设备设置

添加设备后,您可以在设备 (Device) 页面上编辑与设备相关的设置。

  1. 选择设备 > 设备管理

  2. 在要修改的设备名单旁,点击 编辑 (编辑图标)

  3. 点击设备 (Device)

编辑常规设置

设备 (Device) 页面上的 常规 (General) 部分会显示下表所述信息。

图 1. 常规
常规
表 1. “常规”(General) 部分表字段

字段

说明

名称

管理中心上的设备的显示名称。

传输数据包

显示托管设备是否将数据包数据随事件一起发送到 管理中心

故障排除

可用于生成和下载故障排除文件,还可查看 CLI 命令输出。请参阅生成故障排除文件查看 CLI 输出

模式

显示设备的管理接口的模式:路由透明

合规模式

显示设备的安全认证合规性。有效值为 CC、UCAPL 和 None。

性能配置文件

这将显示设备的核心分配性能配置文件,如平台设置策略中所配置。

TLS 加密加速:

显示 TLS 加密加速是已启用还是已禁用。

设备配置

允许您复制、导出或导入配置。请参阅将配置复制到另一台设备导出和导入设备配置

载入方法

显示设备是使用注册密钥还是使用序列号注册的 (零接触调配)。

您可以在此部分编辑其中一些设置。

过程


步骤 1

选择 设备 > 设备管理。 

步骤 2

在要修改的设备名单旁,点击 编辑 (编辑图标)

步骤 3

点击设备 (Device)。 

步骤 4

常规 (General) 部分中,点击 编辑 (编辑图标)。 

  1. 输入托管设备的名称 (Name)。 

  2. 选择转换数据包 (Transfer Packets) 复选框以允许数据包数据随事件一起存储在 管理中心 上。

  3. 点击强制部署 (Force Deploy) 以强制将当前策略和设备配置部署到设备。 

     

    强制部署比常规部署需要更多时间,因为它涉及要在 威胁防御上部署的策略规则的完整生成。

步骤 5

有关 故障排除 操作,请参阅 生成故障排除文件查看 CLI 输出

步骤 6

有关设备配置 操作,请参阅将配置复制到另一台设备导出和导入设备配置

步骤 7

点击部署 (Deploy)。 


下一步做什么

生成故障排除文件

您可以在每个设备以及所有集群节点生成和下载故障排除文件。对于集群,您可以将所有文件下载为一个压缩文件。您还可以为集群节点添加集群的集群日志。

您也可以从设备 (Devices) > 设备管理 (Device Management) > 更多 (更多图标) > 故障排除文件 (Troubleshoot Files) 菜单中触发文件生成。

过程


步骤 1

选择 设备 > 设备管理。 

步骤 2

点击要查看的设备旁边的 编辑 (编辑图标)。 

在多域部署中,如果您不在枝叶域中,则系统会提示您切换。

步骤 3

点击 设备集群

步骤 4

为设备或所有集群节点生成日志。

  1. 常规 > 故障排除 部分,点击 日志

    图 2. 日志
    日志
  2. 系统会提示您选择要包括的日志。对于集群,在 设备下,您可以选择 所有设备 或单个节点。集群还具有可用的 集群日志

    图 3. 生成故障排除文件
    生成故障排除文件
  3. 点击生成 (Generate)

步骤 5

要下载生成的日志,请在 常规 > 故障排除 部分,点击 下载

图 4. 下载
下载

日志将下载到您的计算机。


查看 CLI 输出

您可以查看一组预定义的 CLI 输出,帮助您排除设备或集群的故障。您还可以输入任何 show 命令并查看输出。

对于设备,执行以下命令:

  • show version

  • show asp drop

  • show counters

  • show int ip brief

  • show blocks

  • show cpu detailed

对于集群或集群节点:

  • show running-config cluster

  • show cluster info

  • show cluster info health

  • show cluster info transport cp

  • show version

  • show asp drop

  • show counters

  • show arp

  • show int ip brief

  • show blocks

  • show cpu detailed

  • show interface ccl_interface

  • ping ccl_ip size ccl_mtu repeat 2

  • show nve

  • show route

  • show tech-support

过程


步骤 1

选择 设备 > 设备管理。 

步骤 2

点击要查看的设备旁边的 编辑 (编辑图标)。 

在多域部署中,如果您不在枝叶域中,则系统会提示您切换。

步骤 3

点击 设备集群。 

步骤 4

常规 > 故障排除 部分,点击 CLI

图 5. CLI
CLI

系统将显示 CLI 故障排除 对话框,其中包含已执行的预定义 CLI。

图 6. CLI 故障排除
CLI 故障排除

步骤 5

CLI 故障排除 对话框中,您可以执行以下任务。

  • 命令 字段中输入 show 命令,然后点击 执行。新的命令输出将添加到窗口中。

  • 点击 刷新 以重新运行预定义的 CLI。

  • 点击 复制 以将输出复制到剪贴板上。

  • 对于集群,请从 设备 下拉列表中选择其他节点。

步骤 6

点击关闭 (Close)


将配置复制到另一台设备

在网络中部署新设备时,可以直接复制预配置设备上的配置和策略,而无需手动重新配置新设备。

开始之前

确认:

  • 源和目标 威胁防御 设备型号相同并运行同一版本的软件。

  • 源设备为独立 Cisco Secure Firewall Threat Defense设备或 Cisco Secure Firewall Threat Defense高可用性对。

  • 目标设备为独立 威胁防御设备。

  • 源和目标 威胁防御设备具有相同数量的物理接口。

  • 源和目标 威胁防御设备的防火墙模式相同 - 路由或透明。

  • 源和目标 威胁防御设备的安全认证合规性模式相同。

  • 源和目标 威胁防御设备在同一域中。

  • 源或目标 威胁防御设备上未在进行配置部署。

过程


步骤 1

选择设备 > 设备管理

步骤 2

在要修改的设备名单旁,点击 编辑 (编辑图标)

步骤 3

点击 设备

步骤 4

常规部分中,执行以下操作之一:

  • 点击 获取设备配置 (获取设备配置图标) 以将设备配置从其他设备复制到新设备。在获取设备配置页面中,从选择设备下拉列表中选择源设备。
  • 点击 推送设备配置 (推送设备配置图标) 以将设备配置从当前设备复制到新设备。在 推送设备配置 页面上,从 目标设备下拉列表中选择复制配置的目标设备。

步骤 5

(可选)选中包括共享策略配置 (Include shared policies configuration) 复选框以复制策略。

共享策略(例如访问控制策略、NAT、平台设置和 FlexConfig 策略)可在多个设备之间共享。

步骤 6

点击确定 (OK)

您可以在消息中心中的 任务 (Tasks) 监控复制设备配置任务的状态。


复制设备配置任务发起后,便会擦除目标设备上的配置,并将源设备的配置复制到目标设备。

警告


完成复制设备配置任务后,无法将目标设备还原为其原始配置。

导出和导入设备配置



  • 共享策略和设备策略不支持在本地 管理中心云交付的防火墙管理中心 (cdFMC) 之间导出和导入设备配置。

  • 如果在不同的丢弃中为策略更改了基础模型,则丢弃版本不支持 cdFMC 的导出和导入。

  • 只有当设备 UUID、型号和版本相同时,才支持导出和导入设备配置。


您可以导出设备页面上可配置的所有设备特定配置,包括:

  • 接口

  • 内联集

  • 路由

  • DHCP

  • VTEP

  • 关联对象

然后,您可以在以下使用案例中为同一设备导入已保存的配置:

  • 将设备移动到其他 管理中心 — 首先从原始 管理中心 取消注册设备,然后将设备添加到新的 管理中心。然后,您可以导入保存的配置。

  • 在域之间移动设备 - 在域之间移动设备时,不会保留某些设备特定的配置,因为新域中不存在支持对象(例如安全区域的接口组)。通过在域移动后导入配置,将为该域创建任何必要的对象,并恢复设备配置。

  • 恢复旧配置 - 如果部署的更改会对设备的运行产生负面影响,则可以导入已知工作配置的备份副本,以恢复以前的运行状态。

  • 重新注册设备 - 如果从 管理中心取消注册设备,但随后想要重新添加,则可以导入已保存的配置。

请参阅以下准则:

  • 您只能将配置导入到同一设备(UUID 必须匹配)。您无法将配置导入到其他设备,即使是同一型号也是如此。

  • 请勿在导出和导入的间隙更改设备上运行的版本;版本必须匹配。

  • 将设备移至其他 管理中心 时,目标 管理中心 版本必须与源版本相同。

  • 如果对象不存在,系统将创建该对象。如果对象存在,但值不同,请参阅下文:

    表 2. 对象导入操作

    场景

    导入操作

    存在具有相同名称的对象。

    重用现有对象。

    存在名称相同但值不同的对象。

    网络和端口对象:为此设备创建对象覆盖。请参阅对象覆盖

    接口对象:创建新对象。例如,如果类型(安全区域或接口组)和接口类型(例如,路由或交换)不匹配,则会创建新对象。

    所有其他对象:即使值不同,也可重复使用现有对象。

    对象不存在。

    创建新对象。

过程


步骤 1

选择设备 > 设备管理

步骤 2

在要编辑的设备旁边,点击 编辑 (编辑图标)

步骤 3

点击 设备

步骤 4

导出配置。

  1. 常规 (General) 区域,点击导出 (Export)

    图 7. 导出设备配置
    到处设备配置

    系统将提示您确认导出;点击确定 (OK)

    图 8. 确认导出
    确认导出

    您可以在任务 (Tasks) 页面中查看导出进度。

  2. 通知 (Notifications) > 任务 (Tasks) 页面上,确保导出已完成;点击下载导出包 (Download Export Package)。或者,您可以点击常规 (General) 区域中的下载 (Download) 按钮。

    图 9. 导出任务
    导出任务

    系统将提示您下载软件包;点击点击此处下载软件包 (Click here to download the package) 以本地保存文件,然后点击确认 (OK) 以退出对话框。

    图 10. 下载软件包
    下载软件包

步骤 5

导入配置。

  1. 常规 (General) 区域中,点击导入 (Import)

    图 11. 导入设备配置
    导入设备配置

    系统将提示您确认将替换当前配置。点击是 (Yes),然后导航到配置包(使用后缀 .sfo;请注意,此文件与备份/恢复文件不同)。

    图 12. 导入软件包
    导入软件包
    图 13. 导航至软件包
    导航至软件包

    系统将提示您确认导入;点击确认 (OK)

    图 14. 确认导入
    确认导入

    您可以在任务 (Tasks) 页面中查看导入进度。

  2. 查看导入报告,以便查看导入的内容。在导入任务的通知 (Notifications) > 任务 (Tasks) 页面上,点击查看导入报告 (View Import Report)

    图 15. 查看导入报告
    查看导入报告

    设备配置导入报告 (Device Configuration Import Reports) 页面提供可用报告的链接。


编辑许可证设置

设备 (Device) 页面的许可证 (License) 部分显示为设备启用的许可证。

如果在管理中心上有可用的许可证,则可以启用设备上的许可证。

过程


步骤 1

选择设备 > 设备管理

步骤 2

在要启用或禁用许可证的设备旁边,点击 编辑 (编辑图标)

步骤 3

点击设备

步骤 4

许可证 (License) 部分中,点击 编辑 (编辑图标)

步骤 5

选中或取消选中要为托管设备启用或禁用的许可证旁边的复选框。

步骤 6

点击保存 (Save)


下一步做什么

查看系统信息

设备 (Device) 页面的“系统”(System) 部分显示只读系统信息表,如下表中所述。

也可以关闭或重新启动设备。

图 16. 系统
系统
图 17. 设备清单详细信息
库存详细信息
表 3. 系统部分表字段

字段

说明

关闭设备 (关闭设备图标)

关闭设备。请参阅关闭或重新启动设备

重启设备 (重启设备图标)

重新启动设备。请参阅关闭或重新启动设备

型号

托管设备的型号名称和编号。

序列号

托管设备的机箱的序列号。

时间

设备的当前系统时间。

时区

显示时区。

版本

托管设备上当前安装的软件版本。

时间型规则的时区设置:

设备的当前系统时间,以设备平台设置中指定的时区为准。

设备清单

查看设备资产的链接:风扇、内存、CPU、电源、存储和网络模块。

编辑运行状况设置

设备 (Device) 页面上的运行状况 (Health) 部分显示下表所述信息。

表 4. 运行状况部分表字段

字段

说明

状态

一个代表设备当前运行状况的图标。点击该图标将显示设备 的“运行状况监控器”(Health Monitor)。

策略

一个指向当前部署在设备 上的运行状况策略的只读版本的链接。

已排除

一个指向运行状况排除 (Health Exclude) 页面 的链接,您可以在该页面上启用和禁用运行状况排除模块。

编辑管理设置

您可以在管理 (Management) 区域中编辑管理设置。

更新管理中心中的主机名或 IP 地址

如果您在将设备的主机名或 IP 地址添加到 管理中心 后,对其进行编辑(例如使用设备的 CLI),可能需要使用以下操作步骤手动更新管理 管理中心 上的主机名或 IP 地址。

更改设备管理 IP 地址的步骤,请参阅 在 CLI 中修改 威胁防御 管理接口

如果您在注册设备时仅使用了 NAT ID,则该 IP 在此页面上显示为 NO-IP ,您无需更新 IP 地址/主机名。

如果您使用零接触调配在外部接口上注册设备,则会自动生成主机名以及匹配的 DDNS 配置;在这种情况下,您无法编辑主机名。

过程


步骤 1

选择设备 > 设备管理

步骤 2

在要修改管理选项的设备旁边,点击 编辑 (编辑图标)

步骤 3

点击设备 (Devices),并查看管理 (Management) 区域。

步骤 4

点击滑块暂时禁用管理,使其处于禁用状态 滑块已禁用 (滑块已禁用)

图 18. 禁用管理
禁用管理

系统将提示您继续禁用管理;点击

禁用管理会阻止 管理中心 和设备之间的连接,但不会管理中心 取消注册设备。

步骤 5

通过点击 编辑 (编辑图标) 来编辑远程主机地址 IP 地址和可选辅助地址(使用冗余数据接口时)或主机名。

图 19. 编辑管理地址
编辑管理地址

步骤 6

管理 (Management) 对话框中,在远程主机地址 (Remote Host Address) 字段和可选的辅助地址 (Secondary Address) 字段中修改名称或 IP 地址,然后点击保存 (Save)

有关使用辅助管理器访问数据接口的信息,请参阅配置冗余管理器访问数据接口

图 20. 管理 IP 地址
管理 IP 地址

步骤 7

点击滑块重新启用管理,使其处于启用状态 滑块已启用 (滑块已启用)

图 21. 启用管理连接
启用管理连接

更改管理中心和威胁防御 IP 地址

如果需要将 管理中心威胁防御 IP 地址移至新网络,则可能需要同时更改这些地址。

过程


步骤 1

禁用管理连接。

对于高可用性对或集群,在所有设备上执行这些步骤。

  1. 选择设备 > 设备管理

  2. 点击设备旁边的 编辑 (编辑图标)

  3. 点击设备 (Devices),并查看管理 (Management) 区域。

  4. 点击滑块暂时禁用管理,使其处于禁用状态 (滑块已禁用)

    图 22. 禁用管理
    禁用管理

    系统将提示您继续禁用管理;点击

步骤 2

管理中心 中的设备 IP 地址更改为新的设备 IP 地址。

稍后您将更改设备上的 IP 地址。

对于高可用性对或集群,在所有设备上执行这些步骤。

  1. 通过点击 编辑 (编辑图标) 来编辑远程主机地址 IP 地址和可选辅助地址(使用冗余数据接口时)或主机名。

    图 23. 编辑管理地址
    编辑管理地址
  2. 管理 (Management) 对话框中,在远程主机地址 (Remote Host Address) 字段和可选的辅助地址 (Secondary Address) 字段中修改名称或 IP 地址,然后点击保存 (Save)

    图 24. 管理 IP 地址
    管理 IP 地址

步骤 3

请更改 管理中心 IP 地址。

小心

 

对所连接的 管理中心 接口进行更改时要保持谨慎;如果由于配置错误而无法重新连接,则需要访问 管理中心 控制台端口以重新配置 Linux 外壳中的网络设置。您必须与思科 TAC 联系,以获取有关执行此项操作的指导。

  1. 选择 系统 (系统齿轮图标) > 配置,然后选择管理接口

  2. 接口区域中,点击要配置的接口旁边的编辑

  3. 更改 IP 地址,然后点击保存 (Save)

步骤 4

更改设备上的管理器 IP 地址。

对于高可用性对或集群,在所有设备上执行这些步骤。

  1. 威胁防御 CLI 中,查看 管理中心 标识符。

    show managers

    示例:

    
    > show managers
    Type                      : Manager
    Host                      : 10.10.1.4
    Display name              : 10.10.1.4
    Identifier                : f7ffad78-bf16-11ec-a737-baa2f76ef602
    Registration              : Completed
    Management type           : Configuration
     
  2. 编辑 管理中心 IP 地址或主机名。

    configure manager edit 标识符 {hostname {ip_address | hostname} | displayname display_name}

    如果 管理中心 最初由 DONTRESOLVE 和 NAT ID 标识,则可以使用此命令将该值更改为主机名或 IP 地址。不能将 IP 地址或主机名更改为 DONTRESOLVE

    示例:

    
    > configure manager edit f7ffad78-bf16-11ec-a737-baa2f76ef602 hostname 10.10.5.1
    
    

步骤 5

在控制台端口更改管理器访问接口的 IP 地址。

对于高可用性对或集群,在所有设备上执行这些步骤。

如果您使用专用管理接口:

configure network ipv4

configure network ipv6

如果您使用专用管理接口:

configure network management-data-interface disable

configure network management-data-interface

步骤 6

点击滑块重新启用管理,使其处于启用状态 (滑块已启用)

对于高可用性对或集群,在所有设备上执行这些步骤。

图 25. 启用管理连接
启用管理连接

步骤 7

(如果使用数据接口进行管理器访问)刷新 管理中心中的数据接口设置。

对于高可用性对,请在两台设备上执行此步骤。

  1. 选择设备 (Devices) > 设备管理 (Device Management) > 设备 (Device) > 管理 (Management) > 管理访问权限 - 配置详细信息 (Manager Access - Configuration Details),然后点击刷新 (Refresh)

  2. 选择设备 (Devices) > 设备管理 (Device Management) > 接口 (Interfaces),然后设置 IP 地址以便与新地址匹配。

  3. 返回管理器访问 - 配置详细信息 (Manager Access - Configuration Details) 对话框,然后点击确认 (Acknowledge) 以删除部署块。

步骤 8

确保管理连接已重新建立。

管理中心 中,在 设备 (Devices) > 设备管理 (Device Management) > 设备 (Device) > 管理 (Management) > 管理器访问 - 配置详细信息 (Manager Access - Configuration Details) > 连接状态 (Connection Status) 页面上检查管理连接状态。

威胁防御 CLI,输入 sftunnel-status-brief 命令以查看管理连接状态。

以下状态显示数据接口成功连接,显示内部“ tap_nlp”接口。

图 26. 连接状态
连接状态

步骤 9

(对于高可用性 管理中心 对)在辅助 管理中心上重复配置更改。

  1. 更改辅助 管理中心 IP 地址。

  2. 在两台设备上指定新的对等地址。

  3. 将辅助设备设置为主用设备。

  4. 禁用设备管理连接。

  5. 更改 管理中心 中的设备 IP 地址。

  6. 重新启用管理连接。


将管理器访问接口从管理更改为数据

你可以从专门的管理界面,或从数据界面管理 威胁防御。如果要在添加设备转至 管理中心 后更改管理器访问接口,请按照以下步骤从管理接口迁移到数据接口。要迁移另一个方向,请参阅将管理器访问接口从数据更改为管理

启动从管理到数据的管理器访问迁移会导致 管理中心 在部署到 威胁防御 时应用阻止。要删除数据块,请在数据接口上启用管理器访问。

请参阅以下步骤以启用数据接口上的管理器访问,并配置其他所需的设置。

开始之前

对于高可用性对,除非另有说明,否则请仅在主用设备上执行所有步骤。一旦配置更改被部署,备用设备会同步主用设备的配置和其他状态信息。

过程


步骤 1

初始化接口迁移。

  1. 设备 (Devices) > 设备管理 (Device Management) 页面,然后点击设备的 编辑 (编辑图标)

  2. 转到设备 (Device) > 管理 (Management) 部分,然后点击管理器访问接口 (Manager Access Interface) 的链接。

    管理器访问接口 (Manager Access Interface) 字段会显示当前管理接口。当您点击链接时,在 管理设备依据 下拉列表中选择新接口类型 数据接口

    图 27. 管理器访问接口
    管理器访问接口
  3. 点击 确定 (OK) ,然后点击 关闭 (Close)。

    您现在必须完成此程序中的其余步骤,才能在数据接口上启用管理器访问。管理 (Management) 区域现在会显示管理器访问接口:数据接口 (Manager Access Interface: Data Interface) 以及管理器访问详细信息:配置 (Manager Access Details: Configuration)

    图 28. 管理器访问
    管理器访问

    如果点击配置 (Configuration),将打开管理器访问 - 配置详细信息 (Manager Access - Configuration Details) 对话框。管理器访问模式 (Manager Access Mode) 将显示“等待部署” (Deploy pending) 状态。

步骤 2

设备 (Devices) > 设备管理 (Device Management) > 接口 (Interfaces) > 编辑物理接口 (Edit Physical Interface) > 管理器访问 (Manager Access) 页面上启用数据接口上的管理器访问。

选中启用管理访问 (Enable management access),然后点击确定 (OK)。默认情况下,系统允许所有网络,但您可以在允许 管理中心 地址的情况下限制访问。

如果管理器访问接口使用静态 IP 地址,系统会提醒您为其配置路由。

接口 (Interfaces) 页面上点击保存 (Save)有关接口设置的详细信息,请参阅配置路由模式接口您可在一个数据接口以及一个可选的辅助接口上启用管理器访问。确保这些接口使用名称和 IP 地址进行了充分配置,并且已启用。

如果使用辅助接口实现冗余,请参阅配置冗余管理器访问数据接口以了解其他所需的配置。

步骤 3

(可选) 如果对接口使用DHCP,请在 设备 > 设备管理 > DHCP > DDNS 页面上启用 Web 类型 DDNS 方法。

请参阅配置动态 DNS如果 FTD 的 IP 地址发生变化,DDNS 可确保 管理中心 接通完全限定域名 (FQDN) 内的 威胁防御

步骤 4

确保 威胁防御 可以通过数据接口路由到 管理中心;如果需要,在 设备 (Devices) > 设备管理 (Device Management) > 路由 (Routing) > 静态路由 (Routing)上添加静态路由。

请参阅添加静态路由

步骤 5

(可选) 在平台设置策略中配置 DNS,并将其应用到位于 设备 > 平台设置 > DNS的此设备。

请参阅DNS如果使用 DDNS,则需要 DNS。您也可以将 DNS 用于安全策略中的 FQDN。

步骤 6

(可选) 在平台设置策略中为数据接口启用 SSH,并通过 设备 > 平台设置 > 安全外壳将其应用于此设备。

请参阅SSH 访问默认情况下,数据接口上未启用 SSH,因此,如果要使用 SSH 管理 威胁防御,则需要明确允许它。

步骤 7

部署配置更改;请参阅 部署配置更改

您将看到一条验证错误,要求您确认更改是否更改了管理器访问接口。选中忽略警告 (Ignore warnings) 并再次部署。

管理中心 将通过当前管理接口部署配置更改。部署后,数据接口现在可供使用,但与管理的原始管理连接仍处于活动状态。

步骤 8

威胁防御 CLI(最好从控制台端口),将管理接口设置为使用静态 IP 地址,并将网关设置为使用数据接口。 对于高可用性,请在两台设备上执行此步骤。

configure network {ipv4 | ipv6} manual ip_地址网络掩码 data-interfaces

  • ip_address netmask - 虽然您不打算使用管理接口,但必须设置静态IP地址,例如专用地址,以便将网关设置为 数据接口(请参阅下一个项目符号)。您无法使用 DHCP,因为默认路由(必须是 数据接口)可能会被从 DHCP 服务器收到的路由覆盖。

  • data-interfaces - 此设置将在背板上转发管理流量,因此可路由通过管理器访问数据接口。

我们建议您使用控制台端口而不是 SSH 连接,因为当您更改管理接口网络设置时,您的 SSH 会话将断开。

步骤 9

如有必要,请重新连接 威胁防御,使其能够到达数据接口上的 管理中心 对于高可用性,请在两台设备上执行此步骤。

步骤 10

管理中心 中,禁用管理连接,在设备 (Devices) > 设备管理 (Device Management) > 设备 (Device) > 管理 (Management) 部分中更新 威胁防御远程主机地址 (Remote Host Address)IP 地址 (IP address) 和可选辅助地址 (Secondary Address),然后重新启用连接。

请参阅更新管理中心中的主机名或 IP 地址。如果在将 威胁防御 添加到 管理中心 时使用了 威胁防御 主机名或仅使用了 NAT ID,则不需要更新该值;但是,您需要禁用并重新启用管理连接才能重新启动连接。

步骤 11

确保管理连接已重新建立。

管理中心 中,在 设备 (Devices) > 设备管理 (Device Management) > 设备 (Device) > 管理 (Management) > 管理器访问 - 配置详细信息 (Manager Access - Configuration Details) > 连接状态 (Connection Status) 页面上检查管理连接状态。

威胁防御 CLI,输入 sftunnel-status-brief 命令以查看管理连接状态。

以下状态显示数据接口成功连接,显示内部“ tap_nlp”接口。

图 29. 连接状态
连接状态

如果重新建立连接需要 10 分钟以上,则应排除连接故障。请参阅排除数据接口上的管理连接故障


将管理器访问接口从数据更改为管理

你可以从专门的管理界面,或从数据界面管理 威胁防御。如果要在添加设备到 管理中心 后更改管理器访问接口,请按照以下步骤从数据接口迁移到管理接口。要迁移另一个方向,请参阅将管理器访问接口从管理更改为数据

启动从数据到管理的管理器访问迁移会导致 管理中心 在部署到 威胁防御 时应用阻止。您必须在数据接口上禁用管理器访问权限才能删除数据块。

请参阅以下步骤以禁用数据接口上的管理器访问,并配置其他所需的设置。

开始之前

对于高可用性对,除非另有说明,否则请仅在主用设备上执行所有步骤。一旦配置更改被部署,备用设备会同步主用设备的配置和其他状态信息。

过程


步骤 1

初始化接口迁移。

  1. 设备 (Devices) > 设备管理 (Device Management) 页面,然后点击设备的 编辑 (编辑图标)

  2. 转到设备 (Device) > 管理 (Management) 部分,然后点击管理器访问接口 (Manager Access Interface) 的链接。

    管理器访问接口 (Manager Access Interface) 字段会将当前管理接口显示为数据。点击链接时,在 管理设备依据 下拉列表中选择新接口类型, 管理接口

    图 30. 管理器访问接口
    管理器访问接口
  3. 点击保存 (Save)

    点击确定 (OK) ,然后点击关闭 (Close)。

    您现在必须完成此程序中的其余步骤,才能在管理接口上启用管理器访问。管理 (Management) 区域现在会显示管理器访问接口:管理接口 (Manager Access Interface: Management Interface)

    图 31. 管理器访问
    管理器访问

步骤 2

设备 (Devices) > 设备管理 (Device Management) > 接口 (Interfaces) > 编辑物理接口 (Edit Physical Interface) > 管理器访问 (Manager Access) 页面上禁用数据接口上的管理器访问。

取消选中启用管理访问 (Enable management access) ,然后点击确定 (OK)。在接口 (Interfaces) 页面上点击保存 (Save)。此步骤将删除部署时的阻止。

步骤 3

如果尚未执行此操作,请在“平台设置”策略中为数据接口配置 DNS 设置,然后在 设备 > 平台设置 > DNS上将其应用至设备。

请参阅DNS在数据接口上禁用管理器访问的 管理中心 部署将删除任何本地 DNS 配置。如果该 DNS 服务器用于任何安全策略,例如访问规则中的 FQDN,则必须使用 管理中心 重新应用 DNS 配置。

步骤 4

部署配置更改;请参阅 部署配置更改

管理中心 通过当前数据接口部署配置更改。

步骤 5

如有必要,请重新连接 威胁防御,以便它可以到达管理接口上的 管理中心 对于高可用性,请在两台设备上执行此步骤。

步骤 6

威胁防御 CLI 中,使用静态 IP 地址或 DHCP 配置管理接口 IP 地址和网关。 对于高可用性,请在两台设备上执行此步骤。

当您最初配置用于管理器访问的数据接口时,管理网关设置为 data-interfaces,它通过背板转发管理流量,以便可以通过管理器访问数据接口路由。您现在需要为管理网络上的网关设置 IP 地址。

静态 IP 地址:

configure network {ipv4 | ipv6} manual ip_address netmask gateway_ip

DHCP:

configure network{ipv4 | ipv6} dhcp

步骤 7

管理中心 中,禁用管理连接,在设备 (Devices) > 设备管理 (Device Management) > 设备 (Device) > 管理 (Management) 部分中更新 威胁防御远程主机地址 (Remote Host Address)IP 地址 (IP address) 和可选辅助地址 (Secondary Address),然后重新启用连接。

请参阅更新管理中心中的主机名或 IP 地址。如果在将 威胁防御 添加到 管理中心 时使用了 威胁防御 主机名或仅使用了 NAT ID,则不需要更新该值;但是,您需要禁用并重新启用管理连接才能重新启动连接。

步骤 8

确保管理连接已重新建立。

管理中心 中,检查设备 (Devices) > 设备管理 (Device Management) > 设备 (Device) > 管理 (Management) > 状态 (Status)字段上的管理连接状态或查看 管理中心 中的通知。

威胁防御 CLI,输入 sftunnel-status-brief 命令以查看管理连接状态。

如果重新建立连接需要 10 分钟以上,则应排除连接故障。请参阅排除数据接口上的管理连接故障


配置冗余管理器访问数据接口

在使用数据接口进行管理器访问时,您可以配置辅助数据接口,以便在主接口发生故障时接管管理功能。您只能配置一个辅助接口。设备会使用 SLA 监控来跟踪包含两个接口的静态路由和 ECMP 区域的可行性,以便管理流量可以使用这两个接口。

不支持高可用性。

开始之前

过程


步骤 1

设备 (Devices) > 设备管理 (Device Management) 页面,然后点击设备的 编辑 (编辑图标)

步骤 2

启用对辅助接口的管理器访问。

此设置是标准接口设置(例如启用接口、设置名称、设置安全区域和设置静态 IPv4 地址)的补充。

  1. 选择接口 (Interfaces) > 编辑物理接口 (Edit Physical Interface) > 管理器访问 (Manager Access)

  2. 选中在此接口上为管理器启用管理 (Enable management on this interface for the Manager)

  3. 点击确定 (OK)

两个接口都会在列表中显示(管理器访问)

图 32. 接口列表
接口列表

步骤 3

将辅助地址添加到管理 (Management) 设置。

  1. 点击设备 (Devices),并查看管理 (Management) 区域。

  2. 点击编辑 (编辑图标)

    图 33. 编辑管理地址
    编辑管理地址
  3. 管理 (Management) 对话框中,在辅助地址 (Secondary Address) 字段中修改名称或 IP 地址

    图 34. 管理 IP 地址
    管理 IP 地址
  4. 点击保存 (Save)

步骤 4

通过两个接口创建 ECMP 区域。

  1. 点击路由

  2. 从虚拟路由器下拉列表中,选择主接口和辅助接口所在的虚拟路由器。

  3. 点击 ECMP,然后点击添加 (Add)

  4. 为 ECMP 区域输入一个名称

  5. 可用接口 (Available Interfaces) 框下选择主和辅助接口,然后点击添加 (Add)

    图 35. 添加 ECMP 区域
    添加 ECMP 区域
  6. 点击确定 (OK),然后点击保存 (Save)

步骤 5

为两个接口添加等价默认静态路由,并在两个接口上启用 SLA 跟踪。

除网关外,路由应完全相同,并且都应具有指标 1。主接口应已具有您可以编辑的默认路由。

图 36. 添加/编辑静态路由
添加/编辑静态路由
  1. 点击静态路由 (Static Route)

  2. 点击添加路由 (Add Route) 以添加新路由,或点击现有路由的 编辑 (编辑图标)

  3. 接口 (Interface) 下拉列表中选择接口。

  4. 对于目标网络,从可用网络 (Available Networks) 框中选择 any-ipv4,然后点击添加 (Add)

  5. 输入默认网关

  6. 对于路由跟踪 (Route Tracking),请点击 添加 (添加图标) 以添加新的 SLA 监控器对象。

  7. 输入以下必需参数:

    • 作为 管理中心 IP 地址的监控地址

    • 可用区域 (Available Zones) 中的主要或辅助管理接口的区域;例如,为主接口对象选择外部区域,为辅助接口对象选择管理区域。

    有关详细信息,请参阅SLA 监控器

    图 37. 添加 SLA 监控
    添加 SLA 监控
  8. 点击保存 (Save),然后在路由跟踪 (Route Tracking) 下拉列表中选择您刚创建的 SLA 对象。

  9. 点击确定 (OK),然后点击保存 (Save)

  10. 对另一个管理接口的默认路由重复此操作。

步骤 6

部署配置更改;请参阅 部署配置更改

作为此功能部署的一部分,管理中心 会为管理流量启用辅助接口,包括用于管理流量的自动生成的策略型路由配置,以到达正确的数据接口。管理中心 还会部署 configure network management-data-interface 命令的第二个实例。请注意,如果在 CLI 中编辑辅助接口,您将无法配置网关或以其他方式更改默认路由,因为只能在 管理中心 中编辑此接口的静态路由。


查看数据接口管理的管理器访问详细信息

型号支持-威胁防御

当使用数据接口进行 管理中心 管理而不是使用专用管理接口时,必须注意在 管理中心 中更改设备的接口和网络设置,以免中断连接。您也可以在设备上本地更改数据接口设置,这就要求您在 管理中心 中手动协调这些更改。设备 (Devices) > 设备管理 (Device Management) > 设备 (Device) > 设备管理 (Management) > 管理器访问 + 配置详细信息 (Manager Access - Configuration Details) 对话框可帮助您解决 管理中心威胁防御 本地配置之间的任何差异。

通常,在将 威胁防御 添加到 管理中心 之前,您可以作为初始 威胁防御 设置的一部分来配置管理器访问数据接口。当您将 威胁防御 添加到 管理中心时, 管理中心 会发现并维护接口配置,包括以下设置:接口名称和 IP 地址、网关静态路由、DNS 服务器和 DDNS 服务器。对于 DNS 服务器,如果在注册期间发现了它,则在本地维护配置,但不会将其添加到 管理中心 中的平台设置策略。

威胁防御 添加到 管理中心 后,如果使用 configure network management-data-interface 命令在 威胁防御 上本地更改数据接口设置,则 管理中心 会检测到配置更改,并阻止部署到 威胁防御管理中心 会使用以下方法之一来检测配置更改:

  • 部署到 威胁防御。在部署 管理中心 之前,它将检测配置差异并停止部署。

  • 接口 (Interfaces) 页面中的同步 (Sync) 按钮。

  • 管理器访问 - 配置详细信息 (Manager Access - Configuration Details) 对话框上的刷新 (Refresh) 按钮

要删除阻止,您必须转到管理器访问 - 配置详细信息 (Manager Access - Configuration Details) 对话框,然后点击确认 (Acknowledge). 下次部署时,管理中心 配置将覆盖 威胁防御 上任何剩余的冲突设置。在您重新部署之前,您有责任在 管理中心 中手动修复配置。

请参阅此对话框中的以下页面。

配置

查看 管理中心威胁防御 上的管理器访问数据接口的配置对比。

以下示例显示了在 威胁防御 上输入 configure network management-data-interface 命令的位置的 威胁防御 配置详细信息。以粉红色突出显示的内容显示了如果您确认差异但不匹配 管理中心 中的配置,则 威胁防御 配置将被删除。以蓝色突出显示的内容显示了将在 威胁防御 上修改的配置。以绿色突出显示的内容显示了将被添加到 威胁防御 的配置。

以下示例显示在 管理中心中配置接口后的此页面;接口设置匹配,并且已删除粉红色突出显示。

CLI 输出

查看管理器访问数据接口的 CLI 配置,如果您熟悉底层 CLI,这将非常有用。

图 38. CLI 输出
CLI 输出

连接状态

查看管理连接状态。以下示例显示了管理连接仍在使用管理“management0”接口。

图 39. 连接状态
连接状态

以下状态显示数据接口成功连接,显示内部“ tap_nlp”接口。

图 40. 连接状态
连接状态

请参阅以下有关关闭连接的输出示例;没有显示“连接至“信息,也没有显示心跳信息:


> sftunnel-status-brief
PEER:10.10.17.202
Registration: Completed.
Connection to peer '10.10.17.202' Attempted at Mon Jun 15 09:21:57 2020 UTC
Last disconnect time : Mon Jun 15 09:19:09 2020 UTC
Last disconnect reason : Both control and event channel connections with peer went down

请参阅以下关于已建立连接的输出示例,其中显示了对等信道和心跳信息:


> sftunnel-status-brief
PEER:10.10.17.202
Peer channel Channel-A is valid type (CONTROL), using 'eth0', connected to '10.10.17.202' via '10.10.17.222'
Peer channel Channel-B is valid type (EVENT), using 'eth0', connected to '10.10.17.202' via '10.10.17.222'
Registration: Completed.
IPv4 Connection to peer '10.10.17.202' Start Time: Wed Jun 10 14:27:12 2020 UTC
Heartbeat Send Time: Mon Jun 15 09:02:08 2020 UTC
Heartbeat Received Time: Mon Jun 15 09:02:16 2020 UTC

在 CLI 中修改 威胁防御 管理接口

使用 CLI 修改托管设备上的管理接口设置。这些设置中有许多是您在执行初始设置时设置的;此过程允许您更改这些设置,并设置其他设置,例如,启用事件接口(如果您的型号支持)或添加静态路由。



本主题适用于专用管理接口。您也可以为管理配置数据接口。如果要更改该接口的网络设置,则应在 管理中心 中而不是在 CLI 中执行此操作。如果您需要对中断的管理连接进行故障排除,并且需要直接在 威胁防御 上进行更改,请参阅 修改 CLI 中用于管理的 威胁防御 数据接口


有关 威胁防御 CLI 的信息,请参阅Cisco Secure Firewall Threat Defense 命令参考



使用 SSH 时,在对管理接口进行更改时要小心;如果由于配置错误而无法重新连接,您将需要访问设备控制台端口。




如果更改设备管理 IP 地址,请参阅以下有关 管理中心 连接的任务,具体取决于您在初始设备设置期间使用 configure manager add 命令识别 管理中心 的方式(请参阅 向新的管理中心注册

  • IP 地址无操作。如果您使用可访问的IP地址识别 管理中心,则几分钟后会自动重新建立管理连接。我们还建议您更改 管理中心 中显示的设备 IP 地址,以保持信息同步;请参阅 更新管理中心中的主机名或 IP 地址。此操作有助于更快地重新建立连接。注意:如果您指定了无法访问的 管理中心 IP 地址,请参阅下面的 NAT ID 程序。

  • 仅限 NAT ID-手动重新建立连接。如果仅使用 NAT ID 识别 管理中心,则无法自动重新建立连接。在这种情况下,请根据 更新管理中心中的主机名或 IP 地址 更改 管理中心 中的设备管理 IP 地址。




在高可用性 管理中心 配置中,当您从设备 CLI 或 管理中心 修改管理 IP 地址时,即使在 HA 同步后,辅助 管理中心 也不会反映更改。要确保辅助 管理中心 也更新,请在两个 管理中心之间切换角色,使辅助 管理中心 成为主用设备。在当前活动的 管理中心的设备管理页面上修改已注册设备的管理 IP 地址。


开始之前

过程


步骤 1

通过控制台端口或使用 SSH 连接至设备 CLI。

请参阅登录到设备的命令行界面

步骤 2

使用“管理员”(Admin) 用户名和密码登录。

步骤 3

(仅 Firepower 4100/9300/Cisco Secure Firewall 4200)启用第二个管理接口作为仅事件的接口。

configure network management-interface enable management1

configure network management-interface disable-management-channel management1

您始终需要用于管理通信的管理接口。如果您的设备有第二个管理接口,则可以为仅事件流量启用该接口。

您可以选择使用 configure network management-interface disable-events-channel 命令禁用主管理接口的事件。不管是哪种情况,设备都会尝试通过事件专属接口发送事件,如果该接口关闭,那么即使您禁用了事件通道,设备也会通过管理接口发送事件。

无法同时禁用接口上的事件通道和管理通道。

要使用单独的事件接口,您还需要在 管理中心 上启用事件接口。请参阅《Cisco Secure Firewall Management Center 管理指南》

示例:


> configure network management-interface enable management1
Configuration updated successfully

> configure network management-interface disable-management-channel management1
Configuration updated successfully

>

步骤 4

配置管理接口和/或事件接口的 IP 地址:

如果未指定 management_interface 参数,则更改默认管理接口的网络设置。配置事件接口时,请确保指定 management_interface 参数。事件接口可以与管理接口位于不同的网络中,也可以位于同一网络中。如果连接到您正在配置的接口,您将断开连接。您可以重新连接到新 IP 地址。

  1. 配置 IPv4 地址:

    • 手动配置:

      configure network ipv4 manual ip_address netmask gateway_ip [management_interface]

      请注意,此命令中的 门户_ip 用于为设备创建默认路由。如果配置仅事件接口,则必须输入 门户_ip 作为命令的一部分;但是,此条目只是将默认路由配置为您指定的值,并且不会为事件接口创建单独的静态路由。如果您在与管理接口不同的网络上使用仅事件接口,我们建议您设置 门户_ip 以用于管理接口,然后使用 configure network static-routes 命令单独为仅事件接口创建静态路由。

      示例:

      
      > configure network ipv4 manual 10.10.10.45 255.255.255.0 10.10.10.1 management1
      Setting IPv4 network configuration.
      Network settings changed.
      
      >
      
      
    • DHCP(只有默认的管理接口上才支持):

      configure network ipv4 dhcp

  2. 配置 IPv6 地址:

    • 无状态自动配置:

      configure network ipv6 router [management_interface]

      示例:

      
      > configure network ipv6 router management0
      Setting IPv6 network configuration.
      Network settings changed.
      
      >
      
      
    • 手动配置:

      configure network ipv6 manual ip6_address ip6_prefix_length [ip6_gateway_ip] [management_interface]

      请注意,此命令中的 ipv6_gateway_ip 用于为设备创建默认路由。如果配置仅事件接口,则必须输入 ipv6_gateway_ip 作为命令的一部分;但是,此条目只是将默认路由配置为您指定的值,并且不会为事件接口创建单独的静态路由。如果您在与管理接口不同的网络上使用仅事件接口,我们建议您将 ipv6_gateway_ip 设置为与管理接口配合使用,然后使用 configure network static-routes 命令单独为仅事件接口创建静态路由。

      示例:

      
      > configure network ipv6 manual 2001:0DB8:BA98::3210 64 management1
      Setting IPv6 network configuration.
      Network settings changed.
      
      >
      
      
    • DHCPv6(只有默认的管理接口上才支持):

      configure network ipv6 dhcp

步骤 5

对于 IPv6,启用或禁用 ICMPv6 回应应答和目的地不可达消息。默认情况下,系统会启用这些消息。

configure network ipv6 destination-unreachable {enable | disable}

configure network ipv6 echo-reply {enable | disable}

您可能希望禁用这些数据包以防止潜在的拒绝服务攻击。禁用回应应答数据包意味着无法使用 IPv6 ping 到设备管理接口,以进行测试。

示例:


> configure network ipv6 destination-unreachable disable
> configure network ipv6 echo-reply disable

步骤 6

在默认管理接口上启用 DHCP 服务器,以便向已连接的主机提供 IP 地址:

configure network ipv4 dhcp-server-enable start_ip_address end_ip_address

示例:


> configure network ipv4 dhcp-server-enable 10.10.10.200 10.10.10.254
DHCP Server Enabled

>

只有手动设置管理接口 IP 地址时,才能配置 DHCP 服务器。Management Center Virtual上不支持此命令。要显示 DHCP 服务器的状态,请输入 show network-dhcp-server


> show network-dhcp-server
DHCP Server Enabled
10.10.10.200-10.10.10.254

步骤 7

如果 管理中心位于远程网络上,则将为仅事件接口添加静态路由;否则,所有流量都将通过管理接口与默认路由匹配。

configure network static-routes {ipv4 | ipv6} add management_interface destination_ip netmask_or_prefix gateway_ip

对于 默认 路由,请勿使用此命令;当您使用 configure network ipv4 ipv6 命令时,只能更改默认路由网关 IP 地址(请参阅步骤 步骤 4)。

示例:


> configure network static-routes ipv4 add management1 192.168.6.0 255.255.255.0 10.10.10.1
Configuration updated successfully

> configure network static-routes ipv6 add management1 2001:0DB8:AA89::5110 64 2001:0DB8:BA98::3211
Configuration updated successfully

>

要显示静态路由,请输入 show network-static-routes (不显示默认路由):


> show network-static-routes
---------------[ IPv4 Static Routes ]---------------
Interface                 : management1
Destination               : 192.168.6.0
Gateway                   : 10.10.10.1
Netmask                   : 255.255.255.0
[…]

步骤 8

设置主机名:

configure network hostname name

示例:


> configure network hostname farscape1.cisco.com

在重新启动之后,系统日志消息不会反映新的主机名。

步骤 9

选择搜索域:

configure network dns searchdomains domain_list

示例:


> configure network dns searchdomains example.com,cisco.com

为设备设置搜索域,用逗号隔开。如果没有在命令中指定完全限定域名,例如 ping system ,则这些域将添加到主机名中。这些域仅用于管理接口,或通过管理接口的命令。

步骤 10

设置多达 3 个 DNS 服务器,用逗号隔开:

configure network dns servers dns_ip_list

示例:


> configure network dns servers 10.10.6.5,10.20.89.2,10.80.54.3

步骤 11

设置与 管理中心通信的远程管理端口:

configure network management-interface tcpport number

示例:


> configure network management-interface tcpport 8555

管理中心和托管设备使用双向、TLS-1.3 加密的通信通道(默认情况下在端口 8305 上)进行通信。

 

思科强烈建议保留远程管理端口的默认设置,但如果管理端口与网络中的其他通信冲突,可以选择其他端口。如果更改管理端口,则必须在部署中需要相互通信的所有设备上做出该更改。

步骤 12

(仅限 威胁防御)设置管理或事件接口 MTU。默认 MTU 为 1500 字节。

configure network mtu [字节] [interface_id]

  • 字节 -设置 MTU(以字节为单位)。对于管理接口,如果启用 IPv4,则值可以介于 64 和 1500 之间;如果启用 IPv6,则值可以介于 1280 和 1500 之间。对于事件接口,如果启用 IPv4,该值可以介于 64 和 9000 之间;如果启用 IPv6,该值可以介于 1280 和 9000 之间。如果同时启用 IPv4 和 IPv6,则最小值为 1280。如果不输入 字节 ,系统会提示您输入值。

  • interface_id -指定要设置 MTU 的接口 ID。使用 show network 命令查看可用的接口 ID,例如 management0、management1、br1 和 eth0,具体取决于平台。如果未指定接口,则使用管理接口。

示例:

> configure network mtu 8192 management1
MTU set successfully to 1500 from 8192 for management1
Refreshing Network Config...
NetworkSettings::refreshNetworkConfig MTU value at start 8192

Interface management1 speed is set to '10000baseT/Full'
NetworkSettings::refreshNetworkConfig MTU value at end 8192
> 

步骤 13

配置 HTTP 代理。该设备配置为直接连接到互联网上的端口 TCP/443 (HTTPS) 和 TCP/80 (HTTP)。您可以通过 HTTP 摘要对代理服务器进行身份验证。发出命令后,系统将提示您 HTTP 代理地址和端口,是否需要进行代理身份验证,如果需要,还会提示代理用户名、代理密码和代理密码确认。

 
对于 威胁防御 上的代理密码,只能使用 A-Z、a-z 和 0-9 字符。

configure network http-proxy

示例:


> configure network http-proxy
Manual proxy configuration
Enter HTTP Proxy address: 10.100.10.10
Enter HTTP Proxy Port: 80
Use Proxy Authentication? (y/n) [n]: Y
Enter Proxy Username: proxyuser
Enter Proxy Password: proxypassword
Confirm Proxy Password: proxypassword

步骤 14

如果更改设备管理 IP 地址,请参阅以下有关 管理中心 连接的任务,具体取决于您在初始设备设置期间使用 configure manager add 命令识别 管理中心 的方式(请参阅 向新的管理中心注册

  • IP 地址无操作。如果您使用可访问的IP地址识别 管理中心,则几分钟后会自动重新建立管理连接。我们还建议您更改 管理中心 中显示的设备 IP 地址,以保持信息同步;请参阅 更新管理中心中的主机名或 IP 地址。此操作有助于更快地重新建立连接。注意:如果指定了无法访问的 管理中心 IP 地址,则必须使用 更新管理中心中的主机名或 IP 地址 手动重新建立连接。

  • 仅限 NAT ID-手动重新建立连接。如果仅使用 NAT ID 识别 管理中心,则无法自动重新建立连接。在这种情况下,请根据 更新管理中心中的主机名或 IP 地址 更改 管理中心 中的设备管理 IP 地址。


修改 CLI 中用于管理的 威胁防御 数据接口

如果 威胁防御管理中心 之间的管理连接中断,并且您希望指定新的数据接口来替换旧接口,请使用 威胁防御 CLI 配置新接口。此程序假设您要在同一网络上用新接口替换旧接口。如果管理连接处于活动状态,则应使用 管理中心 对现有数据接口进行任何更改。有关数据管理接口的初始设置,请参阅使用 CLI 完成威胁防御初始配置configure network management-data-interface 命令。

对于高可用性对,在两台设备上执行所有 CLI 步骤。在 管理中心中,仅对主用设备执行以下步骤。一旦配置更改被部署,备用设备会同步主用设备的配置和其他状态信息。



本主题适用于为管理配置的数据接口,而不是专用的管理接口。如果要更改管理接口的网络设置,请参阅 在 CLI 中修改 威胁防御 管理接口


有关 威胁防御 CLI 的信息,请参阅Cisco Secure Firewall Threat Defense 命令参考

开始之前

您可以使用 configure user add 命令创建可登录到 CLI 的用户账户;请参阅 在 CLI 中添加内部用户您还可以根据外部身份验证配置 AAA 用户。

过程


步骤 1

如果要将数据管理接口更改为新接口,请将当前接口电缆移至新接口。

步骤 2

连接到设备 CLI。

使用这些命令时,应使用控制台端口。如果您正在执行初始设置,则可能会断开与管理接口的连接。如果由于管理连接中断而正在编辑配置,并且您具有专用管理接口的 SSH 访问权限,则可以使用该 SSH 连接。

请参阅登录到设备的命令行界面

步骤 3

使用“管理员”(Admin) 用户名和密码登录。

步骤 4

禁用接口,以便您重新配置其设置。

configure network management-data-interface disable

示例:


> configure network management-data-interface disable

 Configuration updated successfully..!!


Configuration disable was successful, please update the default route to point to a gateway on management interface using the command 'configure network'

步骤 5

配置用于管理器访问的新数据接口。

configure network management-data-interface

然后,系统会提示您为数据接口配置基本网络设置。

当您将数据管理接口更改为同一网络上的新接口时,请使用与上一个接口相同的设置(接口 ID 除外)。此外,对于 是否希望在应用之前清除所有设备配置?(y/n) [n]: 选项,选择 y。此选项将清除旧的数据管理接口配置,以便您可以成功地在新接口上重新使用IP地址和接口名称。


> configure network management-data-interface
Data interface to use for management: ethernet1/4
Specify a name for the interface [outside]: internet
IP address (manual / dhcp) [dhcp]: manual
IPv4/IPv6 address: 10.10.6.7
Netmask/IPv6 Prefix: 255.255.255.0
Default Gateway: 10.10.6.1
Comma-separated list of DNS servers [none]: 208.67.222.222,208.67.220.220
DDNS server update URL [none]:
Do you wish to clear all the device configuration before applying ? (y/n) [n]: y

Configuration done with option to allow manager access from any network, if you wish to change the manager access network
use the 'client' option in the command 'configure network management-data-interface'.

Setting IPv4 network configuration.
Network settings changed.

>

步骤 6

(可选) 限制在特定网络上通过数据接口访问 管理中心

configure network management-data-interface client ip_address netmask

默认情况下,允许所有网络。

步骤 7

连接将自动重新建立,但在 管理中心 中禁用和重新启用连接将有助于更快地重新建立连接。请参阅更新管理中心中的主机名或 IP 地址

步骤 8

检查管理连接是否已重新建立。

sftunnel-status-brief

请参阅以下关于已建立连接的输出示例,其中显示了对等通道和心跳信息:


> sftunnel-status-brief
PEER:10.10.17.202
Peer channel Channel-A is valid type (CONTROL), using 'eth0', connected to '10.10.17.202' via '10.10.17.222'
Peer channel Channel-B is valid type (EVENT), using 'eth0', connected to '10.10.17.202' via '10.10.17.222'
Registration: Completed.
IPv4 Connection to peer '10.10.17.202' Start Time: Wed Jun 10 14:27:12 2020 UTC
Heartbeat Send Time: Mon Jun 15 09:02:08 2020 UTC
Heartbeat Received Time: Mon Jun 15 09:02:16 2020 UTC

步骤 9

管理中心 中,选择设备 (Devices) > 设备管理 (Device Management) > 设备 (Device) > 管理 (Management) > 管理器访问 - 配置详细信息 (Manager Access - Configuration Details),然后点击刷新 (Refresh)

管理中心 检测接口和默认路由配置更改,并阻止部署到 威胁防御。当您在设备上本地更改数据接口设置时,必须在 管理中心 中手动协调这些更改。您可以在配置 (Configuration) 选项卡上查看 管理中心威胁防御 之间的差异。

步骤 10

选择 设备 > 设备管理 > 接口,然后做作一下更改。

  1. 从旧数据管理接口中删除 IP 地址和名称,并禁用此接口的管理器访问。

  2. 使用旧接口(在 CLI 中使用的接口)的配置配置新的数据管理接口,并为其启用管理器访问。

步骤 11

选择 设备 > 设备管理 > 路由 > 静态路由 ,然后将默认路由从旧数据管理接口更改为新路由。

步骤 12

返回管理器访问 - 配置详细信息 (Manager Access - Configuration Details) 对话框,然后点击确认 (Acknowledge) 以删除部署块。

下次部署时,管理中心 配置将覆盖 威胁防御 上任何剩余的冲突设置。在您重新部署之前,您有责任在 管理中心 中手动修复配置。

您将看到“配置已清除”(Config was cleared) 和“管理器 访问已更改并确认 (Manager/FMC access changed and acknowledged)”的预期消息。


编辑设备上的 管理中心 IP 地址/主机名

如果更改 管理中心 IP 地址或主机名,还应在设备 CLI 中更改值,以便配置匹配。虽然在大多数情况下,无需更改设备上的 管理中心 IP 地址或主机名即可重新建立管理连接,但在至少一种情况下,必须执行此任务才能重新建立连接:将设备添加到 管理中心 并指定仅 NAT ID。即使在其他情况下,我们也建议保持 管理中心 IP 地址或主机名为最新状态,以实现额外的网络恢复能力。

过程


步骤 1

威胁防御 CLI 中,查看 管理中心 标识符。

show managers

示例:


> show managers
Type                      : Manager
Host                      : 10.10.1.4
Display name              : 10.10.1.4
Identifier                : f7ffad78-bf16-11ec-a737-baa2f76ef602
Registration              : Completed
Management type           : Configuration
 

步骤 2

威胁防御 CLI 中,编辑 管理中心 IP 地址或主机名。

configure manager edit 标识符 {hostname {ip_address | hostname} | displayname display_name}

如果 管理中心 最初由 DONTRESOLVE 和 NAT ID 标识,则可以使用此命令将该值更改为主机名或 IP 地址。不能将 IP 地址或主机名更改为 DONTRESOLVE

管理连接将关闭,然后重新建立。您可以使用 sftunnel-status 命令监控连接状态。

示例:


> configure manager edit f7ffad78-bf16-11ec-a737-baa2f76ef602 hostname 10.10.5.1


如果管理中心断开连接,则手动回滚配置

如果将威胁防御上的数据接口用于管理器访问,并从管理中心部署影响网络连接的配置更改,则可以将威胁防御上的配置回滚到上次部署的配置,以便恢复管理连接。然后,您可以调整 管理中心 中的配置设置,以便保持网络连接并重新部署。即使没有丢失连接,也可以使用回滚功能;它不仅限于此故障排除情况。

或者,如果在部署后失去连接,您可以启用配置的自动回滚;请参阅 编辑部署设置

请参阅以下准则:

  • 只有以前的部署可以在 威胁防御 上本地提供;您无法回滚到任何较早的部署。

  • 支持回滚以实现高可用性,但不支持集群部署。

  • 回滚只会影响您可以在 管理中心 中设置的配置。例如,回滚不会影响与专用管理接口相关的任何本地配置,您只能在 威胁防御 CLI 中进行配置。请注意,如果您在上次 管理中心 部署后使用 configure network management-data-interface 命令更改了数据接口设置,然后使用了回滚命令,则这些设置将不会保留;它们将回滚到上次部署的 管理中心 设置。

  • UCAPL/CC 模式无法回滚。

  • 无法回滚上一次部署期间更新的带外 SCEP 证书数据。

  • 在回滚期间,连接将被丢弃,因为当前配置将被清除。

过程


步骤 1

威胁防御 CLI 中,回滚到之前的配置。

configure policy rollback

回滚后,威胁防御 会通知 管理中心 已成功完成回滚。在 管理中心 中,部署屏幕将显示一条横幅,说明配置已回滚。

 

如果回滚失败且 管理中心 管理已恢复,请参阅https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw-virtual/215258-troubleshooting-firepower-threat-defense.html以了解常见的部署问题。在某些情况下,恢复 管理中心 管理访问权限后回滚可能会失败;在这种情况下,您可以解决 管理中心 配置问题,并从 管理中心 重新部署。

示例:

对于使用数据接口进行管理器访问的 威胁防御

> configure policy rollback

The last deployment to this FTD was on June 1, 2020 and its status was Successful.
Do you want to continue [Y/N]?

Y

Rolling back complete configuration on the FTD. This will take time.
.....................
Policy rollback was successful on the FTD.
Configuration has been reverted back to transaction id: 
Following is the rollback summary:
...................
....................
>

步骤 2

检查管理连接是否已重新建立。

管理中心中,在 设备 (Devices) > 设备管理 (Device Management) > 设备 (Device) > 管理 (Management) > 管理器访问 - 配置详细信息 (Manager Access - Configuration Details) > 连接状态 (Connection Status) 页面上检查管理连接状态。

威胁防御 CLI,输入 sftunnel-status-brief 命令以查看管理连接状态。

如果重新建立连接需要 10 分钟以上,则应排除连接故障。请参阅排除数据接口上的管理连接故障


排除数据接口上的管理连接故障

当使用数据接口进行管理器访问而不是使用专用管理接口时,必须注意在 管理中心 中更改 威胁防御 的接口和网络设置,以免中断连接。如果在将 威胁防御 添加到 管理中心 后更改管理接口类型(从数据到管理,或从管理到数据),如果接口和网络设置未正确配置,则可能会丢失管理连接。

本主题可帮助您排除管理连接丢失的问题。

查看管理连接状态

管理中心 中,在 设备 (Devices) > 设备管理 (Device Management) > 设备 (Device) > 管理 (Management) > 管理器访问 - 配置详细信息 (Manager Access - Configuration Details) > 连接状态 (Connection Status) 页面上检查管理连接状态。

威胁防御 CLI,输入 sftunnel-status-brief 命令以查看管理连接状态。您还可以使用 sftunnel-status 查看更完整的信息。

请参阅以下有关关闭连接的输出示例;没有显示“连接至“信息,也没有显示心跳信息:


> sftunnel-status-brief
PEER:10.10.17.202
Registration: Completed.
Connection to peer '10.10.17.202' Attempted at Mon Jun 15 09:21:57 2020 UTC
Last disconnect time : Mon Jun 15 09:19:09 2020 UTC
Last disconnect reason : Both control and event channel connections with peer went down

请参阅以下关于已建立连接的输出示例,其中显示了对等信道和心跳信息:


> sftunnel-status-brief
PEER:10.10.17.202
Peer channel Channel-A is valid type (CONTROL), using 'eth0', connected to '10.10.17.202' via '10.10.17.222'
Peer channel Channel-B is valid type (EVENT), using 'eth0', connected to '10.10.17.202' via '10.10.17.222'
Registration: Completed.
IPv4 Connection to peer '10.10.17.202' Start Time: Wed Jun 10 14:27:12 2020 UTC
Heartbeat Send Time: Mon Jun 15 09:02:08 2020 UTC
Heartbeat Received Time: Mon Jun 15 09:02:16 2020 UTC

查看 威胁防御 网络信息

威胁防御 CLI 上,查看管理和管理器访问数据接口网络设置:

show network


> show network
===============[ System Information ]===============
Hostname                  : FTD-4
Domains                   : cisco.com
DNS Servers               : 72.163.47.11
DNS from router           : enabled
Management port           : 8305
IPv4 Default route
  Gateway                 : data-interfaces

==================[ management0 ]===================
Admin State               : enabled
Admin Speed               : 1gbps
Operation Speed           : 1gbps
Link                      : up
Channels                  : Management & Events
Mode                      : Non-Autonegotiation
MDI/MDIX                  : Auto/MDIX
MTU                       : 1500
MAC Address               : 68:87:C6:A6:54:80
----------------------[ IPv4 ]----------------------
Configuration             : Manual
Address                   : 10.89.5.4
Netmask                   : 255.255.255.192
Gateway                   : 169.254.1.1
----------------------[ IPv6 ]----------------------
Configuration             : Disabled

===============[ Proxy Information ]================
State                     : Disabled
Authentication            : Disabled

======[ System Information - Data Interfaces ]======
DNS Servers               : 72.163.47.11
Interfaces                : Ethernet1/1

==================[ Ethernet1/1 ]===================
State                     : Enabled
Link                      : Up
Name                      : outside
MTU                       : 1500
MAC Address               : 68:87:C6:A6:54:A4
----------------------[ IPv4 ]----------------------
Configuration             : Manual
Address                   : 10.89.5.6
Netmask                   : 255.255.255.192
Gateway                   : 10.89.5.1
----------------------[ IPv6 ]----------------------
Configuration             : Disabled

检查向 管理中心注册 威胁防御

威胁防御 CLI 中,检查 管理中心 注册是否已完成。请注意,此命令不会显示管理连接的 当前 状态。

show managers


> show managers
Type                      : Manager
Host                      : 16a3893c-caa7-11ee-8436-0925c06e7608DONTRESOLVE
Display name              : manager-1707852946.80444
Version                   : 7.6.0 (Build 1385)
Identifier                : a904b8b2-ca9a-11ee-a583-5e804c16b2fd
Registration              : Completed
Management type           : Configuration and analytics
Ping the 管理中心

威胁防御 CLI 上,使用以下命令从数据接口对 管理中心 执行 ping 操作:

ping fmc_ip

威胁防御 CLI 上,使用以下命令从管理接口对 管理中心 执行 ping 操作,该接口应通过背板路由到数据接口:

ping system fmc_ip

捕获 威胁防御 内部接口上的数据包

威胁防御 CLI 上,捕获内部背板接口 (nlp_int_tap) 上的数据包,以查看是否发送了管理数据包:

capture 名称 interface nlp_int_tap trace detail match ip any any

show capturename trace detail

检查内部接口状态,统计信息和数据包计数

威胁防御 CLI 上,查看有关内部背板接口 nlp_int_tap 的信息:

show interface detail


> show interface detail
[...]
Interface Internal-Data0/1 "nlp_int_tap", is up, line protocol is up
  Hardware is en_vtun rev00, BW Unknown Speed-Capability, DLY 1000 usec
	(Full-duplex), (1000 Mbps)
	Input flow control is unsupported, output flow control is unsupported
	MAC address 0000.0100.0001, MTU 1500
	IP address 169.254.1.1, subnet mask 255.255.255.248
	37 packets input, 2822 bytes, 0 no buffer
	Received 0 broadcasts, 0 runts, 0 giants
	0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
	0 pause input, 0 resume input
	0 L2 decode drops
	5 packets output, 370 bytes, 0 underruns
	0 pause output, 0 resume output
	0 output errors, 0 collisions, 0 interface resets
	0 late collisions, 0 deferred
	0 input reset drops, 0 output reset drops
	input queue (blocks free curr/low): hardware (0/0)
	output queue (blocks free curr/low): hardware (0/0)
  Traffic Statistics for "nlp_int_tap":
	37 packets input, 2304 bytes
	5 packets output, 300 bytes
	37 packets dropped
      1 minute input rate 0 pkts/sec,  0 bytes/sec
      1 minute output rate 0 pkts/sec,  0 bytes/sec
      1 minute drop rate, 0 pkts/sec
      5 minute input rate 0 pkts/sec,  0 bytes/sec
      5 minute output rate 0 pkts/sec,  0 bytes/sec
      5 minute drop rate, 0 pkts/sec
  Control Point Interface States:
	Interface number is 14
	Interface config status is active
	Interface state is active

检查路由和 NAT

威胁防御 CLI 中,检查是否已添加默认路由 (S *),以及管理接口 (nlp_int_tap) 是否存在内部 NAT 规则。

show route


> show route

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, + - replicated route
       SI - Static InterVRF
Gateway of last resort is 10.89.5.1 to network 0.0.0.0

S*       0.0.0.0 0.0.0.0 [1/0] via 10.89.5.1, outside
C        10.89.5.0 255.255.255.192 is directly connected, outside
L        10.89.5.29 255.255.255.255 is directly connected, outside

>
                                                                                                      

show nat


> show nat

Auto NAT Policies (Section 2)
1 (nlp_int_tap) to (outside) source static nlp_server_0_sftunnel_intf3 interface  service tcp 8305 8305
    translate_hits = 0, untranslate_hits = 6
2 (nlp_int_tap) to (outside) source static nlp_server_0_ssh_intf3 interface  service tcp ssh ssh
    translate_hits = 0, untranslate_hits = 73
3 (nlp_int_tap) to (outside) source static nlp_server_0_sftunnel_ipv6_intf3 interface ipv6  service tcp 8305 8305
    translate_hits = 0, untranslate_hits = 0
4 (nlp_int_tap) to (outside) source dynamic nlp_client_0_intf3 interface
    translate_hits = 174, untranslate_hits = 0
5 (nlp_int_tap) to (outside) source dynamic nlp_client_0_ipv6_intf3 interface ipv6
    translate_hits = 0, untranslate_hits = 0
>                                                                                
检查其他设置

请参阅以下命令以检查是否存在所有其他设置。您还可以在 管理中心设备 (Devices) > 设备管理 (Device Management) > 设备 (Device) > 管理 (Management) > 管理器访问 - 配置详细信息 (Manager Access - Configuration Details) > CLI 输出 (CLI Output) 页面上看到许多这些命令。

show running-config sftunnel


> show running-config sftunnel
sftunnel interface outside
sftunnel port 8305

show running-config ip-client


> show running-config ip-client
ip-client outside

show conn address fmc_ip


> show conn address 10.89.5.35
5 in use, 16 most used
Inspect Snort:
        preserve-connection: 0 enabled, 0 in effect, 0 most enabled, 0 most in effect

TCP nlp_int_tap  10.89.5.29(169.254.1.2):51231 outside  10.89.5.35:8305, idle 0:00:04, bytes 86684, flags UxIO
TCP nlp_int_tap  10.89.5.29(169.254.1.2):8305 outside  10.89.5.35:52019, idle 0:00:02, bytes 1630834, flags UIO
>        
检查 DDNS 更新是否成功

威胁防御 CLI 中,检查 DDNS 更新是否成功:

debug ddns


> debug ddns
DDNS update request = /v3/update?hostname=domain.example.org&myip=209.165.200.225
Successfully updated the DDNS sever with current IP addresses
DDNS: Another update completed, outstanding = 0
DDNS: IDB SB total = 0

如果更新失败,请使用 debug http debug ssl 命令。对于证书验证失败,请检查是否已在设备上安装根证书:

show crypto ca certificates trustpoint_name

要检查 DDNS 操作,请执行以下操作:

show ddns update interface fmc_访问_ifc_name


> show ddns update interface outside

Dynamic DNS Update on outside:
    Update Method Name Update Destination
    RBD_DDNS not available

Last Update attempted on 04:11:58.083 UTC Thu Jun 11 2020
Status : Success
FQDN : domain.example.org
IP addresses : 209.165.200.225

检查 管理中心 日志文件

请参阅 https://cisco.com/go/fmc-reg-error

查看清单详细信息

设备 (Device) 页面上的库存详细信息 (Inventory Details) 部分会显示机箱详细信息,例如 CPU 和内存。

图 41. 设备清单详细信息
库存详细信息

要更新信息,请点击 刷新 (刷新图标)

编辑应用的策略

设备 (Device) 页面的应用的策略 (Applied Policies) 部分显示了应用于防火墙的以下策略:

图 42. 应用的策略
应用的策略

对于包含链接的策略,您可以点击链接以查看策略。

对于访问控制策略,请点击 感叹号 (感叹号图标) 图标以查看用于故障排除的访问策略信息 (Access Policy Information for Troubleshooting) 对话框。该对话框显示了如何将访问规则扩展为访问控制条目 (ACE)。

图 43. 用于故障排除的访问策略信息
用于故障排除的访问策略信息

您可以从设备管理 (Device Management) 页面将策略分配给单个设备。

过程


步骤 1

选择设备 > 设备管理

步骤 2

在要为其分配策略的设备旁边,点击 编辑 (编辑图标)

步骤 3

点击 设备

步骤 4

应用的策略 部分中,点击 编辑 (编辑图标)

图 44. 策略分配
策略分配

步骤 5

对于每种策略类型,请从下拉菜单选择一个策略。只有现有的策略会被列出。

步骤 6

点击保存 (Save)


下一步做什么

编辑高级设置

设备 (Device) 页面的高级设置 (Advanced Settings) 部分会显示高级配置设置表,如下所述。您可以编辑任何这些设置。

表 5. “高级”(Advanced) 部分表字段

字段

说明

应用绕行 (Application Bypass)

设备上“自动应用绕行”(Automatic Application Bypass) 的状态。

旁路阈值

“自动应用绕行”(Automatic Application Bypass) 阈值(以毫秒为单位)。

对象组搜索

设备上对象组搜索的状态。运行时,FTD 设备会根据访问规则中使用的任何网络或接口对象的内容,将访问控制规则扩展为多个访问控制列表条目。您可以通过启用对象组搜索来减少搜索访问规则所需的内存。启用对象组搜索后,系统不会扩展网络或接口对象,而是根据这些组定义在访问规则中搜索匹配项。对象组搜索不会影响访问规则的定义方式或它们在 Firepower 管理中心中的显示方式,而只会影响将连接与访问控制规则匹配时设备如何对其进行解释和处理。

 

默认情况下,当您首次在管理中心添加威胁防御时,将启用对象组搜索 (Object Group Search)

接口对象优化

设备上的接口对象优化状态。部署期间,访问控制策略和预过滤器策略中使用的接口组和安全区域生成用于每个源/目的接口对的单独规则。如果启用接口对象优化,则系统将转而为每个访问控制/预过滤器规则部署一个规则,这可简化设备配置并提高部署性能。如果选择此选项,则还需选择对象组搜索 (Object Group Search) 选项以降低设备上的内存使用。

以下主题介绍如何编辑高级设备设置。



有关“传输数据包”(Transfer Packets) 设置的信息,请参阅编辑常规设置


配置自动应用旁路

自动应用绕行 (AAB) 允许数据包在 Snort 关闭或时绕过检测,或者对于经典设备,如果数据包处理时间过长,则 。AAB 会导致 Snort 在故障发生后的十分钟内重新启动,并生成可用于分析 Snort 故障原因的故障排除数据。


小心


部分激活 AAB 会重启 Snort 进程,这会暂时中断对几个数据包的检测。 流量在此中断期间丢弃还是不进一步检查而直接通过,取决于目标设备处理流量的方式。有关详细信息,请参阅Snort 重启流量行为


请参阅以下行为:

威胁防御 行为:如果 Snort 关闭,则在指定的计时器持续时间后触发 AAB。如果 Snort 已启用,则即使数据包处理超过配置的计时器,也不会触发 AAB。

经典设备行为AAB 限制通过接口处理数据包所允许的时间。通过网络的数据包延迟容限来平衡数据包处理时延。

该功能适用于任何部署;但在内联部署中最有价值。

通常,在超过延迟阈值后使用入侵策略中的“规则延迟阈值”通过快速路径传送数据包。“规则延迟阈值”不关闭引擎或生成故障排除数据。

如果绕过了检测,则设备会生成运行状况监控警报。

AAB 默认为禁用;要启用 AAB,请按照所述步骤进行操作。

过程


步骤 1

选择设备 > 设备管理

步骤 2

在要编辑高级设备设置的设备旁边,点击 编辑 (编辑图标)

步骤 3

点击设备 (Device),然后点击高级设置 (Advanced Settings) 部分的 编辑 (编辑图标)

步骤 4

选中自动应用旁路

步骤 5

输入介于 250 毫秒到 60,000 毫秒之间的旁路阈值。默认设置为 3000 毫秒 (ms)。

步骤 6

点击保存 (Save)


下一步做什么

配置对象组搜索

运行时,威胁防御 设备会根据访问规则中使用的任何网络或接口对象的内容,将访问控制规则扩展为多个访问控制列表条目。您可以通过启用对象组搜索来减少搜索访问规则所需的内存。启用对象组搜索后,系统不会扩展网络或接口对象,而是根据这些组定义在访问规则中搜索匹配项。对象组搜索不会影响访问规则的定义方式或它们在 管理中心中的显示方式,而只会影响将连接与访问控制规则匹配时设备如何对其进行解释和处理。

启用对象组搜索可以降低包含网络或接口对象的访问控制策略的内存要求。但是,请务必注意,对象组搜索还可能会降低规则查找性能,从而提高 CPU 利用率。您应该在 CPU 影响与降低特定访问控制策略的内存要求之间取得平衡。在大多数情况下,启用对象组搜索可提高网络运营性能。

默认情况下会为在 管理中心 中首次添加的威胁防御设备启用对象组搜索。对于升级的设备,如果设备配置了禁用的对象组搜索,则需要手动将其启用。一次只能在一台设备上启用;您无法将其全局启用。我们建议您在部署使用网络或接口对象的访问规则的任何设备上将其启用。



如果您启用对象组搜索,然后配置并操作设备一段时间,请注意,随后禁用该功能可能会导致不良结果。如果禁用对象组搜索,现有访问控制规则将按照设备的运行配置进行扩展。如果扩展所需的内存超过设备上的可用内存,设备可能会处于不一致状态,并且可能会影响性能。如果设备运行正常,则在启用对象组搜索后不应将其禁用。


开始之前

  • 型号支持-威胁防御

  • 我们建议您同时在每台设备上启用事务提交。在设备 CLI 中,输入 asp rule-engine transactional-commit access-group 命令。

  • 更改此设置可能会在设备重新编译 ACL 时中断系统操作。我们建议您在维护窗口期间更改此设置。

  • 可以使用 object-group-search threshold 命令启用阈值,以有助于防止性能下降。使用阈值运行时,对于每个连接,将根据网络对象匹配源和目标 IP 地址。如果将源地址匹配的对象数乘以目标地址匹配的对象数结果超过 10,000,则丢弃连接。配置规则以防止过多的匹配项。

过程


步骤 1

选择设备 > 设备管理

步骤 2

在要配置规则的 威胁防御设备旁,点击 编辑 (编辑图标)

步骤 3

点击设备 (Device) 选项卡,然后点击高级设置 (Advanced Settings) 部分的 编辑 (编辑图标)

步骤 4

选中对象组搜索 (Object Group Search)

步骤 5

要使对象组搜索除网络对象外还适用于接口对象,请选中接口对象优化 (Interface Object Optimization)

如果不选择接口对象优化 (Interface Object Optimization),则系统会为每个源/接口对部署单独的规则,而不是使用规则中使用的安全区域和接口组。这意味着接口组不可用于对象组搜索处理。

步骤 6

点击保存 (Save)


配置接口对象优化

部署期间,访问控制策略和预过滤器策略中使用的接口组和安全区域生成用于每个源/目的接口对的单独规则。如果启用接口对象优化,则系统将转而为每个访问控制/预过滤器规则部署一个规则,这可简化设备配置并提高部署性能。如果选择此选项,则还需选择对象组搜索 (Object Group Search) 选项以降低设备上的内存使用。

默认情况下,接口对象优化处于禁用状态。一次只能在一台设备上启用;您无法将其全局启用。



如果禁用接口对象优化,则现有访问控制规则将在不使用接口对象的情况下进行部署,但这样可能会延长部署时间。此外,如果启用了对象组搜索,则其优势将不会应用于接口对象,并且您可能会在设备的运行配置中看到访问控制规则的扩展。如果扩展所需的内存超过设备上的可用内存,设备可能会处于不一致状态,并且可能会影响性能。


开始之前

型号支持-威胁防御

过程


步骤 1

选择设备 > 设备管理

步骤 2

在要配置规则的 FTD 设备旁,点击 编辑 (编辑图标)

步骤 3

点击设备 (Device) 选项卡,然后点击高级设置 (Advanced Settings) 部分的 编辑 (编辑图标)

步骤 4

选中接口对象优化 (Interface Object Optimization)

步骤 5

点击保存 (Save)


编辑部署设置

设备 (Device) 页面上的运行状况 (Deployment Settings) 部分显示下表所述信息。

图 45. 部署设置
部署设置
表 6. 部署设置

字段

说明

连接失败时自动回滚部署

“启用”(Enabled) 或“禁用”(Disabled)。

您可以在管理连接因部署而失败时启用自动回滚;特别是如果您将数据用于管理中心访问,然后又错误地配置了数据接口。

连接监控间隔(分钟)

显示在回滚配置之前等待的时间。

您可以从设备管理 (Device Management) 页面设置部署设置。部署设置包括在管理连接因部署而失败时启用部署自动回滚;特别是如果您将数据用于管理中心访问,然后又错误地配置了数据接口。您也可以使用 configure policy rollback 命令手动回滚配置(请参阅如果管理中心断开连接,则手动回滚配置)。

请参阅以下准则:

  • 只有以前的部署可以在 威胁防御 上本地提供;您无法回滚到任何较早的部署。

  • 支持回滚以实现高可用性,但不支持集群部署。

  • 回滚只会影响您可以在 管理中心 中设置的配置。例如,回滚不会影响与专用管理接口相关的任何本地配置,您只能在 威胁防御 CLI 中进行配置。请注意,如果您在上次 管理中心 部署后使用 configure network management-data-interface 命令更改了数据接口设置,然后使用了回滚命令,则这些设置将不会保留;它们将回滚到上次部署的 管理中心 设置。

  • UCAPL/CC 模式无法回滚。

  • 无法回滚上一次部署期间更新的带外 SCEP 证书数据。

  • 在回滚期间,连接将被丢弃,因为当前配置将被清除。

过程


步骤 1

选择设备 > 设备管理

步骤 2

在要为其分配策略的设备旁边,点击 编辑 (编辑图标)

步骤 3

点击 设备

步骤 4

部署设置 (Deployment Settings) 部分中,点击 编辑 (编辑图标)

图 46. 部署设置
部署设置

步骤 5

选中连接失败时自动回滚部署 (Auto Rollback Deployment if Connectivity Fails) 以启用自动回滚。

步骤 6

设置连接监控间隔(分钟)(Connectivity Monitor Interval [in Minutes]) 以设置在回滚配置之前要等待的时间。默认值为 20 分钟。

步骤 7

如果发生回滚,请参阅以下内容以了解后续步骤。

  • 如果自动回滚成功,您会看到一条成功消息,指示您执行完整部署。

  • 您还可以转到部署 (Deployment) > 高级部署 (Advanced Deploy) 屏幕,然后点击 预览 (预览图标) 图标以查看已回滚的配置部分(请参阅部署配置更改)。点击显示回滚更改 (Show Rollback Changes) 以查看更改,然后点击隐藏回滚更改 (Hide Rollback Changes) 以隐藏更改。

    图 47. 回滚更改
    隐藏回滚更改
  • 在部署历史记录预览中,您可以查看回滚更改。请参阅查看部署历史记录

步骤 8

检查管理连接是否已重新建立。

管理中心中,在 设备 > 设备管理 > 设备 > 管理 > FMC 访问详细信息 > 连接状态 页面上检查管理连接状态。

威胁防御 CLI,输入 sftunnel-status-brief 命令以查看管理连接状态。

如果重新建立连接需要 10 分钟以上,则应排除连接故障。请参阅排除数据接口上的管理连接故障


编辑集群运行状况监控设置

集群 (Cluster) 页面的集群运行状况监控设置 (Cluster Health Monitor Settings) 部分会显示下表所述信息。

图 48. 集群运行状况监控设置
集群运行状况监控设置
表 7. 集群运行状况监控设置部分表格字段

字段

说明

超时

保持时间

0.3 到 45 秒之间;默认值为 3 秒。为了确定节点系统运行状况,集群节点会在集群控制链路上将 heartbeat 消息发送到其他节点。如果节点在保持期内未接收到来自对等节点的任何 heartbeat 消息,则对等节点被视为无响应或无法工作。

接口防退回时间

介于 300 和 9000 毫秒之间。默认值为 500 毫秒。接口防退回时间是节点将接口视为发生故障并将节点从集群中删除之前经过的时间。

受监控接口

接口运行状态检查将监控链路故障。如果特定逻辑接口的所有物理端口在特定节点上发生故障,但在其他节点上的同一逻辑接口下仍有活动端口,则会从集群中删除该节点。节点在多长时间后从集群中删除成员取决于接口的类型以及该节点是既定节点还是正在加入集群的设备。

服务应用

显示是否对 Snort 和磁盘已满进程进行监控。

不受监控的接口

显示不受监控的接口。

自动重新加入设置

集群接口

显示集群控制链路故障的自动重新加入设置。

尝试次数

介于 1 和 65535 之间。默认值为 1(不受限制)。设置尝试重新加入的次数。

尝试之间的间隔

介于 2 和 60 之间。默认值为 5 分钟。定义两次重新加入尝试之间的间隔持续时间(以分钟为单位)。

间隔变化

介于 1 和 3 之间。默认值为间隔持续时间的 1 倍。定义是否增加每次尝试的间隔持续时间。

数据接口

显示数据接口故障的自动重新加入设置。

尝试次数

介于 1 和 65535 之间。默认值为 3。设置尝试重新加入的次数。

尝试之间的间隔

介于 2 和 60 之间。默认值为 5 分钟。定义两次重新加入尝试之间的间隔持续时间(以分钟为单位)。

间隔变化

介于 1 和 3 之间。默认值为间隔持续时间的 2 倍。定义是否增加每次尝试的间隔持续时间。

系统

显示内部错误的自动重新加入设置。内部故障包括:应用同步超时、不一致的应用状态等。

尝试次数

介于 1 和 65535 之间。默认值为 3。设置尝试重新加入的次数。

尝试之间的间隔

介于 2 和 60 之间。默认值为 5 分钟。定义两次重新加入尝试之间的间隔持续时间(以分钟为单位)。

间隔变化

介于 1 和 3 之间。默认值为间隔持续时间的 2 倍。定义是否增加每次尝试的间隔持续时间。



如果禁用系统运行状况检查,则在禁用系统运行状况检查时不适用的字段将不会显示。


您可以从此部分更改这些设置。

您可以监控任何端口通道 ID、单个物理接口 ID,以及 Snort 和磁盘已满进程。运行状况监控不在 VLAN 子接口或虚拟接口(例如,VNI 或 BVI)上执行。您不能为集群控制链路配置监控;它始终处于被监控状态。

过程


步骤 1

选择 设备 > 设备管理。 

步骤 2

在要修改的集群旁边,点击 编辑 (编辑图标)

步骤 3

点击集群 (Cluster)

步骤 4

集群运行状况监控器设置 (Cluster Health Monitor Settings) 部分,点击 编辑 (编辑图标)。 

步骤 5

通过点击运行状况检查 (Health Check) 滑块禁用系统运行状况检查。

图 49. 禁用系统运行状况检查
禁用系统运行状况检查

当拓扑发生任何更改时(例如添加或删除数据接口、启用或禁用节点、或交换机上的接口、或者添加额外的交换机形成 VSS、vPC 或 VNet),您应禁用系统运行状态检查功能,还要禁用对已禁用接口的接口监控。当拓扑结构更改完成且配置更改已同步到所有节点后,您可以重新启用系统运行状况检查功能和被监控的接口。

步骤 6

配置保持时间和接口防反跳时间。

  • 保持时间 (Hold Time) - 设置保持时间以确定两次节点心跳状态消息之间的时间间隔,其值介于 0.3 到 45 秒;默认值为 3 秒。

  • 接口防反跳时间 (Interface Debounce Time) - 将防反跳时间设置为 300 到 9000 毫秒之间。默认值为 500 毫秒。较小的值可以加快检测接口故障的速度。请注意,如果配置的防反跳时间较低,会增加误报几率。在发生接口状态更新时,节点会等待指定的毫秒数,然后才将接口标记为发生故障,并将节点从集群中删除。对于从故障状态转换为正常运行状态的 EtherChannel(例如,交换机重新加载或交换机启用 EtherChannel)而言,更长的防反跳时间可以防止集群节点上的接口仅仅因为另一个集群节点在绑定端口时的速度更快便显示为故障状态。

步骤 7

自定义在运行状况检查发生故障后的自动重新加入集群设置。

图 50. 配置自动重新加入设置
配置自动重新加入设置
集群接口 (Cluster Interface)数据接口 (Data Interface)系统 (System) 设置以下值(内部故障包括:应用同步超时、应用状态不一致等):
  • 尝试次数 (Attempts) - 设置重新加入尝试次数,介于 -1 和 65535 之间。0 将禁用自动重新加入。集群接口 (Cluster Interface) 的默认值为 -1(无限制)。数据接口 (Data Interface)系统 (System) 的默认值为 3。

  • 尝试之间的间隔 (Interval Between Attempts) - 定义两次重新加入尝试之间的间隔持续时间(以分钟为单位),介于 2 和 60 之间。默认值为 5 分钟。节点尝试重新加入集群的最大总时间限制为自上次失败之时起 14400 分钟(10 天)。

  • 间隔变化 (Interval Variation) - 定义是否增加间隔持续时间。设置介于 1 和 3 之间的值:1(无更改);2(2 倍于上一次持续时间)或 3(3 倍于上一次持续时间)。例如,如果您将间隔持续时间设置为 5 分钟,并将变化设置为 2,则在 5 分钟后进行第 1 次尝试;在 10 分钟 (2 x 5) 后进行第 2 次尝试;在 20 分钟 (2 x 10) 后进行第 3 次尝试。集群接口 (Cluster Interface) 的默认值为 1数据接口 (Data Interface)系统 (System) 的默认值为 2

步骤 8

通过移动受监控接口 (Monitored Interfaces)不受监控接口 (Unmonitored Interfaces) 窗口中的接口来配置受监控接口。您还可以选中或取消选中启用服务应用监控 (Enable Service Application Monitoring),以启用或禁用对 Snort 和磁盘已满进程的监控。

图 51. 配置受监控的接口
配置受监控的接口

接口运行状态检查将监控链路故障。如果特定逻辑接口的所有物理端口在特定节点上发生故障,但在其他节点上的同一逻辑接口下仍有活动端口,则会从集群中删除该节点。节点在多长时间后从集群中删除成员取决于接口的类型以及该节点是既定节点还是正在加入集群的设备。默认情况下,为所有接口以及 Snort 和磁盘已满进程启用运行状况检查。

您可能想禁用不重要的接口的运行状况检查。

当拓扑发生任何更改时(例如添加或删除数据接口、启用或禁用节点、或交换机上的接口、或者添加额外的交换机形成 VSS、vPC 或 VNet),您应禁用系统运行状态检查功能,还要禁用对已禁用接口的接口监控。当拓扑结构更改完成且配置更改已同步到所有节点后,您可以重新启用系统运行状况检查功能和被监控的接口。

步骤 9

点击保存 (Save)

步骤 10

部署配置更改;请参阅 部署配置更改


设备设置历史记录

功能

管理中心最低版本

威胁防御最低版本

详细信息

查看设备或设备集群的 CLI 输出。

7.4.1

任意

您可以查看一组预定义的 CLI 输出,帮助您排除设备或集群的故障。您还可以输入任何 show 命令并查看输出。

新增/修改的屏幕: 设备 (Devices) > 设备管理 (Device Management) > 集群 (Cluster) > 常规 (General)

故障排除文件生成和下载可从“设备”(Device) 和“集群”(Cluster) 页面获取。

7.4.1

7.4.1

您可以在“设备”(Device) 页面上为每个设备以及在“集群”(Cluster) 页面上为所有集群节点生成和下载故障排除文件。对于集群,您可以将所有文件下载为一个压缩文件。您还可以为集群节点添加集群的集群日志。您也可以从设备 (Devices) > 设备管理 (Device Management) > 更多更多图标> 故障排除文件 (Troubleshoot Files) 菜单中触发文件生成。

新增/修改的菜单项:

  • 设备 (Devices) > 设备管理 (Device Management) > 设备 (Device) > 常规 (General)

  • 设备 (Devices) > 设备管理 (Device Management) > 集群 (Cluster) > 常规 (General)

集群运行状况监控设置。

7.3.0

任意

您现在可以编辑集群运行状况监控设置。

新增/修改的屏幕: 设备 (Devices) > 设备管理 (Device Management) > 集群 (Cluster) > 集群运行状况监控设置 (Cluster Health Monitor Settings)

 

如果您之前使用 FlexConfig 配置了这些设置,务必要在部署之前删除 FlexConfig 配置。否则,FlexConfig 配置将覆盖管理中心配置。

冗余管理器访问数据接口。

7.3.0

7.3.0

在使用数据接口进行管理器访问时,您可以配置辅助数据接口,以便在主接口发生故障时接管管理功能。设备会使用 SLA 监控来跟踪包含两个接口的静态路由和 ECMP 区域的可行性,以便管理流量可以使用这两个接口。

新增/修改的菜单项:

  • 设备 (Devices) > 设备管理 (Device Management) > 设备 (Device) > 管理 (Management)

  • 设备 (Devices) > 设备管理 (Device Management) > 设备 (Device) > 接口 (Interfaces) > 管理器访问 (Manager Access)

策略支持回滚以实现高可用性设备。

7.2.0

7.2.0

configure policy rollback 命令支持高可用性设备。

导致管理连接丢失的部署的自动回滚。

7.2.0

7.2.0

如果部署导致管理中心和威胁防御之间的管理连接断开,您现在就可以启用配置的自动回滚。以前,您只能使用 configure policy rollback 命令手动回滚配置。

新增/修改的菜单项:

  • 设备 (Devices) > 设备管理 (Device Management) > 设备 (Device) > 部署设置 (Deployment Settings)

  • 部署 (Deploy) > 高级部署 (Advanced Deploy) > 预览 (Preview)

  • 部署 (Deploy) > 部署历史 (Deployment History) > 预览 (Preview)

默认情况下会为访问控制规则启用对象组搜索。

7.2.0

7.2.0

从版本 7.2.0 开始,托管设备默认启用对象组搜索 (Object Group Search) 设置。在“设备管理”页面上编辑设备设置时,此选项位于 高级设置 (Advanced Settings) 部分中。

导入和导出设备配置。

7.1.0

7.1.0

您可以导出设备特定的配置,然后可以在以下使用案例中为同一设备导入已保存的配置:

  • 将设备移至其他 FMC。

  • 恢复老旧配置。

  • 重新注册设备。

新增/修改的屏幕: 设备 > 设备管理 > 设备 > 常规

更新 FTD 上的 FMC IP 地址。

6.7.0

6.7.0

如果更改 FMC IP 地址,现在可以使用 FTD CLI 更新设备。

新增/经修改的命令: configure manager edit