Inleiding
In dit document wordt het proces beschreven voor het wijzigen van de beheerderstoegang op de Firepower Threat Defense (FTD) van een beheer- naar een gegevensinterface.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Firepower Threat Defense (FTD)
- Firepower Management Center (FMC)
Gebruikte componenten
- Firepower Management Center Virtual 7.4.1
- Firepower Threat Defense Virtual 7.2.5
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
Elk apparaat bevat één speciale beheerinterface voor de communicatie met het VCC. U kunt het apparaat optioneel configureren om een gegevensinterface te gebruiken voor beheer in plaats van de speciale beheerinterface. De FMC-toegang op een gegevensinterface is handig als u de Firepower Threat Defense op afstand vanaf de externe interface wilt beheren of als u geen apart beheernetwerk hebt. Deze wijziging moet worden uitgevoerd in het Firepower Management Center for FTD dat wordt beheerd door FMC.
De FMC-toegang via een data-interface heeft een paar beperkingen:
- U kunt alleen beheerderstoegang inschakelen op één fysieke, gegevensinterface. U kunt geen subinterface of EtherChannel gebruiken.
- Alleen gerouteerde firewallmodus, met een gerouteerde interface.
- PPPoE wordt niet ondersteund. Als uw ISP PPPoE vereist, moet u een router met PPPoE-ondersteuning tussen de Firepower Threat Defense en de WAN-modem plaatsen.
- U kunt geen afzonderlijke beheer- en gebeurtenisinterfaces gebruiken.
Configureren
Doorgaan met interfacemigratie
Opmerking: Het wordt sterk aanbevolen om de laatste back-up van zowel FTD als FMC te hebben voordat u doorgaat met wijzigingen.
-
Navigeer naar de pagina Apparaten > Apparaatbeheer en klik op Bewerken voor het apparaat dat u wijzigt.

2. Ga naar de sectie en klik op de koppeling voor de toegangsinterface voor Beheer.

In het veld Manager Access Interface wordt de bestaande beheerinterface weergegeven. Klik op de koppeling om het nieuwe interfacetype te selecteren, de optie Gegevensinterface in de vervolgkeuzelijst Apparaat beheren en klik op Opslaan.

3. Ga nu verder met Beheertoegang inschakelen op een gegevensinterface en navigeer naar Apparaten > Apparaatbeheer > Interfaces > Fysieke interface bewerken > Beheertoegang.

Opmerking: (Optioneel) Als u een secundaire interface voor redundantie gebruikt, schakelt u beheertoegang in op de interface die voor redundantiedoeleinden wordt gebruikt.
(Optioneel) Als u DHCP voor de interface gebruikt, schakelt u de webmethode DDNS in in het dialoogvenster Apparaten > Apparaatbeheer > DHCP > DDNS.
(Optioneel) Configureer DNS in een beleid voor platforminstellingen en pas het toe op dit apparaat via Apparaten > Platforminstellingen > DNS.
4. Zorg ervoor dat de bescherming tegen bedreigingen via de gegevensinterface naar het beheercentrum kan routeren; voeg indien nodig een statische route toe op Apparaten.
- Klik op IPv4 of IPv6, afhankelijk van het type statische route dat u toevoegt.
- Kies de interface waarop deze statische route van toepassing is.
- Kies in de lijst Beschikbaar netwerk het bestemmingsnetwerk.
- In het veld Gateway of IPv6 Gateway, voert u de gateway-router in of kiest u die de volgende stap is voor deze route.
(Optioneel) Als u de beschikbaarheid van de route wilt bewaken, voert u de naam in van een monitoringobject met Service Level Agreement (SLA) dat het controlebeleid definieert in het veld Route Tracking.

5. Implementeer configuratiewijzigingen. De configuratiewijzigingen worden nu geïmplementeerd via de huidige beheerinterface.
6. Stel in de FTD CLI de beheerinterface in op het gebruik van een statisch IP-adres en de gateway op data-interfaces.
configure
network
{ipv4 | ipv6}
manual
ip_address
netmask
data-interfaces

Opmerking: hoewel u niet van plan bent de beheerinterface te gebruiken, moet u een statisch IP-adres instellen. Bijvoorbeeld een privé-adres zodat u de gateway kunt instellen voor data-interfaces. Dit beheer wordt gebruikt om het beheerverkeer door te sturen naar de gegevensinterface met behulp van de tap_nlp-interface.
7. Schakel het beheer in het Management Center uit. Klik op Bewerken en bijwerken van het IP-adres van de externe host en (optioneel)secundair adres voor de bescherming tegen bedreigingen in de Apparaten en schakel de verbinding in.

SSH inschakelen op platforminstellingen
Schakel SSH in voor de gegevensinterface in het beleid Platforminstellingen en pas het toe op dit apparaat op
- De hosts of netwerken die u toestaat om SSH-verbindingen te maken.
- Voeg de zones toe die de interfaces bevatten om SSH-verbindingen mogelijk te maken. Voor interfaces die zich niet in een zone bevinden, kunt u de interfacenaam typen in de lijst Geselecteerde zones/interfaces in het veld en op Toevoegen klikken.
- Klik op OK. Implementeer de veranderingen.

Opmerking: SSH is standaard niet ingeschakeld op de data-interfaces, dus als u de bescherming tegen bedreigingen wilt beheren met SSH, moet u dit expliciet toestaan.
Verifiëren
Zorg ervoor dat de beheerverbinding via de Data-interface tot stand wordt gebracht.
Verifiëren via FMC Graphical User Interface (GUI)
Controleer in het beheercentrum de status van de beheerverbinding op de Apparaten.

Verifiëren via FTD Command Line Interface (CLI)
Voer in de CLI voor de beveiliging tegen bedreigingen de opdracht tunnel-status-briefopdracht in om de status van de beheerverbinding te bekijken.

De status toont een succesvolle verbinding voor een data-interface, met de interne tap_nlp-interface.
Problemen oplossen
Controleer in het beheercentrum de status van de beheerverbinding op de Apparaten.
Voer in de CLI voor de beveiliging tegen bedreigingen de opdracht tunnel-status-briefopdracht in om de status van de beheerverbinding te bekijken. U kunt ook gebruik maken van tunnel-status om meer volledige informatie te bekijken.
Status van beheerverbinding
werkscenario

niet-werkend scenario

De netwerkinformatie valideren
In de CLI voor bedreigingsbeveiliging kunt u de netwerkinstellingen voor de beheerdersinterface en de beheerdersinterface bekijken:
> Netwerk weergeven

De status van de beheerder valideren
Controleer bij de CLI voor bedreigingsverdediging of de registratie van het beheercentrum is voltooid.
> Managers weergeven

Opmerking: met deze opdracht wordt de huidige status van de beheerverbinding niet weergegeven.
Netwerkconnectiviteit valideren
Ping het managementcentrum
Gebruik de opdracht threat defenceCLI om het beheercentrum te pingen vanaf de gegevensinterfaces:
> Ping FMC_IP

Gebruik de opdracht threat defenceCLI om het beheercentrum te pingen vanaf de beheerinterface, die over de backplane naar de gegevensinterfaces routeert:
> Ping-systeem FMC_IP

Controleer de status van de interface, de statistieken en het aantal pakketten
Zie de informatie over de interne backplane-interface, nlp_int_tap:
> Interfacedetails weergeven

Valideer Route op FTD om FMC te bereiken
Controleer in de CLI voor bedreigingsverdediging of de standaardroute (S*) is toegevoegd en of er interne NAT-regels bestaan voor de beheerinterface (nlp_int_tap).
> Route weergeven

> NAT tonen

Controleer de Sftunnel- en verbindingsstatistieken
> Running-Config SFTUNNEL weergeven

Waarschuwing: Tijdens het proces van het wijzigen van de toegang van de manager, onthoud je van het verwijderen van de manager op het FTD of het uitschrijven/verwijderen van de FTD uit het FMC.
Gerelateerde informatie