Configura accesso Manager su FTD da Gestione a interfaccia dati

Opzioni per il download

  • PDF     (1.7 MB)
    Visualizza con Adobe Reader su diversi dispositivi
Aggiornato:18 luglio 2024
ID documento:222145

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritto il processo di modifica di Manager Access su Firepower Threat Defense (FTD) da un'interfaccia di gestione a un'interfaccia dati.

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • Firepower Threat Defense
    • Firepower Management Center

    Componenti usati

    • Firepower Management Center Virtual 7.4.1
    • Firepower Threat Defense Virtual 7.2.5

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Premesse

    Ogni dispositivo è dotato di un'unica interfaccia di gestione dedicata per la comunicazione con il CCP. Se si desidera, è possibile configurare il dispositivo in modo che utilizzi un'interfaccia dati per la gestione anziché l'interfaccia di gestione dedicata. L'accesso FMC a un'interfaccia dati è utile se si desidera gestire Firepower Threat Defense in remoto dall'interfaccia esterna oppure non si dispone di una rete di gestione separata. Questa modifica deve essere eseguita su Firepower Management Center (FMC) per FTD gestito da FMC.

    L'accesso al FMC da un'interfaccia dati presenta alcune limitazioni:

    • È possibile abilitare l'accesso al manager solo su un'interfaccia dati fisica. Non è possibile utilizzare una sottointerfaccia o EtherChannel.
    • Solo modalità firewall con routing, tramite un'interfaccia con routing.
    • PPPoE non supportato. Se l'ISP richiede PPPoE, è necessario collegare un router con supporto PPPoE tra Firepower Threat Defense e il modem WAN.
    • Non è possibile utilizzare interfacce separate di gestione e solo eventi.

    Configurazione

    Procedere con la migrazione dell'interfaccia

    note-icon

    Nota: si consiglia di disporre del backup più recente di FTD e FMC prima di procedere con le modifiche.

    1. Passare alla pagina Dispositivi > Gestione dispositivi, quindi fare clic su Modifica per il dispositivo che si sta modificando.

    Passare a Gestione dispositivi per modificarlo

    2. Andare alla sezione Dispositivo > Gestione e fare clic sul collegamento per Interfaccia di accesso Manager.

    Modifica dell'interfaccia di accesso alla gestione

    Nel campo Interfaccia di accesso responsabile viene visualizzata l'interfaccia di gestione esistente. Fare clic sul collegamento per selezionare il nuovo tipo di interfaccia, ovvero l'opzione Interfaccia dati nell'elenco a discesa Gestisci dispositivo per e fare clic su Salva.

    Modifica dell'interfaccia di accesso al manager da Gestione a Dati

    3. A questo punto, è necessario passare a Abilita accesso di gestione su un'interfaccia dati, selezionare Dispositivi > Gestione dispositivi > Interfacce > Modifica interfaccia fisica > Accesso manager.

    Abilita accesso di gestione su interfaccia

    note-icon

    Nota: (facoltativo) se si utilizza un'interfaccia secondaria per la ridondanza, abilitare l'accesso di gestione sull'interfaccia utilizzata a scopo di ridondanza.

    (Facoltativo) Se si utilizza DHCP per l'interfaccia, abilitare il metodo DDNS di tipo Web nella finestra di dialogo Dispositivi > Gestione dispositivi > DHCP > DNS.

    (Facoltativo) Configurare il DNS in un criterio Impostazioni piattaforma e applicarlo al dispositivo in Dispositivi > Impostazioni piattaforma > DNS.

    4. Assicurarsi che la difesa dalle minacce possa indirizzare al centro di gestione tramite l'interfaccia dati; aggiungere una route statica, se necessario, su Dispositivi > Gestione dispositivi > Routing > Route statica.

    1. Fare clic su IPv4o IPv6 a seconda del tipo di route statica che si sta aggiungendo.
    2. Selezionare l'interfaccia a cui applicare la route statica.
    3. Nell'elenco Reti disponibili, scegliere la rete di destinazione.
    4. Nel campo Gateway o Gateway IPv6, immettere o scegliere il router gateway che rappresenta l'hop successivo per la route.

       (Facoltativo) Per controllare la disponibilità del ciclo di lavorazione, immettere o scegliere il nome di un oggetto di monitoraggio del contratto di servizio (SLA) che definisce il criterio di monitoraggio nel campo Tracciamento del ciclo di lavorazione.

    Configura route statica per FTD

    5. Distribuire le modifiche alla configurazione. Le modifiche alla configurazione vengono ora distribuite sull'interfaccia di gestione corrente.

    6. Dalla CLI dell'FTD, impostare l'interfaccia di gestione in modo che utilizzi un indirizzo IP statico e il gateway come interfacce dati.

    • configure network {ipv4 | ipv6} manual ip_address netmask data-interfaces

    Configurare la gestione su FTD per l'utilizzo dell'interfaccia dati come gateway

    note-icon

    Nota: sebbene non si preveda di utilizzare l'interfaccia di gestione, è necessario impostare un indirizzo IP statico. Ad esempio, un indirizzo privato che consente di impostare il gateway sulle interfacce dati. Questa gestione viene utilizzata per inoltrare il traffico di gestione all'interfaccia dati tramite l'interfaccia tap_nlp.

    7. Disabilitare la gestione nel centro di gestione, fare clic su Modifica e aggiornare l'indirizzo IP dell'indirizzo dell'host remoto e l'(Facoltativo)indirizzo secondario per la difesa dalle minacce nella sezione Dispositivi > Gestione dispositivi > Dispositivo > Gestione e abilitare la connessione.

    Disabilita gestione FTD in FMC

    Abilitazione del protocollo SSH sulle impostazioni della piattaforma

    Abilitare SSH per l'interfaccia dati nel criterio Impostazioni piattaforma e applicarlo al dispositivo in Dispositivi > Impostazioni piattaforma > Accesso SSH.Fare clic su Aggiungi.

    1. Gli host o le reti a cui è consentito effettuare connessioni SSH.
    2. Aggiungere le zone contenenti le interfacce a cui consentire le connessioni SSH. Per le interfacce non incluse in una zona, è possibile digitare il nome dell'interfaccia nell'elenco Zone selezionate/Interfacce e fare clic su Aggiungi.
    3. Fare clic su OKDistribuire le modifiche
      4.

    Configurazione del protocollo SSH nelle impostazioni della piattaforma

    note-icon

    Nota: SSH non è abilitato per impostazione predefinita sulle interfacce dati, quindi se si desidera gestire la difesa dalla minaccia con SSH, è necessario abilitarlo esplicitamente.

    Verifica

    Verificare che la connessione di gestione sia stabilita tramite l'interfaccia dati.

    Verifica dall'interfaccia grafica utente (GUI) di FMC

    Nel centro di gestione, controllare lo stato della connessione di gestione nella pagina Dispositivi > Gestione dispositivi > Dispositivo > Gestione > Accesso manager - Dettagli configurazione > Stato connessione.

    Verificare lo stato della connettività di gestione tra FMC e FTD

    Verifica da CLI (Command Line Interface) FTD

    In corrispondenza di threat defenseCLI, immettere thesftunnel-status-brief per visualizzare lo stato della connessione di gestione.

    Output del comando sftunnel-status-brief

    Lo stato indica che la connessione per un'interfaccia dati è stata stabilita correttamente e mostra l'interfaccia tap_nlp interna.

    Risoluzione dei problemi

    Nel centro di gestione, controllare lo stato della connessione di gestione nella pagina Dispositivi > Gestione dispositivi > Dispositivo > Gestione > Accesso manager - Dettagli configurazione > Stato connessione.

    In corrispondenza di threat defenseCLI, immettere thesftunnel-status-brief per visualizzare lo stato della connessione di gestione. È inoltre possibile utilizzare ftunnel-status per visualizzare informazioni più complete.

    Stato connessione di gestione

    Scenario di lavoro

    Output del comando sftunnel-status-brief che indica l'interfaccia tap_nlp

    Scenario non lavorativo

    Output del comando dello stato di connettività di sftunnel

    Convalida le informazioni di rete

    In corrispondenza di threat defenseCLI, visualizzare le impostazioni di rete dell'interfaccia di accesso ai dati di gestione e manager:

    > show network

    Mostra output di rete su FTD

    Convalida lo stato del manager

    Dalla CLI di difesa delle minacce, verificare che la registrazione del management center sia stata completata.

      > mostra manager

    Mostra output comando manager su FTD

    note-icon

    Nota: questo comando non visualizza lo stato corrente della connessione di gestione.

    Convalida connettività di rete

    Eseguire il ping del centro di gestione

    Su threat defenseCLI, usare il comando per eseguire il ping del centro di gestione dalle interfacce dati:

      > ping ip_fmc

    Eseguire il ping tra FMC per verificare la connettività da FMC

    In corrispondenza di threat defenseCLI, usare il comando per eseguire il ping del centro di gestione dall'interfaccia di gestione, che instrada il backplane verso le interfacce dati:

      > sistema ping fmc_ip

    Ping a FMC per verificare la connettività da FMC tramite interfaccia di gestione

    Controllo dello stato dell'interfaccia, delle statistiche e del numero di pacchetti

    Su threat defenseCLI, vedere le informazioni sull'interfaccia del backplane interno, nlp_int_tap:

      > show interface detail

    Statistiche interfaccia su FTD

    Convalida ciclo di lavorazione su FTD per raggiungere FMC

    In corrispondenza di threat defenseCLI, verificare che la route predefinita (S*) sia stata aggiunta e che esistano regole NAT interne per l'interfaccia di gestione (nlp_int_tap).

      > show route

    Convalida del ciclo di lavorazione su FTD

      > show nat

    Configurazione NAT su FTD per il traffico di gestione

    Controllare le statistiche di Sftunnel e connessione

      > show running-config tunnel

    Esecuzione della configurazione per Sftunnel

    icona di avviso

    Avvertenza: durante il processo di modifica dell'accesso del responsabile, evitare di eliminare il responsabile sull'FTD o annullare la registrazione/forzare l'eliminazione dell'FTD dall'FMC.

    Informazioni correlate

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    18-Jul-2024
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Saikumar Boinpally
      Tecnico di consulenza per la sicurezza

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti