ステップ 1

Device Manager にログインします。

1. ブラウザに次の URL を入力します。

   • 内部：https://192.168.95.1 。

   • 管理：https://management_ip 。管理インターフェイスは DHCP クライアントであるため、IP アドレスは DHCP サーバーによって異なります。この手順の一環として、管理 IP アドレスを静的アドレスに設定する必要があるため、接続が切断されないように内部インターフェイスを使用することをお勧めします。

2. ユーザー名 admin、デフォルト パスワード Admin123 を使用してログインします。

3. エンド ユーザー ライセンス契約書を読んで同意し、管理者パスワードを変更するように求められます。

ステップ 2

初期設定を完了するには、最初に Device Manager にログインしたときにセットアップウィザードを使用します。必要に応じて、ページの下部にある [デバイスの設定をスキップ（Skip device setup）] をクリックしてセットアップウィザードをスキップできます。

1. 外部インターフェイスおよび管理インターフェイスに対して次のオプションを設定し、[次へ（Next）] をクリックします。

   1. [外部インターフェイスアドレス（Outside Interface Address）] — このインターフェイスは通常インターネット ゲートウェイであり、マネージャ アクセス インターフェイスとして使用される場合があります。デバイスの初期設定時に別の外部インターフェイスを選択することはできません。最初のデータ インターフェイスがデフォルトの外部インターフェイスです。

      マネージャアクセスに外部（または内部）とは異なるインターフェイスを使用する場合は、セットアップウィザードの完了後に手動で設定する必要があります。

      [IPv4の設定（Configure IPv4）]：外部インターフェイス用の IPv4 アドレスです。DHCP を使用するか、または手動でスタティック IP アドレス、サブネットマスク、およびゲートウェイを入力できます。[オフ（Off）] を選択して、IPv4 アドレスを設定しないという選択肢もあります。 セットアップウィザードを使用して PPPoE を設定することはできません。インターフェイスが DSL モデム、ケーブルモデム、または ISP への他の接続に接続されており、ISP が PPPoE を使用して IP アドレスを提供している場合は、PPPoE が必要になる場合があります。ウィザードの完了後に PPPoE を設定できます。

      [IPv6の設定（Configure IPv6）]：外部インターフェイス用の IPv6 アドレスです。DHCP を使用するか、または手動でスタティック IP アドレス、プレフィックス、およびゲートウェイを入力できます。[オフ（Off）] を選択して、IPv6 アドレスを設定しないという選択肢もあります。

   2. [管理インターフェイス（Management Interface）]

      CLI で初期設定を実行した場合、管理インターフェイスの設定は表示されません。

      データインターフェイスでマネージャアクセスを有効にした場合でも、管理インターフェイスの設定が使用されます。たとえば、データインターフェイスを介してバックプレーン経由でルーティングされる管理トラフィックは、データインターフェイス DNS サーバーではなく、管理インターフェイス DNS サーバーを使用して FQDN を解決します。

      [DNSサーバ（DNS Servers）]：システムの管理アドレス用の DNS サーバ。名前解決用に 1 つ以上の DNS サーバのアドレスを入力します。デフォルトは OpenDNS パブリック DNS サーバです。フィールドを編集し、デフォルトに戻したい場合は、[OpenDNSを使用（Use OpenDNS）] をクリックすると、フィールドに適切な IP アドレスがリロードされます。

      [ファイアウォールホスト名（Firewall Hostname）]：システムの管理アドレスのホスト名です。

2. [時刻設定（NTP）（Time Setting (NTP)）] を設定し、[次へ（Next）] をクリックします。

   1. [タイムゾーン（Time Zone）]：システムのタイムゾーンを選択します。

   2. [NTPタイムサーバ（NTP Time Server）]：デフォルトの NTP サーバを使用するか、使用している NTP サーバのアドレスを手動で入力するかを選択します。バックアップ用に複数のサーバを追加できます。

3. [登録せずに 90 日間の評価期間を開始（Start 90 day evaluation period without registration）] を選択します。

   Threat Defense を Smart Software Manager に登録しないでください。すべてのライセンスは Management Center で実行されます。

4. [終了（Finish）] をクリックします。

5. [クラウド管理（Cloud Management）]または [スタンドアロン（Standalone）] を選択するよう求められます。Management Center の管理については、[スタンドアロン（Standalone）] を選択してから、[Got It（了解）] を選択します。

ステップ 3

（必要に応じて）管理インターフェイスを設定します。

ステップ 4

マネージャアクセスに使用する外部または内部以外のインターフェイスを含む追加のインターフェイスを設定する場合は、[デバイス（Device）] を選択し、[インターフェイス（Interface）] のサマリーのリンクをクリックします。

ステップ 5

[デバイス（Device）] [システム設定（Device System Settings）] [中央管理（Central Management）] [Management Center] [Management Center] [デバイス（Device）] [システム設定（System Settings）] [中央管理（Central Management）] [Management Center] の順に選択し、 [続行（Proceed）] をクリックして Management Center の管理を設定します。

ステップ 6

[Management Center/CDOの詳細（Management Center/CDO Details）] を設定します。

1. [Management Center/CDOのホスト名またはIPアドレスを知っていますか（Do you know the FMC hostname or IP address）] で、IP アドレスまたはホスト名を使用して Management Center に到達できる場合は [はい（Yes）] をクリックし、Management Center が NAT の背後にあるか、パブリック IP アドレスまたはホスト名がない場合は [いいえ（No）] をクリックします。

   双方向の SSL 暗号化通信チャネルを 2 台のデバイス間に確立するには、少なくても 1 台以上のデバイス（Management Center または Threat Defense デバイス）に到達可能な IP アドレスが必要です。

2. [はい（Yes）] を選択した場合は、管理センター/CDO のホスト名/IP アドレスを入力します。

3. Management Center/CDO 登録キーを指定します。

   このキーは、Threat Defense デバイスを登録するときに Management Center でも指定する任意の 1 回限りの登録キーです。登録キーは 37 文字以下にする必要があります。有効な文字には、英数字（A～Z、a～z、0～9）、およびハイフン（-）などがあります。この ID は、Management Center に登録する複数のデバイスに使用できます。

4. [NAT ID] を指定します。

   この ID は、Management Center でも指定する任意の 1 回限りの文字列です。いずれかのデバイスの IP アドレスのみを指定する場合、このフィールドは必須です。両方のデバイスの IP アドレスがわかっている場合でも、NAT ID を指定することを推奨します。NAT ID は 37 文字以下にする必要があります。有効な文字には、英数字（A～Z、a～z、0～9）、およびハイフン（-）などがあります。この ID は、Management Center に登録する他のデバイスには使用できません。NAT ID は、正しいデバイスからの接続であることを確認するために IP アドレスと組み合わせて使用されます。 IP アドレス/NAT ID の認証後にのみ、登録キーがチェックされます。

ステップ 7

[接続の設定（Connectivity Configuration）] を設定します。

1. [FTDホスト名（FTD Hostname）] を指定します。

   Management Center/CDO アクセスインターフェイスのアクセスにデータインターフェイスを使用する場合、この FQDN がこのインターフェイスに使用されます。

2. [DNSサーバーグループ（DNS Server Group）] を指定します。

   既存のグループを選択するか、新しいグループを作成します。デフォルトの DNS グループは CiscoUmbrellaDNSServerGroup と呼ばれ、OpenDNS サーバーが含まれます。

   Management Center/CDO アクセスインターフェイスにデータインターフェイスを選択する場合は、この設定でデータインターフェイス DNS サーバーを設定します。セットアップウィザードで設定した管理 DNS サーバーは、管理トラフィックに使用されます。データ DNS サーバーは、DDNS（設定されている場合）またはこのインターフェイスに適用されるセキュリティポリシーに使用されます。管理トラフィックとデータトラフィックの両方が外部インターフェイス経由で DNS サーバーに到達するため、管理に使用したものと同じ DNS サーバーグループを選択する可能性があります。

   Management Center では、この Threat Defense デバイスに割り当てるプラットフォーム設定ポリシーでデータインターフェイス DNS サーバーが設定されます。Management Center に Threat Defense デバイスを追加すると、ローカル設定が維持され、DNS サーバーはプラットフォーム設定ポリシーに追加されません。ただし、DNS 設定を含む Threat Defense デバイスに後でプラットフォーム設定ポリシーを割り当てると、その設定によってローカル設定が上書きされます。Management Center と Threat Defense デバイスを同期させるには、この設定に一致するように DNS プラットフォーム設定をアクティブに設定することをお勧めします。

   また、ローカル DNS サーバーは、DNS サーバーが初期登録で検出された場合にのみ Management Center で保持されます。

   FMC アクセスインターフェイスに管理インターフェイスを選択する場合は、この設定で管理 DNS サーバーを構成します。

3. Management Center/CDO アクセスインターフェイスについては、任意の構成済みインターフェイスを選択してください。

   管理インターフェイスは、Threat Defense デバイスを Management Center に登録した後に、管理インターフェイスまたは別のデータインターフェイスのいずれかに変更できます。

ステップ 8

（任意） 外部インターフェイスではないデータインターフェイスを選択した場合は、デフォルトルートを追加します。

ステップ 9

（任意） データインターフェイスを選択した場合は、[ダイナミックDNS（DDNS）方式の追加（Add a Dynamic DNS (DDNS) method）] をクリックします。

ステップ 10

[接続（Connect）] をクリックします。[登録ステータス（Registration Status）] ダイアログボックスには、Management Center への切り替えに関する現在のステータスが表示されます。[Management Center/CDO登録設定の保存（Saving Management Center/CDO Registration Settings）] のステップの後、Management Center に移動してファイアウォールを追加します。

Management Center への切り替えをキャンセルする場合は、[登録のキャンセル（Cancel Registration）] をクリックします。キャンセルしない場合は、[Management Center/CDO登録設定の保存（Saving Management Center/CDO Registration Settings）] のステップが完了するまで Device Manager のブラウザウィンドウを閉じないでください。閉じた場合、プロセスは一時停止し、Device Manager に再接続した場合のみ再開されます。

[Management Center/CDO登録設定の保存（Saving Management Center/CDO Registration Settings）] のステップの後に Device Manager に接続したままにする場合、その後 [Management CenterまたはCDOとの正常接続（Successful Connection with Management Center or CDO）] ダイアログボックスが表示され、Device Manager から切断されます。

ステップ 1

コンソールポートから、または管理インターフェイスへの SSH を使用して、Threat Defense CLI に接続します。デフォルトで DHCP サーバーから IP アドレスが取得されます。ネットワーク設定を変更する場合は、切断されないようにコンソールポートを使用することを推奨します。

ステップ 2

ユーザー名 admin およびパスワード Admin123 でログインします。

firepower login: admin
Password: Admin123
Successful login attempts for user 'admin' : 1

[...]

Hello admin. You must change your password.
Enter new password: ********
Confirm new password: ********
Your password was updated successfully.

[...]

firepower# 

ステップ 3

（Firepower 1000/2100、Cisco Secure Firewall 3100）コンソールポートで FXOS に接続した場合は、Threat Defense CLI に接続します。

firepower# connect ftd
>

ステップ 4

Threat Defense に初めてログインすると、エンドユーザーライセンス契約書（EULA）に同意し、SSH 接続を使用している場合は、管理者パスワードを変更するように求められます。その後、CLI セットアップスクリプトが表示されます。

You must accept the EULA to continue.
Press <ENTER> to display the EULA:
End User License Agreement
[...]

Please enter 'YES' or press <ENTER> to AGREE to the EULA: 

System initialization in progress.  Please stand by.
You must change the password for 'admin' to continue.
Enter new password: ********
Confirm new password: ********
You must configure the network to continue.
You must configure at least one of IPv4 or IPv6.
Do you want to configure IPv4? (y/n) [y]:
Do you want to configure IPv6? (y/n) [n]:
Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]:
Enter an IPv4 address for the management interface [192.168.45.45]: 10.10.10.15
Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.192
Enter the IPv4 default gateway for the management interface [data-interfaces]: 10.10.10.1
Enter a fully qualified hostname for this system [firepower]: ftd-1.cisco.com
Enter a comma-separated list of DNS servers or 'none' [208.67.222.222,208.67.220.220]:
Enter a comma-separated list of search domains or 'none' []:
If your networking information has changed, you will need to reconnect.
For HTTP Proxy configuration, run 'configure network http-proxy'

Manage the device locally? (yes/no) [yes]: no
Configure firewall mode? (routed/transparent) [routed]:
Configuring firewall mode ... 

Update policy deployment information
    - add device configuration
    - add network discovery
    - add system policy

You can register the sensor to a Firepower Management Center and use the
Firepower Management Center to manage it. Note that registering the sensor
to a Firepower Management Center disables on-sensor Firepower Services
management capabilities.

When registering the sensor to a Firepower Management Center, a unique
alphanumeric registration key is always required.  In most cases, to register
a sensor to a Firepower Management Center, you must provide the hostname or
the IP address along with the registration key.
'configure manager add [hostname | ip address ] [registration key ]'

However, if the sensor and the Firepower Management Center are separated by a
NAT device, you must enter a unique NAT ID, along with the unique registration
key.
'configure manager add DONTRESOLVE [registration key ] [ NAT ID ]'

Later, using the web interface on the Firepower Management Center, you must
use the same registration key and, if necessary, the same NAT ID when you add
this sensor to the Firepower Management Center.
>

ステップ 5

この Threat Defense を管理する Management Center を特定します。

> configure manager add MC.example.com 123456
Manager successfully configured.

> configure manager add DONTRESOLVE regk3y78 natid90
Manager successfully configured.

> configure manager add 10.70.45.5 regk3y78 natid56
Manager successfully configured.

ステップ 6

プライマリマネージャとして CDO を使用していて、オンプレミス Management Center を分析のみに使用する場合は、オンプレミス Management Center を特定します。

> configure manager add account1.app.us.cdo.cisco.com KPOOP0rgWzaHrnj1V5ha2q5Rf8pKFX9E Lzm1HOynhVUWhXYWz2swmkj2ZWsN3Lb account1.app.us.cdo.cisco.com
Manager successfully configured.
> configure manager add 10.70.45.5 regk3y78 natid56 analytics-FMC
Manager successfully configured.

ステップ 7

（任意） マネージャアクセス用のデータインターフェイスを設定します。

> configure network management-data-interface
Data interface to use for management: ethernet1/1
Specify a name for the interface [outside]:
IP address (manual / dhcp) [dhcp]:  
DDNS server update URL [none]: https://jcrichton:pa$$w0rd17@domains.example.com/nic/update?hostname=<h>&myip=<a>
Do you wish to clear all the device configuration before applying ? (y/n) [n]:

Configuration done with option to allow manager access from any network, if you wish to change the manager access network 
use the 'client' option in the command 'configure network management-data-interface'.

Setting IPv4 network configuration.
Network settings changed.

> 

> configure network management-data-interface
Data interface to use for management: ethernet1/1
Specify a name for the interface [outside]: internet
IP address (manual / dhcp) [dhcp]: manual
IPv4/IPv6 address: 10.10.6.7
Netmask/IPv6 Prefix: 255.255.255.0
Default Gateway: 10.10.6.1
Comma-separated list of DNS servers [none]: 208.67.222.222,208.67.220.220
DDNS server update URL [none]:
Do you wish to clear all the device configuration before applying ? (y/n) [n]:

Configuration done with option to allow manager access from any network, if you wish to change the manager access network
use the 'client' option in the command 'configure network management-data-interface'.

Setting IPv4 network configuration.
Network settings changed.

>

ステップ 8

（任意） 特定のネットワーク上のマネージャへのデータ インターフェイス アクセスを制限します。

ステップ 1

[デバイス（Devices）] > [デバイス管理（Device Management）] を選択します。

ステップ 2

管理オプションを変更するデバイスの横にある [編集（Edit）]（） をクリックします。

ステップ 3

[Device] をクリックし、[Management] 領域を表示します。

ステップ 4

スライダをクリックして管理を一時的に無効にすることで、（） を無効化します。

管理の無効化を続行するように求められます。 [Yes] をクリックします。

管理を無効化すると、Management Center とデバイス間の接続がブロックされますが、Management Center からデバイスは削除されません。

ステップ 5

[リモートホストアドレス（Remote Host Address）] の IP アドレスおよびオプションの [セカンダリアドレス（Secondary Address）]（冗長データインターフェイスを使用する場合）または [編集（Edit）]（）をクリックしてホスト名を編集します。

ステップ 6

[管理（Management）] ダイアログボックスの [リモートホストアドレス（Remote Host Address）] フィールドおよびオプションの [セカンダリアドレス（Secondary Address）] フィールドで名前または IP アドレスを変更し、[保存（Save）] をクリックします。

セカンダリ マネージャ アクセス データ インターフェイスの使用については、冗長マネージャアクセス用データインターフェイスの設定を参照してください。

ステップ 7

スライダを有効にして管理を再度有効（（））にします。

ステップ 1

インターフェイスの移行を開始します。

1. [デバイス（Devices）] > [デバイス管理（Device Manageme）]ページで、デバイスの [編集（Edit）]（） をクリックします。

2. [デバイス（Device）]> [管理（Management）] セクションに移動し、[マネージャ アクセス インターフェイス（Manager Access Interface）] [FMCアクセスインターフェイス（FMC Access Interface）] のリンクをクリックします。 >

   [マネージャ アクセス インターフェイス（Manager Access Interface）] [FMCアクセスインターフェイス（FMC Access Interface）] フィールドには、現在の管理インターフェイスが表示されます。リンクをクリックしたら、[デバイスの管理（Manage device by）] ドロップダウンリストで新しいインターフェイスタイプである [データインターフェイス（Data Interface）] を選択します。

   

3. [保存（Save）] をクリックします。

   データインターフェイスで マネージャアクセスを有効にするには、残りの手順を完了する必要があります。[管理（Management）] 領域には、[マネージャ アクセス インターフェイス：データインターフェイス（Manager Access Interface: Management Interface）] [FMCアクセスインターフェイス：データインターフェイス（FMC Access Interface: Management Interface）] と、[マネージャアクセスの詳細：構成（Manager Access Details: Configuration）] [FMCアクセスの詳細：構成（FMC Access Details: Configuration）] が表示されます。

   

   [構成（Configuration）] をクリックすると、[マネージャアクセス - 構成の詳細（Manager Access - Configuration Details）] [FMCアクセス - 構成の詳細（FMC Access - Configuration Details）] ダイアログボックスが開きます。[マネージャアクセスモード（Manager Access Mode）] [FMCアクセスモード（FMC Access Mode）] は、展開保留状態を示しています。

ステップ 2

[デバイス（Devices）] > [デバイス管理（Device Management）] > [インターフェイス（Interfaces）] > [物理インターフェイスの編集（Edit Physical Interface）] > [マネージャアクセス（Manager Access）] [FMCアクセス（FMC Access）] ページで、データインターフェイスでのマネージャアクセスを有効にします。 > > > >

ステップ 3

（任意） インターフェイスに DHCP を使用する場合は、[デバイス（Devices）] > [デバイス管理（Device Management）] > [DHCP] > [DDNS]ページで Web タイプ DDNS 方式を有効にします。

ステップ 4

Threat Defense がデータインターフェイスを介して Management Center にルーティングできることを確認します。必要に応じて、[デバイス（Devices）] > [デバイス管理（Device Management）] > [ルーティング（Routing）] > [スタティックルート（Static Route）] でスタティックルートを追加します。 > > >

ステップ 5

（任意） プラットフォーム設定ポリシーで DNS を構成し、[デバイス（Devices）] > [プラットフォーム設定（Platform Settings）] > [DNS]でこのデバイスに適用します。

ステップ 6

（任意） プラットフォーム設定ポリシーでデータインターフェイスの SSH を有効にし、[デバイス（Devices）] > [プラットフォーム設定（Platform Settings）] > [セキュアシェル（Secure Shell）]でこのデバイスに適用します。

ステップ 7

設定変更を展開します。

ステップ 8

Threat Defense CLI（できればコンソールポートから）で、静的 IP アドレスを使用するように管理インターフェイスを設定し、データインターフェイスを使用するようにゲートウェイを設定します。

ステップ 9

必要に応じて、データインターフェイスの Management Center に到達できるように Threat Defense のケーブルを再接続します。

ステップ 10

Management Center で、管理接続を無効にし、[デバイス（Devices）] > [デバイス管理（Device Management）] > [デバイス（Device）] > [管理（Management）] セクションで Threat Defense の [リモートホストアドレス（Remote Host Address）] IP アドレスとオプションの [セカンダリアドレス（Secondary Address）] を更新して、接続を再度有効にします。

ステップ 11

管理接続が再確立されたことを確認します。

Management Center で、[Devices] [Device Management] [Device] [Management] [Manager Access - Configuration Details] [FMC Access - Configuration Details] [Connection Status] ページで管理接続ステータスを確認します。

管理接続のステータスを表示するには、Threat Defense CLI で、sftunnel-status-brief コマンドを入力します。

次のステータスは、データインターフェイスの接続が成功したことを示し、内部の「tap_nlp」インターフェイスを示しています。

接続の再確立に 10 分以上かかる場合は、接続のトラブルシューティングを行う必要があります。データインターフェイスでの管理接続のトラブルシューティング を参照してください。

ステップ 1

インターフェイスの移行を開始します。

1. [デバイス（Devices）] > [デバイス管理（Device Manageme）]ページで、デバイスの [編集（Edit）]（） をクリックします。

2. [デバイス（Device）]> [管理（Management）] セクションに移動し、[マネージャ アクセス インターフェイス（Manager Access Interface）] [FMCアクセスインターフェイス（FMC Access Interface）] のリンクをクリックします。 >

   [マネージャ アクセス インターフェイス（Manager Access Interface）] [FMCアクセスインターフェイス（FMC Access Interface）] フィールドには、現在の管理インターフェイスが表示されます。リンクをクリックしたら、[デバイスの管理（Manage device by）] ドロップダウンリストで新しいインターフェイスタイプである [管理インターフェイス（Management Interface）] を選択します。

   

3. [保存（Save）] をクリックします。

   管理インターフェイスでマネージャアクセスを有効にするには、残りの手順を完了する必要があります。[管理（Management）] 領域には、[マネージャ アクセス インターフェイス：管理インターフェイス（Manager Access Interface: Management Interface）] [FMCアクセスインターフェイス：管理インターフェイス（FMC Access Interface: Management Interface）] と、[マネージャアクセスの詳細：構成（Manager Access Details: Configuration）] [FMCアクセスの詳細：構成（FMC Access Details: Configuration）] が表示されます。

   

   [構成（Configuration）] をクリックすると、[マネージャアクセス - 構成の詳細（Manager Access - Configuration Details）] [FMCアクセス - 構成の詳細（FMC Access - Configuration Details）] ダイアログボックスが開きます。[マネージャアクセスモード（Manager Access Mode）] [FMCアクセスモード（FMC Access Mode）] は、展開保留状態を示しています。

ステップ 2

[デバイス（Devices）] > [デバイス管理（Device Management）] > [インターフェイス（Interfaces）] > [物理インターフェイスの編集（Edit Physical Interface）] > [マネージャアクセス（Manager Access）] ページで、データインターフェイスでのマネージャアクセスを無効にします。

ステップ 3

まだ行っていない場合は、プラットフォーム設定ポリシーでデータインターフェイスの DNS 設定を構成し、[デバイス（Devices）] > [プラットフォーム設定（Platform Settings）] > [DNS]でこのデバイスに適用します。

ステップ 4

設定変更を展開します。

ステップ 5

必要に応じて、管理インターフェイスの Management Center に到達できるように Threat Defense のケーブルを再接続します。

ステップ 6

Threat Defense CLI で、静的 IP アドレスまたは DHCP を使用して、管理インターフェイスの IP アドレスとゲートウェイを設定します。

ステップ 7

Management Center で、管理接続を無効にし、[デバイス（Devices）] > [デバイス管理（Device Management）] > [デバイス（Device）] > [管理（Management）] セクションで Threat Defense の [リモートホストアドレス（Remote Host Address）] IP アドレスを更新してオプションの [セカンダリアドレス（Secondary Address）] を削除し、接続を再度有効にします。

ステップ 8

管理接続が再確立されたことを確認します。

ステップ 1

[デバイス（Devices）] > [デバイス管理（Device Manageme）]ページで、デバイスの [編集（Edit）]（） をクリックします。

ステップ 2

セカンダリインターフェイスのマネージャアクセスを有効にします。

1. [インターフェイス（Interfaces）] > [物理インターフェイスの編集（Edit Physical Interface）] > [マネージャアクセス（Manager Access）]を選択します。

2. [このインターフェイス上の管理をマネージャに対して有効にする（Enable management on this interface for the Manager）] をオンにします。

3. [OK] をクリックします。

どちらのインターフェースも、インターフェイスリストに [（マネージャアクセス（Manager Access））] と表示されます。

ステップ 3

[管理（Management）] 設定にセカンダリアドレスを追加します。

1. [Device] をクリックし、[Management] 領域を表示します。

2. [.] をクリックします。[編集（Edit）]（）

   

3. [管理（Management）] ダイアログボックスで、[セカンダリアドレス（Secondary Address）] フィールドの名前または IP アドレスを変更します。

   

4. [保存（Save）] をクリックします。

ステップ 4

両方のインターフェイスで ECMP ゾーンを作成します。

1. [Routing] をクリックします。

2. 仮想ルータドロップダウンから、プライマリインターフェイスとセカンダリインターフェイスが存在する仮想ルータを選択します。

3. [ECMP] をクリックし、[追加（Add）] をクリックします。

4. [名前（Name）] に ECMP ゾーンの名前を入力します。

5. [使用可能なインターフェイス（Available Interfaces）] ボックスでプライマリおよびセカンダリインターフェイスを選択し、[追加（Add）] をクリックします。

   

6. [OK] をクリックし、[保存（Save）] をクリックします。

ステップ 5

両方のインターフェイスに等コストのデフォルト スタティック ルートを追加し、両方で SLA トラッキングを有効にします。

ルートはゲートウェイを除いて同一であること、および両方のメトリックが 1 であることが必要です。プライマリインターフェイスには、編集可能なデフォルトルートがすでに存在している必要があります。

1. [Static Route] をクリックします。

2. [ルートを追加（Add Route）] をクリックして新しいルートを追加するか、既存のルートの場合は [編集（Edit）]（） をクリックします。

3. [インターフェイス（Interface）] ドロップダウンリストから、インターフェイスを選択します。

4. 宛先ネットワークとして、[使用可能なネットワーク（Available Networks）] ボックスから [any-ipv4] を選択し、[追加（Add）] をクリックします。

5. デフォルトの [ゲートウェイ（Gateway）] を入力します。

6. [ルートトラッキング（Route Tracking）] の場合、Add ( ) をクリックして新しい SLA モニターオブジェクトを追加します。

7. 次を含む必要なパラメータを入力します。

   • Management Center IP アドレスとしての [モニターアドレス（Monitor Address）]。

   • [使用可能なゾーン（Available Zones）] のプライマリまたはセカンダリ管理インターフェースのゾーン。たとえば、プライマリ インターフェイス オブジェクトには外部ゾーンを選択し、セカンダリ インターフェイス オブジェクトには管理ゾーンを選択します。

   

8. [保存（Save）] をクリックし、[ルートトラッキング（Route Tracking）] ドロップダウンリストで、作成した SLA オブジェクトを選択します。

9. [OK] をクリックし、[保存（Save）] をクリックします。

10. 他の管理インターフェイスのデフォルトルートについてこの手順を繰り返します。

ステップ 6

構成の変更を展開しますを参照してください。

ステップ 1

コンソール ポートから、または SSH を使用して、デバイス CLI に接続します。

ステップ 2

管理者のユーザー名とパスワードでログインします。

ステップ 3

（Firepower 4100/9300 のみ）2 番目の管理インターフェイスをイベント専用インターフェイスとして有効にします。

> configure network management-interface enable management1
Configuration updated successfully

> configure network management-interface disable-management-channel management1
Configuration updated successfully

>

ステップ 4

管理インターフェイスまたはイベント インターフェイスのネットワーク設定をします。

1. IPv4 アドレスを設定します。

   • 手動設定

     configure network ipv4 manual ip_address netmask gateway_ip [management_interface]

     このコマンド内の gateway_ip は、デバイスのデフォルトルートを作成するために使用されることに注意してください。イベント専用インターフェイスを設定する場合は、コマンドの一部として gateway_ip を入力する必要があります。ただし、このエントリは、指定した値にデフォルトルートを設定するだけで、イベントインターフェイスの個別のスタティックルートは作成しません。管理インターフェイスと別のネットワークでイベント専用インターフェイスを使用している場合は、管理インターフェイスと共に使用するように gateway_ip を設定し、configure network static-routes コマンドを使用してイベント専用インターフェイス用に個別にスタティックルートを作成することを推奨します。

     例：

     
     > configure network ipv4 manual 10.10.10.45 255.255.255.0 10.10.10.1 management1
     Setting IPv4 network configuration.
     Network settings changed.
     
     >
     
     

   • DHCP（デフォルト管理インターフェイスのみでサポート）。

     configure network ipv4 dhcp

2. IPv6 アドレスを設定します。

   • ステートレス自動設定

     configure network ipv6 router [management_interface]

     例：

     
     > configure network ipv6 router management0
     Setting IPv6 network configuration.
     Network settings changed.
     
     >
     
     

   • 手動設定

     configure network ipv6 manual ip6_address ip6_prefix_length [ip6_gateway_ip] [management_interface]

     このコマンド内の ipv6_gateway_ip は、デバイスのデフォルトルートを作成するために使用されることに注意してください。イベント専用インターフェイスを設定する場合は、コマンドの一部として ipv6_gateway_ip を入力する必要があります。ただし、このエントリは、指定した値にデフォルトルートを設定するだけで、イベントインターフェイスの個別のスタティックルートは作成しません。管理インターフェイスと別のネットワークでイベント専用インターフェイスを使用している場合は、管理インターフェイスと共に使用するように ipv6_gateway_ip を設定し、configure network static-routes コマンドを使用してイベント専用インターフェイス用に個別にスタティックルートを作成することを推奨します。

     例：

     
     > configure network ipv6 manual 2001:0DB8:BA98::3210 64 management1
     Setting IPv6 network configuration.
     Network settings changed.
     
     >
     
     

   • DHCPv6（デフォルト管理インターフェイスのみでサポート）。

     configure network ipv6 dhcp

ステップ 5

IPv6 の場合、ICMPv6 エコー応答と宛先到達不能メッセージを有効または無効にします。デフォルトでは、これらのメッセージは有効になっています。

> configure network ipv6 destination-unreachable disable
> configure network ipv6 echo-reply disable

ステップ 6

デフォルト管理インターフェイスの DHCP サーバーが、接続されているホストに IP アドレスを提供することを可能にします。

> configure network ipv4 dhcp-server-enable 10.10.10.200 10.10.10.254
DHCP Server Enabled

>

> show network-dhcp-server
DHCP Server Enabled
10.10.10.200-10.10.10.254

ステップ 7

Management Center がリモート ネットワーク上にある場合は、イベント専用インターフェイスのスタティック ルートを追加します。追加しないと、すべてのトラフィックが管理インターフェイスを通じてデフォルト ルートと一致します。

> configure network static-routes ipv4 add management1 192.168.6.0 255.255.255.0 10.10.10.1
Configuration updated successfully

> configure network static-routes ipv6 add management1 2001:0DB8:AA89::5110 64 2001:0DB8:BA98::3211
Configuration updated successfully

>

> show network-static-routes
---------------[ IPv4 Static Routes ]---------------
Interface                 : management1
Destination               : 192.168.6.0
Gateway                   : 10.10.10.1
Netmask                   : 255.255.255.0
[…]

ステップ 8

ホスト名の設定

> configure network hostname farscape1.cisco.com

ステップ 9

検索ドメインを設定します。

> configure network dns searchdomains example.com,cisco.com

ステップ 10

カンマで区切った 3 つの DNS サーバーを設定します。

> configure network dns servers 10.10.6.5,10.20.89.2,10.80.54.3

ステップ 11

Management Center で通信のリモート管理ポートを設定します。

> configure network management-interface tcpport 8555

ステップ 12

（Threat Defense のみ）管理インターフェイスまたはイベントインターフェイスの MTU を設定します。デフォルトの MTU は 1500 バイトです。

> configure network mtu 8192 management1
MTU set successfully to 1500 from 8192 for management1
Refreshing Network Config...
NetworkSettings::refreshNetworkConfig MTU value at start 8192

Interface management1 speed is set to '10000baseT/Full'
NetworkSettings::refreshNetworkConfig MTU value at end 8192
> 

ステップ 13

HTTP プロキシを設定します。デバイスは、ポート TCP/443（HTTPS）および TCP/80（HTTP）でインターネットに直接接続するように設定されています。HTTP ダイジェスト経由で認証できるプロキシ サーバを使用できます。コマンド発行後に、HTTP プロキシのアドレスとポート、プロキシの認証が必要かどうかをユーザーは尋ねられます。認証が必要な場合はプロキシのユーザー名、プロキシのパスワード、およびプロキシのパスワードの確認を入力するよう要求されます。

> configure network http-proxy
Manual proxy configuration
Enter HTTP Proxy address: 10.100.10.10
Enter HTTP Proxy Port: 80
Use Proxy Authentication? (y/n) [n]: Y
Enter Proxy Username: proxyuser
Enter Proxy Password: proxypassword
Confirm Proxy Password: proxypassword

ステップ 14

デバイス管理 IP アドレスを変更する場合は、configure manager add コマンド（新しい Management Center の特定 を参照）を使用してデバイスの初期設定時に Management Center を特定した方法に応じて、Management Center 接続に関する次のタスクを参照してください。

ステップ 1

データ管理インターフェイスを新しいインターフェイスに変更する場合は、現在のインターフェイスケーブルを新しいインターフェイスに移動します。

ステップ 2

デバイスの CLI に接続します。

ステップ 3

管理者のユーザー名とパスワードでログインします。

ステップ 4

インターフェイスを無効にして、設定を再構成できるようにします。

> configure network management-data-interface disable

 Configuration updated successfully..!!


Configuration disable was successful, please update the default route to point to a gateway on management interface using the command 'configure network'

ステップ 5

マネージャアクセス用の新しいデータインターフェイスを設定します。

> configure network management-data-interface
Data interface to use for management: ethernet1/4
Specify a name for the interface [outside]: internet
IP address (manual / dhcp) [dhcp]: manual
IPv4/IPv6 address: 10.10.6.7
Netmask/IPv6 Prefix: 255.255.255.0
Default Gateway: 10.10.6.1
Comma-separated list of DNS servers [none]: 208.67.222.222,208.67.220.220
DDNS server update URL [none]:
Do you wish to clear all the device configuration before applying ? (y/n) [n]: y

Configuration done with option to allow manager access from any network, if you wish to change the manager access network
use the 'client' option in the command 'configure network management-data-interface'.

Setting IPv4 network configuration.
Network settings changed.

>

ステップ 6

（任意） 特定のネットワーク上の Management Center へのデータ インターフェイス アクセスを制限します。

ステップ 7

接続は自動的に再確立されますが、Management Center で接続を無効にしてから再度有効にすると、接続の再確立を速く実行できます。「Management Center でのホスト名または IP アドレスの更新」を参照してください。

ステップ 8

管理接続が再確立されたことを確認します。

> sftunnel-status-brief
PEER:10.10.17.202
Peer channel Channel-A is valid type (CONTROL), using 'eth0', connected to '10.10.17.202' via '10.10.17.222'
Peer channel Channel-B is valid type (EVENT), using 'eth0', connected to '10.10.17.202' via '10.10.17.222'
Registration: Completed.
IPv4 Connection to peer '10.10.17.202' Start Time: Wed Jun 10 14:27:12 2020 UTC
Heartbeat Send Time: Mon Jun 15 09:02:08 2020 UTC
Heartbeat Received Time: Mon Jun 15 09:02:16 2020 UTC

ステップ 9

Management Centerで、 [デバイス（Devices）] > [デバイス管理（Device Management）] > [デバイス（Device）] > [管理（Management）] > [マネージャアクセス - 構成詳細（Manager Access - Configuration Details）] > [FMCアクセス - 構成詳細（FMC Access - Configuration Details）] を選択し、[更新（Refresh）]をクリックします。

ステップ 10

[Devices] > [Device Management] > [Interfaces] の順に選択して、次の変更を行います。

1. 古いデータ管理インターフェイスから IP アドレスと名前を削除し、このインターフェイスのマネージャアクセスを無効にします。

2. 古いインターフェイス（CLI で使用したインターフェイス）の設定を使用して新しいデータ管理インターフェイスを設定し、マネージャアクセスを有効にします。

ステップ 11

[Devices] > [Device Management] > [Routing] > [Static Route] を選択し、デフォルトルートを古いデータ管理インターフェイスから新しいインターフェイスに変更します。

ステップ 12

[マネージャアクセス - 構成詳細（Manager Access - Configuration Details）] [FMCアクセス - 構成詳細（FMC Access - Configuration Details] ダイアログボックスに戻り、[確認（Acknowledge）] をクリックして展開ブロックを削除します。

ステップ 1

Threat Defense CLI で、以前の構成へロールバックします。

> configure policy rollback

The last deployment to this FTD was on June 1, 2020 and its status was Successful.
Do you want to continue [Y/N]?

Y

Rolling back complete configuration on the FTD. This will take time.
.....................
Policy rollback was successful on the FTD.
Configuration has been reverted back to transaction id: 
Following is the rollback summary:
...................
....................
>

ステップ 2

管理接続が再確立されたことを確認します。

ステップ 1

Threat Defense CLI で、Management Center 識別子を表示します。

> show managers
Type                      : Manager
Host                      : 10.10.1.4
Display name              : 10.10.1.4
Identifier                : f7ffad78-bf16-11ec-a737-baa2f76ef602
Registration              : Completed
Management type           : Configuration
 

ステップ 2

Threat Defense CLI で、Management Center IP アドレスまたはホスト名を編集します。

> configure manager edit f7ffad78-bf16-11ec-a737-baa2f76ef602 hostname 10.10.5.1

ステップ 1

古い Management Centerに管理対象デバイスが存在する場合はこれを削除します。

ステップ 2

SSH などを使用して、デバイスの CLI に接続します。

ステップ 3

新しい Management Center を設定します。

> configure manager add DONTRESOLVE abc123 efg456
Manager successfully configured.
Please make note of reg_key as this will be required while adding Device in FMC.

>

ステップ 4

デバイスを Management Center に追加します。

ステップ 1

Device Manager で、Cisco Smart Software Manager からデバイスを登録解除します。

ステップ 2

（必要に応じて）管理インターフェイスを設定します。

ステップ 3

[デバイス（Device）] [システム設定（Device System Settings）] [中央管理（Central Management）] [Management Center] [Management Center] [デバイス（Device）] [システム設定（System Settings）] [中央管理（Central Management）] [Management Center] の順に選択し、 [続行（Proceed）] をクリックして Management Center の管理を設定します。

ステップ 4

[Management Center/CDOの詳細（Management Center/CDO Details）] を設定します。

1. [Management Center/CDOのホスト名またはIPアドレスを知っていますか（Do you know the FMC hostname or IP address）] で、IP アドレスまたはホスト名を使用して Management Center に到達できる場合は [はい（Yes）] をクリックし、Management Center が NAT の背後にあるか、パブリック IP アドレスまたはホスト名がない場合は [いいえ（No）] をクリックします。

   双方向の SSL 暗号化通信チャネルを 2 台のデバイス間に確立するには、少なくても 1 台以上のデバイス（Management Center または Threat Defense デバイス）に到達可能な IP アドレスが必要です。

2. [はい（Yes）] を選択した場合は、管理センター/CDO のホスト名/IP アドレスを入力します。

3. Management Center/CDO 登録キーを指定します。

   このキーは、Threat Defense デバイスを登録するときに Management Center でも指定する任意の 1 回限りの登録キーです。登録キーは 37 文字以下にする必要があります。有効な文字には、英数字（A～Z、a～z、0～9）、およびハイフン（-）などがあります。この ID は、Management Center に登録する複数のデバイスに使用できます。

4. [NAT ID] を指定します。

   この ID は、Management Center でも指定する任意の 1 回限りの文字列です。いずれかのデバイスの IP アドレスのみを指定する場合、このフィールドは必須です。両方のデバイスの IP アドレスがわかっている場合でも、NAT ID を指定することを推奨します。NAT ID は 37 文字以下にする必要があります。有効な文字には、英数字（A～Z、a～z、0～9）、およびハイフン（-）などがあります。この ID は、Management Center に登録する他のデバイスには使用できません。NAT ID は、正しいデバイスからの接続であることを確認するために IP アドレスと組み合わせて使用されます。 IP アドレス/NAT ID の認証後にのみ、登録キーがチェックされます。

ステップ 5

[接続の設定（Connectivity Configuration）] を設定します。

1. [FTDホスト名（FTD Hostname）] を指定します。

   Management Center/CDO アクセスインターフェイスのアクセスにデータインターフェイスを使用する場合、この FQDN がこのインターフェイスに使用されます。

2. [DNSサーバーグループ（DNS Server Group）] を指定します。

   既存のグループを選択するか、新しいグループを作成します。デフォルトの DNS グループは CiscoUmbrellaDNSServerGroup と呼ばれ、OpenDNS サーバーが含まれます。

   Management Center/CDO アクセスインターフェイスにデータインターフェイスを選択する場合は、この設定でデータインターフェイス DNS サーバーを設定します。セットアップウィザードで設定した管理 DNS サーバーは、管理トラフィックに使用されます。データ DNS サーバーは、DDNS（設定されている場合）またはこのインターフェイスに適用されるセキュリティポリシーに使用されます。管理トラフィックとデータトラフィックの両方が外部インターフェイス経由で DNS サーバーに到達するため、管理に使用したものと同じ DNS サーバーグループを選択する可能性があります。

   Management Center では、この Threat Defense デバイスに割り当てるプラットフォーム設定ポリシーでデータインターフェイス DNS サーバーが設定されます。Management Center に Threat Defense デバイスを追加すると、ローカル設定が維持され、DNS サーバーはプラットフォーム設定ポリシーに追加されません。ただし、DNS 設定を含む Threat Defense デバイスに後でプラットフォーム設定ポリシーを割り当てると、その設定によってローカル設定が上書きされます。Management Center と Threat Defense デバイスを同期させるには、この設定に一致するように DNS プラットフォーム設定をアクティブに設定することをお勧めします。

   また、ローカル DNS サーバーは、DNS サーバーが初期登録で検出された場合にのみ Management Center で保持されます。

   FMC アクセスインターフェイスに管理インターフェイスを選択する場合は、この設定で管理 DNS サーバーを構成します。

3. Management Center/CDO アクセスインターフェイスについては、任意の構成済みインターフェイスを選択してください。

   管理インターフェイスは、Threat Defense デバイスを Management Center に登録した後に、管理インターフェイスまたは別のデータインターフェイスのいずれかに変更できます。

ステップ 6

（任意） 外部インターフェイスではないデータインターフェイスを選択した場合は、デフォルトルートを追加します。

ステップ 7

（任意） データインターフェイスを選択した場合は、[ダイナミックDNS（DDNS）方式の追加（Add a Dynamic DNS (DDNS) method）] をクリックします。

ステップ 8

[接続（Connect）] をクリックします。[登録ステータス（Registration Status）] ダイアログボックスには、Management Center への切り替えに関する現在のステータスが表示されます。[Management Center/CDO登録設定の保存（Saving Management Center/CDO Registration Settings）] のステップの後、Management Center に移動してファイアウォールを追加します。

Management Center への切り替えをキャンセルする場合は、[登録のキャンセル（Cancel Registration）] をクリックします。キャンセルしない場合は、[Management Center/CDO登録設定の保存（Saving Management Center/CDO Registration Settings）] のステップが完了するまで Device Manager のブラウザウィンドウを閉じないでください。閉じた場合、プロセスは一時停止し、Device Manager に再接続した場合のみ再開されます。

[Management Center/CDO登録設定の保存（Saving Management Center/CDO Registration Settings）] のステップの後に Device Manager に接続したままにする場合、その後 [Management CenterまたはCDOとの正常接続（Successful Connection with Management Center or CDO）] ダイアログボックスが表示され、Device Manager から切断されます。

ステップ 1

Management Center で、[デバイス（Devices）] > [デバイス管理（Device Management）] ページからファイアウォールを削除します。

ステップ 2

SSH またはコンソールポートを使用して、Threat Defense CLI に接続します。SSH の場合、管理 IP アドレスへの接続を開き、admin ユーザー名（または管理者権限を持つ他のユーザー）で Threat Defense CLI にログインします。

ステップ 3

現在リモート管理モードになっていることを確認します。

> show managers
Type                      : Manager
Host                      : 10.89.5.35
Display name              : 10.89.5.35
Identifier                : f7ffad78-bf16-11ec-a737-baa2f76ef602
Registration              : Completed

ステップ 4

リモート マネージャを削除すると、マネージャなしのモードになります。

> configure manager delete 
Deleting task list
Manager successfully deleted.

> 
> show managers 
No managers configured.

ステップ 5

ローカル マネージャを設定します。

> configure manager local 
Deleting task list

> show managers 
Managed locally.