。他にゾーンがある場合は、適切なネットワークへのトラフィックを許可するルールを追加してください。

より高度なセキュリティ設定とルールを設定する場合は、『Firepower Management Center Configuration Guide』を参照してください。

手順

ステップ 1	[ポリシー（Policy）] > [アクセスポリシー（Access Policy）] > [アクセスポリシー（Access Policy）] を選択し、FTD に割り当てられているアクセスコントロールポリシーのをクリックします。
ステップ 2	[ルールを追加（Add Rule）] をクリックし、次のパラメータを設定します。 [名前（Name）]：このルールに名前を付けます（たとえば、inside_to_outside）。 [送信元ゾーン（Source Zones）]：[使用可能なゾーン（Available Zones）] から内部ゾーンを選択し、[送信元に追加（Add to Source）] をクリックします。 [宛先ゾーン（Destination Zones）]：[使用可能なゾーン（Available Zones）] から外部ゾーンを選択し、[宛先に追加（Add to Destination）] をクリックします。他の設定はそのままにしておきます。
ステップ 3	[追加（Add）] をクリックします。ルールが [ルール（Rules）] テーブルに追加されます。
ステップ 4	[保存（Save）] をクリックします。

FMC アクセスデータインターフェイスでの SSH の設定

外部などのデータインターフェイスで FMC アクセスを有効にした場合は、この手順に従ってそのインターフェイスで SSH を有効にする必要があります。ここでは、FTD で 1 つ以上のデータインターフェイスに対して SSH 接続を有効にする方法について説明します。 SSH は診断論理インターフェイスに対してサポートされません。

（注）

SSH は管理インターフェイス上でデフォルトで有効になっていますが、この画面は管理 SSH アクセスに影響しません。

管理インターフェイスは、デバイスの他のインターフェイスとは分離されています。FMCにデバイスを設定し、登録するために使用されます。データインターフェイスの SSH は、管理インターフェイスの SSH と内部および外部ユーザリストを共有します。その他の設定は個別に設定されます。データインターフェイスでは、この画面を使用して SSH とアクセスリストを有効にします。データインターフェイスの SSH トラフィックは通常のルーティング設定を使用し、設定時に設定されたスタティックルートや CLI で設定されたスタティックルートは使用しません。

管理インターフェイスの場合、SSH アクセスリストを設定するには『Firepower Threat Defense Command Reference』の configure ssh-access-list コマンドを参照してください。スタティックルートを設定するには、configure network static-routes コマンドを参照してください。デフォルトでは、初期設定時に管理インターフェイスからデフォルトルートを設定します。

SSH を使用するには、ホスト IP アドレスを許可するアクセスルールは必要ありません。このセクションの手順に従って、SSH アクセスを設定する必要があるだけです。

SSH は、到達可能なインターフェイスにのみ使用できます。SSH ホストが外部インターフェイスにある場合、外部インターフェイスへの直接管理接続のみ開始できます。

デバイスでは、最大 5 つの同時 SSH 接続を許可できます。

（注）

すべてのアプライアンスでは、SSH を介した CLI またはへのログイン試行が 3 回連続して失敗すると、SSH 接続は終了します。

始める前に

SSH 内部ユーザーは、configure user add コマンドを使用して CLI でのみ設定できます。。デフォルトでは、初期設定時にパスワードを設定したAdminユーザーが存在します。LDAP または RADIUS 上の外部ユーザーは、プラットフォーム設定で [外部認証（External Authentication）] を設定することによっても設定できます。

デバイスへの SSH 接続を許可するホストまたはネットワークを定義するネットワークオブジェクトが必要です。オブジェクトをプロシージャの一部として追加できますが、IP アドレスのグループを特定するためにオブジェクトグループを使用する場合は、ルールで必要なグループがすでに存在することを確認します。[オブジェクト（Objects）] > [オブジェクト管理（Object Management）] を選択して、オブジェクトを設定します。

（注）

システムが提供する any ネットワークオブジェクトは使用できません。代わりに、any-ipv4 または any-ipv6 を使用します。

手順

ステップ 1	[デバイス（Devices）] > [プラットフォーム設定（Platform Settings）] を選択し、FTD ポリシーを作成または編集します。
ステップ 2	[セキュアシェル（Secure Shell）] を選択します。
ステップ 3	SSH 接続を許可するインターフェイスと IP アドレスを指定します。この表を使用して、SSH 接続を受け入れるインターフェイス、およびそれらの接続を許可されるクライアントの IP アドレスを制限します。個々の IP アドレスはなく、ネットワークアドレスを使用できます。 [追加（Add）] をクリックして新しいルールを追加するか、[編集（Edit）] をクリックして既存のルールを編集します。ルールのプロパティを設定します。 [IP Address]：SSH 接続を許可するホストまたはネットワークを特定するネットワークオブジェクトまたはグループ。オブジェクトをドロップダウンメニューから選択するか、または [+] をクリックして新しいネットワークオブジェクトを追加します。 [セキュリティゾーン（Security Zones）]：SSH 接続を許可するインターフェイスを含むゾーンを追加します。ゾーンにないインターフェイスでは、選択されたセキュリティゾーンのリストの下のフィールドにインターフェイス名を入力し、[追加（Add）] をクリックします。選択されているインターフェイスまたはゾーンがデバイスに含まれているときにのみ、これらのルールがデバイスに適用されます。 [OK] をクリックします。
ステップ 4	[Save（保存）] をクリックします。これで、[展開（Deploy）] > [展開（Deployment）] をクリックし、割り当てたデバイスにポリシーを展開できるようになりました。変更はポリシーを展開するまで有効になりません。

設定の展開

設定の変更を FTD に展開します。変更を展開するまでは、デバイス上でどの変更もアクティブになりません。

手順

ステップ 1

右上の [展開（Deploy）] をクリックします。

ステップ 2

[ポリシーの展開（Deploy Policies）] ダイアログボックスでデバイスを選択し、[展開（Deploy）] をクリックします。

ステップ 3

展開が成功したことを確認します。展開のステータスを表示するには、メニューバーの [展開（Deploy）] ボタンの右側にあるアイコンをクリックします。

FTD および FXOS CLI へのアクセス

コマンドラインインターフェイス（CLI）を使用してシステムのセットアップを行い、基本的なシステムのトラブルシューティングを行います。CLI セッションからポリシーを設定することはできません。CLI には、コンソールポートに接続してアクセスできます。

トラブルシューティングのために、FXOS CLI にアクセスすることもできます。

（注）

または、FTD デバイスの管理インターフェイスに SSH で接続できます。コンソールセッションとは異なり、SSH セッションはデフォルトで FTD CLI になり、connect fxos コマンドを使用して FXOS CLI に接続できます。SSH 接続用のインターフェイスを開いている場合、後でデータインターフェイス上のアドレスに接続できます。データインターフェイスへの SSH アクセスはデフォルトで無効になっています。この手順では、デフォルトで FXOS CLI となるコンソールポートアクセスについて説明します。

手順

ステップ 1

CLI にログインするには、管理コンピュータをコンソールポートに接続します。Cisco Secure Firewall 3100 には DB-9 to RJ-45 シリアルケーブルが付属しているため、接続するためにはサードパーティ製のシリアル to USB ケーブルが必要です。お使いのオペレーティングシステムに必要な USB シリアルドライバを必ずインストールしてください（Cisco Secure Firewall 3100 ハードウェアガイドを参照）。コンソールポートはデフォルトで FXOS CLI になります。次のシリアル設定を使用します。

9600 ボー
8 データビット
パリティなし
1 ストップビット

FXOS CLI に接続します。ユーザー名 admin と、初期セットアップ時に設定したパスワードを使用して CLI にログインします（デフォルトは Admin123）。

例:


firepower login: admin
Password:
Last login: Thu May 16 14:01:03 UTC 2019 on ttyS0
Successful login attempts for user 'admin' : 1

firepower#

ステップ 2

FTD CLI にアクセスします。

connect ftd

例:


firepower# connect ftd
>

ログイン後に、CLI で使用可能なコマンドの情報を確認するには、help または ? を入力します。使用方法については、『Secure Firewall Threat Defense のコマンドリファレンス』を参照してください。

ステップ 3

FTD CLI を終了するには、exit または logout コマンドを入力します。

このコマンドにより、FXOS CLI プロンプトに戻ります。FXOS CLI で使用可能なコマンドの情報を確認するには、? を入力します。

例:


> exit
firepower#

データインターフェイスでの管理接続のトラブルシューティング

モデルのサポート：FTD

専用の管理インターフェイスを使用する代わりに、FMC にデータインターフェイスを使用する場合は、FMC で FTD のインターフェイスとネットワークの設定を変更するときに接続を中断しないように注意します。FTD を FMC に追加した後に管理インターフェイスタイプを変更する場合（データから管理へ、または管理からデータへ）、インターフェイスとネットワークの設定が正しく構成されていないと、管理接続が失われる可能性があります。

このトピックは、管理接続が失われた場合のトラブルシューティングに役立ちます。

管理接続ステータスの表示

FMC で、[デバイス（Devices）] > [デバイス管理（Device Management）] > [デバイス（Device）] > [管理（Management）] > [FMCアクセスの詳細（FMC Access Details）] > [接続ステータス（Connection Status）] ページの順に選択して管理接続のステータスを確認します。

管理接続のステータスを表示するには、FTD CLI で、sftunnel-status-brief コマンドを入力します。sftunnel-status を使用して、より完全な情報を表示することもできます。

ダウン状態の接続の出力例を次に示します。ピアチャネルの「接続先」情報やハートビート情報が表示されていません。


> sftunnel-status-brief
PEER:10.10.17.202
Registration: Completed.
Connection to peer '10.10.17.202' Attempted at Mon Jun 15 09:21:57 2020 UTC
Last disconnect time : Mon Jun 15 09:19:09 2020 UTC
Last disconnect reason : Both control and event channel connections with peer went down

アップ状態の接続の出力例を次に示します。ピアチャネルとハートビート情報が表示されています。


> sftunnel-status-brief
PEER:10.10.17.202
Peer channel Channel-A is valid type (CONTROL), using 'eth0', connected to '10.10.17.202' via '10.10.17.222'
Peer channel Channel-B is valid type (EVENT), using 'eth0', connected to '10.10.17.202' via '10.10.17.222'
Registration: Completed.
IPv4 Connection to peer '10.10.17.202' Start Time: Wed Jun 10 14:27:12 2020 UTC
Heartbeat Send Time: Mon Jun 15 09:02:08 2020 UTC
Heartbeat Received Time: Mon Jun 15 09:02:16 2020 UTC

FTD ネットワーク情報の表示

FTD CLI で、管理および FMC アクセスデータインターフェイスのネットワーク設定を表示します。

show network


> show network
===============[ System Information ]===============
Hostname                  : 5516X-4
DNS Servers               : 208.67.220.220,208.67.222.222
Management port           : 8305
IPv4 Default route
  Gateway                 : data-interfaces
IPv6 Default route
  Gateway                 : data-interfaces

======================[ br1 ]=======================
State                     : Enabled
Link                      : Up
Channels                  : Management & Events
Mode                      : Non-Autonegotiation
MDI/MDIX                  : Auto/MDIX
MTU                       : 1500
MAC Address               : 28:6F:7F:D3:CB:8D
----------------------[ IPv4 ]----------------------
Configuration             : Manual
Address                   : 10.99.10.4
Netmask                   : 255.255.255.0
Gateway                   : 10.99.10.1
----------------------[ IPv6 ]----------------------
Configuration             : Disabled

===============[ Proxy Information ]================
State                     : Disabled
Authentication            : Disabled

======[ System Information - Data Interfaces ]======
DNS Servers               :
Interfaces                : GigabitEthernet1/1

===============[ GigabitEthernet1/1 ]===============
State                     : Enabled
Link                      : Up
Name                      : outside
MTU                       : 1500
MAC Address               : 28:6F:7F:D3:CB:8F
----------------------[ IPv4 ]----------------------
Configuration             : Manual
Address                   : 10.89.5.29
Netmask                   : 255.255.255.192
Gateway                   : 10.89.5.1
----------------------[ IPv6 ]----------------------
Configuration             : Disabled

FMC への FTD の登録の確認

FTD CLI で、FMC 登録が完了したことを確認します。このコマンドは、管理接続の現在のステータスを表示するものではないことに注意してください。

show managers


> show managers
Type                      : Manager
Host                      : 10.89.5.35
Registration              : Completed

>

FMC に ping する

FTD CLI で、次のコマンドを使用して、データインターフェイスから FMC に ping します。

ping fmc_ip

FTD CLI で、次のコマンドを使用して、管理インターフェイスから FMC に ping します。これは、バックプレーンを介してデータインターフェイスにルーティングされます。

ping system fmc_ip

FTD 内部インターフェイスでのパケットのキャプチャ

FTD CLI で、内部バックプレーンインターフェイス（nlp_int_tap）でパケットをキャプチャして、管理パケットが送信されているかどうかを確認します。

capture name interface nlp_int_tap trace detail match ip any any

show capturename trace detail

内部インターフェイスのステータス、統計、およびパケット数の確認

FTD CLI で、内部バックプレーンインターフェイス（nlp_int_tap）に関する情報を参照してください。

show interace detail


> show interface detail
[...]
Interface Internal-Data0/1 "nlp_int_tap", is up, line protocol is up
  Hardware is en_vtun rev00, BW Unknown Speed-Capability, DLY 1000 usec
	(Full-duplex), (1000 Mbps)
	Input flow control is unsupported, output flow control is unsupported
	MAC address 0000.0100.0001, MTU 1500
	IP address 169.254.1.1, subnet mask 255.255.255.248
	37 packets input, 2822 bytes, 0 no buffer
	Received 0 broadcasts, 0 runts, 0 giants
	0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
	0 pause input, 0 resume input
	0 L2 decode drops
	5 packets output, 370 bytes, 0 underruns
	0 pause output, 0 resume output
	0 output errors, 0 collisions, 0 interface resets
	0 late collisions, 0 deferred
	0 input reset drops, 0 output reset drops
	input queue (blocks free curr/low): hardware (0/0)
	output queue (blocks free curr/low): hardware (0/0)
  Traffic Statistics for "nlp_int_tap":
	37 packets input, 2304 bytes
	5 packets output, 300 bytes
	37 packets dropped
      1 minute input rate 0 pkts/sec,  0 bytes/sec
      1 minute output rate 0 pkts/sec,  0 bytes/sec
      1 minute drop rate, 0 pkts/sec
      5 minute input rate 0 pkts/sec,  0 bytes/sec
      5 minute output rate 0 pkts/sec,  0 bytes/sec
      5 minute drop rate, 0 pkts/sec
  Control Point Interface States:
	Interface number is 14
	Interface config status is active
	Interface state is active

ルーティングと NAT の確認

FTD CLI で、デフォルトルート（S*）が追加されていること、および管理インターフェイス（nlp_int_tap）に内部 NAT ルールが存在することを確認します。

show route


> show route

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, + - replicated route
       SI - Static InterVRF
Gateway of last resort is 10.89.5.1 to network 0.0.0.0

S*       0.0.0.0 0.0.0.0 [1/0] via 10.89.5.1, outside
C        10.89.5.0 255.255.255.192 is directly connected, outside
L        10.89.5.29 255.255.255.255 is directly connected, outside

>

show nat


> show nat

Auto NAT Policies (Section 2)
1 (nlp_int_tap) to (outside) source static nlp_server_0_sftunnel_intf3 interface  service tcp 8305 8305
    translate_hits = 0, untranslate_hits = 6
2 (nlp_int_tap) to (outside) source static nlp_server_0_ssh_intf3 interface  service tcp ssh ssh
    translate_hits = 0, untranslate_hits = 73
3 (nlp_int_tap) to (outside) source static nlp_server_0_sftunnel_ipv6_intf3 interface ipv6  service tcp 8305 8305
    translate_hits = 0, untranslate_hits = 0
4 (nlp_int_tap) to (outside) source dynamic nlp_client_0_intf3 interface
    translate_hits = 174, untranslate_hits = 0
5 (nlp_int_tap) to (outside) source dynamic nlp_client_0_ipv6_intf3 interface ipv6
    translate_hits = 0, untranslate_hits = 0
>

その他の設定の確認

次のコマンドを参照して、他のすべての設定が存在することを確認します。これらのコマンドの多くは、FMC の [デバイス（Devices）] > [デバイス管理（Device Management）] > [デバイス（Device）] > [管理（Management）] > [FMCアクセスの詳細（FMC Access Details）] > [CLI出力（CLI Output）] ページでも確認できます。

show running-config sftunnel


> show running-config sftunnel
sftunnel interface outside
sftunnel port 8305

show running-config ip-client


> show running-config ip-client
ip-client outside

show conn address fmc_ip


> show conn address 10.89.5.35
5 in use, 16 most used
Inspect Snort:
        preserve-connection: 0 enabled, 0 in effect, 0 most enabled, 0 most in effect

TCP nlp_int_tap  10.89.5.29(169.254.1.2):51231 outside  10.89.5.35:8305, idle 0:00:04, bytes 86684, flags UxIO
TCP nlp_int_tap  10.89.5.29(169.254.1.2):8305 outside  10.89.5.35:52019, idle 0:00:02, bytes 1630834, flags UIO
>

DDNS の更新が成功したかどうかを確認する

FTD CLI で、DDNS の更新が成功したかどうかを確認します。

debug ddns


> debug ddns
DDNS update request = /v3/update?hostname=domain.example.org&myip=209.165.200.225
Successfuly updated the DDNS sever with current IP addresses
DDNS: Another update completed, outstanding = 0
DDNS: IDB SB total = 0

更新に失敗した場合は、debug http コマンドと debug ssl コマンドを使用します。証明書の検証が失敗した場合は、ルート証明書がデバイスにインストールされていることを確認します。

show crypto ca certificates trustpoint_name

DDNS の動作を確認するには：

show ddns update interface fmc_access_ifc_name


> show ddns update interface outside

Dynamic DNS Update on outside:
    Update Method Name Update Destination
    RBD_DDNS not available

Last Update attempted on 04:11:58.083 UTC Thu Jun 11 2020
Status : Success
FQDN : domain.example.org
IP addresses : 209.165.200.225

FMC ログファイルの確認

https://cisco.com/go/fmc-reg-error を参照してください。

FMC の接続が失われた場合の構成のロールバック

FMC で FTD のデータインターフェイスを使用し、ネットワーク接続に影響する FMC からの構成の変更を展開する場合、FTD の構成を最後に展開した構成にロールバックして、管理接続を復元できます。その後、ネットワーク接続が維持されるように FMC で構成設定を調整して再展開できます。ロールバック機能は、接続が失われていない場合でも使用でき、このトラブルシューティングの状況以外でも使用できます。

次のガイドラインを参照してください。

前回の展開のみ FTD でローカルに使用できます。さらに以前の展開にロールバックすることはできません。
ロールバックは、高可用性またはクラスタリングの導入ではサポートされていません。
ロールバックは、FMC で設定できる構成にのみ影響します。たとえば、ロールバックは、FTD CLI でのみ設定できる専用管理インターフェイスに関連するローカル構成には影響しません。configure network management-data-interface コマンドを使用した最後の FMC 展開後にデータインターフェイス設定を変更し、rollback コマンドを使用すると、それらの設定は保持されないことに注意してください。最後に展開された FMC 設定にロールバックされます。
UCAPL/CC モードはロールバックできません。
以前の展開中に更新されたアウトオブバンド SCEP 証明書データはロールバックできません。
ロールバック中に、現在の設定がクリアされるため、接続がドロップされます。

始める前に

モデルのサポート：FTD

手順

ステップ 1

FTD CLI で、以前の構成へロールバックします。

configure policy rollback

ロールバック後、FTD はロールバックが正常に完了したことを FMC に通知します。FMC では、構成がロールバックされたことを示すバナーが展開画面に表示されます。

ロールバックが失敗した場合、一般的な展開の問題についてhttps://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw-virtual/215258-troubleshooting-firepower-threat-defense.htmlを参照してください。場合によっては、FMC アクセスの復元後にロールバックが失敗することがあります。この場合、FMC の構成の問題を解決して、FMC から再展開できます。

例:


> configure policy rollback

The last deployment to this FTD was on June 1, 2020 and its status was Successful.
Do you want to continue [Y/N]?

Y

Rolling back complete configuration on the FTD. This will take time.
.....................
Policy rollback was successful on the FTD.
Configuration has been reverted back to transaction id: 
Following is the rollback summary:
...................
....................
>

ステップ 2

管理接続が再確立されたことを確認します。

管理接続のステータスを表示するには、FTD CLI で、sftunnel-status-brief コマンドを入力します。

接続の再確立に 10 分以上かかる場合は、接続のトラブルシューティングを行う必要があります。データインターフェイスでの管理接続のトラブルシューティングを参照してください。

FMC を使用したファイアウォールの電源の切断

システムを適切にシャットダウンすることが重要です。単純に電源プラグを抜いたり、電源スイッチを押したりすると、重大なファイルシステムの損傷を引き起こすことがあります。バックグラウンドでは常に多数のプロセスが実行されていて、電源プラグを抜いたり、電源を切断したりすると、ファイアウォールをグレースフルシャットダウンできないことを覚えておいてください。

FMC を使用してシステムを適切にシャットダウンできます。

手順

ステップ 1	[Devices] > [Device Management]を選択します。
ステップ 2	再起動するデバイスの横にある編集アイコン（）をクリックします。
ステップ 3	[デバイス（Device）] タブをクリックします。
ステップ 4	[システム（System）] セクションでデバイスのシャットダウンアイコン（）をクリックします。
ステップ 5	プロンプトが表示されたら、デバイスのシャットダウンを確認します。
ステップ 6	コンソールからファイアウォールに接続している場合は、ファイアウォールがシャットダウンするときにシステムプロンプトをモニターします。次のプロンプトが表示されます。 `System is stopped. It is safe to power off now. Do you want to reboot instead? [y/N]` コンソールから接続していない場合は、約 3 分間待ってシステムがシャットダウンしたことを確認します。
ステップ 7	必要に応じて電源スイッチをオフにし、電源プラグを抜いてシャーシから物理的に電源を取り外すことができます。

次のステップ

FTD の設定を続行するには、「Cisco Firepower ドキュメント一覧」にあるお使いのソフトウェアバージョンのマニュアルを参照してください。

FMC の使用に関する情報については、「Firepower Management Center Configuration Guide」を参照してください。

Cisco Secure Firewall 3100 スタートアップガイド

偏向のない言語

翻訳について

検索結果

章のタイトル： リモート FTD による FMC の展開

リモート FTD による FMC の展開

はじめる前に

エンドツーエンドの手順

リモート管理の仕組み

中央の管理者による事前設定

（任意）ソフトウェアの確認と新しいバージョンのインストール

手順

例:

例:

FDM を使用した事前設定

始める前に

手順

CLI を使用した事前設定

始める前に

手順

例:

例:

例:

例:

例:

例:

支社へのインストール

ファイアウォールのケーブル接続

手順

ファイアウォールの電源を入れます

始める前に

手順

中央の管理者による事後設定

へのログインFMC

始める前に

手順

FMC のライセンスの取得

始める前に

手順

FMC への FTD の登録

始める前に

手順

基本的なセキュリティポリシーの設定

インターフェイスの設定

手順

DHCP サーバーの設定

手順

デフォルトルートの追加

手順

NAT の設定

手順

内部から外部へのトラフィックの許可

手順

FMC アクセス データ インターフェイスでの SSH の設定

始める前に

手順

設定の展開

手順

FTD および FXOS CLI へのアクセス

手順

例:

例:

例:

データインターフェイスでの管理接続のトラブルシューティング

FMC の接続が失われた場合の構成のロールバック

始める前に

手順

例:

FMC を使用したファイアウォールの電源の切断

手順

次のステップ

このドキュメントは役に立ちましたか?

シスコに問い合わせ

章のタイトル：リモート FTD による FMC の展開

はじめる前に　

FMC アクセスデータインターフェイスでの SSH の設定