FMC および FTD 管理ネットワークの管理

このドキュメントでは、Cisco Firepower Management Center(FMC)と Cisco Firepower Threat Defense(FTD)間の管理接続、管理ネットワークの基本、ネットワーク設定の変更方法(FTD または FMC、またはその両方の IP アドレスの変更を含む)について説明します。

デバイス管理インターフェイスについて

各デバイスには FMC と通信するための専用の管理インターフェイスが 1 つ含まれています。必要に応じて、専用の管理インターフェイスではなく、管理用のデータインターフェイスを使用するようにデバイスを設定できます。

管理インターフェイスまたはコンソールポートで初期設定を実行できます。

管理インターフェイスは、スマート ライセンス サーバーとの通信、更新プログラムのダウンロード、その他の管理機能の実行にも使用します。

FMC 上の管理インターフェイス

FMC では、初期セットアップ、管理者の HTTP アクセス、デバイスの管理、ならびにその他の管理機能(ライセンス管理や更新など)に、eth0 インターフェイスが使用されます。

同じネットワーク上、あるいは別のネットワーク上に、追加の管理インターフェイスを設定することもできます。FMC が管理するデバイスの数が多い場合、管理インターフェイスをさらに追加することで、スループットとパフォーマンスの向上につながります。これらの管理インターフェイスをその他すべての管理機能に使用することもできます。管理インターフェイスごとに、対応する機能を限定することをお勧めします。たとえば、ある特定の管理インターフェイスを HTTP 管理者アクセス用に使用し、別の管理インターフェイスをデバイスの管理に使用するなどです。

デバイス管理用に、管理インターフェイスには 2 つの別個のトラフィック チャネルがあります。管理トラフィック チャネルはすべての内部トラフィック(デバイス管理に固有のデバイス間トラフィックなど)を伝送し、イベント トラフィック チャネルはすべてイベント トラフィック(Web イベントなど)を伝送します。オプションで、FMC 上にイベントを処理するためのイベント専用インターフェイスを別個に設定することもできます。設定できるイベント専用インターフェイスは 1 つだけです。イベント トラフィックは大量の帯域幅を使用する可能性があるので、管理トラフィックからイベント トラフィックを分離することで、FMC のパフォーマンスを向上させることができます。たとえば、10 GigabitEthernet インターフェイスをイベント インターフェイスとして割り当て、可能なら、1 GigabitEthernet インターフェイスを管理用に使用します。たとえば、イベント専用インターフェイスは完全にセキュアなプライベート ネットワーク上に設定し、通常の管理インターフェイスはインターネットにアクセスできるネットワーク上で使用することをお勧めします。目的がスループットの向上だけである場合は、管理インターフェイスとイベント インターフェイスを同じネットワーク上で使用することもできます。管理対象デバイスは、管理トラフィックを FMC の管理インターフェイスに送信し、イベントトラフィックを FMC のイベント専用インターフェイスに送信します。管理対象デバイスがイベント専用インターフェイスに到達できない場合、フォールバックして管理インターフェイスにイベントを送信します。


(注)  

すべての管理インターフェイスは、アクセスリスト設定による制御に従って HTTP 管理者アクセスをサポートしています。逆に、インターフェイスを HTTP アクセスのみに制限することはできません。管理インターフェイスでは、常にデバイス管理がサポートされます(管理トラフィック、イベント トラフィック、またはその両方)。



(注)  

eth0 インターフェイスのみが DHCP IP アドレスをサポートします。他の管理インターフェイスはスタティック IP アドレスのみをサポートします。


FTD の管理インターフェイス

デバイスをセットアップするときに、接続先とする FMC の IP アドレスを指定します。初期登録時は、管理トラフィックとイベント トラフィックの両方がこのアドレスに送信されます。注:場合によっては、FMC が別の管理インターフェイスで初期接続を確立することがあります。その場合、以降の接続では指定した IP アドレスの管理インターフェイスを使用する必要があります。

FMC に別のイベント専用インターフェイスがある場合、ネットワークが許可する場合、管理対象デバイスは後続のイベントトラフィックを FMC イベント専用インターフェイスに送信します。さらに、一部の管理対象デバイスモデルには、イベント専用トラフィック用に構成できる追加の管理インターフェイスが含まれています。 管理用のデータインターフェイスを設定する場合は、個別管理およびイベントインターフェイスを使用できません。イベントネットワークがダウンすると、イベントトラフィックは、FMC および/または管理対象デバイスの通常の管理インターフェイスに戻ります。

管理のための FTD データインターフェイスの使用について

FMC との通信には、専用の管理インターフェイスか、または通常のデータインターフェイスを使用できます。データインターフェイスでのマネージャアクセスは、外部インターフェイスからリモートで FTD を管理する場合、または別の管理ネットワークがない場合に便利です。

データインターフェイスからのマネージャアクセスには、次の制限があります。

  • マネージャアクセスを有効にできるのは、1 つの物理的なデータインターフェイスのみです。サブインターフェイスと EtherChannel は使用できません。

  • このインターフェイスは管理専用にできません。

  • ルーテッドインターフェイスを使用するルーテッドファイアウォールモードのみです。

  • ハイ アベイラビリティはサポートされません。この場合、管理インターフェイスを使用する必要があります。

  • クラスタリングはサポートされません。この場合、管理インターフェイスを使用する必要があります。

  • PPPoE はサポートされていません。ISP で PPPoE が必要な場合は、PPPoE をサポートするルータを FTD と WAN モデムの間に配置する必要があります。

  • インターフェイスを配置する必要があるのはグローバル VRF のみです。

  • 管理インターフェイスとイベント専用インターフェイスを別々に使用することはできません。

  • SSH はデータインターフェイスではデフォルトで有効になっていないため、後で FMC を使用して SSH を有効にする必要があります。また、管理インターフェイス ゲートウェイがデータインターフェイスに変更されるため、configure network static-routes コマンドを使用して管理インターフェイス用の静的ルートを追加しない限り、リモートネットワークから管理インターフェイスに SSH 接続することはできません。Amazon Web Services の FTDv の場合、コンソールポートは使用できないため、管理インターフェイスへの SSH アクセスを維持する必要があります。設定を続行する前に、管理用の静的ルートを追加します。または、マネージャアクセス用のデータインターフェイスを設定する前に、すべての CLI 設定(configure manager add コマンドを含む)を終了して接続を切断します。

FMCモデルごとの管理インターフェイスサポート

管理インターフェイスの場所については、ご使用のモデルのハードウェア インストレーションガイドを参照してください。

各 FMC モデルでサポートされる管理インターフェイスについては、以下の表を参照してください。

表 1. FMC での管理インターフェイスのサポート

モデル

管理インターフェイス

MC1600、MC2600、MC4600

eth0(デフォルト)

eth1

eth2

eth3

CIMC(Lights-Out Management でのみサポート)

Firepower Management Center Virtual

eth0(デフォルト)

デバイスモデルごとの管理インターフェイスのサポート

管理インターフェイスの場所については、ご使用のモデルのハードウェア インストレーションガイドを参照してください。


(注)  

Firepower 4100/9300 の場合、MGMT インターフェイスは FTD の論理デバイスを管理するためではなく、シャーシを管理するために使用します。mgmt タイプ(または firepower-eventing タイプあるいはその両方)の別個の NIC インターフェイスを設定してから、そのインターフェイスを FTD 論理デバイスに割り当てる必要があります。



(注)  

シャーシ上の FTD の場合、物理管理インターフェイスは、診断論理インターフェイス(SNMP または syslog に利用できて、FMC でデータインターフェイスと併せて設定されます)と、FMC 通信用の管理論理インターフェイスの間で共有されます。


管理対象デバイスの各モデルでサポートされる管理インターフェイスについては、以下の表を参照してください。

表 2. 管理対象デバイスでサポートされる管理インターフェイス

モデル

管理インターフェイス

オプションのイベント インターフェイス

Firepower 1000

management0

(注)   

management0 は管理 1/1 インターフェイスの内部名です。

サポートなし

Firepower 2100

management0

(注)   

management0 は管理 1/1 インターフェイスの内部名です。

サポートなし

Cisco Secure Firewall 3100

management0

(注)   

management0 は管理 1/1 インターフェイスの内部名です。

サポートなし

Firepower 4100 および 9300

management0

(注)   

management0 は、物理インターフェイス ID に関わらず、このインターフェイスの内部名です。

management1

(注)   

management1 は、物理インターフェイス ID に関わらず、このインターフェイスの内部名です。

ISA 3000

br1

(注)   

br1 は、管理 1/1 インターフェイスの内部名です。

サポートなし

Firepower Threat Defense Virtual

eth0

サポートなし

FMC 管理インターフェイス上のネットワークルート

管理インターフェイス(イベント専用インターフェイスを含む)は、リモート ネットワークに到達するためのスタティック ルートのみをサポートしています。FMC をセットアップすると、セットアッププロセスにより、指定したゲートウェイ IP アドレスへのデフォルトルートが作成されます。このルートを削除することはできません。また、このルートで変更できるのはゲートウェイ アドレスのみです。

一部のプラットフォームでは、複数の管理インターフェイスを設定できます。デフォルト ルートには出力インターフェイスが含まれていないため、選択されるインターフェイスは、指定したゲートウェイ アドレスと、ゲートウェイが属するインターフェイスのネットワークによって異なります。デフォルト ネットワーク上に複数のインターフェイスがある場合、デバイスは出力インターフェイスとして番号の小さいインターフェイスを使用します。

リモートネットワークにアクセスするには、管理インターフェイスごとに 1 つ以上のスタティックルートを使用することをお勧めします。他のデバイスから FMC へのルーティングの問題など、潜在的なルーティングの問題を回避するために、各インターフェイスを個別のネットワークに配置することをお勧めします。同じネットワーク上のインターフェイスで問題が発生していない場合は、必ずスタティックルートを正しく設定してください。たとえば、FMC で、eth0 と eth1 の両方が同じネットワーク上にありますが、各インターフェイスで異なるデバイスグループを管理するとします。デフォルト ゲートウェイは 192.168.45.1 です。eth1 でリモート 10.6.6.0/24 宛先ネットワーク上のデバイスを管理する場合は、同じ 192.168.45.1 のゲートウェイを使用して eth1 経由で 10.6.6.0/24 用のスタティック ルートを作成できます。10.6.6.0/24 へのトラフィックは、デフォルト ルートの前にこのルートに到達するため、eth1 が想定どおりに使用されます。

2 つの FMC インターフェイスを使用して同じネットワーク上のリモートデバイスを管理する場合は、デバイス IP アドレスごとに別のスタティックルートが必要なため、FMC のスタティックルーティングが適切に拡張できないことがあります。

別の例には、FMC と管理対象デバイスの両方に個別の管理インターフェイスとイベント専用インターフェイスが含まれています。イベント専用インターフェイスは、管理インターフェイスとは別のネットワーク上にあります。この場合は、リモート イベント専用ネットワーク宛てのトラフィック用にイベント専用インターフェイスを介してスタティック ルートを追加します。その逆も同様です。

管理インターフェイス上のネットワークルート

管理インターフェイス(イベント専用インターフェイスを含む)は、リモート ネットワークに到達するためのスタティック ルートのみをサポートしています。管理対象デバイスをセットアップすると、セットアップ プロセスにより、指定したゲートウェイ IP アドレスへのデフォルトルートが作成されます。このルートを削除することはできません。また、このルートで変更できるのはゲートウェイ アドレスのみです。


(注)  

管理インターフェイスのルーティングは、データ インターフェイスに対して設定するルーティングとは完全に別のものです。 専用の管理インターフェイスを使用する代わりに管理用のデータインターフェイスを設定すると、トラフィックはバックプレーンを介してルーティングされ、データルーティングテーブルが使用されます。ここで説明する内容は適用されません。


一部のプラットフォームでは、複数の管理インターフェイス(管理インターフェイスとイベント専用インターフェイス)を設定できます。デフォルト ルートには出力インターフェイスが含まれていないため、選択されるインターフェイスは、指定したゲートウェイ アドレスと、ゲートウェイが属するインターフェイスのネットワークによって異なります。デフォルト ネットワーク上に複数のインターフェイスがある場合、デバイスは出力インターフェイスとして番号の小さいインターフェイスを使用します。

リモートネットワークにアクセスするには、管理インターフェイスごとに 1 つ以上のスタティックルートを使用することをお勧めします。他のデバイスから FTD へのルーティングの問題など、潜在的なルーティングの問題を回避するために、各インターフェイスを個別のネットワークに配置することをお勧めします。同じネットワーク上のインターフェイスで問題が発生していない場合は、必ずスタティックルートを正しく設定してください。たとえば、management0 と management1 は両方とも同じネットワーク上にありますが、FMC 管理インターフェイスとイベントインターフェイスが異なるネットワーク上にあるとします。ゲートウェイは 192.168.45.1 です。management1 を 10.6.6.1/24 の FMC のイベント専用インターフェイスに接続する場合は、同じゲートウェイ192.168.45.1 を使用して management1 を介した10.6.6.0/24 のスタティックルートを作成できます。10.6.6.0/24 へのトラフィックは、デフォルトルートの前にこのルートに到達するため、management1 が想定どおりに使用されます。

別の例には、FMC と管理対象デバイスの両方に個別の管理インターフェイスとイベント専用インターフェイスが含まれています。イベント専用インターフェイスは、管理インターフェイスとは別のネットワーク上にあります。この場合は、リモート イベント専用ネットワーク宛てのトラフィック用にイベント専用インターフェイスを介してスタティック ルートを追加します。その逆も同様です。

NAT 環境

ネットワーク アドレス変換(NAT)とは、ルータを介したネットワーク トラフィックの送受信方式であり、送信元または宛先 IP アドレスの再割り当てが行われます。NAT の最も一般的な用途は、プライベート ネットワークがインターネットと通信できるようにすることです。スタティック NAT は 1:1 変換を実行し、デバイスとの FMC 通信に支障はありませんが、ポート アドレス変換(PAT)がより一般的です。PAT では、単一のパブリック IP アドレスと一意のポートを使用してパブリック ネットワークにアクセスできます。これらのポートは必要に応じて動的に割り当てられるため、PAT ルータの背後にあるデバイスへの接続は開始できません。

通常は、ルーティングと認証の両方の目的で両方の IP アドレス(登録キー付き)が必要です。デバイスを追加するときに、FMC がデバイスの IP アドレスを指定し、デバイスが FMC の IP アドレスを指定します。ただし、IP アドレスの 1 つのみがわかっている場合(ルーティング目的の最小要件)は、最初の通信用に信頼を確立して正しい登録キーを検索するために、接続の両側に一意の NAT ID を指定する必要もあります。FMC およびデバイスでは、初期登録の認証と承認を行うために、登録キーおよび NAT ID(IP アドレスではなく)を使用します。

たとえば、デバイスを FMC に追加したときにデバイスの IP アドレスがわからない場合(たとえばデバイスが PAT ルータの背後にある場合)は、NAT ID と登録キーのみを FMC に指定します。IP アドレスは空白のままにします。デバイス上で、FMC の IP アドレス、同じ NAT ID、および同じ登録キーを指定します。デバイスが FMC の IP アドレスに登録されます。この時点で、FMC は IP アドレスの代わりに NAT ID を使用してデバイスを認証します。

NAT 環境では NAT ID を使用するのが最も一般的ですが、NAT ID を使用することで、多数のデバイスを簡単に FMC に追加することができます。FMC で、追加するデバイスごとに IP アドレスは空白のままにして一意の NAT ID を指定し、次に各デバイスで、FMC の IP アドレスと NAT ID の両方を指定します。注:NAT ID はデバイスごとに一意でなければなりません。

次の例に、PAT IP アドレスの背後にある 3 台のデバイスを示します。この場合、FMC とデバイスの両方でデバイスごとに一意の NAT ID を指定し、デバイス上の FMC の IP アドレスを指定します。

図 1. PAT の背後にある管理対象デバイスの NAT ID
PAT の背後にある管理対象デバイスの NAT ID

次の例に、PAT IP アドレスの背後にある FMC を示します。この場合、FMC とデバイスの両方でデバイスごとに一意の NAT ID を指定し、FMC 上のデバイスの IP アドレスを指定します。

図 2. PAT の背後にある FMC の NAT ID
PAT の背後にある FMC の NAT ID

管理およびイベント トラフィック チャネルの例


(注)  

管理用のデータインターフェイスを FTD で使用する場合は、そのデバイスに個別の管理インターフェイスとイベントインターフェイスを使用することはできません。


以下に、Firepower Management Center と管理対象デバイスでデフォルト管理インターフェイスのみを使用する例を示します。

図 3. Firepower Management Center 上で単一の管理インターフェイスを使用する場合

以下に、Firepower Management Center でデバイスごとに別個の管理インターフェイスを使用する例を示します。この場合、各管理対象デバイスが 1 つの管理インターフェイスを使用します。

図 4. Firepower Management Center 上の複数の管理インターフェイスを使用する場合

以下に、個別のイベント インターフェイスを使用する Firepower Management Center と管理対象デバイスの例を示します。

図 5. Firepower Management Center上の個別のイベント インターフェイスと管理対象デバイスを使用する場合

以下に、Firepower Management Center 上で複数の管理インターフェイスと個別のイベント インターフェイスが混在し、個別のイベント インターフェイスを使用する管理対象デバイスと単一の管理インターフェイスを使用する管理対象デバイスが混在する例を示します。

図 6. 管理インターフェイスとイベント インターフェイスを混在させて使用する場合

FTD の初期設定を実行する

Firepower 4100/9300 を除くすべてのモデルについて、CLI または FDMを使用して FTD の初期設定を実行できます。Firepower 4100/9300 の場合、論理デバイスを展開する際に初期設定を実行します。

FDM を使用した FTD の初期設定の実行

FDM に接続して、FTD の初期設定を実行します。FDM を使用して初期セットアップを実行すると、管理インターフェイスおよびマネージャアクセス設定に加えて、管理のために FMC に切り替えたときに、FDM で完了したすべてのインターフェイス構成が保持されます。アクセス コントロール ポリシーやセキュリティゾーンなどの他のデフォルト設定は保持されないことに注意してください。CLI を使用すると、管理インターフェイスとマネージャアクセス設定のみが保持されます(たとえば、デフォルトの内部インターフェイス構成は保持されません)。

始める前に

  • この手順は、Firepower 4100/9300 と ISA 3000 を除くすべてのデバイスに適用されます。FDM を使用してこれらのデバイスを FMC にオンボーディングできますが、他のプラットフォームとはデフォルト設定が異なるため、この手順の詳細はこれらのプラットフォームには適用されない場合があります。

手順


ステップ 1

FDM にログインします。

  1. ブラウザに次の URL を入力します。

    • 内部:https://192.168.95.1

    • 管理:https://management_ip 。管理インターフェイスは DHCP クライアントであるため、IP アドレスは DHCP サーバーによって異なります。この手順の一環として、管理 IP アドレスを静的アドレスに設定する必要があるため、接続が切断されないように内部インターフェイスを使用することをお勧めします。

  2. ユーザー名 admin、デフォルト パスワード Admin123 を使用してログインします。

  3. エンド ユーザー ライセンス契約書を読んで同意し、管理者パスワードを変更するように求められます。

ステップ 2

初期設定を完了するには、最初に FDM にログインしたときにセットアップ ィザードを使用します。必要に応じて、ページの下部にある [デバイスの設定をスキップ(Skip device setup)] をクリックしてセットアップウィザードをスキップできます。

セットアップウィザードを完了すると、内部インターフェイスのデフォルト設定に加えて、FMC の管理に切り替えるときに維持される外部(Ethernet1/1)インターフェイスも設定できます。

  1. 外部インターフェイスおよび管理インターフェイスに対して次のオプションを設定し、[次へ(Next)] をクリックします。

    1. [外部インターフェイスアドレス(Outside Interface Address)] — このインターフェイスは通常インターネット ゲートウェイであり、マネージャ アクセス インターフェイスとして使用される場合があります。デバイスの初期設定時に別の外部インターフェイスを選択することはできません。最初のデータ インターフェイスがデフォルトの外部インターフェイスです。

      マネージャアクセスに外部(または内部)とは異なるインターフェイスを使用する場合は、セットアップウィザードの完了後に手動で設定する必要があります。

      [IPv4の設定(Configure IPv4)]:外部インターフェイス用の IPv4 アドレスです。DHCP を使用するか、または手動でスタティック IP アドレス、サブネットマスク、およびゲートウェイを入力できます。[オフ(Off)] を選択して、IPv4 アドレスを設定しないという選択肢もあります。 セットアップウィザードを使用して PPPoE を設定することはできません。インターフェイスが DSL モデム、ケーブルモデム、または ISP への他の接続に接続されており、ISP が PPPoE を使用して IP アドレスを提供している場合は、PPPoE が必要になる場合があります。ウィザードの完了後に PPPoE を設定できます。

      [IPv6の設定(Configure IPv6)]:外部インターフェイス用の IPv6 アドレスです。DHCP を使用するか、または手動でスタティック IP アドレス、プレフィックス、およびゲートウェイを入力できます。[オフ(Off)] を選択して、IPv6 アドレスを設定しないという選択肢もあります。

    2. [管理インターフェイス(Management Interface)]

      CLI で初期設定を実行した場合、管理インターフェイスの設定は表示されません。

      データインターフェイスでマネージャアクセスを有効にした場合でも、管理インターフェイスの設定が使用されます。たとえば、データインターフェイスを介してバックプレーン経由でルーティングされる管理トラフィックは、データインターフェイス DNS サーバーではなく、管理インターフェイス DNS サーバーを使用して FQDN を解決します。

      [DNSサーバ(DNS Servers)]:システムの管理アドレス用の DNS サーバ。名前解決用に 1 つ以上の DNS サーバのアドレスを入力します。デフォルトは OpenDNS パブリック DNS サーバです。フィールドを編集し、デフォルトに戻したい場合は、[OpenDNSを使用(Use OpenDNS)] をクリックすると、フィールドに適切な IP アドレスがリロードされます。

      [ファイアウォールホスト名(Firewall Hostname)]:システムの管理アドレスのホスト名です。

  2. [時刻設定(NTP)(Time Setting (NTP))] を構成し、[次へ(Next)] をクリックします。

    1. [タイムゾーン(Time Zone)]:システムのタイムゾーンを選択します。

    2. [NTPタイムサーバ(NTP Time Server)]:デフォルトの NTP サーバを使用するか、使用している NTP サーバのアドレスを手動で入力するかを選択します。バックアップ用に複数のサーバを追加できます。

  3. [登録せずに 90 日間の評価期間を開始(Start 90 day evaluation period without registration)] を選択します。

    FTD を Smart Software Manager に登録しないでください。すべてのライセンスは FMC で実行されます。

  4. [終了(Finish)] をクリックします。

  5. [クラウド管理(Cloud Management)] または [スタンドアロン(Standalone)] を選択するよう求められます。FMC の管理については、[スタンドアロン(Standalone)] を選択してから、[Got It(了解)] を選択します。

ステップ 3

(Might be required) Configure the Management interface.

マネージャアクセスにデータインターフェイスを使用する場合でも、管理インターフェイスの設定を変更する必要がある場合があります。FDM 接続に管理インターフェイスを使用していた場合は、FDM に再接続する必要があります。

  • マネージャアクセス用のデータインターフェイス:管理インターフェイスには、データインターフェイスに設定されたゲートウェイが必要です。デフォルトでは、管理インターフェイスは DHCP から IP アドレスとゲートウェイを受信します。DHCP からゲートウェイを受信しない場合(たとえば、管理インターフェイスをネットワークに接続していない場合)、ゲートウェイはデフォルトでデータインターフェイスになり、何も設定する必要はありません。DHCP からゲートウェイを受信した場合は、代わりに管理インターフェイスに静的 IP アドレスを設定し、ゲートウェイをデータインターフェイスに設定する必要があります。

  • マネージャアクセス用の管理インターフェイス:静的 IP アドレスを設定する場合は、デフォルトゲートウェイもデータインターフェイスではなく一意のゲートウェイに設定してください。DHCP を使用する場合は、DHCP からゲートウェイを正常に取得できると仮定して、何も設定する必要はありません。

ステップ 4

マネージャアクセスに使用する外部または内部以外のインターフェイスを含む追加のインターフェイスを設定する場合は、[デバイス(Device)] を選択し、[インターフェイス(Interface)] のサマリーのリンクをクリックします。

FMC にデバイスを登録すると、FDM の他の構成は保持されません。

ステップ 5

[デバイス(Device)] > [システム設定(Device System Settings)] > [中央管理 (Central Management)] > [Management Center] > [Management Center] > [デバイス(Device)] > [システム設定(System Settings)] > [中央管理(Central Management)] > [Management Center] を選択し、 [続行(Proceed)] をクリックして FMC の管理を設定します。 > >

ステップ 6

[Management Center/CDOの詳細(Management Center/CDO Details)] > [FMCの詳細 (FMC Details)] > [FMCの詳細 (FMC Details)] を構成します。

図 7. FMC の詳細
FMC の詳細
  1. [Management Center/CDOのホスト名またはIPアドレスを知っていますか(Do you know the FMC hostname or IP address)] 、[FMCのホスト名またはIPアドレスを知っていますか(Do you know the FMC hostname or IP address)] で、IP アドレスまたはホスト名を使用して FMC/CDO に到達できる場合は [はい(Yes)] をクリックし、FMC/CDO が NAT の背後にあるか、パブリック IP アドレスまたはホスト名がない場合は [いいえ(No)] をクリックします。

    双方向の SSL 暗号化通信チャネルを 2 台のデバイス間に確立するには、少なくても 1 台以上のデバイス(FMC/CDO または FTD デバイス)に到達可能な IP アドレスが必要です。

  2. [はい(Yes)] を選択した場合は、、FMC のホスト名/IP アドレスを入力します。

  3. FMC 登録キーを指定します。

    このキーは、FTD デバイスを登録するときに FMC でも指定する任意の 1 回限りの登録キーです。登録キーは 37 文字以下にする必要があります。有効な文字には、英数字(A~Z、a~z、0~9)、およびハイフン(-)などがあります。この ID は、FMC に登録する複数のデバイスに使用できます。

  4. [NAT ID] を指定します。

    この ID は、FMC でも指定する任意の 1 回限りの文字列です。いずれかのデバイスの IP アドレスのみを指定する場合、このフィールドは必須です。両方のデバイスの IP アドレスがわかっている場合でも、NAT ID を指定することを推奨します。NAT ID は 37 文字以下にする必要があります。有効な文字には、英数字(A~Z、a~z、0~9)、およびハイフン(-)などがあります。この ID は、FMC に登録する他のデバイスには使用できません。NAT ID は、正しいデバイスからの接続であることを確認するために IP アドレスと組み合わせて使用されます。 IP アドレス/NAT ID の認証後にのみ、登録キーがチェックされます。

ステップ 7

[接続の設定(Connectivity Configuration)] を設定します。

  1. [FTDホスト名(FTD Hostname)] を指定します。

    FMC アクセスインターフェイスのアクセスにデータインターフェイスを使用する場合、この FQDN がこのインターフェイスに使用されます。

  2. [DNSサーバーグループ(DNS Server Group)] を指定します。

    既存のグループを選択するか、新しいグループを作成します。デフォルトの DNS グループは CiscoUmbrellaDNSServerGroup と呼ばれ、OpenDNS サーバーが含まれます。

    FMC アクセスインターフェイスにデータインターフェイスを選択する場合は、この設定でデータインターフェイス DNS サーバーを設定します。セットアップウィザードで設定した管理 DNS サーバーは、管理トラフィックに使用されます。データ DNS サーバーは、DDNS(設定されている場合)またはこのインターフェイスに適用されるセキュリティポリシーに使用されます。管理トラフィックとデータトラフィックの両方が外部インターフェイス経由で DNS サーバに到達するため、管理に使用したものと同じ DNS サーバグループを選択する可能性があります。

    FMC では、この FTD デバイスに割り当てるプラットフォーム設定ポリシーでデータインターフェイス DNS サーバーが設定されます。FMCFTD デバイスを追加すると、ローカル設定が維持され、DNS サーバーはプラットフォーム設定ポリシーに追加されません。ただし、DNS 設定を含む FTD デバイスに後でプラットフォーム設定ポリシーを割り当てると、その設定によってローカル設定が上書きされます。FMCFTD デバイスを同期させるには、この設定に一致するように DNS プラットフォーム設定をアクティブに設定することをお勧めします。

    また、ローカル DNS サーバーは、DNS サーバーが初期登録で検出された場合にのみ FMC で保持されます。

    FMC アクセスインターフェイスに管理インターフェイスを選択する場合は、この設定で管理 DNS サーバーを構成します。

  3. FMCアクセスインターフェイスについては、任意の構成済みインターフェイスを選択してください。

    管理インターフェイスは、FTD デバイスを FMC に登録した後に、管理インターフェイスまたは別のデータインターフェイスのいずれかに変更できます。

ステップ 8

(任意) 外部インターフェイスではないデータインターフェイスを選択した場合は、デフォルトルートを追加します。

インターフェイスを通過するデフォルトルートがあることを確認するように求めるメッセージが表示されます。外部を選択した場合は、セットアップウィザードの一環としてこのルートがすでに設定されています。別のインターフェイスを選択した場合は、FMC に接続する前にデフォルトルートを手動で設定する必要があります。

管理インターフェイスを選択した場合は、この画面に進む前に、ゲートウェイを一意のゲートウェイとして設定する必要があります。

ステップ 9

(任意) データインターフェイスを選択した場合は、[ダイナミックDNS(DDNS)方式の追加(Add a Dynamic DNS (DDNS) method)] をクリックします。

DDNS は、 IP アドレスが変更された場合に FMC が完全修飾ドメイン名(FQDN)で FTD デバイスに到達できるようにします。[デバイス(Device)] > [システム設定(System Settings)] > [DDNSサービス(DDNS Service)] を参照して DDNS を設定します。

FMCFTD デバイスを追加する前に DDNS を設定すると、FTD デバイスは、シスコの信頼できるルート CA バンドルからすべての主要な CA の証明書を自動的に追加し、FTD デバイスが HTTPS 接続に向けて DDNS サーバー証明書を検証できるようにします。 FTD は、DynDNS リモート API 仕様(https://help.dyn.com/remote-access-api/)を使用するすべての DDNS サーバーをサポートします。

マネージャアクセスに管理インターフェイスを使用する場合、DDNS はサポートされません。

ステップ 10

[接続(Connect)] をクリックします。[登録ステータス(Registration Status)] [FMC登録ステータス(FMC Registration Status)] [FMC登録ステータス (FMC Registration Status)] ダイアログボックスには、FMC への切り替えの現在のステータスが表示されます。[Management Center/CDO登録設定の保存(Saving Management Center/CDO Registration Settings)] [FMC登録設定の保存(Saving FMC Registration Settings)] [FMC登録設定の保存(Saving FMC Registration Settings)] ステップの後、FMC に移動し、ファイアウォールを追加します。

図 8. FMC 登録ステータス
FMC 登録ステータス

FMC への切り替えをキャンセルする場合は、[登録のキャンセル(Cancel Registration)] をクリックします。キャンセルしない場合は、[Management Center/CDO登録設定の保存(Saving Management Center/CDO Registration Settings)] [FMC登録設定の保存(Saving FMC Registration Settings)] [FMC登録設定の保存(Saving FMC Registration Settings)] のステップが完了するまで FDM ブラウザウィンドウを閉じないでください。閉じた場合、プロセスは一時停止し、FDM に再接続した場合のみ再開されます。

[Management Center/CDO登録設定の保存(Saving Management Center/CDO Registration Settings)] [FMC登録設定の保存(Saving FMC Registration Settings)] [FMC登録設定の保存(Saving FMC Registration Settings)] ステップの後に FDM に接続したままにする場合、その後 [Management CenterまたはCDOとの正常接続 (Successful Connection with Management Center or CDO)] [FMCとの正常接続(Successful Connection with FMC)] [FMCとの正常接続(Successful Connection with FMC)] ダイアログボックスが表示され、FDM から切断されます。

図 9. FMC との正常接続
FMC との正常接続

CLI を使用した FTD 初期設定の実行の完了

FTD CLI に接続して初期設定を実行します。これには、セットアップウィザードを使用した管理 IP アドレス、ゲートウェイ、およびその他の基本ネットワーク設定の指定などが含まれます。専用の管理インターフェイスは、独自のネットワーク設定を持つ特別なインターフェイスです。マネージャアクセスに管理インターフェイスを使用しない場合は、代わりに CLI を使用してデータインターフェイスを設定できます。また、FMC 通信の設定を行います。FDM を使用して初期セットアップを実行すると、管理インターフェイスおよびマネージャ アクセス インターフェイスの設定に加えて、管理のために FMC に切り替えたときに、FDM で完了したすべてのインターフェイス設定が保持されます。アクセス コントロール ポリシーなどの他のデフォルト設定は保持されないことに注意してください。

始める前に

この手順は、Firepower 4100/9300 を除くすべてのモデルに適用されます。

手順


ステップ 1

コンソールポートから、または管理インターフェイスへの SSH を使用して、FTD CLI に接続します。デフォルトで DHCP サーバーから IP アドレスが取得されます。ネットワーク設定を変更する場合は、切断されないようにコンソールポートを使用することを推奨します。

(Firepower 1000/2100Cisco Secure Firewall 3100)コンソールポートは FXOS CLI に接続します。SSH セッションは FTD CLI に直接接続します。

ステップ 2

ユーザー名 admin およびパスワード Admin123 でログインします。

(Firepower 1000/2100Cisco Secure Firewall 3100)コンソールポートで FXOS CLI に接続します。初めて FXOS にログインしたときは、パスワードを変更するよう求められます。このパスワードは、SSH の FTD ログインにも使用されます。

(注)   

パスワードがすでに変更されていて、パスワードがわからない場合は、デバイスを再イメージ化してパスワードをデフォルトにリセットする必要があります。再イメージ化の手順については、『FXOS troubleshooting guide』を参照してください。

例:


firepower login: admin
Password: Admin123
Successful login attempts for user 'admin' : 1

[...]

Hello admin. You must change your password.
Enter new password: ********
Confirm new password: ********
Your password was updated successfully.

[...]

firepower# 

ステップ 3

(Firepower 1000/2100Cisco Secure Firewall 3100)コンソールポートで FXOS に接続した場合は、FTD CLI に接続します。

connect ftd

例:


firepower# connect ftd
>

ステップ 4

FTD に初めてログインすると、エンドユーザーライセンス契約書(EULA)に同意し、SSH 接続を使用している場合は、管理者パスワードを変更するように求められます。その後、CLI セットアップスクリプトが表示されます。

(注)   

設定をクリア(たとえば、イメージを再作成することにより)しないかぎり、CLI セットアップウィザードを繰り返すことはできません。ただし、これらの設定すべては、後から CLI で configure network コマンドを使用して変更できます。threat defense のコマンドリファレンスを参照してください。

デフォルト値または以前に入力した値がカッコ内に表示されます。以前に入力した値をそのまま使用する場合は、Enter を押します。

(注)   

データインターフェイスでマネージャアクセスを有効にした場合でも、管理インターフェイスの設定が使用されます。たとえば、データインターフェイスを介してバックプレーン経由でルーティングされる管理トラフィックは、データインターフェイス DNS サーバーではなく、管理インターフェイス DNS サーバーを使用して FQDN を解決します。

次のガイドラインを参照してください。

  • [DHCP経由または手動でIPv4を設定しますか?(Configure IPv4 via DHCP or manually?)]:管理インターフェイスではなくデータインターフェイスをマネージャアクセスに使用する場合は、[手動(manual)] を選択します。管理インターフェイスを使用する予定がない場合でも、プライベートアドレスなどの IP アドレスを設定する必要があります。管理インターフェイスが DHCP に設定されている場合、管理用のデータインターフェイスを設定することはできません。これは、data-interfaces である必要があるデフォルトルートが DHCP サーバーから受信したルートで上書きされる可能性があるためです。

  • [管理インターフェイスのIPv4デフォルトゲートウェイを入力(Enter the IPv4 default gateway for the management interface)]管理インターフェイスではなくデータインターフェイスをマネージャアクセスに使用する場合は、ゲートウェイを [data-interfaces] に設定します。この設定は、マネージャ アクセス データ インターフェイスを通じてルーティングできるように、バックプレーンを介して管理トラフィックを転送します。マネージャアクセスに管理インターフェイスを使用する場合は、管理 1/1 ネットワークでゲートウェイ IP アドレスを設定する必要があります。

  • ネットワーク情報が変更された場合は再接続が必要:SSH で接続しているのに、初期セットアップでその IP アドレスを変更すると、接続が切断されます。新しい IP アドレスとパスワードで再接続してください。コンソール接続は影響を受けません。

  • [デバイスをローカルで管理しますか(Manage the device locally?)]:FMC を使用するには「no」を入力します。「yes」と答えると、代わりに Firepower Device Manager を使用することになります。

  • [ファイアウォールモードを設定しますか(Configure firewall mode?)]:初期設定でファイアウォールモードを設定することをお勧めします。初期設定後にファイアウォール モードを変更すると、実行コンフィギュレーションが消去されます。データ インターフェイス マネージャ アクセスは、ルーテッド ファイアウォール モードでのみサポートされることに注意してください。

例:


You must accept the EULA to continue.
Press <ENTER> to display the EULA:
End User License Agreement
[...]

Please enter 'YES' or press <ENTER> to AGREE to the EULA: 

System initialization in progress.  Please stand by.
You must change the password for 'admin' to continue.
Enter new password: ********
Confirm new password: ********
You must configure the network to continue.
You must configure at least one of IPv4 or IPv6.
Do you want to configure IPv4? (y/n) [y]:
Do you want to configure IPv6? (y/n) [n]:
Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]:
Enter an IPv4 address for the management interface [192.168.45.45]: 10.10.10.15
Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.192
Enter the IPv4 default gateway for the management interface [data-interfaces]: 10.10.10.1
Enter a fully qualified hostname for this system [firepower]: ftd-1.cisco.com
Enter a comma-separated list of DNS servers or 'none' [208.67.222.222,208.67.220.220]:
Enter a comma-separated list of search domains or 'none' []:
If your networking information has changed, you will need to reconnect.
For HTTP Proxy configuration, run 'configure network http-proxy'

Manage the device locally? (yes/no) [yes]: no
Configure firewall mode? (routed/transparent) [routed]:
Configuring firewall mode ... 

Update policy deployment information
    - add device configuration
    - add network discovery
    - add system policy

You can register the sensor to a Firepower Management Center and use the
Firepower Management Center to manage it. Note that registering the sensor
to a Firepower Management Center disables on-sensor Firepower Services
management capabilities.

When registering the sensor to a Firepower Management Center, a unique
alphanumeric registration key is always required.  In most cases, to register
a sensor to a Firepower Management Center, you must provide the hostname or
the IP address along with the registration key.
'configure manager add [hostname | ip address ] [registration key ]'

However, if the sensor and the Firepower Management Center are separated by a
NAT device, you must enter a unique NAT ID, along with the unique registration
key.
'configure manager add DONTRESOLVE [registration key ] [ NAT ID ]'

Later, using the web interface on the Firepower Management Center, you must
use the same registration key and, if necessary, the same NAT ID when you add
this sensor to the Firepower Management Center.
>
ステップ 5

この FTD を管理する FMC を特定します。

configure manager add {hostname | IPv4_address | IPv6_address | DONTRESOLVE} reg_key [nat_id]

  • {hostname | IPv4_address | IPv6_address | DONTRESOLVE}—Specifies either the FQDN or IP address of the FMC.FMC を直接アドレス指定できない場合は、DONTRESOLVE を使用します。また、nat_id も指定します。双方向の SSL 暗号化通信チャネルを 2 台のデバイス間に確立するには、少なくても 1 台以上のデバイス(FMC または FTD)に到達可能な IP アドレスが必要です。このコマンドで DONTRESOLVE を指定するには、FTD には到達可能な IP アドレスまたはホスト名が必要です。

  • reg_key:FTD を登録するときに FMC でも指定する任意のワンタイム登録キーを指定します。登録キーは 37 文字以下にする必要があります。有効な文字には、英数字(A~Z、a~z、0~9)、およびハイフン(-)などがあります。

  • nat_id:一方の側で到達可能な IP アドレスまたはホスト名が指定されていない場合は、FTD を登録するときに FMC にも指定する任意の一意のワンタイム文字列を指定します。この文字列は、FMCDONTRESOLVE に設定した場合に必要です。NAT ID は 37 文字以下にする必要があります。有効な文字には、英数字(A~Z、a~z、0~9)、およびハイフン(-)などがあります。この ID は、FMC に登録する他のデバイスには使用できません。

    (注)   

    管理にデータインターフェイスを使用する場合は、登録用に FTDFMC の両方で NAT ID を指定する必要があります。

例:


> configure manager add MC.example.com 123456
Manager successfully configured.

例:

FMC が NAT デバイスの背後にある場合は、次の例に示すように、一意の NAT ID とともに登録キーを入力し、ホスト名の代わりに DONTRESOLVE を指定します。


> configure manager add DONTRESOLVE regk3y78 natid90
Manager successfully configured.

例:

FTD が NAT デバイスの背後にある場合は、次の例に示すように、一意の NAT ID とともに FMC IP アドレスまたはホスト名を入力します。


> configure manager add 10.70.45.5 regk3y78 natid56
Manager successfully configured.
ステップ 6

(任意) マネージャアクセス用のデータインターフェイスを設定します。

configure network management-data-interface

その後、データインターフェイスの基本的なネットワーク設定を行うように求めるプロンプトが表示されます。

(注)   

このコマンドを使用する場合は、コンソールポートを使用する必要があります。管理インターフェイスに SSH を使用すると、接続が切断され、コンソールポートに再接続する必要が生じる場合があります。SSH の詳細な使用方法については、次を参照してください。

このコマンドの使用については、次の詳細を参照してください。管理のための FTD データインターフェイスの使用についても参照してください。

  • データインターフェイスを管理に使用する場合、元の管理インターフェイスは DHCP を使用できません。初期セットアップ時に IP アドレスを手動で設定しなかった場合は、configure network {ipv4 | ipv6} manual コマンド を使用して設定できるようになりました。管理インターフェイス ゲートウェイを data-interfaces に設定しなかった場合は、ここでこのコマンドで設定します。

  • FTDFMC に追加すると、FMC はインターフェイス設定(インターフェイス名と IP アドレス、ゲートウェイへの静的ルート、DNS サーバー、DDNS サーバーなど)を検出して維持します。DNS サーバー設定の詳細については、次を参照してください。FMC では、後でマネージャ アクセス インターフェイス設定を変更できますが、FTD または FMC が管理接続による再確立を妨げるような変更を加えないようにしてください。管理接続が中断された場合、FTD には以前の展開を復元する configure policy rollback コマンドが含まれます。

  • DDNS サーバー更新の URL を設定すると、FTD は Cisco Trusted Root CA バンドルからすべての主要 CA の証明書を自動的に追加するため、FTD は HTTPS 接続の DDNS サーバー証明書を検証できます。FTD は、DynDNS リモート API 仕様(https://help.dyn.com/remote-access-api/)を使用するすべての DDNS サーバーをサポートします。

  • このコマンドは、「データ」インターフェイス DNS サーバーを設定します。セットアップスクリプトで(または configure network dns servers コマンドを使用して)設定した管理 DNS サーバーは、管理トラフィックに使用されます。データ DNS サーバーは、DDNS(設定されている場合)またはこのインターフェイスに適用されるセキュリティポリシーに使用されます。

    FMC では、この FTD に割り当てるプラットフォーム設定ポリシーでデータインターフェイス DNS サーバーが設定されます。FMCFTD を追加すると、ローカル設定が維持され、DNS サーバーはプラットフォーム設定ポリシーに追加されません。ただし、DNS 設定を含む FTD に後でプラットフォーム設定ポリシーを割り当てると、その設定によってローカル設定が上書きされます。FMCFTD を同期させるには、この設定に一致するように DNS プラットフォーム設定をアクティブに設定することをお勧めします。

    また、ローカル DNS サーバーは、DNS サーバーが初期登録で検出された場合にのみ FMC で保持されます。たとえば、管理インターフェイスを使用してデバイスを登録し、後で configure network management-data-interface コマンドを使用してデータインターフェイスを設定した場合、FTD 設定と一致するように、DNSサーバーを含むこれらの設定すべてを FMC で手動で設定する必要があります。

  • 管理インターフェイスは、FTDFMC に登録した後に、管理インターフェイスまたは別のデータインターフェイスのいずれかに変更できます。

  • セットアップウィザードで設定した FQDN がこのインターフェイスに使用されます。

  • コマンドの一部としてデバイス設定全体をクリアできます。このオプションはリカバリシナリオで使用できますが、初期セットアップや通常の操作には使用しないでください。

  • データ管理を無効にするには、configure network management-data-interface disable コマンドを入力します。

例:


> configure network management-data-interface
Data interface to use for management: ethernet1/1
Specify a name for the interface [outside]:
IP address (manual / dhcp) [dhcp]:  
DDNS server update URL [none]: https://jcrichton:pa$$w0rd17@domains.example.com/nic/update?hostname=<h>&myip=<a>
Do you wish to clear all the device configuration before applying ? (y/n) [n]:

Configuration done with option to allow manager access from any network, if you wish to change the manager access network 
use the 'client' option in the command 'configure network management-data-interface'.

Setting IPv4 network configuration.
Network settings changed.

> 

例:


> configure network management-data-interface
Data interface to use for management: ethernet1/1
Specify a name for the interface [outside]: internet
IP address (manual / dhcp) [dhcp]: manual
IPv4/IPv6 address: 10.10.6.7
Netmask/IPv6 Prefix: 255.255.255.0
Default Gateway: 10.10.6.1
Comma-separated list of DNS servers [none]: 208.67.222.222,208.67.220.220
DDNS server update URL [none]:
Do you wish to clear all the device configuration before applying ? (y/n) [n]:

Configuration done with option to allow manager access from any network, if you wish to change the manager access network
use the 'client' option in the command 'configure network management-data-interface'.

Setting IPv4 network configuration.
Network settings changed.

>
ステップ 7

(任意) 特定のネットワーク上のマネージャへのデータ インターフェイス アクセスを制限します。

configure network management-data-interface client ip_address netmask

デフォルトでは、すべてのネットワークが許可されます。


次のタスク

デバイスを FMC に登録します。

FMC 管理インターフェイスの変更


注意    

FTD で直接終端する VPN トンネル経由で FMC 展開をプッシュしないでください。FMC 展開をプッシュすると、トンネルが非アクティブ化され、FMCFTD が切断される可能性があります。

この状況からデバイスを回復すると、中断時間が長くなり、ディザスタリカバリ手順の実行が必要になる場合があります。この手順では、マネージャを FMC からローカルに変更し、デバイスを最初から設定することで、FTD を工場出荷時のデフォルト設定にリセットします。詳細については、『Firepower Management Center Device Configuration Guide』の「Best Practices for Deploying Configuration Changes」を参照してください。


Firepower Management Center で管理インターフェイスの設定を変更します。オプションとして追加の管理インターフェイスを有効にしたり、イベントのみのインターフェイスを設定したりできます。


注意    

接続されている管理インターフェイスを変更する場合は十分にご注意ください。設定エラーのために再接続できない場合は、FMC コンソール ポートにアクセスして、Linux シェルでネットワーク設定を再設定する必要があります。この操作では、Cisco TAC に連絡する必要があります。



(注)  

FMC の IP アドレスを変更する場合は、Firepower Management Center デバイス構成ガイド で 。FMC の IP アドレスまたはホスト名を変更する場合は、設定が一致するようにデバイス CLI で値を変更する必要があります。ほとんどの場合、管理接続はデバイスの FMC IP アドレスまたはホスト名を変更せずに再確立されますが、少なくともデバイスを FMC に追加して NAT ID のみを指定した場合は、接続が再確立されるようにするために、このタスクを実行する必要があります。他の場合でも、FMC IP アドレスまたはホスト名を最新の状態に維持して、ネットワークの復元力を高めることを推奨します。



(注)  

ハイアベイラビリティ構成では、登録された Firepower デバイスの管理 IP アドレスをデバイスの CLI または FMC から変更した場合、HA 同期後も、セカンダリ FMC には変更が反映されません。セカンダリ FMC も更新されるようにするには、2 つの FMC の間でロールを切り替えて、セカンダリ FMC をアクティブユニットにします。現在アクティブな FMC のデバイス管理のページで、登録されている Firepower デバイスの管理 IP アドレスを変更します。


始める前に

  • デバイス管理の仕組みについては、Firepower Management Center デバイス構成ガイド

  • プロキシを使用する場合:

    • NT LAN Manager(NTLM)認証を使用するプロキシはサポートされません。

    • スマート ライセンスを使用しているか、または使用する予定がある場合は、プロキシの FQDN は 64 文字以内にする必要があります。

手順


ステップ 1

システム[システム歯車(system gear}] アイコン > [構成(Configuration)] を選択し、次に [管理インターフェイス(Management Interfaces)] を選択します。

ステップ 2

[インターフェイス(Interfaces)] エリアで、設定するインターフェイスの横にある [編集(Edit)] をクリックします。

このセクションでは、利用可能なすべてのインターフェイスがリストされます。インターフェイスをさらに追加することはできません。

それぞれの管理インターフェイスに対して、以下のオプションを設定できます。

  • [有効にする(Enabled)]:管理インターフェイスを有効にします。デフォルト eth0 管理インターフェイスを無効にしないでください。eth0 インターフェイスを必要とするプロセスもあります。

  • [チャネル(Channels)]:イベントのみのインターフェイスを設定します。FMC では 1 つのイベント インターフェイスしか設定できません。これを設定するには、[管理トラフィック(Management Traffic)] チェックボックスをオフにして、[イベント トラフィック(Event Traffic)] チェックボックスをオンのままにしておきます。必要に応じて、管理インターフェイスの [イベント トラフィック(Event Traffic)] を無効にすることができます。いずれの場合も、デバイスは、イベントのみのインターフェイスにイベントを送信しようとします。そのインターフェイスがダウンしていた場合は、イベント チャネルが無効になっていても、管理インターフェイス上でイベントを送信します。インターフェイス上でイベント チャネルと管理チャンネルの両方を無効にすることはできません。

  • [モード(Mode)]:リンク モードを指定します。GigabitEthernet インターフェイスでは、自動ネゴシエーションの値を変更しても反映されないことに注意してください。

  • [MDI/MDIX]:[自動-MDIX(Auto-MDIX)] を設定します。

  • [MTU]:最大伝送ユニット(MTU)を設定します。デフォルトは 1500 です。設定可能な MTU の範囲は、モデルとインターフェイスのタイプによって異なる場合があります。

    システムは、設定された MTU 値から自動的に 18 バイトを削減するため、IPv6 の場合、1298 未満の値は MTU の最小値である 1280 に準拠しません。IPv4 の場合は、594 未満の値は MTU の最小値 576 に準拠しません。たとえば、構成値 576 は自動的に 558 に削減されます。

  • [IPv4 設定(IPv4 Configuration)]:IPv4 IP アドレスを設定します。次のどちらかを選択します。

    • [スタティック(Static)]IPv4 の管理 IP アドレス ネットマスクを手動で入力します。

    • [DHCP]:DHCP を使用するインターフェイスを設定します(eth0 のみ)。

    • [無効(Disabled)]:無効 IPv4。IPv4 と IPv6 の両方を無効にしないでください

  • [IPv6 設定(IPv6 Configuration)]:IPv6 IP アドレスを設定します。次のどちらかを選択します。

    • [スタティック(Static)]IPv6 の管理 IP アドレスIPv6 のプレフィックス長を手動で入力します。

    • [DHCP]:DHCPv6 を使用するインターフェイスを設定します(eth0 のみ)。

    • [ルータ割当て(Router Assigned)]:ステートレス自動設定を有効にします。

    • [無効(Disabled)]:IPv6 を無効にします。IPv4 と IPv6 の両方を無効にしないでください

    • [IPv6 DAD]:IPv6 を有効にするときに [重複アドレス検出(DAD)] を有効または無効にします。DAD を使用することによってサービス拒否攻撃の可能性が拡大するため、DAD は無効にすることができます。この設定を無効にした場合は、すでに割り当てられているアドレスがこのインターフェイスで使用されていないことを手動で確認する必要があります。

ステップ 3

[ルート(Routes)] エリアで、静的ルートを [編集(Edit)]([編集(Edit)] アイコン をクリックして編集するか、または Add ( add icon) をクリックして追加します。

ビューアイコンをクリックしてルートテーブルを表示します。

追加の各インターフェイスがリモート ネットワークに到達するには、スタティック ルートが必要です。新しいルートが必要になるケースの詳細については、FMC 管理インターフェイス上のネットワークルートを参照してください。

(注)   

デフォルト ルートでは、ゲートウェイ IP アドレスのみを変更できます。出力インターフェイスは、指定したゲートウェイをインターフェイスのネットワークに照合することで自動的に選択されます。

次の設定をスタティック ルートに対して設定できます。

  • [宛先(Destination)]:ルートを作成する宛先ネットワークのアドレスを設定します。

  • [ネットマスク(Netmask)] または [プレフィックス長(Prefix Length)]:ネットワークのネットマスク(IPv4)またはプレフィックス長(IPv6)を設定します。

  • [インターフェイス(Interface)]:出力管理インターフェイスを設定します。

  • [ゲートウェイ(Gateway)]:ゲートウェイ IP アドレスを設定します。

ステップ 4

[共有設定(Shared Settings)] エリアで、すべてのインターフェイスで共有されているネットワーク パラメータを設定します。

(注)   

eth0 インターフェイスで [DHCP] を選択すると、DHCP サーバから取得する共有設定の一部を手動で指定することができなくなります。

次の共有設定を行うことができます。

  • [ホスト名(Hostname)]FMC ホスト名を設定します。ホスト名はアルファベットまたは数字で開始および終了する必要があります。使用できるのはアルファベット、数字、ハイフンのみです。ホスト名を変更する場合、syslog メッセージに反映される新しいホスト名を使用するには、FMC を再起動します。再起動するまでは、新しいホスト名が Syslog メッセージに反映されません。

  • [ドメイン(Domains)]:カンマで区切られた、FMC の検索ドメインを設定します。これらのドメインは、コマンド(ping system など)に完全修飾ドメイン名を指定しない場合にホスト名に追加されます。ドメインは、管理インターフェイスまたは管理インターフェイスを経由するコマンドでのみ、使用されます。

  • [プライマリ DNS サーバー(Primary DNS Serve)]、[セカンダリ DNS サーバー(Secondary DNS Server)]、[ターシャリ DNS サーバー(Tertiary DNS Server)]:優先度順に使用される DNS サーバーを設定します。

  • [リモート管理ポート(Remote Management Port)]:管理対象デバイスとの通信用のリモート管理ポートを設定します。FMC および管理対象デバイスは、双方向の SSL 暗号化通信チャネル(デフォルトではポート 8305)を使用して通信します。

    (注)   

    シスコは、リモート管理ポートをデフォルト設定のままにしておくことを強く推奨していますが、管理ポートがネットワーク上の他の通信と競合する場合は、別のポートを選択できます。管理ポートを変更する場合は、導入内の相互に通信する必要があるすべてのデバイスの管理ポートを変更する必要があります。

ステップ 5

[ICMPv6] 領域で、ICMPv6 の設定を行います。

  • [エコー応答パケットの送信を許可する(Allow Sending Echo Reply Packets)]:エコー応答パケットを有効または無効にします。これらのパケットを無効にすることで、サービス拒否攻撃の可能性から保護します。エコー応答パケットを無効にすると、FMC の管理インターフェイスにテスト目的で IPv6 ping を使用できなくなります。

  • [宛先到達不能パケットの送信を許可する(Allow Sending Destination Unreachable Packets)]:宛先到達不能パケットを有効または無効にします。これらのパケットを無効にすることで、サービス拒否攻撃の可能性から保護します。

ステップ 6

[プロキシ(Proxy)] エリアで、HTTP プロキシ設定をします。

FMC は、ポート TCP/443(HTTPS)および TCP/80(HTTP)でインターネットに直接接続するように構成されています。HTTP ダイジェスト経由で認証できるプロキシ サーバーを使用できます。

このトピックの前提条件のプロキシの要件を参照してください。

  1. [有効(Enabled)] チェックボックスをオンにします。

  2. [HTTP プロキシ(HTTP Proxy)] フィールドに、プロキシ サーバーの IP アドレスまたは完全修飾ドメイン名を入力します。

    このトピックの前提条件の要件を参照してください。

  3. [ポート(Port)] フィールドに、ポート番号を入力します。

  4. [プロキシ認証の使用(Use Proxy Authentication)] を選択してから [ユーザ名(User Name)] と [パスワード(Password)] を入力して、認証資格情報を設定します。

ステップ 7

[保存(Save)] をクリックします。

ステップ 8

FMC の IP アドレスを変更する場合は、FMC の IP アドレスを変更する場合は、Firepower Management Center デバイス構成ガイド で 。

FMC の IP アドレスまたはホスト名を変更する場合は、設定が一致するようにデバイス CLI で値を変更する必要があります。ほとんどの場合、管理接続はデバイスの FMC IP アドレスまたはホスト名を変更せずに再確立されますが、少なくともデバイスを FMC に追加して NAT ID のみを指定した場合は、接続が再確立されるようにするために、このタスクを実行する必要があります。他の場合でも、FMC IP アドレスまたはホスト名を最新の状態に維持して、ネットワークの復元力を高めることを推奨します。


FTD 管理インターフェイスを変更する

FMC でのホスト名または IP アドレスの更新

(デバイスの CLI を使用するなどして)デバイスを FMC に追加した後にそのデバイスのホスト名または IP アドレスを編集する場合は、次の手順を使用して管理側の FMC のホスト名または IP アドレスを手動で更新する必要があります。

手順


ステップ 1

[デバイス(Devices)] > [デバイス管理(Device Management)] を選択します。

ステップ 2

管理オプションを変更するデバイスの横にある [編集(Edit)]([編集(Edit)] アイコン をクリックします。

マルチドメイン展開では、リーフドメインにいない場合、システムによって切り替えるように求められます。

ステップ 3

[Device] をクリックし、[Management] 領域を表示します。

ステップ 4

スライダをクリックして管理を一時的に無効にすることで、[無効なスライダ(Slider disabled)] を無効化します。

管理の無効化を続行するように求められます。 [Yes] をクリックします。

管理を無効化すると、Firepower Management Center とデバイス間の接続がブロックされますが、Firepower Management Center からデバイスは削除されません

ステップ 5

[編集(Edit)]([編集(Edit)] アイコン をクリックして [Host] の IP アドレスまたはホスト名を編集します。

ステップ 6

[管理(Management)] ダイアログボックスで、[ホスト(Host)] フィールドの名前または IP アドレスを変更し、[保存(Save)] をクリックします。

図 10. 管理 IP アドレス
[Management IP Address]
ステップ 7

スライダを有効にして管理を再度有効([有効なスライダ(Slider enabled)])にします。

図 11. 管理接続の有効化
管理接続の有効化

管理アクセスインターフェイスの管理からデータへの変更

専用の管理インターフェイスまたはデータインターフェイスから FTD を管理できます。デバイスを FMC に追加した後にマネージャ アクセス インターフェイスを変更する場合は、次の手順に従って管理インターフェイスからデータインターフェイスに移行します。逆の方向に移行するには、マネージャ アクセス インターフェイスをデータから管理に変更するを参照してください。

管理からデータへのマネージャアクセスの移行を開始すると、FMCFTD への展開時にブロックを適用します。ブロックを削除するには、データインターフェイスでマネージャアクセスを有効にします。

次の手順を参照して、データインターフェイスでマネージャアクセスを有効にし、その他の必要な設定も構成します。

手順


ステップ 1

インターフェイスの移行を開始します。

  1. [デバイス(Devices)] > [デバイス管理(Device Manageme)]ページで、デバイスの [編集(Edit)]([編集(Edit)] アイコン をクリックします。

  2. [デバイス(Device)]> [管理(Management)] セクションに移動し、[マネージャ アクセス インターフェイス(Manager Access Interface)] [FMCアクセスインターフェイス(FMC Access Interface)] のリンクをクリックします。 >

    [マネージャ アクセス インターフェイス(Manager Access Interface)] [FMCアクセスインターフェイス(FMC Access Interface)]フィールドには、現在の管理インターフェイスが表示されます。リンクをクリックしたら、[デバイスの管理(Manage device by)] ドロップダウンリストで新しいインターフェイスタイプである [データインターフェイス(Data Interface)] を選択します。

  3. [保存(Save)] をクリックします。

    データインターフェイスで マネージャアクセスを有効にするには、残りの手順を完了する必要があります。[管理(Management)] 領域には、[マネージャ アクセス インターフェイス:データインターフェイス(Manager Access Interface: Management Interface)] [FMCアクセスインターフェイス:データインターフェイス(FMC Access Interface: Management Interface)] と、[マネージャアクセスの詳細:構成(Manager Access Details: Configuration)] [FMCアクセスの詳細:構成(FMC Access Details: Configuration)] が表示されます。

    図 12. FMC アクセス
    FMC アクセス

    [構成(Configuration)] をクリックすると、[マネージャアクセス - 構成の詳細(Manager Access - Configuration Details)] [FMCアクセス - 構成の詳細(FMC Access - Configuration Details)] ダイアログボックスが開きます。[マネージャアクセスモード(Manager Access Mode)] [FMCアクセスモード(FMC Access Mode)]は、展開保留状態を示しています。

ステップ 2

[デバイス(Devices)] > [デバイス管理(Device Management)] > [インターフェイス(Interfaces)] > [物理インターフェイスの編集(Edit Physical Interface)] > [マネージャアクセス(Manager Access)] [FMCアクセス(FMC Access)] ページで、データインターフェイスでのマネージャアクセスを有効にします。 > > > >

マネージャアクセスは 1 つのルーテッド データ インターフェイスで有効にできます。このインターフェイスが名前と IP アドレスで完全に構成され、有効になっていることを確認してください。

ステップ 3

(任意) インターフェイスに DHCP を使用する場合は、[デバイス(Devices)] > [デバイス管理(Device Management)] > [DHCP] > [DDNS]ページで Web タイプ DDNS 方式を有効にします。

DDNS は、FTD の IP アドレスが変更された場合に FMC が完全修飾ドメイン名(FQDN)で FTD に到達できるようにします。

ステップ 4

FTD がデータインターフェイスを介して FMC にルーティングできることを確認します。必要に応じて、[デバイス(Devices)] > [デバイス管理(Device Management)] > [ルーティング(Routing)] > [スタティックルート(Static Route)] でスタティックルートを追加します。 > > >

ステップ 5

(任意) プラットフォーム設定ポリシーで DNS を構成し、[デバイス(Devices)] > [プラットフォーム設定(Platform Settings)] > [DNS]でこのデバイスに適用します。

DDNS を使用する場合は DNS が必要です。セキュリティポリシーで FQDN に DNS を使用することもできます。

ステップ 6

(任意) プラットフォーム設定ポリシーでデータインターフェイスの SSH を有効にし、[デバイス(Devices)] > [プラットフォーム設定(Platform Settings)] > [セキュアシェル(Secure Shell)]でこのデバイスに適用します。

SSH はデータインターフェイスでデフォルトで有効になっていないため、SSH を使用して FTD を管理する場合は、明示的に許可する必要があります。

ステップ 7

設定変更を展開します。

FMC は、現在の管理インターフェイスを介して設定の変更を展開します。展開後、データインターフェイスを使用できるようになりましたが、管理への元の管理接続はアクティブなままです。

ステップ 8

FTD CLI(できればコンソールポートから)で、静的 IP アドレスを使用するように管理インターフェイスを設定し、データインターフェイスを使用するようにゲートウェイを設定します。

configure network {ipv4 | ipv6} manual ip_address netmask data-interfaces

  • ip_address netmask :管理インターフェイスを使用する予定はありませんが、ゲートウェイを [データインターフェイス(data-interfaces)] に設定できるように、プライベートアドレスなどの静的 IP アドレスを設定する必要があります(次の箇条書きを参照)。[data-interfaces] である必要があるデフォルトルートは、DHCP サーバーから受信したルートで上書きされる可能性があるため、DHCP は使用できません。

  • data-interfaces — この設定は、マネージャ アクセス データ インターフェイスを通じて回送できるように、バックプレーンを介して管理トラフィックを転送します。

管理インターフェイスのネットワーク設定を変更すると、SSH セッションが切断されるため、SSH 接続の代わりにコンソールポートを使用することをお勧めします。

ステップ 9

必要に応じて、データインターフェイスの FMC に到達できるように FTD のケーブルを再接続します。

ステップ 10

FMC で、管理接続を無効にし、[デバイス(Devices)] [デバイス管理(Device Management)] [デバイス(Device)] [管理(Management)] セクションで FTD の [ホスト(Host)] IP アドレスを更新して、接続を再度有効にします。 > > >

FMC でのホスト名または IP アドレスの更新を参照してください。FTDFMC に追加したときに FTD ホスト名または NAT ID のみを使用した場合は、値を更新する必要はありません。ただし、接続を再開するには、管理接続を無効にしてから再度有効にする必要があります。

ステップ 11

管理接続が再確立されたことを確認します。

FMC で、[Devices] [Device Management] [Device] [Management] [Manager Access - Configuration Details] [FMC Access - Configuration Details] [Connection Status] ページで管理接続ステータスを確認します。

管理接続のステータスを表示するには、FTD CLI で、sftunnel-status-brief コマンドを入力します。

次のステータスは、データインターフェイスの接続が成功したことを示し、内部の「tap_nlp」インターフェイスを示しています。

接続の再確立に 10 分以上かかる場合は、接続のトラブルシューティングを行う必要があります。データインターフェイスでの管理接続のトラブルシューティング を参照してください。


マネージャ アクセス インターフェイスをデータから管理に変更する

専用の管理インターフェイスまたはデータインターフェイスから FTD を管理できます。デバイスを FMC に追加した後にマネージャ アクセス インターフェイスを変更する場合は、次の手順に従ってデータインターフェイスから管理インターフェイスに移行します。逆の方向に移行するには、管理アクセスインターフェイスの管理からデータへの変更を参照してください。

データから管理へのマネージャアクセスの移行を開始すると、FMCFTD への展開時にブロックを適用します。ブロックを削除するには、データインターフェイスでマネージャアクセスを無効にする必要があります。

次の手順を参照して、データインターフェイスでマネージャアクセスを無効にし、その他の必要な設定も構成します。

手順


ステップ 1

インターフェイスの移行を開始します。

  1. [デバイス(Devices)] > [デバイス管理(Device Manageme)]ページで、デバイスの [編集(Edit)]([編集(Edit)] アイコン をクリックします。

  2. [デバイス(Device)]> [管理(Management)] セクションに移動し、[マネージャ アクセス インターフェイス(Manager Access Interface)] [FMCアクセスインターフェイス(FMC Access Interface)] のリンクをクリックします。 >

    [マネージャ アクセス インターフェイス(Manager Access Interface)] [FMCアクセスインターフェイス(FMC Access Interface)]フィールドには、現在の管理インターフェイスが表示されます。リンクをクリックしたら、[デバイスの管理(Manage device by)] ドロップダウンリストで新しいインターフェイスタイプである [管理インターフェイス(Management Interface)] を選択します。

  3. [保存(Save)] をクリックします。

    管理インターフェイスでマネージャアクセスを有効にするには、残りの手順を完了する必要があります。[管理(Management)] 領域には、[マネージャ アクセス インターフェイス:管理インターフェイス(Manager Access Interface: Management Interface)] [FMCアクセスインターフェイス:管理インターフェイス(FMC Access Interface: Management Interface)] と、[マネージャアクセスの詳細:構成(Manager Access Details: Configuration)] [FMCアクセスの詳細:構成(FMC Access Details: Configuration)] が表示されます。

    図 13. FMC アクセス
    FMC アクセス

    [構成(Configuration)] をクリックすると、[マネージャアクセス - 構成の詳細(Manager Access - Configuration Details)] [FMCアクセス - 構成の詳細(FMC Access - Configuration Details)] ダイアログボックスが開きます。[マネージャアクセスモード(Manager Access Mode)][FMCアクセスモード(FMC Access Mode)]は、展開保留状態を示しています。

    図 14. FMC アクセスモード
    FMC アクセスモード
ステップ 2

[デバイス(Devices)] > [デバイス管理(Device Management)] > [インターフェイス(Interfaces)] > [物理インターフェイスの編集(Edit Physical Interface)] > [マネージャアクセス(Manager Access)] [FMCアクセス(FMC Access)] ページで、データインターフェイスでのマネージャアクセスを無効にします。

この手順により、展開時のブロックが削除されます。

ステップ 3

まだ行っていない場合は、プラットフォーム設定ポリシーでデータインターフェイスの DNS 設定を構成し、[デバイス(Devices)] > [プラットフォーム設定(Platform Settings)] > [DNS]でこのデバイスに適用します。

データインターフェイスでマネージャアクセスを無効にする FMC 展開では、ローカル DNS 設定が削除されます。その DNS サーバーがアクセスルールの FQDN などのセキュリティポリシーで使用されている場合は、FMC を使用して DNS 設定を再適用する必要があります。

ステップ 4

設定変更を展開します。

FMC は、現在のデータインターフェイスを介して設定の変更を展開します。

ステップ 5

必要に応じて、管理インターフェイスの FMC に到達できるように FTD のケーブルを再接続します。

ステップ 6

FTD CLI で、静的 IP アドレスまたは DHCP を使用して、管理インターフェイスの IP アドレスとゲートウェイを設定します。

最初にマネージャアクセス用のデータインターフェイスを設定したとき、管理ゲートウェイはデータインターフェイスに設定されていました。これにより、バックプレーン経由で管理トラフィックが転送され、マネージャ アクセス データ インターフェイスを介してルーティングできるようになりました。ここで、管理ネットワーク上のゲートウェイの IP アドレスを設定する必要があります。

スタティック IP アドレス:

configure network {ipv4 | ipv6} manual ip_address netmask gateway_ip

DHCP:

configure network{ipv4 | ipv6} dhcp

ステップ 7

FMC で、管理接続を無効にし、[デバイス(Devices)] [デバイス管理(Device Management)] [デバイス(Device)] [管理(Management)] セクションで FTD の [ホスト(Host)] IP アドレスを更新して、接続を再度有効にします。 > > >

FMC でのホスト名または IP アドレスの更新を参照してください。FTDFMC に追加したときに FTD ホスト名または NAT ID のみを使用した場合は、値を更新する必要はありません。ただし、接続を再開するには、管理接続を無効にしてから再度有効にする必要があります。

ステップ 8

管理接続が再確立されたことを確認します。

FMC で、[デバイス(Devices)] [デバイス管理(Device Management)] [デバイス(Device)] [管理(Management)] [ステータス(Status)] フィールドで管理接続ステータスを確認するか、FMC で通知を表示します。 > > > >

管理接続のステータスを表示するには、FTD CLI で、sftunnel-status-brief コマンドを入力します。

接続の再確立に 10 分以上かかる場合は、接続のトラブルシューティングを行う必要があります。データインターフェイスでの管理接続のトラブルシューティング を参照してください。


データインターフェイス管理用のマネージャアクセスの詳細を表示する

モデルのサポートFTD

専用の管理インターフェイスを使用する代わりに、FMC 管理にデータインターフェイスを使用する場合は、FMCでデバイスのインターフェイスとネットワークの設定を変更するときに接続を中断しないように注意します。デバイスのデータインターフェイス設定をローカルで変更することもできます。その場合は、FMC でそれらの変更を手動で調整する必要があります。[デバイス(Devices)] > [デバイス管理(Device Management)] > [デバイス(Device)] > [管理(Management)] > [マネージャアクセス - 構成詳細(Manager Access - Configuration Details)] [FMCアクセス - 構成詳細(FMC Access - Configuration Details)] ダイアログボックスは、FMCFTD のローカル設定の間の矛盾を解決するために役立ちます。 > > > >

通常、FTDFMC に追加する前に、FTD の初期設定の一環としてマネージャ アクセス データ インターフェイスを構成します。FTDFMC に追加すると、FMC はインターフェイス設定(インターフェイス名と IP アドレス、ゲートウェイへの静的ルート、DNS サーバー、DDNS サーバーなど)を検出して維持します。DNS サーバーの場合、登録中に検出された場合、構成はローカルに保持されます。ただし、FMC のプラットフォーム設定ポリシーには追加されません。

FTDFMC に追加した後、configure network management-data-interface コマンドを使用してローカルで FTD のデータインターフェイス構成を変更すると、FMC が構成変更を検出し、FTD への展開をブロックします。FMC は、以下のいずれかの方法を使用して構成の変更を検出します。

  • FTD への展開。FMC の展開の前に、構成の差異を検出してデプロイを停止します。

  • [インターフェイス(Interfaces)] ページの [同期(Sync)] ボタン。

  • [マネージャアクセス - 構成の詳細(Manager Access - Configuration Details)] [FMCアクセス - 構成の詳細(FMC Access - Configuration Details)] ダイアログボックスの [更新(Refresh)] ボタン

ブロックを削除するには、[マネージャアクセス - 構成詳細(Manager Access - Configuration Details)] [FMCアクセス - 構成詳細(FMC Access - Configuration Details]ダイアログボックスに移動し、[確認(Acknowledge)] をクリックする必要があります。FMC 設定は、次回展開時に FTD の残りの競合する設定を上書きします。再展開の前に FMC の設定を手動で修正する必要があります。

このダイアログボックスに関する以下のページを参照してください。

設定

FMC および FTD のマネージャ アクセス データ インターフェイスの構成比較を表示します。

次の例は、configure network management-data-interface コマンドが FTD に入力された FTD の構成詳細を示しています。ピンクのハイライトは、相違点を確認したものの、FMC の構成と一致しない場合、FTD の構成が削除されることを示しています。青色のハイライトは、FTD で変更される構成を示しています。緑のハイライトは、FTD に追加される構成を示しています。

FMC でインターフェイスを設定した後のこのページの例を以下に示します。インターフェイス設定が一致し、ピンクのハイライトが消えています。

CLI 出力

マネージャ アクセス データ インターフェイスの CLI 構成を表示します。これは、基盤となる CLI に精通している場合に役立ちます。

接続ステータス

管理接続ステータスの表示次の例は、管理接続で引き続き管理「br1」インターフェースが使用されていることを示しています。

次のステータスは、データインターフェイスの接続が成功したことを示し、内部の「tap_nlp」インターフェイスを示しています。

ダウン状態の接続の出力例を次に示します。ピアチャネルの「接続先」情報やハートビート情報が表示されていません。


> sftunnel-status-brief
PEER:10.10.17.202
Registration: Completed.
Connection to peer '10.10.17.202' Attempted at Mon Jun 15 09:21:57 2020 UTC
Last disconnect time : Mon Jun 15 09:19:09 2020 UTC
Last disconnect reason : Both control and event channel connections with peer went down

アップ状態の接続の出力例を次に示します。ピアチャネルとハートビート情報が表示されています。


> sftunnel-status-brief
PEER:10.10.17.202
Peer channel Channel-A is valid type (CONTROL), using 'eth0', connected to '10.10.17.202' via '10.10.17.222'
Peer channel Channel-B is valid type (EVENT), using 'eth0', connected to '10.10.17.202' via '10.10.17.222'
Registration: Completed.
IPv4 Connection to peer '10.10.17.202' Start Time: Wed Jun 10 14:27:12 2020 UTC
Heartbeat Send Time: Mon Jun 15 09:02:08 2020 UTC
Heartbeat Received Time: Mon Jun 15 09:02:16 2020 UTC

FTD 管理インターフェイスの CLI での変更

CLI を使用して、管理対象デバイスの管理インターフェイスの設定を変更します。これらの設定の多くは、初期セットアップ時に設定されたものです。この手順に従うことで、それらの設定を変更でき、さらに設定を追加できます(例:モデルでサポートされる場合にイベント インターフェイスを有効化する、スタティック ルートを追加する)。


(注)  

このトピックは、専用管理インターフェイスに適用されます。代わりに、管理用のデータインターフェイスを設定することもできます。このインターフェイスのネットワーク設定を変更する場合は、CLI ではなく FMC 内で行う必要があります。切断された管理接続をトラブルシューティングする必要があり、FTD で直接変更する必要がある場合は、管理に使用される FTD データインターフェイスの CLI での変更 を参照してください。


FTD CLI の詳細については、Secure Firewall Threat Defense のコマンドリファレンス を参照してください。


(注)  

SSH を使用する際は、慎重に管理インターフェイスに変更を加えてください。構成エラーで再接続できなくなると、デバイスのコンソール ポートへのアクセスが必要になります。



(注)  

デバイス管理 IP アドレスを変更する場合は、configure manager add コマンド新しい FMC の特定 を参照)を使用してデバイスの初期設定時に FMC を特定した方法に応じて、FMC 接続に関する次のタスクを参照してください。

  • IP アドレスアクションなし。到達可能な IP アドレスを使用して FMC を特定した場合、管理接続は数分後に自動的に再確立されます。情報の同期を維持するために、FMC に表示されるデバイス IP アドレスも変更することを推奨します。FMC でのホスト名または IP アドレスの更新 を参照してください。このアクションは、接続の再確立を高速化するのに役立ちます。:到達不能な FMC IP アドレスを指定した場合は、以下の NAT ID の手順を参照してください。

  • NAT IDのみ接続を手動で再確立。NAT ID のみを使用して FMC を識別した場合、接続は自動的に再確立されません。この場合、FMC でのホスト名または IP アドレスの更新 に従って FMC のデバイス管理 IP アドレスを変更します。



(注)  

ハイアベイラビリティ構成では、登録された Firepower デバイスの管理 IP アドレスをデバイスの CLI または FMC から変更した場合、HA 同期後も、セカンダリ FMC には変更が反映されません。セカンダリ FMC も更新されるようにするには、2 つの FMC の間でロールを切り替えて、セカンダリ FMC をアクティブユニットにします。現在アクティブな FMC のデバイス管理のページで、登録されている Firepower デバイスの管理 IP アドレスを変更します。


始める前に

  • configure user add コマンドを使用して CLI にログイン可能なユーザー アカウントを作成できます。

手順


ステップ 1

コンソール ポートから、または SSH を使用して、デバイス CLI に接続します。

ステップ 2

管理者のユーザー名とパスワードでログインします。

ステップ 3

(Firepower 4100/9300 のみ)イベント専用インターフェイスを有効にします。

configure network management-interface enable management1

configure network management-interface disable-management-channel management1

例:


> configure network management-interface enable management1
Configuration updated successfully

> configure network management-interface disable-management-channel management1
Configuration updated successfully

>

Firepower Management Center イベント専用インターフェイスは管理チャネルのトラフィックを受け入れることができないので、デバイス イベント インターフェイスで管理チャネルを単に無効にしてください。

必要に応じて、configure network management-interface disable-events-channel コマンドを使用して管理インターフェイスのイベントを無効にできます。いずれの場合も、デバイスは、イベントのみのインターフェイス上でイベントを送信しようとします。そのインターフェイスがダウンしていた場合は、イベント チャネルが無効になっていても、管理インターフェイス上でイベントを送信します。

インターフェイス上でイベント チャネルと管理チャンネルの両方を無効にすることはできません。

ステップ 4

管理インターフェイスまたはイベント インターフェイスのネットワーク設定をします。

management_interface 引数を指定しない場合は、デフォルトの管理インターフェイスのネットワーク設定を変更します。イベント インターフェイスを設定する際は、必ず management_interface 引数を指定してください。イベント インターフェイスは、管理インターフェイスの個別のネットワーク、または同じネットワークに配置できます。自分で設定するインターフェイスに接続すると、切断されます。新しい IP アドレスに再接続できます。

  1. IPv4 アドレスを設定します。

    • 手動設定

      configure network ipv4 manual ip_address netmask gateway_ip [management_interface]

      このコマンド内の gateway_ip は、デバイスのデフォルトルートを作成するために使用されることに注意してください。イベント専用インターフェイスを設定する場合は、コマンドの一部として gateway_ip を入力する必要があります。ただし、このエントリは、指定した値にデフォルトルートを設定するだけで、イベントインターフェイスの個別のスタティックルートは作成しません。管理インターフェイスと別のネットワークでイベント専用インターフェイスを使用している場合は、管理インターフェイスと共に使用するように gateway_ip を設定し、configure network static-routes コマンドを使用してイベント専用インターフェイス用に個別にスタティックルートを作成することを推奨します。

      例:

      
      > configure network ipv4 manual 10.10.10.45 255.255.255.0 10.10.10.1 management1
      Setting IPv4 network configuration.
      Network settings changed.
      
      >
      
      
    • DHCP(デフォルト管理インターフェイスのみでサポート)。

      configure network ipv4 dhcp

  2. IPv6 アドレスを設定します。

    • ステートレス自動設定

      configure network ipv6 router [management_interface]

      例:

      
      > configure network ipv6 router management0
      Setting IPv6 network configuration.
      Network settings changed.
      
      >
      
      
    • 手動設定

      configure network ipv6 manual ip6_address ip6_prefix_length [ip6_gateway_ip] [management_interface]

      このコマンド内の ipv6_gateway_ip は、デバイスのデフォルトルートを作成するために使用されることに注意してください。イベント専用インターフェイスを設定する場合は、コマンドの一部として ipv6_gateway_ip を入力する必要があります。ただし、このエントリは、指定した値にデフォルトルートを設定するだけで、イベントインターフェイスの個別のスタティックルートは作成しません。管理インターフェイスと別のネットワークでイベント専用インターフェイスを使用している場合は、管理インターフェイスと共に使用するように ipv6_gateway_ip を設定し、configure network static-routes コマンドを使用してイベント専用インターフェイス用に個別にスタティックルートを作成することを推奨します。

      例:

      
      > configure network ipv6 manual 2001:0DB8:BA98::3210 64 management1
      Setting IPv6 network configuration.
      Network settings changed.
      
      >
      
      
    • DHCPv6(デフォルト管理インターフェイスのみでサポート)。

      configure network ipv6 dhcp

ステップ 5

IPv6 の場合、ICMPv6 エコー応答と宛先到達不能メッセージを有効または無効にします。デフォルトでは、これらのメッセージは有効になっています。

configure network ipv6 destination-unreachable {enable | disable}

configure network ipv6 echo-reply {enable | disable}

これらのパケットを無効にすることで、サービス拒否攻撃の可能性から保護します。エコー応答パケットを無効にすると、デバイスの管理インターフェイスにテスト目的で IPv6 ping を使用できなくなります。

例:


> configure network ipv6 destination-unreachable disable
> configure network ipv6 echo-reply disable

ステップ 6

デフォルト管理インターフェイスの DHCP サーバーが、接続されているホストに IP アドレスを提供することを可能にします。

configure network ipv4 dhcp-server-enable start_ip_address end_ip_address

例:


> configure network ipv4 dhcp-server-enable 10.10.10.200 10.10.10.254
DHCP Server Enabled

>

管理インターフェイスの IP アドレスを手動で設定するときにのみ、DHCP サーバーを設定できます。このコマンドは、Firepower Threat Defense Virtual ではサポートされません。DHCP サーバーのステータスを表示するには、show network-dhcp-server を入力します。


> show network-dhcp-server
DHCP Server Enabled
10.10.10.200-10.10.10.254

ステップ 7

Firepower Management Center がリモート ネットワーク上にある場合は、イベント専用インターフェイスのスタティック ルートを追加します。追加しないと、すべてのトラフィックが管理インターフェイスを通じてデフォルト ルートと一致します。

configure network static-routes {ipv4 | ipv6}add management_interface destination_ip netmask_or_prefix gateway_ip

デフォルト ルートの場合は、このコマンドを使用しないでください。デフォルト ルート ゲートウェイの IP アドレスの変更は、configure network ipv4 コマンドまたは ipv6 コマンドを使用した場合のみ可能です(ステップ 4 を参照)。

例:


> configure network static-routes ipv4 add management1 192.168.6.0 255.255.255.0 10.10.10.1
Configuration updated successfully

> configure network static-routes ipv6 add management1 2001:0DB8:AA89::5110 64 2001:0DB8:BA98::3211
Configuration updated successfully

>

スタティック ルートを表示するには、show network-static-routes を入力します(デフォルト ルートは表示されません)。


> show network-static-routes
---------------[ IPv4 Static Routes ]---------------
Interface                 : management1
Destination               : 192.168.6.0
Gateway                   : 10.10.10.1
Netmask                   : 255.255.255.0
[…]

ステップ 8

ホスト名の設定

configure network hostname name

例:


> configure network hostname farscape1.cisco.com

Syslog メッセージは、再起動するまで新しいホスト名を反映しません。

ステップ 9

検索ドメインを設定します。

configure network dns searchdomains domain_list

例:


> configure network dns searchdomains example.com,cisco.com

カンマで区切ったデバイスの検索ドメインを設定します。これらのドメインは、コマンド(ping system など)に完全修飾ドメイン名を指定しない場合にホスト名に追加されます。ドメインは、管理インターフェイスまたは管理インターフェイスを経由するコマンドでのみ、使用されます。

ステップ 10

カンマで区切った 3 つの DNS サーバーを設定します。

configure network dns servers dns_ip_list

例:


> configure network dns servers 10.10.6.5,10.20.89.2,10.80.54.3

ステップ 11

FMC で通信のリモート管理ポートを設定します。

configure network management-interface tcpport number

例:


> configure network management-interface tcpport 8555

FMC および管理対象デバイスは、双方向の SSL 暗号化通信チャネル(デフォルトではポート 8305)を使用して通信します。

(注)   

シスコは、リモート管理ポートをデフォルト設定のままにしておくことを強く推奨していますが、管理ポートがネットワーク上の他の通信と競合する場合は、別のポートを選択できます。管理ポートを変更する場合は、導入内の相互に通信する必要があるすべてのデバイスの管理ポートを変更する必要があります。

ステップ 12

FTD のみ)管理インターフェイスまたはイベントインターフェイスの MTU を設定します。デフォルトの MTU は 1500 バイトです。

configure network mtu [bytes] [interface_id]

  • bytes :MTU をバイト単位で設定します。管理インターフェイスでは、IPv4 を有効にした場合は 64〜1500、IPv6 を有効にした場合は 1280〜1500 の値を指定できます。イベントインターフェイスでは、IPv4 を有効にした場合は 64〜9000、IPv6 を有効にした場合は 1280〜9000 です。IPv4 と IPv6 の両方を有効にした場合、最小値は 1280 です。bytes を入力しない場合、値の入力を求められます。

  • interface_id :MTU を設定するインターフェイス ID を指定します。プラットフォームに応じて使用可能なインターフェイス ID(management0、management1、br1、eth0など)を表示するには、show network コマンドを使用します。インターフェイスを指定しない場合は、管理インターフェイスが使用されます。

例:

> configure network mtu 8192 management1
MTU set successfully to 1500 from 8192 for management1
Refreshing Network Config...
NetworkSettings::refreshNetworkConfig MTU value at start 8192

Interface management1 speed is set to '10000baseT/Full'
NetworkSettings::refreshNetworkConfig MTU value at end 8192
> 

ステップ 13

HTTP プロキシを設定します。デバイスは、ポート TCP/443(HTTPS)および TCP/80(HTTP)でインターネットに直接接続するように設定されています。HTTP ダイジェスト経由で認証できるプロキシ サーバを使用できます。コマンド発行後に、HTTP プロキシのアドレスとポート、プロキシの認証が必要かどうかをユーザーは尋ねられます。認証が必要な場合はプロキシのユーザー名、プロキシのパスワード、およびプロキシのパスワードの確認を入力するよう要求されます。

(注)   
FTD のプロキシパスワードには、A ~ Z、a ~ z と 0 ~ 9 の文字のみを使用できます。

configure network http-proxy

例:


> configure network http-proxy
Manual proxy configuration
Enter HTTP Proxy address: 10.100.10.10
Enter HTTP Proxy Port: 80
Use Proxy Authentication? (y/n) [n]: Y
Enter Proxy Username: proxyuser
Enter Proxy Password: proxypassword
Confirm Proxy Password: proxypassword

ステップ 14

デバイス管理 IP アドレスを変更する場合は、configure manager add コマンド新しい FMC の特定 を参照)を使用してデバイスの初期設定時に FMC を特定した方法に応じて、FMC 接続に関する次のタスクを参照してください。

  • IP アドレスアクションなし。到達可能な IP アドレスを使用して FMC を特定した場合、管理接続は数分後に自動的に再確立されます。情報の同期を維持するために、FMC に表示されるデバイス IP アドレスも変更することを推奨します。FMC でのホスト名または IP アドレスの更新 を参照してください。このアクションは、接続の再確立を高速化するのに役立ちます。:到達不能な FMC IP アドレスを指定した場合は、FMC でのホスト名または IP アドレスの更新 を使用して手動で接続を再確立する必要があります。

  • NAT IDのみ接続を手動で再確立。NAT ID のみを使用して FMC を識別した場合、接続は自動的に再確立されません。この場合、FMC でのホスト名または IP アドレスの更新 に従って FMC のデバイス管理 IP アドレスを変更します。


管理に使用される FTD データインターフェイスの CLI での変更

FTDFMC の間の管理接続が中断され、古いインターフェイスを置き換える新しいデータインターフェイスを指定する場合は、FTD CLI を使用して新しいインターフェイスを設定します。この手順では、同じネットワーク上の古いインターフェイスを新しいインターフェイスに置き換えることを想定しています。管理接続がアクティブな場合は、FMC を使用して既存のデータインターフェイスを変更する必要があります。データ管理インターフェイスの初期設定については、「CLI を使用した FTD 初期設定の実行の完了」の configure network management-data-interface コマンドを参照してください。


(注)  

このトピックは、専用の管理インターフェイスではなく、管理用に設定したデータインターフェイスに適用されます。管理インターフェイスのネットワーク設定を変更する場合は、FTD 管理インターフェイスの CLI での変更を参照してください。


FTD CLI の詳細については、Secure Firewall Threat Defense のコマンドリファレンス を参照してください。

始める前に

  • configure user add コマンドを使用して CLI にログイン可能なユーザー アカウントを作成できます。

手順


ステップ 1

データ管理インターフェイスを新しいインターフェイスに変更する場合は、現在のインターフェイスケーブルを新しいインターフェイスに移動します。

ステップ 2

デバイスの CLI に接続します。

これらのコマンドを使用する場合は、コンソールポートを使用する必要があります。初期設定の実行中に、管理インターフェイスから切断される可能性があります。管理接続が中断されたために設定を編集しており、専用管理インターフェイスに SSH アクセスできる場合は、その SSH 接続を使用できます。
ステップ 3

管理者のユーザー名とパスワードでログインします。

ステップ 4

マネージャアクセス用のデータインターフェイスを設定します。

configure network management-data-interface

その後、データインターフェイスの基本的なネットワーク設定を行うように求めるプロンプトが表示されます。

データ管理インターフェイスを同じネットワーク上の新しいインターフェイスに変更する場合は、インターフェイス ID を除き、前のインターフェイスと同じ設定を使用します。さらに、Do you wish to clear all the device configuration before applying ? (y/n) [n]: オプションに y を選択します。この選択により、古いデータ管理インターフェイスの設定がクリアされるため、IP アドレスとインターフェイス名を新しいインターフェイスで正常に再利用できます。


> configure network management-data-interface
Data interface to use for management: ethernet1/4
Specify a name for the interface [outside]: internet
IP address (manual / dhcp) [dhcp]: manual
IPv4/IPv6 address: 10.10.6.7
Netmask/IPv6 Prefix: 255.255.255.0
Default Gateway: 10.10.6.1
Comma-separated list of DNS servers [none]: 208.67.222.222,208.67.220.220
DDNS server update URL [none]:
Do you wish to clear all the device configuration before applying ? (y/n) [n]: y

Configuration done with option to allow manager access from any network, if you wish to change the manager access network
use the 'client' option in the command 'configure network management-data-interface'.

Setting IPv4 network configuration.
Network settings changed.

>
ステップ 5

(任意) 特定のネットワーク上の FMC へのデータ インターフェイス アクセスを制限します。

configure network management-data-interface client ip_address netmask

デフォルトでは、すべてのネットワークが許可されます。

ステップ 6

接続は自動的に再確立されますが、FMC で接続を無効にしてから再度有効にすると、接続の再確立を速く実行できます。「FMC でのホスト名または IP アドレスの更新」を参照してください。

ステップ 7

管理接続が再確立されたことを確認します。

sftunnel-status-brief

アップ状態の接続の出力例を次に示します。ピアチャネルとハートビート情報が表示されています。


> sftunnel-status-brief
PEER:10.10.17.202
Peer channel Channel-A is valid type (CONTROL), using 'eth0', connected to '10.10.17.202' via '10.10.17.222'
Peer channel Channel-B is valid type (EVENT), using 'eth0', connected to '10.10.17.202' via '10.10.17.222'
Registration: Completed.
IPv4 Connection to peer '10.10.17.202' Start Time: Wed Jun 10 14:27:12 2020 UTC
Heartbeat Send Time: Mon Jun 15 09:02:08 2020 UTC
Heartbeat Received Time: Mon Jun 15 09:02:16 2020 UTC

ステップ 8

FMCで、 [デバイス(Devices)] > [デバイス管理(Device Management)] > [デバイス(Device)] > [管理(Management)] を選択し、[更新(Refresh)] をクリックします。

FMC はインターフェイスとデフォルトルートの設定変更を検出し、FTD への展開をブロックします。デバイスのデータインターフェイス設定をローカルで変更する場合は、FMC でそれらの変更を手動で調整する必要があります。[構成(Configuration)] タブで、FMCFTD の不一致を確認できます。

ステップ 9

[Devices] > [Device Management] > [Interfaces] の順に選択して、次の変更を行います。

  1. 古いデータ管理インターフェイスから IP アドレスと名前を削除し、このインターフェイスのマネージャアクセスを無効にします。

  2. 古いインターフェイス(CLI で使用したインターフェイス)の設定を使用して新しいデータ管理インターフェイスを設定し、マネージャアクセスを有効にします。

ステップ 10

[Devices] > [Device Management] > [Routing] > [Static Route] を選択し、デフォルトルートを古いデータ管理インターフェイスから新しいインターフェイスに変更します。

ステップ 11

[マネージャアクセス - 構成詳細(Manager Access - Configuration Details)] [FMCアクセス - 構成詳細(FMC Access - Configuration Details]ダイアログボックスに戻り、[確認(Acknowledge)] をクリックして展開ブロックを削除します。

FMC 設定は、次回展開時に FTD の残りの競合する設定を上書きします。再展開の前に FMC の設定を手動で修正する必要があります。

「Config was cleared」および「FMC Access changed and acknowledged」という想定されるメッセージが表示されます。


FMC の接続が失われた場合の構成のロールバック

FTD でマネージャアクセス用にデータインターフェイスを使用し、ネットワーク接続に影響する FMC からの構成変更を展開する場合、FTD の構成を最後に展開した構成にロールバックして、管理接続を復元できます。その後、ネットワーク接続が維持されるように FMC で構成設定を調整し、再展開できます。ロールバック機能は、接続が失われていない場合でも使用でき、このトラブルシューティングの状況以外でも使用できます。

次のガイドラインを参照してください。

  • 前回の展開のみ FTD でローカルに使用できます。さらに以前の展開にロールバックすることはできません。

  • ロールバックは、高可用性またはクラスタリングの展開ではサポートされていません。

  • ロールバックは、FMC で設定できる構成にのみ影響します。たとえば、ロールバックは、FTD CLI でのみ設定できる専用管理インターフェイスに関連するローカル構成には影響しません。configure network management-data-interface コマンドを使用した最後の FMC 展開後にデータインターフェイス設定を変更し、rollback コマンドを使用すると、それらの設定は保持されないことに注意してください。最後に展開された FMC 設定にロールバックされます。

  • UCAPL/CC モードはロールバックできません。

  • 以前の展開中に更新されたアウトオブバンド SCEP 証明書データはロールバックできません。

  • ロールバック中に、現在の設定がクリアされるため、接続がドロップされます。

手順


ステップ 1

FTD CLI で、以前の構成へロールバックします。

configure policy rollback

ロールバック後、FTD はロールバックが正常に完了したことを FMC に通知します。FMC では、構成がロールバックされたことを示すバナーが展開画面に表示されます。

(注)   

ロールバックが失敗し、FMC 管理が復元された場合、一般的な展開の問題についてhttps://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw-virtual/215258-troubleshooting-firepower-threat-defense.htmlを参照してください。場合によっては、FMC 管理アクセスの復元後にロールバックが失敗することがあります。この場合、FMC 構成の問題を解決して、FMC から再展開できます。

例:

マネージャアクセスにデータインターフェイスを使用する FTD の場合:

> configure policy rollback

The last deployment to this FTD was on June 1, 2020 and its status was Successful.
Do you want to continue [Y/N]?

Y

Rolling back complete configuration on the FTD. This will take time.
.....................
Policy rollback was successful on the FTD.
Configuration has been reverted back to transaction id: 
Following is the rollback summary:
...................
....................
>
ステップ 2

管理接続が再確立されたことを確認します。

FMC で、[Devices] [Device Management] [Device] [Management] [Manager Access - Configuration Details] [FMC Access - Configuration Details] [Connection Status] ページで管理接続ステータスを確認します。

管理接続のステータスを表示するには、FTD CLI で、sftunnel-status-brief コマンドを入力します。

接続の再確立に 10 分以上かかる場合は、接続のトラブルシューティングを行う必要があります。データインターフェイスでの管理接続のトラブルシューティング を参照してください。


データインターフェイスでの管理接続のトラブルシューティング

モデルのサポートFTD

専用の管理インターフェイスを使用する代わりに、マネージャアクセスにデータインターフェイスを使用する場合は、FMCFTD のインターフェイスとネットワークの設定を変更する際、接続を中断しないように注意します。FTDFMC に追加した後に管理インターフェイスタイプを変更する場合(データから管理へ、または管理からデータへ)、インターフェイスとネットワークの設定が正しく構成されていないと、管理接続が失われる可能性があります。

このトピックは、管理接続が失われた場合のトラブルシューティングに役立ちます。

管理接続ステータスの表示

FMC で、[Devices] [Device Management] [Device] [Management] [Manager Access - Configuration Details] [FMC Access - Configuration Details] [Connection Status] ページで管理接続ステータスを確認します。

管理接続のステータスを表示するには、FTD CLI で、sftunnel-status-brief コマンドを入力します。sftunnel-status を使用して、より完全な情報を表示することもできます。

ダウン状態の接続の出力例を次に示します。ピアチャネルの「接続先」情報やハートビート情報が表示されていません。


> sftunnel-status-brief
PEER:10.10.17.202
Registration: Completed.
Connection to peer '10.10.17.202' Attempted at Mon Jun 15 09:21:57 2020 UTC
Last disconnect time : Mon Jun 15 09:19:09 2020 UTC
Last disconnect reason : Both control and event channel connections with peer went down

アップ状態の接続の出力例を次に示します。ピアチャネルとハートビート情報が表示されています。


> sftunnel-status-brief
PEER:10.10.17.202
Peer channel Channel-A is valid type (CONTROL), using 'eth0', connected to '10.10.17.202' via '10.10.17.222'
Peer channel Channel-B is valid type (EVENT), using 'eth0', connected to '10.10.17.202' via '10.10.17.222'
Registration: Completed.
IPv4 Connection to peer '10.10.17.202' Start Time: Wed Jun 10 14:27:12 2020 UTC
Heartbeat Send Time: Mon Jun 15 09:02:08 2020 UTC
Heartbeat Received Time: Mon Jun 15 09:02:16 2020 UTC

FTD ネットワーク情報の表示

FTD CLI で、管理および マネージャ アクセス データ インターフェイスのネットワーク設定を表示します。

show network


> show network
===============[ System Information ]===============
Hostname                  : 5516X-4
DNS Servers               : 208.67.220.220,208.67.222.222
Management port           : 8305
IPv4 Default route
  Gateway                 : data-interfaces
IPv6 Default route
  Gateway                 : data-interfaces

======================[ br1 ]=======================
State                     : Enabled
Link                      : Up
Channels                  : Management & Events
Mode                      : Non-Autonegotiation
MDI/MDIX                  : Auto/MDIX
MTU                       : 1500
MAC Address               : 28:6F:7F:D3:CB:8D
----------------------[ IPv4 ]----------------------
Configuration             : Manual
Address                   : 10.99.10.4
Netmask                   : 255.255.255.0
Gateway                   : 10.99.10.1
----------------------[ IPv6 ]----------------------
Configuration             : Disabled

===============[ Proxy Information ]================
State                     : Disabled
Authentication            : Disabled

======[ System Information - Data Interfaces ]======
DNS Servers               :
Interfaces                : GigabitEthernet1/1

===============[ GigabitEthernet1/1 ]===============
State                     : Enabled
Link                      : Up
Name                      : outside
MTU                       : 1500
MAC Address               : 28:6F:7F:D3:CB:8F
----------------------[ IPv4 ]----------------------
Configuration             : Manual
Address                   : 10.89.5.29
Netmask                   : 255.255.255.192
Gateway                   : 10.89.5.1
----------------------[ IPv6 ]----------------------
Configuration             : Disabled

FMC への FTD の登録の確認

FTD CLI で、FMC 登録が完了したことを確認します。このコマンドは、管理接続の現在のステータスを表示するものではないことに注意してください。

show managers


> show managers
Type                      : Manager
Host                      : 10.89.5.35
Registration              : Completed

>     

FMC に ping する

FTD CLI で、次のコマンドを使用して、データインターフェイスから FMC に ping します。

ping fmc_ip

FTD CLI で、次のコマンドを使用して、管理インターフェイスから FMC に ping します。これは、バックプレーンを介してデータインターフェイスにルーティングされます。

ping system fmc_ip

FTD 内部インターフェイスでのパケットのキャプチャ

FTD CLI で、内部バックプレーン インターフェイス(nlp_int_tap)でパケットをキャプチャして、管理パケットが送信されているかどうかを確認します。

capture name interface nlp_int_tap trace detail match ip any any

show capturename trace detail

内部インターフェイスのステータス、統計、およびパケット数の確認

FTD CLI で、内部バックプレーン インターフェイス(nlp_int_tap)に関する情報を参照してください。

show interace detail


> show interface detail
[...]
Interface Internal-Data0/1 "nlp_int_tap", is up, line protocol is up
  Hardware is en_vtun rev00, BW Unknown Speed-Capability, DLY 1000 usec
	(Full-duplex), (1000 Mbps)
	Input flow control is unsupported, output flow control is unsupported
	MAC address 0000.0100.0001, MTU 1500
	IP address 169.254.1.1, subnet mask 255.255.255.248
	37 packets input, 2822 bytes, 0 no buffer
	Received 0 broadcasts, 0 runts, 0 giants
	0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
	0 pause input, 0 resume input
	0 L2 decode drops
	5 packets output, 370 bytes, 0 underruns
	0 pause output, 0 resume output
	0 output errors, 0 collisions, 0 interface resets
	0 late collisions, 0 deferred
	0 input reset drops, 0 output reset drops
	input queue (blocks free curr/low): hardware (0/0)
	output queue (blocks free curr/low): hardware (0/0)
  Traffic Statistics for "nlp_int_tap":
	37 packets input, 2304 bytes
	5 packets output, 300 bytes
	37 packets dropped
      1 minute input rate 0 pkts/sec,  0 bytes/sec
      1 minute output rate 0 pkts/sec,  0 bytes/sec
      1 minute drop rate, 0 pkts/sec
      5 minute input rate 0 pkts/sec,  0 bytes/sec
      5 minute output rate 0 pkts/sec,  0 bytes/sec
      5 minute drop rate, 0 pkts/sec
  Control Point Interface States:
	Interface number is 14
	Interface config status is active
	Interface state is active

ルーティングと NAT の確認

FTD CLI で、デフォルトルート(S*)が追加されていること、および管理インターフェイス(nlp_int_tap)に内部 NAT ルールが存在することを確認します。

show route


> show route

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, + - replicated route
       SI - Static InterVRF
Gateway of last resort is 10.89.5.1 to network 0.0.0.0

S*       0.0.0.0 0.0.0.0 [1/0] via 10.89.5.1, outside
C        10.89.5.0 255.255.255.192 is directly connected, outside
L        10.89.5.29 255.255.255.255 is directly connected, outside

>
                                                                                                      

show nat


> show nat

Auto NAT Policies (Section 2)
1 (nlp_int_tap) to (outside) source static nlp_server_0_sftunnel_intf3 interface  service tcp 8305 8305
    translate_hits = 0, untranslate_hits = 6
2 (nlp_int_tap) to (outside) source static nlp_server_0_ssh_intf3 interface  service tcp ssh ssh
    translate_hits = 0, untranslate_hits = 73
3 (nlp_int_tap) to (outside) source static nlp_server_0_sftunnel_ipv6_intf3 interface ipv6  service tcp 8305 8305
    translate_hits = 0, untranslate_hits = 0
4 (nlp_int_tap) to (outside) source dynamic nlp_client_0_intf3 interface
    translate_hits = 174, untranslate_hits = 0
5 (nlp_int_tap) to (outside) source dynamic nlp_client_0_ipv6_intf3 interface ipv6
    translate_hits = 0, untranslate_hits = 0
>                                                                                
その他の設定の確認

次のコマンドを参照して、他のすべての設定が存在することを確認します。これらのコマンドの多くは、FMC の [Devices] [Device Management] [Device] [Management] [Manager Access - Configuration Details] [FMC Access - Configuration Details] [CLI Output] ページでも確認できます。

show running-config sftunnel


> show running-config sftunnel
sftunnel interface outside
sftunnel port 8305

show running-config ip-client


> show running-config ip-client
ip-client outside

show conn address fmc_ip


> show conn address 10.89.5.35
5 in use, 16 most used
Inspect Snort:
        preserve-connection: 0 enabled, 0 in effect, 0 most enabled, 0 most in effect

TCP nlp_int_tap  10.89.5.29(169.254.1.2):51231 outside  10.89.5.35:8305, idle 0:00:04, bytes 86684, flags UxIO
TCP nlp_int_tap  10.89.5.29(169.254.1.2):8305 outside  10.89.5.35:52019, idle 0:00:02, bytes 1630834, flags UIO
>        
DDNS の更新が成功したかどうかを確認する

FTD CLI で、DDNS の更新が成功したかどうかを確認します。

debug ddns


> debug ddns
DDNS update request = /v3/update?hostname=domain.example.org&myip=209.165.200.225
Successfuly updated the DDNS sever with current IP addresses
DDNS: Another update completed, outstanding = 0
DDNS: IDB SB total = 0

更新に失敗した場合は、debug http コマンドと debug ssl コマンドを使用します。証明書の検証が失敗した場合は、ルート証明書がデバイスにインストールされていることを確認します。

show crypto ca certificates trustpoint_name

DDNS の動作を確認するには:

show ddns update interface fmc_access_ifc_name


> show ddns update interface outside

Dynamic DNS Update on outside:
    Update Method Name Update Destination
    RBD_DDNS not available

Last Update attempted on 04:11:58.083 UTC Thu Jun 11 2020
Status : Success
FQDN : domain.example.org
IP addresses : 209.165.200.225

FMC ログファイルの確認

https://cisco.com/go/fmc-reg-error を参照してください。

デバイスのマネージャを変更する

以下の状況では、デバイスのマネージャを変更する必要がある場合があります。

  • デバイスの FMC IP アドレスまたはホスト名を編集する — FMC の IP アドレスまたはホスト名を変更する場合は、デバイスの新しい IP アドレスまたはホスト名と一致させることをお勧めします。

  • 新しい FMC の特定 — 以前の FMC からデバイスを削除した後、存在する場合は新しい FMC 用にデバイスを設定してから、それを FMC に追加できます。

  • FDM から FMC への切り替え — 同じデバイスに対して、FDM と FMC の両方を同時に使用することはできません。FDM から FMC に変更すると、FTD 設定が消去され、最初からやり直す必要があります。

  • FMC から FDM への切り替え — 同じデバイスに対して、FDM と FMC の両方を同時に使用することはできません。FMC から FDM に変更すると、FTD 設定が消去され、最初からやり直す必要があります。

デバイスの FMC IP アドレスまたはホスト名を編集する

FMC の IP アドレスまたはホスト名を変更する場合は、設定が一致するようにデバイス CLI で値を変更する必要があります。ほとんどの場合、管理接続はデバイスの FMC IP アドレスまたはホスト名を変更せずに再確立されますが、少なくともデバイスを FMC に追加して NAT ID のみを指定した場合は、接続が再確立されるようにするために、このタスクを実行する必要があります。他の場合でも、FMC IP アドレスまたはホスト名を最新の状態に維持して、ネットワークの復元力を高めることを推奨します。

手順


ステップ 1

FMC CLI で、FMC の一意の UUID を表示し、FTD コマンドで指定できるようにします。

show version

FMC UUID は FMC を明確に識別します。たとえば、FMC 高可用性の場合は、FTD でアクティブな FMC を指定する必要があります。

例:


> show version 
-------------------[ firepower ]--------------------
Model                     : Cisco Firepower Management Center for VMWare (66) Version 6.7.0 (Build 1222)
UUID                      : f2a06484-9f7f-11ea-b9f4-541a108ebbb5
Rules update version      : 2020-05-26-001-vrt
VDB version               : 334
----------------------------------------------------
ステップ 2

FTD CLI で、FMC IP アドレスまたはホスト名を編集します。

configure manager edit fmc_uuid {ip_address | hostname}

FMCDONTRESOLVE と NAT ID によって最初に識別された場合、このコマンドを使用して値をホスト名または IP アドレスに変更できます。IP アドレスまたはホスト名を DONTRESOLVE に変更することはできません。

管理接続がダウンした後、再確立されます。sftunnel-status コマンドを使用して、接続の状態をモニターできます。

例:


> configure manager edit f2a06484-9f7f-11ea-b9f4-541a108ebbb5 10.10.5.1


新しい FMC の特定

この手順は、管理対象デバイスの新しい FMC を識別する方法を示します。新しい FMC が古い FMC の IP アドレスを使用している場合でも、次の手順を実行する必要があります。

手順


ステップ 1

古い FMCに管理対象デバイスが存在する場合はこれを削除します。

FMC とのアクティブな接続がある場合は、FMC IPアドレスを変更できません。

ステップ 2

SSH などを使用して、デバイスの CLI に接続します。

ステップ 3

新しい FMC を設定します。

configure manager add {hostname | IPv4_address | IPv6_address | DONTRESOLVE} regkey [nat_id]

  • {hostname | IPv4_address | IPv6_address}: FMC のホスト名、IPv4 アドレス、または IPv6 アドレスを設定します。

  • DONTRESOLVE FMC を直接アドレス指定できない場合は、ホスト名または IP アドレスの代わりに DONTRESOLVE を使用します。DONTRESOLVE を使用する場合は、nat_id が必要です。このデバイスを FMC に追加する場合は、デバイスの IP アドレスと nat_id の両方を必ず指定してください。接続の片側で IP アドレスを指定し、両側で同じ一意の NAT ID を指定する必要があります。

  • regkey :登録時に FMC とデバイス間で共有する登録キーを作成します。このキーには、1 ~ 37 文字の任意のテキスト文字列を選択できます。FTD を追加するときに、FMC に同じキーを入力します。

  • nat_id :一方が IP アドレスを指定しない場合に、FMC とデバイス間の登録プロセス中のみに使用する 1 ~ 37 文字の英数字文字列を作成します。この NAT ID は、登録時にのみ使用されるワンタイムパスワードです。NAT ID が一意であり、登録を待機している他のデバイスによって使用されていないことを確認します。FTD を追加するときに、FMC で同じ NAT ID を指定します。

例:


> configure manager add DONTRESOLVE abc123 efg456
Manager successfully configured.
Please make note of reg_key as this will be required while adding Device in FMC.

>

ステップ 4

デバイスを FMC に追加します。


FDM から FMC への切り替え

FDM から FMC へ切り替えると、管理インターフェイスとマネージャアクセス設定に加えて、すべてのインターフェイス構成が保持されます。アクセス コントロール ポリシーやセキュリティゾーンなどの他の設定は保持されないことに注意してください。

FMC に切り替えると、FDM を使用して FTD デバイスを管理できなくなります。

始める前に

ファイアウォールが高可用性用に設定されている場合は、まず、FDM(可能な場合)または configure high-availability disable コマンドを使用して、高可用性設定を中断する必要があります。アクティブなユニットから高可用性を中断することをお勧めします。

手順


ステップ 1

FDM で、Cisco Smart Software Manager からデバイスを登録解除します。

ステップ 2

(Might be required) Configure the Management interface.

マネージャアクセスにデータインターフェイスを使用する場合でも、管理インターフェイスの設定を変更する必要がある場合があります。FDM 接続に管理インターフェイスを使用していた場合は、FDM に再接続する必要があります。

  • マネージャアクセス用のデータインターフェイス:管理インターフェイスには、データインターフェイスに設定されたゲートウェイが必要です。デフォルトでは、管理インターフェイスは DHCP から IP アドレスとゲートウェイを受信します。DHCP からゲートウェイを受信しない場合(たとえば、管理インターフェイスをネットワークに接続していない場合)、ゲートウェイはデフォルトでデータインターフェイスになり、何も設定する必要はありません。DHCP からゲートウェイを受信した場合は、代わりに管理インターフェイスに静的 IP アドレスを設定し、ゲートウェイをデータインターフェイスに設定する必要があります。

  • マネージャアクセス用の管理インターフェイス:静的 IP アドレスを設定する場合は、デフォルトゲートウェイもデータインターフェイスではなく一意のゲートウェイに設定してください。DHCP を使用する場合は、DHCP からゲートウェイを正常に取得できると仮定して、何も設定する必要はありません。

ステップ 3

[デバイス(Device)] > [システム設定(Device System Settings)] > [中央管理 (Central Management)] > [Management Center] > [Management Center] > [デバイス(Device)] > [システム設定(System Settings)] > [中央管理(Central Management)] > [Management Center] を選択し、 [続行(Proceed)] をクリックして FMC の管理を設定します。 > >

ステップ 4

[Management Center/CDOの詳細(Management Center/CDO Details)] > [FMCの詳細 (FMC Details)] > [FMCの詳細 (FMC Details)] を構成します。

図 15. FMC の詳細
FMC の詳細
  1. [Management Center/CDOのホスト名またはIPアドレスを知っていますか(Do you know the FMC hostname or IP address)] 、[FMCのホスト名またはIPアドレスを知っていますか(Do you know the FMC hostname or IP address)] で、IP アドレスまたはホスト名を使用して FMC/CDO に到達できる場合は [はい(Yes)] をクリックし、FMC/CDO が NAT の背後にあるか、パブリック IP アドレスまたはホスト名がない場合は [いいえ(No)] をクリックします。

    双方向の SSL 暗号化通信チャネルを 2 台のデバイス間に確立するには、少なくても 1 台以上のデバイス(FMC/CDO または FTD デバイス)に到達可能な IP アドレスが必要です。

  2. [はい(Yes)] を選択した場合は、、FMC のホスト名/IP アドレスを入力します。

  3. FMC 登録キーを指定します。

    このキーは、FTD デバイスを登録するときに FMC でも指定する任意の 1 回限りの登録キーです。登録キーは 37 文字以下にする必要があります。有効な文字には、英数字(A~Z、a~z、0~9)、およびハイフン(-)などがあります。この ID は、FMC に登録する複数のデバイスに使用できます。

  4. [NAT ID] を指定します。

    この ID は、FMC でも指定する任意の 1 回限りの文字列です。いずれかのデバイスの IP アドレスのみを指定する場合、このフィールドは必須です。両方のデバイスの IP アドレスがわかっている場合でも、NAT ID を指定することを推奨します。NAT ID は 37 文字以下にする必要があります。有効な文字には、英数字(A~Z、a~z、0~9)、およびハイフン(-)などがあります。この ID は、FMC に登録する他のデバイスには使用できません。NAT ID は、正しいデバイスからの接続であることを確認するために IP アドレスと組み合わせて使用されます。 IP アドレス/NAT ID の認証後にのみ、登録キーがチェックされます。

ステップ 5

[接続の設定(Connectivity Configuration)] を設定します。

  1. [FTDホスト名(FTD Hostname)] を指定します。

    FMC アクセスインターフェイスのアクセスにデータインターフェイスを使用する場合、この FQDN がこのインターフェイスに使用されます。

  2. [DNSサーバーグループ(DNS Server Group)] を指定します。

    既存のグループを選択するか、新しいグループを作成します。デフォルトの DNS グループは CiscoUmbrellaDNSServerGroup と呼ばれ、OpenDNS サーバーが含まれます。

    FMC アクセスインターフェイスにデータインターフェイスを選択する場合は、この設定でデータインターフェイス DNS サーバーを設定します。セットアップウィザードで設定した管理 DNS サーバーは、管理トラフィックに使用されます。データ DNS サーバーは、DDNS(設定されている場合)またはこのインターフェイスに適用されるセキュリティポリシーに使用されます。管理トラフィックとデータトラフィックの両方が外部インターフェイス経由で DNS サーバに到達するため、管理に使用したものと同じ DNS サーバグループを選択する可能性があります。

    FMC では、この FTD デバイスに割り当てるプラットフォーム設定ポリシーでデータインターフェイス DNS サーバーが設定されます。FMCFTD デバイスを追加すると、ローカル設定が維持され、DNS サーバーはプラットフォーム設定ポリシーに追加されません。ただし、DNS 設定を含む FTD デバイスに後でプラットフォーム設定ポリシーを割り当てると、その設定によってローカル設定が上書きされます。FMCFTD デバイスを同期させるには、この設定に一致するように DNS プラットフォーム設定をアクティブに設定することをお勧めします。

    また、ローカル DNS サーバーは、DNS サーバーが初期登録で検出された場合にのみ FMC で保持されます。

    FMC アクセスインターフェイスに管理インターフェイスを選択する場合は、この設定で管理 DNS サーバーを構成します。

  3. FMCアクセスインターフェイスについては、任意の構成済みインターフェイスを選択してください。

    管理インターフェイスは、FTD デバイスを FMC に登録した後に、管理インターフェイスまたは別のデータインターフェイスのいずれかに変更できます。

ステップ 6

(任意) 外部インターフェイスではないデータインターフェイスを選択した場合は、デフォルトルートを追加します。

インターフェイスを通過するデフォルトルートがあることを確認するように求めるメッセージが表示されます。外部を選択した場合は、セットアップウィザードの一環としてこのルートがすでに設定されています。別のインターフェイスを選択した場合は、FMC に接続する前にデフォルトルートを手動で設定する必要があります。

管理インターフェイスを選択した場合は、この画面に進む前に、ゲートウェイを一意のゲートウェイとして設定する必要があります。

ステップ 7

(任意) データインターフェイスを選択した場合は、[ダイナミックDNS(DDNS)方式の追加(Add a Dynamic DNS (DDNS) method)] をクリックします。

DDNS は、 IP アドレスが変更された場合に FMC が完全修飾ドメイン名(FQDN)で FTD デバイスに到達できるようにします。[デバイス(Device)] > [システム設定(System Settings)] > [DDNSサービス(DDNS Service)] を参照して DDNS を設定します。

FMCFTD デバイスを追加する前に DDNS を設定すると、FTD デバイスは、シスコの信頼できるルート CA バンドルからすべての主要な CA の証明書を自動的に追加し、FTD デバイスが HTTPS 接続に向けて DDNS サーバー証明書を検証できるようにします。 FTD は、DynDNS リモート API 仕様(https://help.dyn.com/remote-access-api/)を使用するすべての DDNS サーバーをサポートします。

マネージャアクセスに管理インターフェイスを使用する場合、DDNS はサポートされません。

ステップ 8

[接続(Connect)] をクリックします。[登録ステータス(Registration Status)] [FMC登録ステータス(FMC Registration Status)] [FMC登録ステータス (FMC Registration Status)] ダイアログボックスには、FMC への切り替えの現在のステータスが表示されます。[Management Center/CDO登録設定の保存(Saving Management Center/CDO Registration Settings)] [FMC登録設定の保存(Saving FMC Registration Settings)] [FMC登録設定の保存(Saving FMC Registration Settings)] ステップの後、FMC に移動し、ファイアウォールを追加します。

図 16. FMC 登録ステータス
FMC 登録ステータス

FMC への切り替えをキャンセルする場合は、[登録のキャンセル(Cancel Registration)] をクリックします。キャンセルしない場合は、[Management Center/CDO登録設定の保存(Saving Management Center/CDO Registration Settings)] [FMC登録設定の保存(Saving FMC Registration Settings)] [FMC登録設定の保存(Saving FMC Registration Settings)] のステップが完了するまで FDM ブラウザウィンドウを閉じないでください。閉じた場合、プロセスは一時停止し、FDM に再接続した場合のみ再開されます。

[Management Center/CDO登録設定の保存(Saving Management Center/CDO Registration Settings)] [FMC登録設定の保存(Saving FMC Registration Settings)] [FMC登録設定の保存(Saving FMC Registration Settings)] ステップの後に FDM に接続したままにする場合、その後 [Management CenterまたはCDOとの正常接続 (Successful Connection with Management Center or CDO)] [FMCとの正常接続(Successful Connection with FMC)] [FMCとの正常接続(Successful Connection with FMC)] ダイアログボックスが表示され、FDM から切断されます。

図 17. FMC との正常接続
FMC との正常接続

FMC から FDM への切り替え

によって現在管理されているデバイスを、 を使用するように設定できます。FTDFMCFDM

ソフトウェアを再インストールすることなく、FMC からローカル FDM 管理に切り替えることができます。FMC から FDM 管理に切り替える前に、FDM がすべての設定要件を満たしていることを確認します。FDM から FMC に切り替える場合は、FDM から FMC への切り替え を参照してください。


注意    

FDM に切り替えると、デバイスの設定は削除され、システムはデフォルト設定に戻ります。ただし、管理 IP アドレスとホスト名は維持されます。


手順


ステップ 1

FMC で、[デバイス(Devices)] > [デバイス管理(Device Management)] ページからファイアウォールを削除します。

ステップ 2

SSH またはコンソールポートを使用して、FTD CLI に接続します。SSH の場合、管理 IP アドレスへの接続を開き、admin ユーザー名(または管理者権限を持つ他のユーザー)で FTD CLI にログインします。

(Firepower モデル)コンソールポートはデフォルトで FXOS CLI になります。connect ftd コマンドを使用して、FTD CLI に接続します。SSH セッションは FTD CLI に直接接続します。

管理 IP アドレスに接続できない場合、次のように対処します。

  • 管理物理ポートが、機能しているネットワークに接続されていることを確認します。

  • 管理 IP アドレスとゲートウェイが管理ネットワーク用に設定されていることを確認します。configure network ipv4/ipv6 manual コマンドを使用します。

ステップ 3

現在リモート管理モードになっていることを確認します。

show managers

例:


> show managers
Type                      : Manager
Host                      : 10.89.5.35
Registration              : Completed

ステップ 4

リモート マネージャを削除すると、マネージャなしのモードになります。

configure manager delete

リモート管理からローカル管理に直接移行することはできません。

例:


> configure manager delete 
Deleting task list
Manager successfully deleted.

> 
> show managers 
No managers configured.

ステップ 5

ローカル マネージャを設定します。

configure manager local

これで、Web ブラウザで https://management-IP-address にアクセスしてローカル マネージャを開くことができるようになりました。

例:


> configure manager local 
Deleting task list

> show managers 
Managed locally.