Configurer l'accès au gestionnaire sur FTD de l'interface de gestion à l'interface de données

Options de téléchargement

  • PDF     (1.7 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (1.7 MB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (1.5 MB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:18 juillet 2024
ID du document:222145

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit le processus de modification de l'accès du manager sur Firepower Threat Defense (FTD) d'une interface de gestion à une interface de données.

    Conditions préalables

    Exigences

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • Firepower Threat Defense 
    • Centre de gestion Firepower

    Composants utilisés

    • Firepower Management Center Virtual 7.4.1
    • Défense contre les menaces Firepower Virtual 7.2.5

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Informations générales

    Chaque périphérique inclut une interface de gestion dédiée unique pour communiquer avec le FMC. Vous pouvez éventuellement configurer le périphérique pour qu'il utilise une interface de données pour la gestion au lieu de l'interface de gestion dédiée. L'accès FMC sur une interface de données est utile si vous souhaitez gérer Firepower Threat Defense à distance depuis l'interface externe, ou si vous ne disposez pas d'un réseau de gestion distinct. Cette modification doit être effectuée sur le Centre de gestion Firepower (FMC) pour le FTD géré par FMC.

    L’accès FMC à partir d’une interface de données présente quelques limitations :

    • Vous ne pouvez activer l'accès au gestionnaire que sur une seule interface de données physique. Vous ne pouvez pas utiliser une sous-interface ou EtherChannel.
    • Mode pare-feu routé uniquement, à l’aide d’une interface routée.
    • PPPoE n'est pas pris en charge. Si votre FAI nécessite le protocole PPPoE, vous devez placer un routeur avec prise en charge PPPoE entre le pare-feu Firepower Threat Defense et le modem WAN.
    • Vous ne pouvez pas utiliser des interfaces de gestion et d'événements distinctes.

    Configurer

    Poursuivre la migration des interfaces

    note-icon

    Remarque : il est vivement recommandé d'avoir la dernière sauvegarde de FTD et FMC avant de procéder à toute modification.

    1. Accédez à la page Périphériques > Gestion des périphériques, cliquez sur Modifier pour le périphérique que vous apportez des modifications.

    Accédez à Device Management pour modifier

    2. Accédez à la section Device > Management et cliquez sur le lien pour l'interface d'accès au gestionnaire.

    Modifier l'interface d'accès de gestion

    Le champ Interface d'accès du manager affiche l'interface de gestion existante. Cliquez sur le lien pour sélectionner le nouveau type d'interface, qui est l'option Interface de données dans la liste déroulante Gérer le périphérique par et cliquez sur Enregistrer.

    Modifier l'interface d'accès du manager de Gestion à Données

    3. Vous devez maintenant passer à Activer l'accès à la gestion sur une interface de données, accédez à Périphériques > Gestion des périphériques > Interfaces > Modifier l'interface physique > Accès au gestionnaire.

    Activer l'accès à la gestion sur interface

    note-icon

    Remarque : (Facultatif) Si vous utilisez une interface secondaire pour la redondance, activez l'accès à la gestion sur l'interface utilisée à des fins de redondance.

    (Facultatif) Si vous utilisez DHCP pour l'interface, activez la méthode DDNS de type Web dans la boîte de dialogue Périphériques > Gestion des périphériques > DHCP > DDNS.

    (Facultatif) Configurez DNS dans une stratégie de paramètres de plate-forme et appliquez-la à ce périphérique dans Périphériques > Paramètres de plate-forme > DNS.

    4. Assurez-vous que la défense contre les menaces peut router vers le centre de gestion via l'interface de données ; ajoutez une route statique si nécessaire sur Périphériques > Gestion des périphériques > Routage > Route statique.

    1. Cliquez sur IPv4ou IPv6 selon le type de route statique que vous ajoutez.
    2. Choisissez l'interface à laquelle cette route statique s'applique.
    3. Dans la liste Available Network (Réseau disponible), sélectionnez le réseau de destination.
    4. Dans le champ Gateway ou IPv6 Gateway, entrez ou sélectionnez le routeur de passerelle qui est le tronçon suivant pour cette route.

       (Facultatif) Pour surveiller la disponibilité de la route, saisissez ou sélectionnez le nom d'un objet de surveillance SLA (Service Level Agreement) qui définit la stratégie de surveillance, dans le champ Suivi de route.

    Configuration de la route statique pour FTD

    5. Déployez les modifications de configuration. Les modifications de configuration sont désormais déployées sur l'interface de gestion actuelle.

    6. À l’interface de ligne de commande FTD, définissez l’interface de gestion de sorte qu’elle utilise une adresse IP statique et la passerelle comme interfaces de données.

    • configure network {ipv4 | ipv6} manual ip_address netmask data-interfaces

    Configurer la gestion sur FTD pour utiliser l'interface de données comme passerelle

    note-icon

    Remarque : bien que vous ne prévoyiez pas d'utiliser l'interface de gestion, vous devez définir une adresse IP statique. Par exemple, une adresse privée pour que vous puissiez définir la passerelle sur interfaces de données. Cette gestion est utilisée pour transférer le trafic de gestion vers l'interface de données à l'aide de l'interface tap_nlp.

    7. Désactivez la gestion dans Management Center, cliquez sur Edit et mettez à jour l'adresse IP de l'hôte distant et l'adresse (facultatif)Secondary Address pour la défense contre les menaces dans la section Devices > Device Management > Device > Management, puis activez la connexion.

    Désactiver la gestion FTD sur FMC

    Activer SSH sur les paramètres de plateforme

    Activez SSH pour l'interface de données dans la stratégie Paramètres de la plate-forme, et appliquez-le à ce périphérique dans Périphériques > Paramètres de la plate-forme > Accès SSH.Cliquez sur Ajouter .

    1. Les hôtes ou les réseaux que vous autorisez à établir des connexions SSH.
    2. Ajoutez les zones qui contiennent les interfaces auxquelles autoriser les connexions SSH. Pour les interfaces qui ne se trouvent pas dans une zone, vous pouvez taper le nom de l'interface dans le champ Zones/Interfaces sélectionnées liste et cliquez sur Add.
    3. Click OK. Déployer les modifications
      4.

    Configurer SSH dans les paramètres de la plate-forme

    note-icon

    Remarque : SSH n'est pas activé par défaut sur les interfaces de données. Par conséquent, si vous souhaitez gérer la défense contre les menaces à l'aide de SSH, vous devez l'autoriser explicitement.

    Vérifier

    Assurez-vous que la connexion de gestion est établie sur l'interface de données.

    Vérification à partir de l'interface utilisateur graphique (GUI) FMC

    Dans le centre de gestion, vérifiez l'état de la connexion de gestion sur la page Périphériques > Gestion des périphériques > Périphérique > Gestion > Accès au gestionnaire - Détails de la configuration > État de la connexion.

    Vérification de l’état de la connectivité de gestion entre FMC et FTD

    Vérification à partir de l'interface de ligne de commande FTD

    Dans l'interface de ligne de commande de défense contre les menaces, entrez la commande ftunnel-status-brief pour afficher l'état de la connexion de gestion.

    Sortie de commande de sftunnel-status-brief

    L'état indique une connexion réussie pour une interface de données, indiquant l'interface interne tap_nlp.

    Dépannage

    Dans le centre de gestion, vérifiez l'état de la connexion de gestion sur la page Périphériques > Gestion des périphériques > Périphérique > Gestion > Accès au gestionnaire - Détails de la configuration > État de la connexion.

    Dans l'interface de ligne de commande de défense contre les menaces, entrez la commande ftunnel-status-brief pour afficher l'état de la connexion de gestion. Vous pouvez également utiliser ftunnel-status pour afficher des informations plus complètes.

    État de la connexion de gestion

    Scénario de travail

    Sortie de commande de sftunnel-status-brief Indicating tap_nlp Interface

    Scénario de non-fonctionnement

    Sortie de commande de sftunnel-status État de connectivité

    Validation des informations réseau

    Dans l'interface de ligne de commande de défense, affichez les paramètres réseau de l'interface de données de gestion et d'accès du manager :

    > show network

    Afficher la sortie réseau sur FTD

    Valider l'état du manager

    À l'interface CLI de défense contre les menaces, vérifiez que l'enregistrement du centre de gestion est terminé.

      > show managers

    Sortie de la commande Show Managers sur FTD

    note-icon

    Remarque : cette commande n'affiche pas l'état actuel de la connexion de gestion.

    Valider la connectivité réseau

    Envoyez une requête ping au Management Center

    Dans la CLI threat defense, utilisez la commande pour envoyer une requête ping au centre de gestion à partir des interfaces de données :

      > ping fmc_ip

    Envoyez une requête ping à FMC pour vérifier la connectivité depuis FMC

    Dans l'interface de ligne de commande de défense contre les menaces, utilisez la commande pour envoyer une requête ping au centre de gestion à partir de l'interface de gestion, qui effectue le routage sur le fond de panier vers les interfaces de données :

      > ping system fmc_ip

    Envoyez une requête ping à FMC pour vérifier la connectivité de FMC sur l’interface de gestion

    Vérification de l’état, des statistiques et du nombre de paquets

    Dans la CLI de défense contre les menaces, consultez les informations sur l'interface de fond de panier interne, nlp_int_tap :

      > show interface detail

    Statistiques d'interface sur FTD

    Valider la route sur FTD pour atteindre FMC

    Dans l'interface de ligne de commande de défense contre les menaces, vérifiez que la route par défaut (S*) a été ajoutée et que des règles NAT internes existent pour l'interface de gestion (nlp_int_tap).

      > show route

    Validation du routage sur FTD

      > show nat

    Configuration NAT sur FTD pour le trafic de gestion

    Vérifier les statistiques Sftunnel et Connection

      > show running-config sftunnel

    Exécution de Config pour Sftunnel

    icône d'avertissement

    Avertissement : tout au long du processus de modification de l'accès au gestionnaire, évitez de supprimer le gestionnaire du FTD ou de le désinscrire/forcer la suppression du FTD du FMC.

    Informations connexes

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    18-Jul-2024
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Saikumar Boinpally
      Ingénieur-conseil technique en sécurité

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits