步骤 1

登录至设备管理器。

1. 在浏览器中输入以下 URL。

   • 内部 - https://192.168.95.1 。

   • 管理 - https://management_ip 。管理接口是 DHCP 客户端，因此 IP 地址取决于您的 DHCP 服务器。在此过程中，您必须将管理 IP 地址设置为静态地址，因此我们建议您使用内部接口，以免连接被断开。

2. 使用用户名 admin 和默认密码 Admin123 登录。

3. 系统会提示您阅读和接受“最终用户许可协议”并更改管理员密码。

步骤 2

首次登录设备管理器以完成初始配置时，请使用设置向导。您可以选择通过点击页面底部的跳过设备设置 (Skip device setup) 来跳过安装向导。

1. 为外部接口和管理接口配置以下选项，然后点击下一步 (Next)。

   1. 外部接口地址 (Outside Interface Address) - 此接口通常是互联网网关，并且可用作管理器访问接口。在初始设备设置期间，您不能选择其他外部接口。第一个数据接口是默认的外部接口。

      如果要使用与外部（或内部）不同的接口来进行管理器访问，则必须在完成安装向导后手动配置该接口。

      配置 IPv4 - 外部接口的 IPv4 地址。可以使用 DHCP，也可以手动输入静态 IP 地址、子网掩码和网关。另外，也可以选择关，不配置 IPv4 地址。您无法使用安装向导配置 PPPoE。如果接口连接到 DSL、电缆调制解调器或 ISP 的其他连接，并且 ISP 使用 PPPoE 来提供 IP 地址，则可能需要使用 PPPoE。您可以在完成向导后配置 PPPoE。

      配置 Ipv6 - 外部接口的 Ipv6 地址可以使用 DHCP，也可以手动输入静态 IP 地址、前缀和网关。另外，也可以选择关，不配置 IPv6 地址。

   2. 管理接口

      如果在 CLI 中执行了初始设置，您将不会看到管理接口设置。

      即使您在数据接口上启用管理器访问，也仍会使用管理接口设置。例如，通过数据接口在背板上路由的管理流量将使用管理接口 DNS 服务器解析 FQDN，而非使用数据接口 DNS 服务器。

      DNS 服务器 - 系统管理地址的 DNS 服务器。输入 DNS 服务器的一个或多个地址以解析名称。默认值为 OpenDNS 公共 DNS 服务器。如果您编辑字段并想要恢复默认值，请点击使用 OpenDNS (Use OpenDNS) 以重新将合适的 IP 地址载入字段。

      防火墙主机名 (Firewall Hostname) - 系统管理地址的主机名。

2. 配置时间设置 (NTP) (Time Setting [NTP]) 并点击下一步 (Next)。

   1. 时区 - 选择系统时区。

   2. NTP 时间服务器 - 选择使用默认 NTP 服务器，还是手动输入 NTP 服务器的地址。可以添加多个服务器来提供备份。

3. 选择启动 90 日评估期而不注册。

   不要向智能软件管理器注册威胁防御；所有许可均在管理中心上执行。

4. 点击完成。

5. 系统将提示您选择云管理 (Cloud Management) 或独立 (Standalone)。对于 管理中心 管理，请选择独立 (Standalone)，然后选择知道了 (Got It)。

步骤 3

（可能需要）配置管理接口。

步骤 4

如果要配置其他接口，包括要用于管理器访问的外部或内部接口，请选择设备 (Device)，然后点击接口 (Interfaces) 摘要中的链接。

步骤 5

选择 设备 (Device) > 系统设置 (System Settings) > 集中管理 (Central Management)，然后点击继续 (Proceed) 以设置 管理中心 管理。

步骤 6

配置管理中心/CDO 详细信息 。

1. 对于是否知道管理中心/CDO 主机名或 IP 地址，如果您可以使用 IP 地址或主机名访问 管理中心 ，请点击是 (Yes) ，如果 管理中心 位于 NAT 之后或没有公共 IP 地址或主机名，请点击否 (No)。

   必须至少有一个设备（ 管理中心 或 威胁防御 设备）具有可访问的 IP 地址，才能在两个设备之间建立双向 TLS-1.3 加密的通信通道。

2. 如果选择是 (Yes)，则输入管理中心/CDO 主机名/IP 地址。

3. 指定管理中心/CDO注册密钥。

   此密钥是您选择的一次性注册密钥，注册威胁防御设备时也要在 管理中心上指定它。注册密钥不得超过 37 个字符。有效字符包括字母数字（A–Z、a–z、0–9）和连字符 (-)。此 ID 可用于将多台设备注册到 管理中心。

4. 指定 NAT ID。

   此 ID 是您选择的唯一一次性字符串，您还需要在 管理中心上指定它。如果仅在其中一台设备上指定 IP 地址，则此字段必填；但建议您即使在知道两台设备的 IP 地址时，仍指定 NAT ID。NAT ID 不得超过 37 个字符。有效字符包括字母数字（A–Z、a–z、0–9）和连字符 (-)。此 ID 不能 用于将任何其他设备注册到 管理中心。NAT ID 与 IP 地址结合使用，用于验证连接是否来自正确的设备；只有在对 IP 地址/NAT ID 进行身份验证后，才会检查注册密钥。

步骤 7

配置连接配置。

1. 指定 FTD 主机名。

   如果您使用数据接口进行管理中心/CDO 访问接口 访问，则此 FQDN 将用于此接口。

2. 指定 DNS 服务器组。

   选择现有组或创建一个新组。默认 DNS 组名为 CiscoUmbrellaDNSServerGroup，其中包括 OpenDNS 服务器。

   如果要为管理中心/CDO 访问接口选择数据接口，则此设置会设置数据接口 DNS 服务器。您使用安装向导设置的管理 DNS 服务器用于管理流量。数据 DNS 服务器用于 DDNS（如果已配置）或适用于此接口的安全策略。您可能会选择用于管理的相同 DNS 服务器组，因为管理和数据流量都通过外部接口到达 DNS 服务器。

   在 管理中心上，数据接口 DNS 服务器在您分配给此 威胁防御 的平台设置策略中配置。当您将威胁防御设备添加到管理中心时，本地设置将保留，并且 DNS 服务器 不会 添加到平台设置策略。但是，如果稍后将平台设置策略分配给包含 DNS 配置的 威胁防御 设备，则该配置将覆盖本地设置。我们建议您主动配置与此设置匹配的 DNS 平台设置，以使 管理中心 和 威胁防御 设备同步。

   此外，仅当在初始注册时发现 DNS 服务器， 管理中心 才会保留本地 DNS 服务器。

   如果要为CDOFMC 访问接口选择管理接口，则此设置会配置管理 DNS 服务器。

3. 对于管理中心/CDO 访问接口，请选择任何已配置的接口。

   将威胁防御设备注册到管理中心后，您可以将该管理器接口更改为管理接口或另一数据接口。

步骤 8

(可选) 如果您选择了数据接口，并且该接口不是外部接口，那么请添加默认路由。

步骤 9

(可选) 如果您选择了数据接口，请点击添加动态 DNS (DDNS) 方法。

步骤 10

点击连接 (Connect)。注册状态 对话框显示切换到 管理中心的当前状态。在保存管理中心/CDO 注册设置步骤后，转到 管理中心，并添加防火墙。

如果要取消切换到 管理中心，请点击 取消注册。否则，请在保存管理中心/CDO 注册设置步骤之后关闭 设备管理器 浏览器窗口。如果这样做，该过程将暂停，并且只有在您重新连接到 设备管理器时才会恢复。

如果您在保存管理中心/CDO注册设置步骤后保持连接到 设备管理器 ，您最终将看到与管理中心的成功连接或 CDO对话框。您将断开与 设备管理器 的连接。

Step 1

从控制台端口连接到 威胁防御 CLI，或使用管理接口连接至 SSH，默认情况下其从 DHCP 获取 IP 地址。如果您打算更改网络设置，我们建议使用控制台端口，以免断开连接。

Step 2

使用用户名 admin 和密码 Admin123 登录。

firepower login: admin
Password: Admin123
Successful login attempts for user 'admin' : 1

[...]

Hello admin. You must change your password.
Enter new password: ********
Confirm new password: ********
Your password was updated successfully.

[...]

firepower# 

Step 3

（Firepower 和 Cisco Secure Firewall硬件型号）如果已连接到控制台端口上的 FXOS，请连接到 威胁防御 CLI。

firepower# connect ftd
>

Step 4

第一次登录 威胁防御时，系统会提示您接受《最终用户许可协议》(EULA)和，如果使用 SSH 连接， 则会提示您更改 admin 密码。然后，系统将显示 CLI 设置脚本。

You must accept the EULA to continue.
Press <ENTER> to display the EULA:
End User License Agreement
[...]

Please enter 'YES' or press <ENTER> to AGREE to the EULA: 


System initialization in progress.  Please stand by.
You must configure the network to continue.
Configure at least one of IPv4 or IPv6 unless managing via data interfaces.
Do you want to configure IPv4? (y/n) [y]:
Do you want to configure IPv6? (y/n) [y]: n
Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]:
Enter an IPv4 address for the management interface [192.168.45.61]: 10.89.5.17
Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.192
Enter the IPv4 default gateway for the management interface [data-interfaces]: 10.89.5.1
Enter a fully qualified hostname for this system [firepower]: 1010-3
Enter a comma-separated list of DNS servers or 'none' [208.67.222.222,208.67.220.220,2620:119:35::35]:
Enter a comma-separated list of search domains or 'none' []: cisco.com
If your networking information has changed, you will need to reconnect.
Disabling IPv6 configuration: management0
Setting DNS servers: 208.67.222.222,208.67.220.220,2620:119:35::35
Setting DNS domains:cisco.com
Setting hostname as 1010-3
Setting static IPv4: 10.89.5.17 netmask: 255.255.255.192 gateway: 10.89.5.1 on management0
Updating routing tables, please wait...
All configurations applied to the system. Took 3 Seconds.
Saving a copy of running network configuration to local disk.
For HTTP Proxy configuration, run 'configure network http-proxy'

Manage the device locally? (yes/no) [yes]: no
DHCP server is already disabled
DHCP Server Disabled
Configure firewall mode? (routed/transparent) [routed]:
Configuring firewall mode ...


Device is in OffBox mode - disabling/removing port 443 from iptables.
Update policy deployment information
    - add device configuration
    - add network discovery
    - add system policy

You can register the sensor to a Firepower Management Center and use the
Firepower Management Center to manage it. Note that registering the sensor
to a Firepower Management Center disables on-sensor Firepower Services
management capabilities.

When registering the sensor to a Firepower Management Center, a unique
alphanumeric registration key is always required.  In most cases, to register
a sensor to a Firepower Management Center, you must provide the hostname or
the IP address along with the registration key.
'configure manager add [hostname | ip address ] [registration key ]'

However, if the sensor and the Firepower Management Center are separated by a
NAT device, you must enter a unique NAT ID, along with the unique registration
key.
'configure manager add DONTRESOLVE [registration key ] [ NAT ID ]'

Later, using the web interface on the Firepower Management Center, you must
use the same registration key and, if necessary, the same NAT ID when you add
this sensor to the Firepower Management Center.
>

Step 5

确定将管理此 威胁防御的 管理中心 。

> configure manager add MC.example.com 123456
Manager successfully configured.

> configure manager add DONTRESOLVE regk3y78 natid90
Manager successfully configured.

> configure manager add 10.70.45.5 regk3y78 natid56
Manager successfully configured.

Step 6

如果您使用 CDO 作为主要管理器，并希望仅将本地部署 管理中心 用于分析，请确定本地部署 管理中心。

> configure manager add account1.app.us.cdo.cisco.com KPOOP0rgWzaHrnj1V5ha2q5Rf8pKFX9E
Lzm1HOynhVUWhXYWz2swmkj2ZWsN3Lb account1.app.us.cdo.cisco.com
Manager successfully configured.
> configure manager add 10.70.45.5 regk3y78 natid56 analytics-FMC
Manager successfully configured.

Step 7

(Optional) 配置用于管理器访问的数据接口。

> configure network management-data-interface
Data interface to use for management: ethernet1/1
Specify a name for the interface [outside]:
IP address (manual / dhcp) [dhcp]:  
DDNS server update URL [none]: https://dwinchester:pa$$w0rd17@domains.example.com/nic/update?hostname=<h>&myip=<a>
Do you wish to clear all the device configuration before applying ? (y/n) [n]:

Configuration done with option to allow manager access from any network, if you wish to change the manager access network 
use the 'client' option in the command 'configure network management-data-interface'.

Setting IPv4 network configuration.
Network settings changed.

> 

> configure network management-data-interface
Data interface to use for management: ethernet1/1
Specify a name for the interface [outside]: internet
IP address (manual / dhcp) [dhcp]: manual
IPv4/IPv6 address: 10.10.6.7
Netmask/IPv6 Prefix: 255.255.255.0
Default Gateway: 10.10.6.1
Comma-separated list of DNS servers [none]: 208.67.222.222,208.67.220.220
DDNS server update URL [none]:
Do you wish to clear all the device configuration before applying ? (y/n) [n]:

Configuration done with option to allow manager access from any network, if you wish to change the manager access network
use the 'client' option in the command 'configure network management-data-interface'.

Setting IPv4 network configuration.
Network settings changed.

>

Step 8

(Optional) 限制在特定网络上通过数据接口访问管理器。

步骤 1

启用第二个管理接口作为仅事件的接口。

> configure network management-interface enable management1
Configuration updated successfully

> configure network management-interface disable-management-channel management1
Configuration updated successfully

>

步骤 2

配置事件接口的 IP 地址。

1. 配置 IPv4 地址：

   configure network ipv4 manual ip_address netmask gateway_ip management1

   请注意，此命令中的 gateway_ip 用于为设备创建默认路由，因此，您应该输入已经为 management0 接口设置的值。它不会为事件接口创建单独的静态路由。如果您在与管理接口不同的网络上使用仅事件接口，我们建议您为仅事件接口创建静态路由。

   示例：

   
   > configure network ipv4 manual 10.10.10.45 255.255.255.0 10.10.10.1 management1
   Setting IPv4 network configuration.
   Network settings changed.
   
   >
   
   

2. 配置 IPv6 地址：

   • 无状态自动配置：

     configure network ipv6 router management1

     示例：

     
     > configure network ipv6 router management1
     Setting IPv6 network configuration.
     Network settings changed.
     
     >
     
     

   • 手动配置：

     configure network ipv6 manual ip6_address ip6_prefix_length management1

     示例：

     
     > configure network ipv6 manual 2001:0DB8:BA98::3210 64 management1
     Setting IPv6 network configuration.
     Network settings changed.
     
     >
     
     

步骤 3

如果 管理中心位于远程网络上，则将为仅事件接口添加静态路由；否则，所有流量都将通过管理接口与默认路由匹配。

> configure network static-routes ipv4 add management1 192.168.6.0 255.255.255.0 10.10.10.1
Configuration updated successfully

> configure network static-routes ipv6 add management1 2001:0DB8:AA89::5110 64 2001:0DB8:BA98::3211
Configuration updated successfully

>

> show network-static-routes
---------------[ IPv4 Static Routes ]---------------
Interface                 : management1
Destination               : 192.168.6.0
Gateway                   : 10.10.10.1
Netmask                   : 255.255.255.0
[…]

步骤 1

选择设备 > 设备管理。

步骤 2

在要修改管理选项的设备旁边，点击 编辑（）。

步骤 3

点击设备 (Devices)，并查看管理 (Management) 区域。

步骤 4

点击滑块暂时禁用管理，使其处于禁用状态 （）。

系统将提示您继续禁用管理；点击 是。

禁用管理会阻止 管理中心 和设备之间的连接，但不会从 管理中心 删除设备。

步骤 5

通过点击 编辑（） 来编辑远程主机地址 IP 地址和可选辅助地址（使用冗余数据接口时）或主机名。

步骤 6

在管理 (Management) 对话框中，在远程主机地址 (Remote Host Address) 字段和可选的辅助地址 (Secondary Address) 字段中修改名称或 IP 地址，然后点击保存 (Save)。

有关使用辅助管理器访问数据接口的信息，请参阅配置冗余管理器访问数据接口。

步骤 7

点击滑块重新启用管理，使其处于启用状态 （）。

步骤 1

禁用管理连接。

1. 选择设备 > 设备管理。

2. 点击设备旁边的 编辑（）。

3. 点击设备 (Devices)，并查看管理 (Management) 区域。

4. 点击滑块暂时禁用管理，使其处于禁用状态 （）。

   

   系统将提示您继续禁用管理；点击 是。

   

步骤 2

将 管理中心 中的设备 IP 地址更改为新的设备 IP 地址。

1. 通过点击 编辑（） 来编辑远程主机地址 IP 地址和可选辅助地址（使用冗余数据接口时）或主机名。

   

2. 在管理 (Management) 对话框中，在远程主机地址 (Remote Host Address) 字段和可选的辅助地址 (Secondary Address) 字段中修改名称或 IP 地址，然后点击保存 (Save)。

   

步骤 3

请更改 管理中心 IP 地址。

1. 选择 系统（） > 配置，然后选择管理接口。

2. 在接口区域中，点击要配置的接口旁边的编辑。

3. 更改 IP 地址，然后点击保存 (Save)。

步骤 4

更改设备上的管理器 IP 地址。

1. 在 威胁防御 CLI 中，查看 管理中心 标识符。

   show managers

   示例:

   
   > show managers
   Type                      : Manager
   Host                      : 10.10.1.4
   Display name              : 10.10.1.4
   Identifier                : f7ffad78-bf16-11ec-a737-baa2f76ef602
   Registration              : Completed
   Management type           : Configuration
    

2. 编辑 管理中心 IP 地址或主机名。

   configure manager edit 标识符 {hostname {ip_address | hostname} | displayname display_name}

   如果 管理中心 最初由 DONTRESOLVE 和 NAT ID 标识，则可以使用此命令将该值更改为主机名或 IP 地址。不能将 IP 地址或主机名更改为 DONTRESOLVE 。

   示例:

   
   > configure manager edit f7ffad78-bf16-11ec-a737-baa2f76ef602 hostname 10.10.5.1
   
   

步骤 5

在控制台端口更改管理器访问接口的 IP 地址。

步骤 6

点击滑块重新启用管理，使其处于启用状态 （）。

对于高可用性对或集群，在所有设备上执行这些步骤。

步骤 7

（如果使用数据接口进行管理器访问）刷新 管理中心中的数据接口设置。

1. 选择设备 (Devices) > 设备管理 (Device Management) > 设备 (Device) > 管理 (Management) > 管理访问权限 - 配置详细信息 (Manager Access - Configuration Details)，然后点击刷新 (Refresh)。

2. 选择设备 (Devices) > 设备管理 (Device Management) > 接口 (Interfaces)，然后设置 IP 地址以便与新地址匹配。

3. 返回管理器访问 - 配置详细信息 (Manager Access - Configuration Details) 对话框，然后点击确认 (Acknowledge) 以删除部署块。

步骤 8

确保管理连接已重新建立。

在 管理中心 中，在 设备 (Devices) > 设备管理 (Device Management) > 设备 (Device) > 管理 (Management) > 管理器访问 - 配置详细信息 (Manager Access - Configuration Details) > 连接状态 (Connection Status) 页面上检查管理连接状态。

在 威胁防御 CLI，输入 sftunnel-status-brief 命令以查看管理连接状态。

以下状态显示数据接口成功连接，显示内部“ tap_nlp”接口。

步骤 9

（对于高可用性 管理中心 对）在辅助 管理中心上重复配置更改。

1. 更改辅助 管理中心 IP 地址。

2. 在两台设备上指定新的对等地址。

3. 将辅助设备设置为主用设备。

4. 禁用设备管理连接。

5. 更改 管理中心 中的设备 IP 地址。

6. 重新启用管理连接。

步骤 1

初始化接口迁移。

1. 在 设备 (Devices) > 设备管理 (Device Management) 页面，然后点击设备的 编辑（） 。

2. 转到设备 (Device) > 管理 (Management) 部分，然后点击管理器访问接口 (Manager Access Interface) 的链接。

   管理器访问接口 (Manager Access Interface) 字段会显示当前管理接口。当您点击链接时，在 管理设备依据 下拉列表中选择新接口类型 数据接口。

   

3. 点击保存 (Save)。

   您现在必须完成此程序中的其余步骤，才能在数据接口上启用管理器访问。管理 (Management) 区域现在会显示管理器访问接口：数据接口 (Manager Access Interface: Data Interface) 以及管理器访问详细信息：配置 (Manager Access Details: Configuration)。

   

   如果点击配置 (Configuration)，将打开管理器访问 - 配置详细信息 (Manager Access - Configuration Details) 对话框。管理器访问模式 (Manager Access Mode) 将显示“等待部署” (Deploy pending) 状态。

步骤 2

在设备 (Devices) > 设备管理 (Device Management) > 接口 (Interfaces) > 编辑物理接口 (Edit Physical Interface) > 管理器访问 (Manager Access) 页面上启用数据接口上的管理器访问。

步骤 3

(可选) 如果对接口使用DHCP，请在 设备 > 设备管理 > DHCP > DDNS 页面上启用 Web 类型 DDNS 方法。

步骤 4

确保 威胁防御 可以通过数据接口路由到 管理中心；如果需要，在 设备 (Devices) > 设备管理 (Device Management) > 路由 (Routing) > 静态路由 (Routing)上添加静态路由。

步骤 5

(可选) 在平台设置策略中配置 DNS，并将其应用到位于 设备 > 平台设置 > DNS的此设备。

步骤 6

(可选) 在平台设置策略中为数据接口启用 SSH，并通过 设备 > 平台设置 > 安全外壳将其应用于此设备。

步骤 7

部署配置更改。

步骤 8

在 威胁防御 CLI（最好从控制台端口），将管理接口设置为使用静态 IP 地址，并将网关设置为使用数据接口。 对于高可用性，请在两台设备上执行此步骤。

步骤 9

如有必要，请重新连接 威胁防御，使其能够到达数据接口上的 管理中心。 对于高可用性，请在两台设备上执行此步骤。

步骤 10

在 管理中心 中，禁用管理连接，在设备 (Devices) > 设备管理 (Device Management) > 设备 (Device) > 管理 (Management) 部分中更新 威胁防御 的远程主机地址 (Remote Host Address)IP 地址 (IP address) 和可选辅助地址 (Secondary Address)，然后重新启用连接。

步骤 11

确保管理连接已重新建立。

在 管理中心 中，在 设备 (Devices) > 设备管理 (Device Management) > 设备 (Device) > 管理 (Management) > 管理器访问 - 配置详细信息 (Manager Access - Configuration Details) > 连接状态 (Connection Status) 页面上检查管理连接状态。

在 威胁防御 CLI，输入 sftunnel-status-brief 命令以查看管理连接状态。

以下状态显示数据接口成功连接，显示内部“ tap_nlp”接口。

如果重新建立连接需要 10 分钟以上，则应排除连接故障。请参阅排除数据接口上的管理连接故障。

步骤 1

初始化接口迁移。

1. 在 设备 (Devices) > 设备管理 (Device Management) 页面，然后点击设备的 编辑（） 。

2. 转到设备 (Device) > 管理 (Management) 部分，然后点击管理器访问接口 (Manager Access Interface) 的链接。

   管理器访问接口 (Manager Access Interface) 字段会将当前管理接口显示为数据。点击链接时，在 管理设备依据 下拉列表中选择新接口类型， 管理接口。

   

3. 点击保存 (Save)。

   您现在必须完成此程序中的其余步骤，才能在管理接口上启用管理器访问。管理 (Management) 区域现在会显示管理器访问接口：管理接口 (Manager Access Interface: Management Interface) 以及管理器访问详细信息：配置 (Manager Access Details: Configuration)。

   

   如果点击配置 (Configuration)，将打开管理器访问 - 配置详细信息 (Manager Access - Configuration Details) 对话框。管理器访问模式 (Manager Access Mode) 将显示“等待部署” (Deploy pending) 状态。

步骤 2

在设备 (Devices) > 设备管理 (Device Management) > 接口 (Interfaces) > 编辑物理接口 (Edit Physical Interface) > 管理器访问 (Manager Access) 页面上禁用数据接口上的管理器访问。

步骤 3

如果尚未执行此操作，请在“平台设置”策略中为数据接口配置 DNS 设置，然后在 设备 > 平台设置 > DNS上将其应用至设备。

步骤 4

部署配置更改。

步骤 5

如有必要，请重新连接 威胁防御，以便它可以到达管理接口上的 管理中心。 对于高可用性，请在两台设备上执行此步骤。

步骤 6

在 威胁防御 CLI 中，使用静态 IP 地址或 DHCP 配置管理接口 IP 地址和网关。 对于高可用性，请在两台设备上执行此步骤。

步骤 7

在 管理中心 中，禁用管理连接，在设备 (Devices) > 设备管理 (Device Management) > 设备 (Device) > 管理 (Management) 部分中更新 威胁防御 的远程主机地址 (Remote Host Address)IP 地址 (IP address) 并删除辅助地址 (Secondary Address)，然后重新启用连接。

步骤 8

确保管理连接已重新建立。

步骤 1

在 设备 (Devices) > 设备管理 (Device Management) 页面，然后点击设备的 编辑（） 。

步骤 2

启用对辅助接口的管理器访问。

1. 选择接口 (Interfaces) > 编辑物理接口 (Edit Physical Interface) > 管理器访问 (Manager Access)。

2. 选中在此接口上为管理器启用管理 (Enable management on this interface for the Manager)。

3. 点击确定 (OK)。

两个接口都会在列表中显示（管理器访问）。

步骤 3

将辅助地址添加到管理 (Management) 设置。

1. 点击设备 (Devices)，并查看管理 (Management) 区域。

2. 点击编辑（）。

   

3. 在管理 (Management) 对话框中，在辅助地址 (Secondary Address) 字段中修改名称或 IP 地址

   

4. 点击保存 (Save)。

步骤 4

通过两个接口创建 ECMP 区域。

1. 点击路由。

2. 从虚拟路由器下拉列表中，选择主接口和辅助接口所在的虚拟路由器。

3. 点击 ECMP，然后点击添加 (Add)。

4. 为 ECMP 区域输入一个名称。

5. 在可用接口 (Available Interfaces) 框下选择主和辅助接口，然后点击添加 (Add)。

   

6. 点击确定 (OK)，然后点击保存 (Save)。

步骤 5

为两个接口添加等价默认静态路由，并在两个接口上启用 SLA 跟踪。

除网关外，路由应完全相同，并且都应具有指标 1。主接口应已具有您可以编辑的默认路由。

1. 点击静态路由 (Static Route)。

2. 点击添加路由 (Add Route) 以添加新路由，或点击现有路由的 编辑（）。

3. 从接口 (Interface) 下拉列表中选择接口。

4. 对于目标网络，从可用网络 (Available Networks) 框中选择 any-ipv4，然后点击添加 (Add)。

5. 输入默认网关。

6. 对于路由跟踪 (Route Tracking)，请点击 添加（） 以添加新的 SLA 监控器对象。

7. 输入以下必需参数：

   • 作为 管理中心 IP 地址的监控地址。

   • 可用区域 (Available Zones) 中的主要或辅助管理接口的区域；例如，为主接口对象选择外部区域，为辅助接口对象选择管理区域。

   

8. 点击保存 (Save)，然后在路由跟踪 (Route Tracking) 下拉列表中选择您刚创建的 SLA 对象。

9. 点击确定 (OK)，然后点击保存 (Save)。

10. 对另一个管理接口的默认路由重复此操作。

步骤 6

部署配置更改。

步骤 1

通过控制台端口或使用 SSH 连接至设备 CLI。

步骤 2

使用“管理员”(Admin) 用户名和密码登录。

步骤 3

（仅 Firepower 4100/9300/Cisco Secure Firewall 4200））启用第二个管理接口作为仅事件的接口。

> configure network management-interface enable management1
Configuration updated successfully

> configure network management-interface disable-management-channel management1
Configuration updated successfully

>

步骤 4

配置管理接口和/或事件接口的 IP 地址：

1. 配置 IPv4 地址：

   • 手动配置：

     configure network ipv4 manual ip_address netmask gateway_ip [management_interface]

     请注意，此命令中的 门户_ip 用于为设备创建默认路由。如果配置仅事件接口，则必须输入 门户_ip 作为命令的一部分；但是，此条目只是将默认路由配置为您指定的值，并且不会为事件接口创建单独的静态路由。如果您在与管理接口不同的网络上使用仅事件接口，我们建议您设置 门户_ip 以用于管理接口，然后使用 configure network static-routes 命令单独为仅事件接口创建静态路由。

     示例：

     
     > configure network ipv4 manual 10.10.10.45 255.255.255.0 10.10.10.1 management1
     Setting IPv4 network configuration.
     Network settings changed.
     
     >
     
     

   • DHCP（只有默认的管理接口上才支持）：

     configure network ipv4 dhcp

2. 配置 IPv6 地址：

   • 无状态自动配置：

     configure network ipv6 router [management_interface]

     示例：

     
     > configure network ipv6 router management0
     Setting IPv6 network configuration.
     Network settings changed.
     
     >
     
     

   • 手动配置：

     configure network ipv6 manual ip6_address ip6_prefix_length [ip6_gateway_ip] [management_interface]

     请注意，此命令中的 ipv6_gateway_ip 用于为设备创建默认路由。如果配置仅事件接口，则必须输入 ipv6_gateway_ip 作为命令的一部分；但是，此条目只是将默认路由配置为您指定的值，并且不会为事件接口创建单独的静态路由。如果您在与管理接口不同的网络上使用仅事件接口，我们建议您将 ipv6_gateway_ip 设置为与管理接口配合使用，然后使用 configure network static-routes 命令单独为仅事件接口创建静态路由。

     示例：

     
     > configure network ipv6 manual 2001:0DB8:BA98::3210 64 management1
     Setting IPv6 network configuration.
     Network settings changed.
     
     >
     
     

   • DHCPv6（只有默认的管理接口上才支持）：

     configure network ipv6 dhcp

步骤 5

对于 IPv6，启用或禁用 ICMPv6 回应应答和目的地不可达消息。默认情况下，系统会启用这些消息。

> configure network ipv6 destination-unreachable disable
> configure network ipv6 echo-reply disable

步骤 6

在默认管理接口上启用 DHCP 服务器，以便向已连接的主机提供 IP 地址：

> configure network ipv4 dhcp-server-enable 10.10.10.200 10.10.10.254
DHCP Server Enabled

>

> show network-dhcp-server
DHCP Server Enabled
10.10.10.200-10.10.10.254

步骤 7

如果 管理中心位于远程网络上，则将为仅事件接口添加静态路由；否则，所有流量都将通过管理接口与默认路由匹配。

> configure network static-routes ipv4 add management1 192.168.6.0 255.255.255.0 10.10.10.1
Configuration updated successfully

> configure network static-routes ipv6 add management1 2001:0DB8:AA89::5110 64 2001:0DB8:BA98::3211
Configuration updated successfully

>

> show network-static-routes
---------------[ IPv4 Static Routes ]---------------
Interface                 : management1
Destination               : 192.168.6.0
Gateway                   : 10.10.10.1
Netmask                   : 255.255.255.0
[…]

步骤 8

设置主机名：

> configure network hostname farscape1.cisco.com

步骤 9

选择搜索域：

> configure network dns searchdomains example.com,cisco.com

步骤 10

设置多达 3 个 DNS 服务器，用逗号隔开：

> configure network dns servers 10.10.6.5,10.20.89.2,10.80.54.3

步骤 11

设置与 管理中心通信的远程管理端口：

> configure network management-interface tcpport 8555

步骤 12

（仅限 威胁防御）设置管理或事件接口 MTU。默认 MTU 为 1500 字节。

> configure network mtu 8192 management1
MTU set successfully to 1500 from 8192 for management1
Refreshing Network Config...
NetworkSettings::refreshNetworkConfig MTU value at start 8192

Interface management1 speed is set to '10000baseT/Full'
NetworkSettings::refreshNetworkConfig MTU value at end 8192
> 

步骤 13

配置 HTTP 代理。该设备配置为直接连接到互联网上的端口 TCP/443 (HTTPS) 和 TCP/80 (HTTP)。您可以通过 HTTP 摘要对代理服务器进行身份验证。发出命令后，系统将提示您 HTTP 代理地址和端口，是否需要进行代理身份验证，如果需要，还会提示代理用户名、代理密码和代理密码确认。

> configure network http-proxy
Manual proxy configuration
Enter HTTP Proxy address: 10.100.10.10
Enter HTTP Proxy Port: 80
Use Proxy Authentication? (y/n) [n]: Y
Enter Proxy Username: proxyuser
Enter Proxy Password: proxypassword
Confirm Proxy Password: proxypassword

步骤 14

如果更改设备管理 IP 地址，请参阅以下有关 管理中心 连接的任务，具体取决于您在初始设备设置期间使用 configure manager add command 命令识别 管理中心 的方式（请参阅 识别新的 管理中心）：

步骤 1

如果要将数据管理接口更改为新接口，请将当前接口电缆移至新接口。

步骤 2

连接到设备 CLI。

步骤 3

使用“管理员”(Admin) 用户名和密码登录。

步骤 4

禁用接口，以便您重新配置其设置。

> configure network management-data-interface disable

 Configuration updated successfully..!!


Configuration disable was successful, please update the default route to point to a gateway on management interface using the command 'configure network'

步骤 5

配置用于管理器访问的新数据接口。

> configure network management-data-interface
Data interface to use for management: ethernet1/4
Specify a name for the interface [outside]: internet
IP address (manual / dhcp) [dhcp]: manual
IPv4/IPv6 address: 10.10.6.7
Netmask/IPv6 Prefix: 255.255.255.0
Default Gateway: 10.10.6.1
Comma-separated list of DNS servers [none]: 208.67.222.222,208.67.220.220
DDNS server update URL [none]:
Do you wish to clear all the device configuration before applying ? (y/n) [n]: y

Configuration done with option to allow manager access from any network, if you wish to change the manager access network
use the 'client' option in the command 'configure network management-data-interface'.

Setting IPv4 network configuration.
Network settings changed.

>

步骤 6

(可选) 限制在特定网络上通过数据接口访问 管理中心。

步骤 7

连接将自动重新建立，但在 管理中心 中禁用和重新启用连接将有助于更快地重新建立连接。请参阅更新管理中心中的主机名或 IP 地址。

步骤 8

检查管理连接是否已重新建立。

> sftunnel-status-brief
PEER:10.10.17.202
Peer channel Channel-A is valid type (CONTROL), using 'eth0', connected to '10.10.17.202' via '10.10.17.222'
Peer channel Channel-B is valid type (EVENT), using 'eth0', connected to '10.10.17.202' via '10.10.17.222'
Registration: Completed.
IPv4 Connection to peer '10.10.17.202' Start Time: Wed Jun 10 14:27:12 2020 UTC
Heartbeat Send Time: Mon Jun 15 09:02:08 2020 UTC
Heartbeat Received Time: Mon Jun 15 09:02:16 2020 UTC

步骤 9

在 管理中心 中，选择设备 (Devices) > 设备管理 (Device Management) > 设备 (Device) > 管理 (Management) > 管理器访问 - 配置详细信息 (Manager Access - Configuration Details)，然后点击刷新 (Refresh)。

步骤 10

选择 设备 > 设备管理 > 接口，然后做作一下更改。

1. 从旧数据管理接口中删除 IP 地址和名称，并禁用此接口的管理器访问。

2. 使用旧接口（在 CLI 中使用的接口）的配置配置新的数据管理接口，并为其启用管理器访问。

步骤 11

选择 设备 > 设备管理 > 路由 > 静态路由 ，然后将默认路由从旧数据管理接口更改为新路由。

步骤 12

返回管理器访问 - 配置详细信息 (Manager Access - Configuration Details) 对话框，然后点击确认 (Acknowledge) 以删除部署块。

步骤 1

在 威胁防御 CLI 中，回滚到之前的配置。

> configure policy rollback

The last deployment to this FTD was on June 1, 2020 and its status was Successful.
Do you want to continue [Y/N]?

Y

Rolling back complete configuration on the FTD. This will take time.
.....................
Policy rollback was successful on the FTD.
Configuration has been reverted back to transaction id: 
Following is the rollback summary:
...................
....................
>

步骤 2

检查管理连接是否已重新建立。

步骤 1

在 威胁防御 CLI 中，查看 管理中心 标识符。

> show managers
Type                      : Manager
Host                      : 10.10.1.4
Display name              : 10.10.1.4
Identifier                : f7ffad78-bf16-11ec-a737-baa2f76ef602
Registration              : Completed
Management type           : Configuration
 

步骤 2

在 威胁防御 CLI 中，编辑 管理中心 IP 地址或主机名。

> configure manager edit f7ffad78-bf16-11ec-a737-baa2f76ef602 hostname 10.10.5.1

步骤 1

在旧 管理中心 上，如果存在，请删除托管设备。

步骤 2

连接到设备 CLI，例如使用 SSH。

步骤 3

配置新的 管理中心。

> configure manager add DONTRESOLVE abc123 efg456
Manager successfully configured.
Please make note of reg_key as this will be required while adding Device in FMC.

>

步骤 4

将此设备添加到 管理中心。

步骤 1

在 设备管理器中，从 Cisco 智能软件管理器中取消注册设备。

步骤 2

（可能需要）配置管理接口。

步骤 3

选择 设备 (Device) > 系统设置 (System Settings) > 集中管理 (Central Management)，然后点击继续 (Proceed) 以设置 管理中心 管理。

步骤 4

配置管理中心/CDO 详细信息 。

1. 对于是否知道管理中心/CDO 主机名或 IP 地址，如果您可以使用 IP 地址或主机名访问 管理中心 ，请点击是 (Yes) ，如果 管理中心 位于 NAT 之后或没有公共 IP 地址或主机名，请点击否 (No)。

   必须至少有一个设备（ 管理中心 或 威胁防御 设备）具有可访问的 IP 地址，才能在两个设备之间建立双向 TLS-1.3 加密的通信通道。

2. 如果选择是 (Yes)，则输入管理中心/CDO 主机名/IP 地址。

3. 指定管理中心/CDO注册密钥。

   此密钥是您选择的一次性注册密钥，注册威胁防御设备时也要在 管理中心上指定它。注册密钥不得超过 37 个字符。有效字符包括字母数字（A–Z、a–z、0–9）和连字符 (-)。此 ID 可用于将多台设备注册到 管理中心。

4. 指定 NAT ID。

   此 ID 是您选择的唯一一次性字符串，您还需要在 管理中心上指定它。如果仅在其中一台设备上指定 IP 地址，则此字段必填；但建议您即使在知道两台设备的 IP 地址时，仍指定 NAT ID。NAT ID 不得超过 37 个字符。有效字符包括字母数字（A–Z、a–z、0–9）和连字符 (-)。此 ID 不能 用于将任何其他设备注册到 管理中心。NAT ID 与 IP 地址结合使用，用于验证连接是否来自正确的设备；只有在对 IP 地址/NAT ID 进行身份验证后，才会检查注册密钥。

步骤 5

配置连接配置。

1. 指定 FTD 主机名。

   如果您使用数据接口进行管理中心/CDO 访问接口 访问，则此 FQDN 将用于此接口。

2. 指定 DNS 服务器组。

   选择现有组或创建一个新组。默认 DNS 组名为 CiscoUmbrellaDNSServerGroup，其中包括 OpenDNS 服务器。

   如果要为管理中心/CDO 访问接口选择数据接口，则此设置会设置数据接口 DNS 服务器。您使用安装向导设置的管理 DNS 服务器用于管理流量。数据 DNS 服务器用于 DDNS（如果已配置）或适用于此接口的安全策略。您可能会选择用于管理的相同 DNS 服务器组，因为管理和数据流量都通过外部接口到达 DNS 服务器。

   在 管理中心上，数据接口 DNS 服务器在您分配给此 威胁防御 的平台设置策略中配置。当您将威胁防御设备添加到管理中心时，本地设置将保留，并且 DNS 服务器 不会 添加到平台设置策略。但是，如果稍后将平台设置策略分配给包含 DNS 配置的 威胁防御 设备，则该配置将覆盖本地设置。我们建议您主动配置与此设置匹配的 DNS 平台设置，以使 管理中心 和 威胁防御 设备同步。

   此外，仅当在初始注册时发现 DNS 服务器， 管理中心 才会保留本地 DNS 服务器。

   如果要为CDOFMC 访问接口选择管理接口，则此设置会配置管理 DNS 服务器。

3. 对于管理中心/CDO 访问接口，请选择任何已配置的接口。

   将威胁防御设备注册到管理中心后，您可以将该管理器接口更改为管理接口或另一数据接口。

步骤 6

(可选) 如果您选择了数据接口，并且该接口不是外部接口，那么请添加默认路由。

步骤 7

(可选) 如果您选择了数据接口，请点击添加动态 DNS (DDNS) 方法。

步骤 8

点击连接 (Connect)。注册状态 对话框显示切换到 管理中心的当前状态。在保存管理中心/CDO 注册设置步骤后，转到 管理中心，并添加防火墙。

如果要取消切换到 管理中心，请点击 取消注册。否则，请在保存管理中心/CDO 注册设置步骤之后关闭 设备管理器 浏览器窗口。如果这样做，该过程将暂停，并且只有在您重新连接到 设备管理器时才会恢复。

如果您在保存管理中心/CDO注册设置步骤后保持连接到 设备管理器 ，您最终将看到与管理中心的成功连接或 CDO对话框。您将断开与 设备管理器 的连接。

步骤 1

在 管理中心 中，从设备 (Devices) > 设备管理 (Device Management) 页面删除防火墙。

步骤 2

使用 SSH 或控制台端口连接到 威胁防御 CLI。如果使用 SSH，请打开与 管理 IP 地址的连接，并使用 admin 用户名（或具有管理员权限的任何其他用户）登录 威胁防御 CLI。

步骤 3

验证您当前处于远程管理模式之下。

> show managers
Type                      : Manager
Host                      : 10.89.5.35
Display name              : 10.89.5.35
Identifier                : f7ffad78-bf16-11ec-a737-baa2f76ef602
Registration              : Completed

步骤 4

删除远程管理器，进入无管理器模式。

> configure manager delete 
Deleting task list
Manager successfully deleted.

> 
> show managers 
No managers configured.

步骤 5

配置本地管理器。

> configure manager local 
Deleting task list

> show managers 
Managed locally.