단계 1

device manager에 로그인합니다.

1. 브라우저에 다음 URL을 입력합니다.

   • 내부—https://192.168.95.1 .

   • 관리—https://management_ip . 기본적으로 대부분의 플랫폼에서 관리 인터페이스는 DHCP 클라이언트이므로 IP 주소는 DHCP 서버에 따라 달라집니다. 이 절차의 일부로 관리 IP 주소를 고정 주소로 설정해야 할 수 있습니다. 따라서 연결이 끊어지지 않도록 내부 인터페이스를 사용하는 것이 좋습니다.

2. 사용자 이름 admin 및 기본 비밀번호 Admin123으로 로그인합니다.

3. 최종 사용자 라이선스 계약(EULA)에 동의하고 관리자 비밀번호를 변경하라는 메시지가 표시됩니다.

단계 2

초기 설정을 완료하기 전에 처음으로 device manager에 로그인할 때 설정 마법사를 사용합니다. 선택적으로 페이지 하단의 Skip device setup(디바이스 설정 건너뛰기)을 클릭하여 설정 마법사를 건너뛸 수 있습니다.

1. 외부 및 관리 인터페이스에 대해 다음 옵션을 구성하고 Next(다음)를 클릭합니다.

   1. 외부 인터페이스 주소 — 이 인터페이스는 일반적으로 인터넷 게이트웨이이며 관리자 액세스 인터페이스로 사용될 수 있습니다. 초기 디바이스 설정 중에는 대체 외부 인터페이스를 선택할 수 없습니다. 첫 번째 데이터 인터페이스가 기본 외부 인터페이스입니다.

      관리자 액세스를 위해 외부(또는 내부)에서 다른 인터페이스를 사용하려는 경우 설정 마법사를 완료한 후 수동으로 구성해야 합니다.

      IPv4 구성 - 외부 인터페이스의 IPv4 주소를 구성합니다. DHCP를 사용하거나 수동으로 고정 IP 주소, 서브넷 마스크 및 게이트웨이를 입력할 수 있습니다. 끄기를 선택하여 IPv4 주소를 구성하지 않을 수도 있습니다. 설정 마법사를 사용하여 PPPoE를 구성할 수 없습니다. 인터페이스가 DSL 모뎀이나 케이블 모뎀에 연결되어 있거나 기타 ISP 연결을 사용하고 ISP에서 PPPoE를 사용하여 IP 주소를 제공하는 경우, PPPoE가 필요할 수 있습니다. 마법사를 완료한 후 PPPoE를 구성할 수 있습니다.

      IPv6 구성 - 외부 인터페이스의 IPv6 주소를 구성합니다. DHCP를 사용하거나 수동으로 고정 IP 주소, 접두사 및 게이트웨이를 입력할 수 있습니다. 끄기를 선택하여 IPv6 주소를 구성하지 않을 수도 있습니다.

   2. 관리 인터페이스

      CLI에서 초기 설정을 수행한 경우 관리 인터페이스 설정이 표시되지 않습니다.

      데이터 인터페이스에서 관리자 액세스를 활성화하더라도 관리 인터페이스 설정은 계속 사용됩니다. 예를 들어 데이터 인터페이스를 통해 백플레인으로 라우팅되는 관리 트래픽은 데이터 인터페이스 DNS 서버가 아닌 관리 인터페이스 DNS 서버를 사용하여 FQDN을 확인합니다.

      DNS 서버 - 시스템 관리 주소용 DNS 서버를 지정합니다. 이름 확인을 위해 DNS 서버의 주소를 하나 이상 입력합니다. 기본값은 OpenDNS 공개 DNS 서버입니다. 필드를 수정하여 기본값으로 되돌리려면 OpenDNS(OpenDNS 사용)를 클릭하여 적절한 IP 주소를 필드에 다시 로드합니다.

      방화벽 호스트 이름 - 시스템 관리 주소용 호스트 이름을 지정합니다.

2. 시간 설정(NTP)을 구성하고 Next(다음)를 클릭합니다.

   1. 표준 시간대 - 시스템의 표준 시간대를 선택합니다.

   2. NTP 시간 서버 - 기본 NTP 서버를 사용할지 아니면 NTP 서버의 주소를 수동으로 입력할지를 선택합니다. 백업을 제공하기 위해 여러 서버를 추가할 수 있습니다.

3. Start 90 day evaluation period without registration(등록 없이 90일 평가 기간 시작)을 선택합니다.

   threat defense을 Smart Software Manager에 등록하지 마십시오. 모든 라이선싱은 management center에서 수행됩니다.

4. 마침을 클릭합니다.

5. Cloud Management(클라우드 관리) 또는 Standalone(독립형)을 선택하라는 메시지가 표시됩니다. management center 관리의 경우 Standalone(독립형)을 선택한 다음 Got It(확인)을 선택합니다.

단계 3

(필요할 수 있음) 관리 인터페이스를 구성합니다.

단계 4

관리자 액세스에 사용할 외부 또는 내부 이외의 인터페이스를 포함하여 추가 인터페이스를 구성하려면 Device(디바이스)를 선택하고 Interfaces(인터페이스) 요약의 링크를 클릭합니다.

단계 5

Device(디바이스) > System Settings(시스템 설정) > Central Management(중앙 관리)를 선택하고 Proceed(계속)을 눌러 management center 관리를 설정합니다.

단계 6

Management Center/CDO Details(관리 센터/CDO 세부 정보)를 구성합니다.

1. Do you know the Management Center/CDO hostname or IP address(관리 센터/CDO 호스트 이름 또는 IP 주소를 알고 있습니까)에 대해 IP 주소 또는 호스트 이름을 사용하여 management center에 도달할 수 있으면 Yes(예)를, management center에 퍼블릭 IP 주소 또는 호스트 이름이 없거나 NAT 뒤에 있는 경우 No(아니요)를 클릭합니다.

   하나 이상의 디바이스(management center 또는 threat defense)에는 두 디바이스 간 양방향 SSL 암호화 통신 채널을 설정하기 위한 연결 가능한 IP 주소가 있어야 합니다.

2. Yes(예)를 선택한 경우 Management Center/CDO Hostname/IP Address(관리 센터/CDO 호스트 이름/IP 주소)를 입력합니다.

3. Management Center/CDO Registration Key(관리 센터/CDO 등록 키)를 지정합니다.

   threat defense 디바이스 등록 시에 management center에서 지정할 일회용 등록 키입니다. 이 등록 키는 37자를 초과해서는 안 됩니다. 영숫자(A~Z, a~z, 0~9)와 하이픈(-)을 사용할 수 있습니다. 이 ID는 management center에 등록하는 여러 디바이스에 사용할 수 있습니다.

4. NAT ID를 지정합니다.

   이 ID는 management center에서 지정할 고유한 일회성 문자열을 지정합니다. 이 필드는 디바이스 중 하나의 IP 주소만 지정하는 경우 입력해야 합니다. 두 디바이스의 IP 주소를 모두 알고 있는 경우에도 NAT ID를 지정하는 것이 좋습니다. NAT ID는 37자를 초과할 수 없습니다. 영숫자(A~Z, a~z, 0~9)와 하이픈(-)을 사용할 수 있습니다. 이 ID는 management center에 등록하는 다른 디바이스에 사용할 수 없습니다. NAT ID는 연결이 올바른 디바이스에서 오는지 확인하기 위해 IP 주소와 함께 사용됩니다. IP 주소/NAT ID 인증 후에만 등록 키가 확인됩니다.

단계 7

연결성 설정을 구성합니다.

1. FTD 호스트 이름을 지정합니다.

   Management Center/CDO Access Interface 액세스를 위해 데이터 인터페이스를 사용하는 경우 이 FQDN이 이 인터페이스에 사용됩니다.

2. DNS 서버 그룹을 지정합니다.

   기존 그룹을 선택하거나 새로 생성합니다. 기본 DNS 그룹은 CiscoUmbrellaDNSServerGroup이며, 여기에는 OpenDNS 서버가 포함됩니다.

   관리 센터/CDO 액세스 인터페이스에 대한 데이터 인터페이스를 선택하려는 경우 이 설정은 데이터 인터페이스 DNS 서버를 설정합니다. 설정 마법사를 사용하여 설정하는 관리 DNS 서버는 관리 트래픽에 사용됩니다. 데이터 DNS 서버는 DDNS(설정된 경우) 또는 이 인터페이스에 적용된 보안 정책에 사용됩니다. 관리 및 데이터 트래픽이 모두 외부 인터페이스를 통해 DNS 서버에 연결되므로 관리에 사용한 것과 동일한 DNS 서버 그룹을 선택할 수 있습니다.

   management center에서 이 threat defense 디바이스에 할당하는 플랫폼 설정 정책에서 데이터 인터페이스 DNS 서버가 설정됩니다. management center에 threat defense 디바이스를 추가하면 로컬 설정이 유지되고 DNS 서버가 플랫폼 설정 정책에 추가되지 않습니다. 그러나 나중에 DNS 컨피그레이션을 포함하는 threat defense 디바이스에 플랫폼 설정 정책을 할당하면 해당 컨피그레이션이 로컬 설정을 덮어씁니다. management center와 threat defense 디바이스를 동기화하려면 이 설정과 일치하도록 DNS 플랫폼 설정을 적극적으로 구성하는 것이 좋습니다.

   또한 로컬 DNS 서버는 초기 등록시 DNS 서버가 검색된 경우에만 management center에 의해 유지됩니다.

   FMC 액세스 인터페이스용관리 인터페이스를 선택하려는 경우 이 설정은 관리 DNS 서버를 구성합니다.

3. Management Center/CDO Access Interface(관리 센터/CDO 액세스 인터페이스)의 경우 구성된 인터페이스를 선택합니다.

   threat defense 디바이스를 management center에 등록한 후 관리자 인터페이스를 관리 인터페이스 또는 다른 데이터 인터페이스로 변경할 수 있습니다.

단계 8

(선택 사항) 데이터 인터페이스를 선택했는데 외부 인터페이스가 아닌 경우 기본 경로를 추가합니다.

단계 9

(선택 사항) 데이터 인터페이스를 선택한 경우 Add a Dynamic DNS (DDNS) method(동적 DNS(DDNS) 메서드 추가)를 클릭합니다.

단계 10

Connect(연결)를 클릭합니다. 등록 상태(Registration Status) 대화 상자는 management center 전환에 대한 현재 상태를 보여줍니다. Saving Management Center/CDO Registration Settings(관리 센터/CDO 등록 설정 저장) 단계에서 management center로 이동하여 방화벽을 추가합니다.

management center에 대한 전환을 취소하려면 Cancel Registration(등록 취소)을 클릭합니다. 아니면 Saving Management Center/CDO Registration Settings(관리 센터/CDO 등록 설정 저장) 단계까지 device manager 브라우저를 닫지 마십시오. 이렇게 하면 프로세스가 일시 중지되며, device manager에 다시 연결할 때만 재개됩니다.

Save Management Center/CDO Registration Settings(관리 센터/CDO 등록 설정 저장) 단계를 수행한 후 device manager에 연결된 상태로 유지되는 경우, 마지막으로 Successful Connection with Management Center or CDO(관리 센터 또는 CDO와의 연결 성공) 대화 상자가 표시된 뒤 device manager으로부터 연결이 해제됩니다.

Step 1

콘솔 포트에서 또는 관리 인터페이스에 대한 SSH를 사용하여 threat defense CLI에 연결합니다.이 인터페이스는 기본적으로 DHCP 서버에서 IP 주소를 가져옵니다. 네트워크 설정을 변경하려는 경우 연결이 끊어지지 않도록 콘솔 포트를 사용하는 것이 좋습니다.

Step 2

사용자 이름 admin 및 비밀번호 Admin123으로 로그인합니다.

firepower login: admin
Password: Admin123
Successful login attempts for user 'admin' : 1

[...]

Hello admin. You must change your password.
Enter new password: ********
Confirm new password: ********
Your password was updated successfully.

[...]

firepower# 

Step 3

(Firepower 및 Secure Firewall 하드웨어 모델) 콘솔 포트에서 FXOS에 연결한 경우 threat defense CLI에 연결합니다.

firepower# connect ftd
>

Step 4

threat defense에 처음 로그인할 경우, 엔드 유저 라이선스 계약(EULA)에 동의하고 SSH 연결을 사용 중인 경우 관리자 비밀번호를 변경하라는 메시지가 표시됩니다. 그 다음에는 CLI 설정 스크립트가 표시됩니다.

You must accept the EULA to continue.
Press <ENTER> to display the EULA:
End User License Agreement
[...]

Please enter 'YES' or press <ENTER> to AGREE to the EULA: 


System initialization in progress.  Please stand by.
You must configure the network to continue.
Configure at least one of IPv4 or IPv6 unless managing via data interfaces.
Do you want to configure IPv4? (y/n) [y]:
Do you want to configure IPv6? (y/n) [y]: n
Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]:
Enter an IPv4 address for the management interface [192.168.45.61]: 10.89.5.17
Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.192
Enter the IPv4 default gateway for the management interface [data-interfaces]: 10.89.5.1
Enter a fully qualified hostname for this system [firepower]: 1010-3
Enter a comma-separated list of DNS servers or 'none' [208.67.222.222,208.67.220.220,2620:119:35::35]:
Enter a comma-separated list of search domains or 'none' []: cisco.com
If your networking information has changed, you will need to reconnect.
Disabling IPv6 configuration: management0
Setting DNS servers: 208.67.222.222,208.67.220.220,2620:119:35::35
Setting DNS domains:cisco.com
Setting hostname as 1010-3
Setting static IPv4: 10.89.5.17 netmask: 255.255.255.192 gateway: 10.89.5.1 on management0
Updating routing tables, please wait...
All configurations applied to the system. Took 3 Seconds.
Saving a copy of running network configuration to local disk.
For HTTP Proxy configuration, run 'configure network http-proxy'

Manage the device locally? (yes/no) [yes]: no
DHCP server is already disabled
DHCP Server Disabled
Configure firewall mode? (routed/transparent) [routed]:
Configuring firewall mode ...


Device is in OffBox mode - disabling/removing port 443 from iptables.
Update policy deployment information
    - add device configuration
    - add network discovery
    - add system policy

You can register the sensor to a Firepower Management Center and use the
Firepower Management Center to manage it. Note that registering the sensor
to a Firepower Management Center disables on-sensor Firepower Services
management capabilities.

When registering the sensor to a Firepower Management Center, a unique
alphanumeric registration key is always required.  In most cases, to register
a sensor to a Firepower Management Center, you must provide the hostname or
the IP address along with the registration key.
'configure manager add [hostname | ip address ] [registration key ]'

However, if the sensor and the Firepower Management Center are separated by a
NAT device, you must enter a unique NAT ID, along with the unique registration
key.
'configure manager add DONTRESOLVE [registration key ] [ NAT ID ]'

Later, using the web interface on the Firepower Management Center, you must
use the same registration key and, if necessary, the same NAT ID when you add
this sensor to the Firepower Management Center.
>

Step 5

이 threat defense를 관리할 management center을(를) 식별합니다.

> configure manager add MC.example.com 123456
Manager successfully configured.

> configure manager add DONTRESOLVE regk3y78 natid90
Manager successfully configured.

> configure manager add 10.70.45.5 regk3y78 natid56
Manager successfully configured.

Step 6

CDO를 기본 관리자로 사용하고 분석용으로만 온프레미스 management center를 사용하려는 경우 온프레미스 management center를 식별합니다.

> configure manager add account1.app.us.cdo.cisco.com KPOOP0rgWzaHrnj1V5ha2q5Rf8pKFX9E
Lzm1HOynhVUWhXYWz2swmkj2ZWsN3Lb account1.app.us.cdo.cisco.com
Manager successfully configured.
> configure manager add 10.70.45.5 regk3y78 natid56 analytics-FMC
Manager successfully configured.

Step 7

(Optional) 관리자 액세스용 데이터 인터페이스의 이름을 구성합니다

> configure network management-data-interface
Data interface to use for management: ethernet1/1
Specify a name for the interface [outside]:
IP address (manual / dhcp) [dhcp]:  
DDNS server update URL [none]: https://jcrichton:pa$$w0rd17@domains.example.com/nic/update?hostname=<h>&myip=<a>
Do you wish to clear all the device configuration before applying ? (y/n) [n]:

Configuration done with option to allow manager access from any network, if you wish to change the manager access network 
use the 'client' option in the command 'configure network management-data-interface'.

Setting IPv4 network configuration.
Network settings changed.

> 

> configure network management-data-interface
Data interface to use for management: ethernet1/1
Specify a name for the interface [outside]: internet
IP address (manual / dhcp) [dhcp]: manual
IPv4/IPv6 address: 10.10.6.7
Netmask/IPv6 Prefix: 255.255.255.0
Default Gateway: 10.10.6.1
Comma-separated list of DNS servers [none]: 208.67.222.222,208.67.220.220
DDNS server update URL [none]:
Do you wish to clear all the device configuration before applying ? (y/n) [n]:

Configuration done with option to allow manager access from any network, if you wish to change the manager access network
use the 'client' option in the command 'configure network management-data-interface'.

Setting IPv4 network configuration.
Network settings changed.

>

Step 8

(Optional) 특정 네트워크에서 관리자에 대한 데이터 인터페이스 액세스를 제한합니다.

단계 1

두 번째 관리 인터페이스를 이벤트 전용 인터페이스로 활성화합니다.

> configure network management-interface enable management1
Configuration updated successfully

> configure network management-interface disable-management-channel management1
Configuration updated successfully

>

단계 2

이벤트 인터페이스에서 IP 주소를 구성합니다.

1. IPv4 주소 구성:

   configure network ipv4 manual ip_address netmask gateway_ip management1

   이 명령의 gateway_ip 는 디바이스의 기본 경로를 만드는 데 사용되므로 management0 인터페이스에 이미 설정한 값을 입력해야 합니다. 이벤트 인터페이스에 대한 별도의 고정 경로는 생성하지 않습니다. 관리 인터페이스와 다른 네트워크에서 이벤트 전용 인터페이스를 사용하는 경우 이벤트 전용 인터페이스에 대해 별도의 고정 경로를 생성하는 것이 좋습니다.

   예:

   
   > configure network ipv4 manual 10.10.10.45 255.255.255.0 10.10.10.1 management1
   Setting IPv4 network configuration.
   Network settings changed.
   
   >
   
   

2. IPv6 주소 구성:

   • 상태 비저장 자동 구성:

     configure network ipv6 router management1

     예:

     
     > configure network ipv6 router management1
     Setting IPv6 network configuration.
     Network settings changed.
     
     >
     
     

   • 수동 구성:

     configure network ipv6 manual ip6_address ip6_prefix_length management1

     예:

     
     > configure network ipv6 manual 2001:0DB8:BA98::3210 64 management1
     Setting IPv6 network configuration.
     Network settings changed.
     
     >
     
     

단계 3

management center가 원격 네트워크에 있는 경우 이벤트 전용 인터페이스에 정적 경로를 추가합니다. 그렇지 않으면 모든 트래픽이 관리 인터페이스를 통해 기본 경로와 일치하게 됩니다.

> configure network static-routes ipv4 add management1 192.168.6.0 255.255.255.0 10.10.10.1
Configuration updated successfully

> configure network static-routes ipv6 add management1 2001:0DB8:AA89::5110 64 2001:0DB8:BA98::3211
Configuration updated successfully

>

> show network-static-routes
---------------[ IPv4 Static Routes ]---------------
Interface                 : management1
Destination               : 192.168.6.0
Gateway                   : 10.10.10.1
Netmask                   : 255.255.255.0
[…]

단계 1

Devices(디바이스) > Device Management(디바이스 관리)을(를) 선택합니다. 

단계 2

수정할 디바이스 옆의 Edit(수정) ()을 클릭합니다. 

단계 3

Device(디바이스)를 클릭합니다. 

단계 4

일반 섹션에서 Edit(수정) ()을 클릭합니다. 

1. 매니지드 디바이스의 이름을 입력합니다. 

2. 패킷 데이터를 management center에 이벤트와 함께 저장하려면 Transfer Packets(패킷 전송)을 선택합니다.

3. 디바이스에 현재 정책 및 디바이스 설정의 구축을 강제로 구축하려면 Force Deploy(강제 구축)을 클릭합니다. 

   참고	강제 구축은 threat defense에 구축할 정책 규칙의 완전한 생성을 포함하므로 일반 구축보다 더 많은 시간을 소비합니다.

단계 5

디바이스 구성 작업은 다른 디바이스에 구성 복사 및 디바이스 구성 내보내기 및 가져오기의 내용을 참조하십시오.

단계 6

Deploy(구축)를 클릭합니다. 

단계 1

Devices(디바이스) > Device Management(디바이스 관리)를 선택합니다.

단계 2

라이선스를 활성화 또는 비활성화하려는 디바이스 옆에 있는 Edit(수정) ()을 클릭합니다.

단계 3

Device(디바이스)를 클릭합니다.

단계 4

라이선스 섹션 옆에 있는 Edit(수정) ()을 클릭합니다.

단계 5

관리되는 디바이스에서 활성화 또는 비활성화 하려는 라이선스 옆의 체크 박스를 선택하거나 선택 취소합니다.

단계 6

Save(저장)를 클릭합니다.

단계 1

Devices(디바이스) > Device Management(디바이스 관리)을(를) 선택합니다.

단계 2

정책을 할당할 디바이스 옆의 Edit(수정) ()를 클릭합니다.

단계 3

Device(디바이스)를 클릭합니다.

단계 4

Applied Polides(적용된 살충제) 섹션에서 Edit(수정) ()을 클릭합니다.

단계 5

각 정책 유형에 대해 드롭다운 메뉴에서 정책을 선택합니다. 기존 정책만 나열됩니다.

단계 6

Save(저장)를 클릭합니다.

단계 1

Devices(디바이스) > Device Management(디바이스 관리)을(를) 선택합니다.

단계 2

정책을 할당할 디바이스 옆의 Edit(수정) ()를 클릭합니다.

단계 3

Device(디바이스)를 클릭합니다.

단계 4

Deployment Settings(구축 설정) 섹션에서 Edit(수정) ()를 클릭합니다.

단계 5

자동 롤백을 활성화하려면 연결 실패 시 자동 롤백 구축을 선택합니다.

단계 6

구성을 롤백하기 전에 대기할 시간을 설정하려면 연결성 모니터 간격(분)을 설정합니다. 기본값은 20분입니다.

단계 7

롤백이 발생하는 경우 다음 단계를 참조하십시오.

단계 8

관리 연결이 재설정되었는지 확인합니다.

단계 1

Devices(디바이스) > Device Management(디바이스 관리)을(를) 선택합니다. 

단계 2

수정할 클러스터 옆의 Edit(수정) ()을 클릭합니다. 

단계 3

Cluster(클러스터)를 클릭합니다.

단계 4

Cluster Health Monitor Settings(클러스터 상태 모니터링 설정) 섹션에서 Edit(수정) ()을 클릭합니다. 

단계 5

Health Check(상태 확인) 슬라이더를 클릭하여 시스템 상태 확인을 비활성화합니다.

토폴로지 변경 사항(예: 데이터 인터페이스 추가 또는 제거, 노드 또는 스위치의 인터페이스 활성화 또는 비활성화, 추가 스위치를 추가하여 VSS 또는 vPC 구성)이 발생할 경우 시스템 상태 검사 기능을 비활성화하고 비활성화된 인터페이스에 대한 인터페이스 모니터링도 비활성화해야 합니다. 토폴로지 변경이 완료되고 구성 변경 사항이 모든 노드와 동기화되면 시스템 상태 검사 기능 및 모니터링되는 인터페이스를 다시 활성화할 수 있습니다.

단계 6

보류 시간 및 인터페이스 디바운스 시간을 구성합니다.

단계 7

상태 검사에 실패한 후에 자동 다시 참가 클러스터 설정을 맞춤화합니다.

Cluster Interface(클러스터 인터페이스), Data Interface(데이터 인터페이스) 및 System(시스템)에 대해 다음 값을 설정합니다(내부 장애에는 애플리케이션 동기화 시간 초과, 일관되지 않은 애플리케이션 상태 등이 포함됨).

• Attempts(시도 횟수) — 다시 참가 시도 횟수를 -1~65535 범위에서 설정합니다. 0은 자동 다시 참가를 비활성화합니다. Cluster Interface(클러스터 인터페이스)의 기본값은 -1(무제한)입니다. Data Interface(데이터 인터페이스) 및 System(시스템)의 기본값은 3입니다.

• Interval Between Attempts(시도 간의 간격)—다시 참가 시도 간의 간격 기간(분)을 2~60분 사이로 정의합니다. 기본값은 5분입니다. 노드가 클러스터에 다시 조인하려고 시도하는 최대 총 시간은 마지막 장애 시간으로부터 14400분(10일)으로 제한됩니다.

• Interval Variation(간격 변동)—간격 기간이 증가하는지 여부를 정의합니다. 1~3 사이의 값 설정: 1(변경 없음), 2(2 x 이전 기간) 또는 3(3 x 이전 기간)입니다. 예를 들어, 간격 기간을 5분으로 설정하고 변수를 2로 설정하면 첫 번째 시도가 5분 후에 일어나고 두 번째 시도는 10분(2 x 5), 세 번째 시도는 20분(2 x 10) 후에 일어납니다. 기본값은 Cluster Interface(클러스터 인터페이스)의 경우 1이고 Data Interface(데이터 인터페이스) 및 System(시스템)의 경우 2입니다.

단계 8

Monitored Interfaces(모니터링된 인터페이스) 또는 Unmonitored Interfaces(모니터링되지 않는 인터페이스) 창에서 인터페이스를 이동하여 모니터링되는 인터페이스를 구성합니다. 또한 Enable Service Application Monitoring(서비스 애플리케이션 모니터링 활성화)을 선택하거나 선택 취소하여 Snort 및 디스크 꽉 찬 프로세스의 모니터링을 활성화하거나 비활성화할 수 있습니다.

인터페이스 상태 검사에서는 링크 오류 여부를 모니터링합니다. 지정된 논리적 인터페이스에 대한 모든 물리적 포트가 특정 노드에서 오류가 발생했지만 다른 노드에 있는 동일한 논리적 인터페이스에서 활성 포트가 있는 경우 이 노드는 클러스터에서 제거됩니다. 노드에서 클러스터의 멤버를 제거하기 전까지 걸리는 시간은 인터페이스의 유형에 따라, 그리고 해당 노드가 설정된 노드인지 또는 클러스터에 참가하는지에 따라 달라집니다. 상태 검사는 모든 인터페이스와 Snort 및 디스크 풀 프로세스에 대해 기본적으로 활성화됩니다.

필수가 아닌 인터페이스(예: 진단 인터페이스)에 대한 상태 모니터링을 비활성화할 수 있습니다.

토폴로지 변경 사항(예: 데이터 인터페이스 추가 또는 제거, 노드 또는 스위치의 인터페이스 활성화 또는 비활성화, 추가 스위치를 추가하여 VSS 또는 vPC 구성)이 발생할 경우 시스템 상태 검사 기능을 비활성화하고 비활성화된 인터페이스에 대한 인터페이스 모니터링도 비활성화해야 합니다. 토폴로지 변경이 완료되고 구성 변경 사항이 모든 노드와 동기화되면 시스템 상태 검사 기능 및 모니터링되는 인터페이스를 다시 활성화할 수 있습니다.

단계 9

Save(저장)를 클릭합니다.

단계 10

구성 변경 사항을 구축합니다. 구성 변경 사항 구축의 내용을 참고하십시오.

단계 1

threat defense CLI에서 management center 식별자를 확인합니다.

> show managers
Type                      : Manager
Host                      : 10.10.1.4
Display name              : 10.10.1.4
Identifier                : f7ffad78-bf16-11ec-a737-baa2f76ef602
Registration              : Completed
Management type           : Configuration
 

단계 2

threat defense CLI에서 management center IP 주소 또는 호스트네임을 편집합니다.

> configure manager edit f7ffad78-bf16-11ec-a737-baa2f76ef602 hostname 10.10.5.1

단계 1

기존 management center에서 매니지드 디바이스를 삭제합니다. Management Center에서 디바이스 삭제(등록 해제)의 내용을 참조하십시오.

단계 2

예를 들어 SSH를 사용하여 디바이스 CLI에 연결합니다.

단계 3

새 management center를 구성합니다.

> configure manager add DONTRESOLVE abc123 efg456
Manager successfully configured.
Please make note of reg_key as this will be required while adding Device in FMC.

>

단계 4

management center에 디바이스를 추가합니다. Management Center에 디바이스 추가의 내용을 참조하십시오.

단계 1

device manager에서 Cisco Smart Software Manager에서 디바이스의 등록을 취소합니다.

단계 2

(필요할 수 있음) 관리 인터페이스를 구성합니다.

단계 3

Device(디바이스) > System Settings(시스템 설정) > Central Management(중앙 관리)를 선택하고 Proceed(계속)을 눌러 management center 관리를 설정합니다.

단계 4

Management Center/CDO Details(관리 센터/CDO 세부 정보)를 구성합니다.

1. Do you know the Management Center/CDO hostname or IP address(관리 센터/CDO 호스트 이름 또는 IP 주소를 알고 있습니까)에 대해 IP 주소 또는 호스트 이름을 사용하여 management center에 도달할 수 있으면 Yes(예)를, management center에 퍼블릭 IP 주소 또는 호스트 이름이 없거나 NAT 뒤에 있는 경우 No(아니요)를 클릭합니다.

   하나 이상의 디바이스(management center 또는 threat defense)에는 두 디바이스 간 양방향 SSL 암호화 통신 채널을 설정하기 위한 연결 가능한 IP 주소가 있어야 합니다.

2. Yes(예)를 선택한 경우 Management Center/CDO Hostname/IP Address(관리 센터/CDO 호스트 이름/IP 주소)를 입력합니다.

3. Management Center/CDO Registration Key(관리 센터/CDO 등록 키)를 지정합니다.

   threat defense 디바이스 등록 시에 management center에서 지정할 일회용 등록 키입니다. 이 등록 키는 37자를 초과해서는 안 됩니다. 영숫자(A~Z, a~z, 0~9)와 하이픈(-)을 사용할 수 있습니다. 이 ID는 management center에 등록하는 여러 디바이스에 사용할 수 있습니다.

4. NAT ID를 지정합니다.

   이 ID는 management center에서 지정할 고유한 일회성 문자열을 지정합니다. 이 필드는 디바이스 중 하나의 IP 주소만 지정하는 경우 입력해야 합니다. 두 디바이스의 IP 주소를 모두 알고 있는 경우에도 NAT ID를 지정하는 것이 좋습니다. NAT ID는 37자를 초과할 수 없습니다. 영숫자(A~Z, a~z, 0~9)와 하이픈(-)을 사용할 수 있습니다. 이 ID는 management center에 등록하는 다른 디바이스에 사용할 수 없습니다. NAT ID는 연결이 올바른 디바이스에서 오는지 확인하기 위해 IP 주소와 함께 사용됩니다. IP 주소/NAT ID 인증 후에만 등록 키가 확인됩니다.

단계 5

연결성 설정을 구성합니다.

1. FTD 호스트 이름을 지정합니다.

   Management Center/CDO Access Interface 액세스를 위해 데이터 인터페이스를 사용하는 경우 이 FQDN이 이 인터페이스에 사용됩니다.

2. DNS 서버 그룹을 지정합니다.

   기존 그룹을 선택하거나 새로 생성합니다. 기본 DNS 그룹은 CiscoUmbrellaDNSServerGroup이며, 여기에는 OpenDNS 서버가 포함됩니다.

   관리 센터/CDO 액세스 인터페이스에 대한 데이터 인터페이스를 선택하려는 경우 이 설정은 데이터 인터페이스 DNS 서버를 설정합니다. 설정 마법사를 사용하여 설정하는 관리 DNS 서버는 관리 트래픽에 사용됩니다. 데이터 DNS 서버는 DDNS(설정된 경우) 또는 이 인터페이스에 적용된 보안 정책에 사용됩니다. 관리 및 데이터 트래픽이 모두 외부 인터페이스를 통해 DNS 서버에 연결되므로 관리에 사용한 것과 동일한 DNS 서버 그룹을 선택할 수 있습니다.

   management center에서 이 threat defense 디바이스에 할당하는 플랫폼 설정 정책에서 데이터 인터페이스 DNS 서버가 설정됩니다. management center에 threat defense 디바이스를 추가하면 로컬 설정이 유지되고 DNS 서버가 플랫폼 설정 정책에 추가되지 않습니다. 그러나 나중에 DNS 컨피그레이션을 포함하는 threat defense 디바이스에 플랫폼 설정 정책을 할당하면 해당 컨피그레이션이 로컬 설정을 덮어씁니다. management center와 threat defense 디바이스를 동기화하려면 이 설정과 일치하도록 DNS 플랫폼 설정을 적극적으로 구성하는 것이 좋습니다.

   또한 로컬 DNS 서버는 초기 등록시 DNS 서버가 검색된 경우에만 management center에 의해 유지됩니다.

   FMC 액세스 인터페이스용관리 인터페이스를 선택하려는 경우 이 설정은 관리 DNS 서버를 구성합니다.

3. Management Center/CDO Access Interface(관리 센터/CDO 액세스 인터페이스)의 경우 구성된 인터페이스를 선택합니다.

   threat defense 디바이스를 management center에 등록한 후 관리자 인터페이스를 관리 인터페이스 또는 다른 데이터 인터페이스로 변경할 수 있습니다.

단계 6

(선택 사항) 데이터 인터페이스를 선택했는데 외부 인터페이스가 아닌 경우 기본 경로를 추가합니다.

단계 7

(선택 사항) 데이터 인터페이스를 선택한 경우 Add a Dynamic DNS (DDNS) method(동적 DNS(DDNS) 메서드 추가)를 클릭합니다.

단계 8

Connect(연결)를 클릭합니다. 등록 상태(Registration Status) 대화 상자는 management center 전환에 대한 현재 상태를 보여줍니다. Saving Management Center/CDO Registration Settings(관리 센터/CDO 등록 설정 저장) 단계에서 management center로 이동하여 방화벽을 추가합니다.

management center에 대한 전환을 취소하려면 Cancel Registration(등록 취소)을 클릭합니다. 아니면 Saving Management Center/CDO Registration Settings(관리 센터/CDO 등록 설정 저장) 단계까지 device manager 브라우저를 닫지 마십시오. 이렇게 하면 프로세스가 일시 중지되며, device manager에 다시 연결할 때만 재개됩니다.

Save Management Center/CDO Registration Settings(관리 센터/CDO 등록 설정 저장) 단계를 수행한 후 device manager에 연결된 상태로 유지되는 경우, 마지막으로 Successful Connection with Management Center or CDO(관리 센터 또는 CDO와의 연결 성공) 대화 상자가 표시된 뒤 device manager으로부터 연결이 해제됩니다.

단계 1

management center의 Devices(디바이스) > Device Management(디바이스 관리) 페이지에서 방화벽을 삭제합니다.

단계 2

SSH 또는 콘솔 포트를 사용하여 threat defense CLI에 연결합니다. SSH의 경우 관리 IP 주소에 대한 연결을 열고, 관리자 사용자 이름(또는 관리자 권한이 있는 다른 사용자)을 사용하여 threat defense CLI에 로그인합니다.

단계 3

현재 원격 관리 모드 상태인지 확인합니다.

> show managers
Type                      : Manager
Host                      : 10.89.5.35
Display name              : 10.89.5.35
Identifier                : f7ffad78-bf16-11ec-a737-baa2f76ef602
Registration              : Completed

단계 4

원격 관리자를 삭제하고 관리자 없음 모드를 설정합니다.

> configure manager delete 
Deleting task list
Manager successfully deleted.

> 
> show managers 
No managers configured.

단계 5

로컬 관리자를 구성합니다.

> configure manager local 
Deleting task list

> show managers 
Managed locally.