Manager-toegang configureren op FTD van beheer naar gegevensinterface

Downloadopties

  • PDF     (1.7 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (1.7 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.5 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:12 augustus 2025
Document-id:222145

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt het proces beschreven voor het wijzigen van de beheerderstoegang op de Firepower Threat Defense (FTD) van een beheer- naar een gegevensinterface.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Firepower Threat Defense (FTD)
    • Firepower Management Center (FMC)

    Gebruikte componenten

    • Firepower Management Center Virtual 7.4.1
    • Firepower Threat Defense Virtual 7.2.5

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Achtergrondinformatie

    Elk apparaat bevat één speciale beheerinterface voor de communicatie met het VCC. U kunt het apparaat optioneel configureren om een gegevensinterface te gebruiken voor beheer in plaats van de speciale beheerinterface. De FMC-toegang op een gegevensinterface is handig als u de Firepower Threat Defense op afstand vanaf de externe interface wilt beheren of als u geen apart beheernetwerk hebt. Deze wijziging moet worden uitgevoerd in het Firepower Management Center for FTD dat wordt beheerd door FMC.

    De FMC-toegang via een data-interface heeft een paar beperkingen:

    • U kunt alleen beheerderstoegang inschakelen op één fysieke, gegevensinterface. U kunt geen subinterface of EtherChannel gebruiken.
    • Alleen gerouteerde firewallmodus, met een gerouteerde interface.
    • PPPoE wordt niet ondersteund. Als uw ISP PPPoE vereist, moet u een router met PPPoE-ondersteuning tussen de Firepower Threat Defense en de WAN-modem plaatsen.
    • U kunt geen afzonderlijke beheer- en gebeurtenisinterfaces gebruiken.

    Configureren

    Doorgaan met interfacemigratie

    note-icon

    Opmerking: Het wordt sterk aanbevolen om de laatste back-up van zowel FTD als FMC te hebben voordat u doorgaat met wijzigingen.

    1. Navigeer naar de pagina Apparaten > Apparaatbeheer en klik op Bewerken voor het apparaat dat u wijzigt.

    Navigate to Device Management to Edit

    2. Ga naar de sectie Apparaat > Beheer en klik op de koppeling voor de toegangsinterface voor Beheer.

    Modify the Management Access Interface

    In het veld Manager Access Interface wordt de bestaande beheerinterface weergegeven. Klik op de koppeling om het nieuwe interfacetype te selecteren, de optie Gegevensinterface in de vervolgkeuzelijst Apparaat beheren en klik op Opslaan.

    Change the Manager Access Interface from Management to Data

    3. Ga nu verder met Beheertoegang inschakelen op een gegevensinterface en navigeer naar Apparaten > Apparaatbeheer > Interfaces > Fysieke interface bewerken > Beheertoegang.

    Enable Management Access on Interface

    note-icon

    Opmerking: (Optioneel) Als u een secundaire interface voor redundantie gebruikt, schakelt u beheertoegang in op de interface die voor redundantiedoeleinden wordt gebruikt.

    (Optioneel) Als u DHCP voor de interface gebruikt, schakelt u de webmethode DDNS in in het dialoogvenster Apparaten > Apparaatbeheer > DHCP > DDNS.

    (Optioneel) Configureer DNS in een beleid voor platforminstellingen en pas het toe op dit apparaat via Apparaten > Platforminstellingen > DNS.

    4. Zorg ervoor dat de bescherming tegen bedreigingen via de gegevensinterface naar het beheercentrum kan routeren; voeg indien nodig een statische route toe op Apparaten > Apparaatbeheer > Routering > Statische route.

    1. Klik op IPv4 of IPv6, afhankelijk van het type statische route dat u toevoegt.
    2. Kies de interface waarop deze statische route van toepassing is.
    3. Kies in de lijst Beschikbaar netwerk het bestemmingsnetwerk.
    4. In het veld Gateway of IPv6 Gateway, voert u de gateway-router in of kiest u die de volgende stap is voor deze route.

      (Optioneel) Als u de beschikbaarheid van de route wilt bewaken, voert u de naam in van een monitoringobject met Service Level Agreement (SLA) dat het controlebeleid definieert in het veld Route Tracking.

    Configure Static Route for FTD

    5. Implementeer configuratiewijzigingen. De configuratiewijzigingen worden nu geïmplementeerd via de huidige beheerinterface.

    6. Stel in de FTD CLI de beheerinterface in op het gebruik van een statisch IP-adres en de gateway op data-interfaces.

    • configure network {ipv4 | ipv6} manual ip_address netmask data-interfaces

    Configure Management on FTD to Use Data Interface as Gateway

    note-icon

    Opmerking: hoewel u niet van plan bent de beheerinterface te gebruiken, moet u een statisch IP-adres instellen. Bijvoorbeeld een privé-adres zodat u de gateway kunt instellen voor data-interfaces. Dit beheer wordt gebruikt om het beheerverkeer door te sturen naar de gegevensinterface met behulp van de tap_nlp-interface.

    7. Schakel het beheer in het Management Center uit. Klik op Bewerken en bijwerken van het IP-adres van de externe host en (optioneel)secundair adres voor de bescherming tegen bedreigingen in de sectie Apparaten > Apparaatbeheer > Apparaat > Beheer en schakel de verbinding in.

    Disable FTD Management on FMC

    SSH inschakelen op platforminstellingen

    Schakel SSH in voor de gegevensinterface in het beleid Platforminstellingen en pas het toe op dit apparaat op Apparaten > Platforminstellingen > SSH Access. Klik op Add (Toevoegen).

    1. De hosts of netwerken die u toestaat om SSH-verbindingen te maken.
    2. Voeg de zones toe die de interfaces bevatten om SSH-verbindingen mogelijk te maken. Voor interfaces die zich niet in een zone bevinden, kunt u de interfacenaam typen in de lijst Geselecteerde zones/interfaces in het veld en op Toevoegen klikken.
    3. Klik op OKImplementeer de veranderingen.

    Configure SSH in Platform Settings

    note-icon

    Opmerking: SSH is standaard niet ingeschakeld op de data-interfaces, dus als u de bescherming tegen bedreigingen wilt beheren met SSH, moet u dit expliciet toestaan.

    Verifiëren

    Zorg ervoor dat de beheerverbinding via de Data-interface tot stand wordt gebracht.

    Verifiëren via FMC Graphical User Interface (GUI)

    Controleer in het beheercentrum de status van de beheerverbinding op de pagina Apparaten > Apparaatbeheer > Apparaat > Beheer > Toegang tot toegangsbeheer - Configuratiegegevens > Verbindingsstatus.

    Verify the Management Connectivity Status Between FMC and FTD

    Verifiëren via FTD Command Line Interface (CLI)

    Voer in de CLI voor de beveiliging tegen bedreigingen de opdracht tunnel-status-briefopdracht in om de status van de beheerverbinding te bekijken.

    Command Output of sftunnel-status-brief

    De status toont een succesvolle verbinding voor een data-interface, met de interne tap_nlp-interface.

    Problemen oplossen

    Controleer in het beheercentrum de status van de beheerverbinding op de pagina Apparaten > Apparaatbeheer > Apparaat > Beheer > Toegang tot toegangsbeheer - Configuratiegegevens > Verbindingsstatus.

    Voer in de CLI voor de beveiliging tegen bedreigingen de opdracht tunnel-status-briefopdracht in om de status van de beheerverbinding te bekijken. U kunt ook gebruik maken van tunnel-status om meer volledige informatie te bekijken.

    Status van beheerverbinding

    werkscenario

    Command Output of sftunnel-status-brief Indicating tap_nlp Interface

    niet-werkend scenario

    Command Output of sftunnel-status Connectivity Status

    De netwerkinformatie valideren

    In de CLI voor bedreigingsbeveiliging kunt u de netwerkinstellingen voor de beheerdersinterface en de beheerdersinterface bekijken:

    > Netwerk weergeven

    Show Network Output on FTD

    De status van de beheerder valideren

    Controleer bij de CLI voor bedreigingsverdediging of de registratie van het beheercentrum is voltooid.

      > Managers weergeven

    Show Managers Command Output on FTD

    note-icon

    Opmerking: met deze opdracht wordt de huidige status van de beheerverbinding niet weergegeven.

    Netwerkconnectiviteit valideren

    Ping het managementcentrum

    Gebruik de opdracht threat defenceCLI om het beheercentrum te pingen vanaf de gegevensinterfaces:

      > Ping FMC_IP

    Ping to FMC to Verify Connectivity from FMC

    Gebruik de opdracht threat defenceCLI om het beheercentrum te pingen vanaf de beheerinterface, die over de backplane naar de gegevensinterfaces routeert:

      > Ping-systeem FMC_IP

    Ping to FMC to Verify Connectivity from FMC over Management Interface

    Controleer de status van de interface, de statistieken en het aantal pakketten

    Zie de informatie over de interne backplane-interface, nlp_int_tap:

      > Interfacedetails weergeven

    Interface Stats on FTD

    Valideer Route op FTD om FMC te bereiken

    Controleer in de CLI voor bedreigingsverdediging of de standaardroute (S*) is toegevoegd en of er interne NAT-regels bestaan voor de beheerinterface (nlp_int_tap).

      > Route weergeven

    Validating Route on FTD

      > NAT tonen

    NAT Config on FTD for Management Traffic

    Controleer de Sftunnel- en verbindingsstatistieken

      > Running-Config SFTUNNEL weergeven

    Running Config for Sftunnel

    warning-icon

    Waarschuwing: Tijdens het proces van het wijzigen van de toegang van de manager, onthoud je van het verwijderen van de manager op het FTD of het uitschrijven/verwijderen van de FTD uit het FMC.

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    2.0
    12-Aug-2025
    Opmaak bijgewerkt. hercertificering
    1.0
    18-Jul-2024
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Saikumar Boinpally
      Technisch veiligheidsadviseur

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten