تكوين وصول المدير على FTD من الإدارة إلى واجهة البيانات

المقدمة

يصف هذا المستند عملية تعديل وصول المدير على "الدفاع عن تهديد FirePOWER (FTD)" من إدارة إلى واجهة بيانات.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• Firepower Threat Defense
• مركز إدارة Firepower

المكونات المستخدمة

• Firepower Management Center Virtual 7.4.1
• Firepower Threat Defense Virtual 7.2.5

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

يحتوي كل جهاز على واجهة إدارة مخصصة واحدة للاتصال بوحدة التحكم FMC. يمكنك بشكل إختياري تكوين الجهاز لاستخدام واجهة بيانات للإدارة بدلا من واجهة الإدارة المخصصة، ويكون وصول FMC على واجهة البيانات مفيدا إذا كنت تريد إدارة "الدفاع عن تهديد Firepower" عن بعد من الواجهة الخارجية، أو إذا لم يكن لديك شبكة إدارة منفصلة. يجب إجراء هذا التغيير على مركز إدارة FirePOWER (FMC) ل FTD الذي تتم إدارته بواسطة FMC.

يخضع وصول FMC من واجهة البيانات لقلة من القيود:

• يمكنك فقط تمكين وصول المدير على واجهة بيانات مادية واحدة. أنت يستطيع لا يستعمل قارن فرعي أو EtherChannel.
• وضع جدار الحماية الموجه فقط، باستخدام واجهة موجهة.
• PPPoE غير مدعوم. إذا كان مزود خدمة الإنترنت (ISP) لديك يتطلب بروتوكول PPPoE، فيجب عليك وضع موجه مزود بدعم بروتوكول PPPoE بين FirePOWER Threat Defense ومودم WAN.
• لا يمكنك إستخدام واجهات الإدارة والأحداث المنفصلة فقط.

التكوين

متابعة ترحيل الواجهة

1. انتقل إلى الأجهزة > إدارة الأجهزة، انقر على تحرير للجهاز الذي تقوم بإجراء التغييرات عليه.

2. انتقل إلى الجهاز > الإدارة، ثم انقر فوق الارتباط الخاص بواجهة الوصول للمدير.

يعرض حقل واجهة الوصول للمدير واجهة الإدارة الموجودة. انقر فوق الارتباط لتحديد نوع الواجهة الجديد، وهو الخيار واجهة البيانات في القائمة المنسدلة إدارة الجهاز ثم انقر فوق حفظ.

3. يجب عليك الآن المتابعة لتمكين الوصول إلى الإدارة على واجهة البيانات، والتصفح إلى الأجهزة > إدارة الأجهزة > الواجهات > تحرير الواجهة المادية>وصول المدير.

4. تأكد من أن الدفاع عن التهديد يمكن أن يوجه إلى مركز الإدارة من خلال واجهة البيانات؛ أضف مسارا ثابتا إذا لزم الأمر على الأجهزة > إدارة الأجهزة > التوجيه>المسار الثابت.

1. انقر فوق IPv4أو IPv6 استنادا إلى نوع المسار الثابت الذي تقوم بإضافته.
2. أخترت القارن إلى أي هذا ممر ساكن إستاتيكي يطبق.
3. في قائمة الشبكة المتاحة، أختر الشبكة الوجهة.
4. في حقل البوابة أو عبارة IPv6، أدخل موجه العبارة أو اختاره والذي هو الخطوة التالية لهذا المسار.

   (إختياري) لمراقبة توفر المسار، أدخل أو أختر اسم كائن مراقبة إتفاقية مستوى الخدمة (SLA) الذي يحدد سياسة المراقبة، في حقل تعقب المسار.

5. نشر تغييرات التكوين. يتم الآن نشر تغييرات التكوين عبر واجهة الإدارة الحالية.

6. في واجهة سطر الأوامر (CLI) الخاصة ب FTD، قم بتعيين واجهة الإدارة لاستخدام عنوان IP ثابت والبوابة لتكون واجهات بيانات.

• configure network {ipv4 | ipv6} manual ip_address netmask data-interfaces

7. قم بتعطيل الإدارة في مركز الإدارة، وانقر فوق تحرير وتحديث عنوان المضيف البعيد عنوان IP عنوان (إختياري)العنوان الثانوي للدفاع عن التهديد في الأجهزة > إدارة الجهاز > الجهاز > قسم الإدارة، وقم بتمكين الاتصال.

تمكين SSH على إعدادات النظام الأساسي

قم بتمكين SSH لواجهة البيانات في سياسة إعدادات النظام الأساسي، وطبقته على هذا الجهاز عند الأجهزة > إعدادات النظام الأساسي > وصول SSH.انقر إضافة .

1. البيئات المضيفة أو الشبكات التي تسمح لها بإجراء إتصالات SSH.
2. أضف المناطق التي تحتوي على الواجهات التي تسمح لاتصالات SSH بها. بالنسبة للواجهات التي ليست في منطقة ما، يمكنك كتابة اسم الواجهة في قائمة المناطق/الواجهات المحددة في الحقل وانقر فوق إضافة.
3. وانقر فوق OK. نشر التغييرات

التحقق من الصحة

تأكد من إنشاء اتصال الإدارة عبر واجهة البيانات.

التحقق من واجهة المستخدم الرسومية (GUI) الخاصة ب FMC

في مركز الإدارة، تحقق من حالة توصيل الإدارة على الأجهزة > إدارة الأجهزة > الجهاز > الإدارة > إدارة الوصول - تفاصيل التكوين>صفحة حالة الاتصال.

التحقق من خلال واجهة سطر الأوامر (CLI) ل FTD

في واجهة سطر الأوامر (CLI) الخاصة بالتهديد، أدخل الأمر fTunnel-status-brief لعرض حالة اتصال الإدارة.

تعرض الحالة اتصالا ناجحا لواجهة بيانات، وتظهر واجهة TAP_NLP الداخلية.

استكشاف الأخطاء وإصلاحها

في مركز الإدارة، تحقق من حالة توصيل الإدارة على الأجهزة > إدارة الأجهزة > الجهاز > الإدارة > إدارة الوصول - تفاصيل التكوين>صفحة حالة الاتصال.

في واجهة سطر الأوامر (CLI) الخاصة بالتهديد، أدخل الأمر fTunnel-status-brief لعرض حالة اتصال الإدارة. يمكنك أيضا إستخدام حالة النفق لعرض مزيد من المعلومات الكاملة.

حالة اتصال الإدارة

سيناريو العمل

سيناريو عدم العمل

التحقق من صحة معلومات الشبكة

عند واجهة سطر الأوامر (CLI) الخاصة بالتهديد، اعرض إعدادات شبكة واجهة بيانات الوصول للإدارة والمدير:

> show network

التحقق من صحة حالة الإدارة

عند واجهة سطر الأوامر (CLI) الخاصة بالدفاع عن التهديد، تأكد من إكمال تسجيل مركز الإدارة.

  > إظهار المديرين

التحقق من اتصال الشبكة

إختبار الاتصال بمركز الإدارة

عند واجهة سطر الأوامر (CLI) الخاصة بالتهديد، أستخدم الأمر للاتصال بمركز إدارة البيانات من واجهات البيانات:

  > إختبار الاتصال من FMC_IP

عند واجهة سطر الأوامر (CLI) الخاصة بالتهديد، أستخدم الأمر للاتصال بمركز الإدارة من واجهة الإدارة، التي تقوم بالتوجيه عبر اللوحة الخلفية إلى واجهات البيانات:

  > نظام إختبار الاتصال FMC_IP

التحقق من حالة الواجهة والإحصائيات وعدد الحزم

في واجهة سطر الأوامر (CLI) الخاصة بالتهديد، راجع معلومات حول واجهة اللوحة الخلفية الداخلية، nlp_int_tap:

  > إظهار تفاصيل الواجهة

التحقق من صحة المسار على FTD للوصول إلى FMC

في Challenge CLI، تأكد من إضافة المسار الافتراضي (S*) ومن وجود قواعد NAT الداخلية لواجهة الإدارة (NLP_INT_TAP).

  > إظهار المسار

  > إظهار nat

التحقق من إحصائيات SFTUNNEL والاتصال

  > show running-config sftunnel

معلومات ذات صلة

• تكوين DNS عبر إعدادات النظام الأساسي
• تكوين وصول الإدارة إلى FTD (HTTPS و SSH) عبر FMC