ePub(1.5 MB) iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
Mobi (Kindle)(1.3 MB) Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2025년 3월 20일
문서 ID:222873
편견 없는 언어
본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.
이 번역에 관하여
Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.
Management Interface Merge action needed(관리 인터페이스 병합 작업 필요) 영역이나 Diagnostic(진단) 인터페이스에서 Edit(수정) 아이콘(연필) 옆에 있는 Merge(병합) 아이콘을 클릭합니다.
계속하기 전에 관리 인터페이스 병합 정보
참고: 고가용성 쌍 및 클러스터의 경우 활성/제어 유닛에서 이 작업을 수행합니다. 병합된 컨피그레이션은 대기/데이터 유닛에 자동으로 복제됩니다.
수동 변경 또는 제거가 필요한 경우 경고 아이콘이 나타날 수 있습니다. 병합하기 전에 제거해야 하는 구성에 대한 경고 예시
그렇다면: 대화 상자를 취소하고 컨피그레이션 제거 또는 재컨피그레이션을 진행한 다음 Management Interface Merge 대화 상자를 다시 엽니다.
디바이스에서 작동할 플랫폼 설정은 주의 아이콘으로 표시되며 확인이 필요합니다. 편집해야 하는 플랫폼 설정 컨피그레이션의 경고 예
Do you acknowledge the change?(변경 사항을 승인합니까?)의 상자를 클릭합니다. 열을 클릭한 다음 Proceed(진행)를 클릭합니다.
4단계.
컨피그레이션이 병합되면 성공의 배너가 표시됩니다. "관리 인터페이스 병합이 저장되었으며 배포할 준비가 되었습니다. 병합과 관련된 컨피그레이션 변경 사항은 실행 취소할 수 없습니다. 진단 인터페이스 및 관련 컨피그레이션을 수동으로 다시 구성해야 합니다."
병합된 새 컨피그레이션을 구축합니다.
관리 인터페이스 병합이 저장되었으며 배포할 준비가 되었습니다.
관리 인터페이스는 읽기 전용이지만 Interfaces 페이지에 표시됩니다.
구축 후에는 관리 인터페이스의 컨버전스 절차가 완료됩니다.
5단계. 선택 사항
진단 인터페이스와 통신하는 외부 서비스가 있는 경우 컨버전스 모드에서 관리 경로 대체가 제거되었으므로 해당 컨피그레이션을 변경하여 관리 인터페이스 IP 주소를 사용해야 합니다.
예를 들면 다음과 같습니다.
SNMP 클라이언트
RADIUS 서버
관리 네트워크를 통해 DNS 서버에 연결할 수 있으려면 사용자가 명시적으로 "Enable DNS Lookup via diagnostic/Management Interface also"를 선택해야 합니다. 예외가 DNS 조회 및 ICMP(ping 및 traceroute)에 대해 설정되었으므로 Platform Settings(플랫폼 설정) > DNS 컨피그레이션에서 다음을 수행합니다. 이러한 경우 위협 방어는 데이터를 사용한 다음 경로를 찾을 수 없는 경우 자동으로 관리로 돌아갑니다.
관리 인터페이스에 대한 고정 경로 사용은 FTD CLI Client(Linux)를 통해서만 구성할 수 있습니다
Lina 관리 포트 기본 경로는 모든 프레임을 Linux 모듈로 전송합니다.
> configure network static-routes ipv4 add management ?
IP address AAA.BBB.CCC.DDD where each part is in the range 0-255 destination address
FMC UI에서 관리 인터페이스는 선택을 위해 회색으로 비활성화됩니다.
병합이 완료된 후에는 고정 경로에서 관리 인터페이스를 선택할 수 없습니다.
다음을 확인합니다.
관리 인터페이스에서 병합 후 예상되는 변경 사항
명령을 실행하여 FTD CLI Client에서 컨버전스 모드를 확인합니다
> show management-interface convergence
management-interface convergence
FMC UI에서 인터페이스 이름은 Management0/0, 논리적 이름은 management로 변경됩니다.
관리 인터페이스 이름 및 논리 이름에 대한 병합 확인
FTD CLI Client에서 새 IP 주소는 Lina for Management 인터페이스에 자동으로 구성됩니다. NAT는 내부 구현으로 사용됩니다. 내부 개인 IPv4 주소 203.0.113.130 및 IPv6 주소 fd00:0:1:1::2가 할당된 것입니다(둘 다 변경될 수 있음). 이러한 IP는 공용 Linux 커널 FTD IPv4 및 IPv6 주소에 NAT되므로 더 이상 Lina에 공용 IP가 필요하지 않습니다.
전문가 모드에서 "ifconfig"는 Linux용 내부 IPv4(203.0.113.129) 및 IPv6(fd00:0:1:1::1) 주소를 표시합니다.
FTD CLI Clish:
> show interface management
Interface Management0/0 "management", is up, line protocol is up
Hardware is en_vtun rev00, DLY 10 usec
Input flow control is unsupported, output flow control is unsupported
MAC address 0050.56b3.f75d, MTU 1500
IP address 203.0.113.130, subnet mask 255.255.255.248
Expert mode on Linux:
root@ftd01:/home/admin# ifconfig
...
tap5: flags=4419 mtu 1500
inet 203.0.113.129 netmask 255.255.255.248 broadcast 203.0.113.135
inet6 fe80::8403:9ff:fefb:6d16 prefixlen 64 scopeid 0x20
inet6 fd00:0:1:1::1 prefixlen 123 scopeid 0x0
문제 해결 - 사례 연구
이 연구 사례에서 가상 FTD의 진단 인터페이스는 7.4.2로 업그레이드하기 전에 DNS 조회의 외부 서비스에 연결하기 위한 별도의 IP 주소를 구성했습니다.
7.4.2로 업그레이드한 후에는 통합이 필요하며, 병합 전후에 FMC UI, FTD CLI Lina 및 Linux의 컨피그레이션이 이와 같습니다.
또한 FTD CLI Lina 및 Linux에 트래픽 캡처가 있어 논리적 진단 인터페이스를 사용하여 관리 인터페이스를 사용하도록 이동하는 트래픽을 보여줍니다.
컨버전스 컨피그레이션 전
진단 인터페이스에는 DNS 조회를 위한 별도의 IP 및 고정 경로가 있습니다. 이 방식은 FTD에서 Lina에서 Linux로의 논리적 인터페이스를 모두 사용하여 작동합니다.
FMC UI 컨피그레이션
병합 전 진단 인터페이스 컨피그레이션
진단 인터페이스에 구성된 고정 경로
DNS 구성
Devices(디바이스) > Platform Settings(플랫폼 설정)에서 정책을 선택한 다음 DNS 탭을 선택합니다.
플랫폼 설정의 DNS 컨피그레이션Enable DNS Lookup via diagnostic/Management interface(진단/관리 인터페이스를 통한 DNS 조회 활성화)에 대해 선택된 확인란
FTD Lina를 통한 진단 인터페이스 컨피그레이션
interface Management0/0
management-only
nameif diagnostic
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
security-level 0
ip address 192.168.40.74 255.255.255.0
ftd01# sh ip
System IP Addresses:
Interface Name IP address Subnet mask Method
Management0/0 diagnostic 192.168.40.74 255.255.255.0 manual
Current IP Addresses:
Interface Name IP address Subnet mask Method
Management0/0 diagnostic 192.168.40.74 255.255.255.0 manual
ftd01# sh route management-only
Routing Table: mgmt-only
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF, BI - BGP InterVRF
Gateway of last resort is not set
S 10.10.10.10 255.255.255.255 [1/0] via 192.168.40.254, diagnostic
C 192.168.40.0 255.255.255.0 is directly connected, diagnostic
L 192.168.40.74 255.255.255.255 is directly connected, diagnostic
FTD CLI Lina의 DNS 컨피그레이션
ftd01# sh run dns
dns domain-lookup diagnostic
DNS server-group DNS_Server_lab
retries 5
timeout 15
name-server 10.10.10.10 diagnostic
domain-name test.lab
DNS server-group DefaultDNS
dns-group DNS_Server_lab
DNS 서버 10.10.10.10으로 이동하는 DNS 트래픽에 대한 진단 인터페이스에서 캡처
ftd01# sh cap
capture diag type raw-data trace detail interface diagnostic [Capturing - 340 bytes]
match udp any host 10.10.10.10 eq domain
ftd01# sh cap diag
5 packets captured
1: 00:15:39.660442 192.168.40.74.59939 > 10.10.10.10.53: udp 27
2: 00:15:54.661953 192.168.40.74.59939 > 10.10.10.10.53: udp 27
3: 00:16:09.661739 192.168.40.74.59939 > 10.10.10.10.53: udp 27
4: 00:16:24.667674 192.168.40.74.59939 > 10.10.10.10.53: udp 27
5: 00:16:39.684946 192.168.40.74.59939 > 10.10.10.10.53: udp 27
5 packets shown
ftd01#
Linux expert 모드에서 캡처하여 진단 인터페이스에서 관리 인터페이스의 DNS 조회 트래픽의 올바른 흐름을 확인합니다.
root@ftd01:/home/admin# tcpdump -i br1 port 53
HS_PACKET_BUFFER_SIZE is set to 4.
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on br1, link-type EN10MB (Ethernet), capture size 262144 bytes
04:58:14.648941 IP 192.168.40.74.49171 > 10.10.10.10.domain: 5655+ AAAA? cisco.com. (27)
04:58:29.656317 IP 192.168.40.74.11606 > 10.10.10.10.domain: 26905+ A? cisco.com. (27)
04:58:44.686568 IP 192.168.40.74.11606 > 10.10.10.10.domain: 24324+ A? cisco.com. (27)
04:58:59.704586 IP 192.168.40.74.11606 > 10.10.10.10.domain: 35592+ A? cisco.com. (27)
04:59:14.742685 IP 192.168.40.74.11606 > 10.10.10.10.domain: 40993+ A? cisco.com. (27)
04:59:29.763690 IP 192.168.40.74.11606 > 10.10.10.10.domain: 62225+ A? cisco.com. (27)
04:59:44.796484 IP 192.168.40.74.11606 > 10.10.10.10.domain: 25350+ A? cisco.com. (27)
Devices(디바이스) > Platform Settings(플랫폼 설정)에서 정책을 선택한 다음 DNS 탭을 선택합니다.
고정 경로를 추가할 필요 없이 DNS 조회가 관리 인터페이스로 계속 전송되려면 "진단/관리 인터페이스를 통한 DNS 조회 기능도 활성화하십시오." 은(는) 선택된 상태를 유지해야 합니다.
플랫폼 설정의 DNS 컨피그레이션진단/관리 인터페이스를 통한 DNS 조회 활성화 옵션도 동일하게 유지해야 합니다
FTD CLI의 컨피그레이션
> show interface management
Interface Management0/0 "management", is up, line protocol is up
Hardware is en_vtun rev00, DLY 10 usec
Input flow control is unsupported, output flow control is unsupported
MAC address 0050.56b3.f75d, MTU 1500
IP address 203.0.113.130, subnet mask 255.255.255.248
> show interface ip brief
Interface IP-Address OK? Method Status Protocol
GigabitEthernet0/0 unassigned YES unset administratively down up
GigabitEthernet0/1 unassigned YES unset administratively down up
GigabitEthernet0/2 unassigned YES unset administratively down up
Internal-Control0/0 127.0.1.1 YES unset up up
Internal-Control0/1 unassigned YES unset up up
Internal-Data0/0 unassigned YES unset down up
Internal-Data0/0 unassigned YES unset up up
Internal-Data0/1 169.254.1.1 YES unset up up
Internal-Data0/2 unassigned YES unset up up
Management0/0 203.0.113.130 YES unset up up
ftd01# sh route management-only
Routing Table: mgmt-only
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF, BI - BGP InterVRF
Gateway of last resort is not set
LINA 측의 FTD CLI에서 DNS 컨피그레이션
ftd01# sh run dns
dns domain-lookup management
DNS server-group DNS_Server_lab
retries 5
timeout 15
name-server 10.10.10.10 management
domain-name test.lab
DNS server-group DefaultDNS
dns-group DNS_Server_lab
Linux expert 모드에서 캡처하여 관리 인터페이스에서 DNS 조회 트래픽의 올바른 흐름을 확인합니다.
root@ftd01:/home/admin# tcpdump -i br1 port 53
HS_PACKET_BUFFER_SIZE is set to 4.
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on br1, link-type EN10MB (Ethernet), capture size 262144 bytes
20:20:33.623146 IP ftd01.60310 > 10.10.10.10.domain: 61954+ A? cisco.com. (27)
20:20:33.623533 IP ftd01.33417 > umbrella.domain: 20595+ PTR? 10.10.10.10.in-addr.arpa. (42)
20:20:48.660172 IP ftd01.60310 > 10.10.10.10.domain: 41252+ A? cisco.com. (27)
20:20:52.638426 IP ftd01.39304 > umbrella.domain: 20595+ PTR? 10.10.10.10.in-addr.arpa. (42)
20:21:09.669133 IP ftd01.47150 > umbrella.domain: 39343+ AAAA? ftd01. (23)
20:21:09.669305 IP ftd01.50173 > umbrella.domain: 57694+ AAAA? ftd01. (23)
20:21:11.659352 IP ftd01.48092 > umbrella.domain: 46478+ PTR? opendns.in-addr.arpa. (45)
20:21:14.673992 IP ftd01.58547 > umbrella.domain: 57694+ AAAA? ftd01. (23)
20:21:18.673371 IP ftd01.47607 > umbrella.domain: 39343+ AAAA? ftd01. (23)
20:21:18.695507 IP ftd01.60310 > 10.10.10.10.domain: 29973+ A? cisco.com. (27)
이러한 증거로 Linux를 통해 관리 인터페이스에 고정 경로가 추가되지 않은 경우에도 DNS 조회가 계속 작동함을 확인할 수 있습니다.