Configurar o Acesso do Gerente no FTD a partir do Gerenciamento para a Interface de Dados

Opções de download

  • PDF     (1.7 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (1.7 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.5 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:12 de agosto de 2025
ID do documento:222145

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve o processo para modificar o Manager Access no Firepower Threat Defense (FTD) de uma interface de Gerenciamento para uma interface de Dados.

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Firepower Threat Defense (FTD)
    • Firepower Management Center (FMC)

    Componentes Utilizados

    • Firepower Management Center Virtual 7.4.1
    • Firepower Threat Defense Virtual 7.2.5

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Informações de Apoio

    Cada dispositivo inclui uma única interface de gestão dedicada para a comunicação com o FMC. Você pode, opcionalmente, configurar o dispositivo para usar uma interface de dados para gerenciamento em vez da interface de gerenciamento dedicada. O acesso do FMC em uma interface de dados é útil se você quiser gerenciar o Firepower Threat Defense remotamente a partir da interface externa ou se você não tiver uma rede de gerenciamento separada. Essa alteração deve ser realizada no Firepower Management Center para FTD gerenciado pelo FMC.

    O acesso ao CVP a partir de uma interface de dados tem algumas limitações:

    • Você só pode ativar o acesso de gerente em uma interface de dados física. Você não pode usar uma subinterface ou EtherChannel.
    • Apenas modo de firewall roteado, usando uma interface roteada.
    • Não há suporte para PPPoE. Se o seu ISP exigir PPPoE, você deverá colocar um roteador com suporte a PPPoE entre o Firepower Threat Defense e o modem WAN.
    • Você não pode usar interfaces separadas de gerenciamento e somente de eventos.

    Configurar

    Prosseguir com a migração da interface

    note-icon

    Note: É altamente recomendável ter o backup mais recente do FTD e do FMC antes de continuar com as alterações.

    1. Navegue até a página Devices > Device Management e clique em Edit para o dispositivo que está sendo alterado.

    Navigate to Device Management to Edit

    2. Vá para a seção Device > Management e clique no link para Manager Access Interface.

    Modify the Management Access Interface

    O campo Interface de acesso do gerente exibe a interface de gerenciamento existente. Clique no link para selecionar o novo tipo de interface, que é a opção Data Interface na lista suspensa Manage device by e clique em Save.

    Change the Manager Access Interface from Management to Data

    3. Agora você deve prosseguir para Habilitar o acesso de gerenciamento em uma interface de dados, navegar para Dispositivos > Gerenciamento de Dispositivos > Interfaces > Editar Interface Física > Acesso do Gerenciador.

    Enable Management Access on Interface

    note-icon

    Observação: (Opcional) Se você usar uma interface secundária para redundância, habilite o acesso de gerenciamento na interface usada para fins de redundância.

    (Opcional) Se você usar DHCP para a interface, habilite o método DDNS do tipo de Web na caixa de diálogo Devices > Device Management > DHCP > DDNS.

    (Opcional) Configure DNS em uma política de Configurações de plataforma e aplique-a a este dispositivo em Dispositivos > Configurações de plataforma > DNS.

    4. Certifique-se de que a defesa contra ameaças possa encaminhar para o centro de gerenciamento através da interface de dados; adicione uma rota estática, se necessário, em Devices > Device Management > Routing > Static Route.

    1. Clique em IPv4 ou IPv6 dependendo do tipo de rota estática que você está adicionando.
    2. Escolha a Interface à qual esta rota estática se aplica.
    3. Na lista Available Network, escolha a rede de destino.
    4. No campo Gateway ou IPv6 Gateway, digite ou escolha o roteador do gateway, que é o próximo salto para essa rota.

      (Opcional) Para monitorar a disponibilidade da rota, insira ou escolha o nome de um objeto Monitor do Contrato de Nível de Serviço (SLA) que define a política de monitoramento, no campo Rastreamento de Rota.

    Configure Static Route for FTD

    5. Implantar alterações de configuração. As alterações de configuração agora são implantadas na interface de gerenciamento atual.

    6. Na CLI do FTD, defina a interface de Gerenciamento para usar um endereço IP estático e o gateway como interfaces de dados.

    • configure network {ipv4 | ipv6} manual ip_address netmask data-interfaces

    Configure Management on FTD to Use Data Interface as Gateway

    note-icon

    Note: Embora você não planeje usar a interface de gerenciamento, você deve definir um endereço IP estático. Por exemplo, um endereço privado para que você possa definir o gateway como interfaces de dados. Esse gerenciamento é usado para encaminhar o tráfego de gerenciamento para a interface de dados usando a interface tap_nlp.

    7. Desative o Gerenciamento no Centro de Gerenciamento. Clique em Editar e atualize o endereço IP do Endereço do Host Remoto e o endereço secundário (Opcional) da defesa contra ameaças na seção Dispositivos > Gerenciamento de Dispositivo > Dispositivo > Gerenciamento e habilite a conexão.

    Disable FTD Management on FMC

    Habilitar SSH nas configurações da plataforma

    Habilite o SSH para a interface de dados na política Configurações de plataforma e aplique-o a este dispositivo em Dispositivos > Configurações de plataforma > Acesso SSH. Clique em Adicionar.

    1. Os hosts ou redes que você está permitindo para fazer conexões SSH.
    2. Adicione as regiões que contêm as interfaces para permitir conexões SSH. Para interfaces que não estão em uma região, você pode digitar o nome da interface no campo Zonas/interfaces selecionadas e clicar em Adicionar.
    3. Clique em OK. Implante as alterações.

    Configure SSH in Platform Settings

    note-icon

    Note: O SSH não está habilitado por padrão nas interfaces de dados, portanto, se você quiser gerenciar a defesa contra ameaças usando o SSH, precisará permitir explicitamente.

    Verificar

    Verifique se a conexão de gerenciamento está estabelecida na interface de dados.

    Verificar a partir da interface gráfica do usuário (GUI) do FMC

    No centro de gerenciamento, verifique o status da conexão de gerenciamento na página Dispositivos > Gerenciamento de dispositivos > Dispositivo > Gerenciamento > Acesso do gerenciador - Detalhes da configuração > Status da conexão.

    Verify the Management Connectivity Status Between FMC and FTD

    Verificar a partir da Interface de Linha de Comando (CLI) do FTD

    Na CLI threat, insira o comando ftunnel-status-brief para exibir o status da conexão de gerenciamento.

    Command Output of sftunnel-status-brief

    O status mostra uma conexão bem-sucedida para uma interface de dados, mostrando a interface tap_nlp interna.

    Troubleshooting

    No centro de gerenciamento, verifique o status da conexão de gerenciamento na página Dispositivos > Gerenciamento de dispositivos > Dispositivo > Gerenciamento > Acesso do gerenciador - Detalhes da configuração > Status da conexão.

    Na CLI threat, insira o comando ftunnel-status-brief para exibir o status da conexão de gerenciamento. Você também pode usar suctunnel-status para exibir informações mais completas.

    Status da conexão de gerenciamento

    Cenário de trabalho

    Command Output of sftunnel-status-brief Indicating tap_nlp Interface

    Cenário não funcional

    Command Output of sftunnel-status Connectivity Status

    Validar as informações de rede

    Na CLI de defesa contra ameaças, exiba as configurações de rede da interface de dados de acesso do gerenciador e de gerenciamento:

    > show network

    Show Network Output on FTD

    Validar o Estado do Gerente

    Na CLI de defesa contra ameaças, verifique se o registro do centro de gerenciamento foi concluído.

      > show managers

    Show Managers Command Output on FTD

    note-icon

    Note: Este comando não mostra o status atual da conexão de gerenciamento.

    Validar Conectividade de Rede

    Faça ping no Management Center

    Na CLI threat defense, use o comando para fazer ping no centro de gerenciamento a partir das interfaces de dados:

      > ping fmc_ip

    Ping to FMC to Verify Connectivity from FMC

    Na CLI threat defense, use o comando para fazer ping no centro de gerenciamento a partir da interface de gerenciamento, que roteia o painel traseiro para as interfaces de dados:

      > ping system fmc_ip

    Ping to FMC to Verify Connectivity from FMC over Management Interface

    Verifique o status da interface, as estatísticas e a contagem de pacotes

    Na CLI threat, consulte as informações sobre a interface interna do painel traseiro, nlp_int_tap:

      > show interface detail

    Interface Stats on FTD

    Validar rota no FTD para alcançar o FMC

    Na CLI threat, verifique se a rota padrão (S*) foi adicionada e se existem regras de NAT internas para a interface de gerenciamento (nlp_int_tap).

      > show route

    Validating Route on FTD

      > show nat

    NAT Config on FTD for Management Traffic

    Verificar as estatísticas de conexão e de encapsulamento

      > show running-config sftunnel

    Running Config for Sftunnel

    warning-icon

    aviso: Durante todo o processo de alteração do acesso do gestor, abster-se-á de suprimir o gestor no FTD ou de cancelar o registro/forçar a supressão do FTD no FMC.

    Informações Relacionadas

    Histórico de revisões

    Revisão Data de publicação Comentários
    2.0
    12-Aug-2025
    Formatação atualizada. Recertificação
    1.0
    18-Jul-2024
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Saikumar Boinpally
      Engenheiro de consultoria técnica de segurança

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos