Cisco 또는 리셀러에서 디바이스를 구매한 경우 라이선스는 Smart Software License 계정에 연결되어 있어야 합니다. 그러나 라이선스를 직접 추가해야 하는 경우 Cisco Commerce Workspace에서 Search All(모두 검색) 필드를 사용합니다.

결과에서 Products & Services(제품 및 서비스)를 선택합니다.

다음 라이선스 PID를 검색합니다.

• Essentials 라이선스:

  • L-FPR4215-BSE=

  • L-FPR4225-BSE=

  • L-FPR4245-BSE=

• IPS, 악성코드 방어 및 URL 라이선스 조합:

  • L-FPR4215T-TMC =

  • L-FPR4225T-TMC =

  • L-FPR4245T-TMC =

  위의 PID 중 하나를 주문에 추가하면 다음 PID 중 하나에 해당하는 기간별 서브스크립션을 선택할 수 있습니다.

  • L-FPR4215T-TMC-1Y

  • L-FPR4215T-TMC-3Y

  • L-FPR4215T-TMC-5Y

  • L-FPR4225T-TMC-1Y

  • L-FPR4225T-TMC-3Y

  • L-FPR4225T-TMC-5Y

  • L-FPR4245T-TMC-1Y

  • L-FPR4245T-TMC-3Y

  • L-FPR4245T-TMC-5Y

• 통신 사업자 라이선스:

  • L-FPR4200-FTD-CAR=

• Cisco Secure Client— Cisco Secure Client 주문 가이드를 참조하십시오.

등록하려면 Smart Software Manager에서 등록 토큰을 생성해야 합니다. 자세한 지침은 CDO 설명서를 참조하십시오.

관리자 사용자(비밀번호: Admin123)로 로그인합니다.

FXOS CLI에 연결합니다. 처음 로그인하면 비밀번호를 변경하라는 메시지가 표시됩니다. 이 비밀번호는 SSH의 threat defense 로그인에도 사용됩니다.

scope ssa

show app-instance

CLI를 사용하여 초기 설정을 수행해야 합니다. 콘솔 포트는 문제 해결을 위해서도 필요할 수 있습니다.

FTD를 관리 모드로 선택한 후 언제든지 Manage Smart License(스마트 라이선스 관리)를 클릭하여 디바이스에 사용 가능한 기존 스마트 라이선스를 등록하거나 수정할 수 있습니다. 어떤 라이선스를 사용할 수 있는지 확인하려면 라이선스 얻기의 내용을 참조하십시오.

configure manager add cdo_hostname registration_key nat_id display_name

시작 스크립트를 완료한 후 threat defense CLI에서 이 명령을 복사합니다. CLI를 사용한 초기 구성 수행의 내용을 참조하십시오.

콘솔 포트는 FXOS CLI에 연결됩니다.

FXOS에 처음 로그인하면 비밀번호를 변경하라는 메시지가 표시됩니다. 이 비밀번호는 SSH의 threat defense 로그인에도 사용됩니다.

connect ftd

데이터 인터페이스에서 관리자 액세스를 활성화하더라도 관리 인터페이스 네트워크 설정은 계속 사용됩니다.

기본값 또는 이전에 입력한 값이 괄호 안에 표시됩니다. 이전에 입력한 값을 승인하려면 Enter를 누릅니다.

다음 지침을 참조하십시오.

• Do you want to configure IPv4?(IPv4를 구성하시겠습니까?) 및/또는 Do you want to configure IPv6?(IPv6를 구성하시겠습니까?) - 이러한 주소 유형 중 하나 이상에 y를 입력합니다. 관리 인터페이스를 사용할 계획은 없지만 IP 주소(예: 개인 주소)를 설정해야 합니다.

• Configure IPv4 via DHCP or manually?(DHCP를 통해 또는 수동으로 IPv4를 구성하시겠습니까)? 및/또는 Configure IPv6 via DHCP, router, or manually?(DHCP, 라우터를 통해 또는 수동으로 IPv6를 설정하시겠습니까?)- manual(수동)을 선택합니다. 관리 인터페이스가 DHCP로 설정된 경우 관리를 위해 데이터 인터페이스를 설정할 수 없습니다. 데이터 인터페이스(데이터 인터페이스)여야 하는 기본 경로(다음 글머리 기호 참조)가 DHCP 서버에서 수신한 기본 경로를 덮어 쓸 수 있기 때문입니다.

• Enter the IPv4 default gateway for the management interface(관리 인터페이스의 IPv4 기본 게이트웨이 입력) 및/또는 Enter the IPv6 gateway for the management interface(관리 인터페이스에 대한 IPv6 게이트웨이 입력)— 게이트웨이를 data-interfaces로 설정합니다. 이 설정은 관리 트래픽을 백플레인을 통해 전달하므로 관리자 액세스 데이터 인터페이스를 통해 라우팅될 수 있습니다.

• Configure firewall mode?(방화벽 모드를 구성하시겠습니까?)—routed(라우팅)를 입력합니다. 외부 관리자 액세스는 라우팅 방화벽 모드에서만 지원됩니다.

configure network management-data-interface

그러면 외부 인터페이스에 대한 기본 네트워크 설정을 구성하라는 메시지가 표시됩니다. 이 명령 사용에 대한 자세한 내용은 다음을 참조하십시오.

• 관리에 데이터 인터페이스를 사용하려는 경우 관리 인터페이스에서 DHCP를 사용할 수 없습니다. 초기 설정 중에 IP 주소를 수동으로 설정하지 않은 경우 지금 configure network {ipv4 | ipv6} manual 명령을 사용하여 설정할 수 있습니다. 관리 인터페이스 게이트웨이를 아직 data-interfaces로 설정하지 않은 경우, 이 명령이 이제 설정합니다.

• CDO에 threat defense를 추가하면 CDO는 인터페이스 이름 및 IP 주소, 게이트웨이에 대한 고정 경로, DNS 서버 및 DDNS 서버를 포함한 인터페이스 컨피그레이션을 검색하고 유지 관리합니다. DNS 서버 설정에 관한 자세한 내용은 아래를 참조하십시오. CDO에서 나중에 관리자 액세스 인터페이스 구성을 변경할 수 있지만, threat defense 또는 CDO가 관리 연결을 재설정하지 못하게 할 수 있는 변경은 수행하지 않아야 합니다. 관리 연결이 중단되면 threat defense에 이전 구축을 복구하는 configure policy rollback 명령이 포함됩니다.

• DDNS 서버 업데이트 URL을 설정하는 경우 threat defense가 HTTPS 연결을 위해 DDNS 서버 인증서를 검증할 수 있도록 threat defense가 Cisco Trusted Root CA 번들에서 모든 주요 CA에 대한 인증서를 자동으로 추가합니다. threat defense는 DynDNS 원격 API 사양(https://help.dyn.com/remote-access-api/)을 사용하는 모든 DDNS 서버를 지원합니다.

• 이 명령은 데이터 인터페이스 DNS 서버를 설정합니다. 설정 스크립트로 설정하거나 configure network dns servers 명령을 사용하여 설정한 관리 DNS 서버는 관리 트래픽에 사용됩니다. 데이터 DNS 서버는 DDNS(설정된 경우) 또는 이 인터페이스에 적용된 보안 정책에 사용됩니다.

  CDO에서 이 threat defense에 할당하는 플랫폼 설정 정책에서 데이터 인터페이스 DNS 서버가 설정됩니다. CDO 에 threat defense를 추가하면 로컬 설정이 유지되고 DNS 서버가 플랫폼 설정 정책에 추가되지 않습니다. 그러나 나중에 DNS 컨피그레이션을 포함하는 threat defense에 플랫폼 설정 정책을 할당하면 해당 컨피그레이션이 로컬 설정을 덮어씁니다. CDO와 threat defense를 동기화하려면 이 설정과 일치하도록 DNS 플랫폼 설정을 적극적으로 구성하는 것이 좋습니다.

  또한 로컬 DNS 서버는 초기 등록시 DNS 서버가 검색된 경우에만 CDO에 의해 유지됩니다. 예를 들어 관리 인터페이스를 사용하여 디바이스를 등록한 다음 나중에 configure network management-data-interface 명령을 사용하여 데이터 인터페이스를 구성하는 경우 threat defense 구성과 일치하도록 DNS 서버를 포함하여 CDO에서 이러한 모든 설정을 수동으로 구성해야 합니다.

• threat defense를 CDO에 등록한 후 관리 인터페이스를 관리 인터페이스 또는 다른 데이터 인터페이스로 변경할 수 있습니다.

• 설정 마법사에서 설정한 FQDN이 이 인터페이스에 사용됩니다.

• 명령의 일부로 전체 디바이스 구성을 지울 수 있습니다. 복구 시나리오에서는 이 옵션을 사용할 수 있지만 초기 설정 또는 정상 작동에는 이 옵션을 사용하지 않는 것이 좋습니다.

• 데이터 관리를 비활성화하려면 configure network management-data-interface disable 명령을 입력합니다.

구성에서 이미 40Gb 인터페이스를 사용한 경우 분할을 계속 진행하기 전에 구성을 제거해야 합니다.

General(일반) 탭이 표시됩니다.

General(일반) 탭이 표시됩니다.

관리자 액세스를 위해 이 인터페이스를 미리 구성했으므로 인터페이스의 이름이 이미 지정되고 활성화되어 있으며 주소가 지정됩니다. 이러한 기본 설정을 변경하면 management center 관리 연결이 중단되므로 이 설정을 변경하면 안됩니다. 트래픽 정책을 통해 이 화면에서 보안 영역을 구성해야 합니다.

• 인터페이스 - 드롭다운 목록에서 인터페이스를 선택합니다.

• Address Pool(주소 풀) - DHCP 서버에서 사용되는 최소 및 최대 IP 주소 범위를 설정합니다. 이 IP 주소 범위는 선택된 인터페이스와 동일한 서브넷에 있어야 하며, 인터페이스 자체의 IP 주소는 포함할 수 없습니다.

• Enable DHCP Server(DHCP 서버 활성화) - 선택한 인터페이스에서 DHCP 서버를 활성화합니다.

정책이 management center을 추가합니다. 계속해서 정책에 규칙을 추가해야 합니다.

Add NAT Rule(NAT 규칙 추가) 대화 상자가 나타납니다.

• NAT Rule(NAT 규칙) - Auto NAT Rule(자동 NAT 규칙)을 선택합니다.

• Type(유형) - Dynamic(동적)을 선택합니다.

• Original Source(원본 소스)- 모든 IPv4 트래픽(0.0.0.0/0)에 대한 네트워크 개체를 추가하려면 Add(추가) ()를 클릭합니다.

  

  참고	자동 NAT 규칙은 개체 정의의 일부로 NAT를 추가하고 시스템 정의 개체를 수정할 수 없기 때문에 시스템에서 정의된 any-ipv4 개체를 사용할 수 없습니다.

• Translated Source(변환된 소스) - Destination Interface IP(대상 인터페이스 IP)를 선택합니다.

규칙이 Rules(규칙) 테이블에 저장됩니다.

• Name (이름) - 예를 들어 이 규칙의 이름을 inside-to-outside로 지정합니다.

• Selected Sources(선택한 원본)—Zones(영역)에서 내부 영역을 선택하고 Add Source Zone(원본 영역 추가)을 클릭합니다.

• Selected Destinations and Applications(선택한 대상 및 애플리케이션)—Zones(영역)에서 외부 영역을 선택하고 Add Destination Zone(대상 영역 추가)을 클릭합니다.

기타 설정은 변경하지 않습니다.

규칙이 Rules(규칙) 테이블에 추가됩니다.

System is stopped.
It is safe to power off now.

Do you want to reboot instead? [y/N]

콘솔에 연결되지 않은 경우 시스템이 종료될 때까지 약 3분 동안 기다리십시오.

System is stopped.
It is safe to power off now.

Do you want to reboot instead? [y/N]

콘솔에 연결되지 않은 경우 시스템이 종료될 때까지 약 3분 동안 기다리십시오.