概要
このドキュメントでは、デフォルトのEth0インターフェイスの代わりに別のポートを使用してSecure Firewall Management Center(FMC)を設定する方法について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- Cisco Secure Firewall Management Center(旧称Firewall Management Center)に関するFirepower
- 基本的なネットワーキングの知識
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- ソフトウェアバージョン5.x以降を実行しているCisco Secure Firewall Management Center(FMC 1000、1600、2500、2600、4500、4600、および仮想)。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
セキュアファイアウォール管理センターの管理接続について
FMC情報を使用してデバイスを設定し、そのデバイスをFMCに追加した後で、デバイスまたはFMCのいずれかが管理接続を確立できます。初期設定に応じて、次の操作を行います。
-
デバイスまたはFMCから開始できます。
-
開始できるのはデバイスだけです。
-
FMCだけが開始できます。
開始は常に、FMCのeth0か、デバイスの最小番号の管理インターフェイスから開始されます。接続が確立されない場合は、追加の管理インターフェイスが試行されます。FMCの複数の管理インターフェイスを使用すると、個別のネットワークに接続したり、管理トラフィックとイベントトラフィックを分離したりできます。ただし、イニシエータはルーティングテーブルに基づいて最適なインターフェイスを選択しません。
管理(Eth0)とラベル付けされた内部インターフェイスは、デバイスシャーシに組み込まれた1ギガビットイーサネットです。FMCシャーシの一部のモデルには、ネットワークモジュール拡張カード(銅線または光ファイバ)と最大10ギガビットを搭載可能な拡張スロットが搭載されています。シャーシの組み込みポートによっては、10ギガビットイーサネットSFP+トランシーバをサポートできるものもあります。
次の図に、FMC 1000の背面パネルを示します。
図 1.FMC 1000背面パネル
1 |
USBキーボードポートX 2 キーボードを接続し、VGAポート上のモニタと一緒にコンソールにアクセスできます。 |
2 |
CIMCインターフェイス(「M」とラベル付き) このインターフェイスはサポートされていません。 |
3 |
シリアルコンソールポート このポートはデフォルトでは無効になっています。代わりにVGAポートとキーボードUSBポートを使用してください。 |
4 |
eth0管理インターフェイス(「1」のラベル付き) ギガビットイーサネット10/100/1000 Mbpsインターフェイス、RJ-45 eth0はデフォルトの管理インターフェイスです。 |
5 |
eth1管理インターフェイス(「2」のラベル付き) ギガビットイーサネット10/100/1000 Mbpsインターフェイス、RJ-45 |
6 |
VGAインターフェイス デフォルトで有効. |
7 |
ユニット識別ボタン/LED |
8 |
770 W AC電源X 2 |
次の図は、FMC 2500および4500の背面パネルを示しています。
図 2:FMC 2500および4500の背面パネル
1 |
USBキーボードポートX 2 キーボードを接続し、VGAポート上のモニタと一緒にコンソールにアクセスできます。 |
2 |
CIMCインターフェイス(「M」とラベル付き) このインターフェイスはサポートされていません。 |
3 |
シリアルコンソールポート このポートはデフォルトでは無効になっています。代わりにVGAポートとキーボードUSBポートを使用してください。 |
4 |
eth0管理インターフェイス(「1」のラベル付き) ギガビットイーサネット10/100/1000 Mbpsインターフェイス、RJ-45 eth0はデフォルトの管理インターフェイスです。 |
5 |
eth1管理インターフェイス(「2」のラベル付き) ギガビットイーサネット10/100/1000 Mbpsインターフェイス、RJ-45 |
6 |
VGAインターフェイス デフォルトで有効. |
7 |
ユニット識別ボタン/LED |
8 |
770 W AC電源X 2 |
9 |
eth2管理インターフェイス
注:シスコがサポートするSFP+トランシーバのみを使用してください。
|
10 |
eth3管理インターフェイス
注:シスコがサポートするSFP+トランシーバのみを使用してください。
|
次の図は、FMC 1600、2600、および4600の背面パネルを示しています。
図 3:FMC 1600、2600、および4600の背面パネル
1 |
USB 3.0タイプA(USB 1) キーボードを接続し、VGAポート上のモニタと一緒にコンソールにアクセスできます。 |
2 |
USB 3.0タイプA(USB 2) キーボードを接続し、VGAポート上のモニタと一緒にコンソールにアクセスできます。 |
3 |
eth0管理インターフェイス(ラベル付き1) リンクパートナーの能力に応じて100/1000/10000 Mbpsをサポート |
4 |
eth1管理インターフェイス(ラベル付き2) ギガビットイーサネット100/1000/10000 Mbpsインターフェイス、RJ-45、LAN2 |
5 |
VGAビデオポート(DB-15コネクタ) |
6 |
CIMCインターフェイス(ラベルM)
注:CIMCはLOMアクセスに対してのみサポートされています。CIMCは、他のインターフェイスではサポートされていません。
|
7 |
シリアルコンソールポート(RJ-45コネクタ) デフォルトでは無効になっています。代わりにVGAポートとキーボードUSBポートを使用してください。シリアルポートの詳細については、『CiscoFirepower管理センター』の「シリアルアクセスの設定」のトピック「モデル1600、2600、および4600のスタートアップガイド」を参照してください。 |
8 |
ユニット識別ボタン |
9 |
770 W AC電源(PSU 1) |
10 |
770 W AC電源(PSU 2) |
11 |
デュアルホール接地ラグ用のねじ穴 |
12 |
eth2管理インターフェイス (オプション)10ギガビットイーサネットSFP+サポート SFP-10G-SRおよびSFP-10G-LRは、FMCでの使用が認定されています。 |
13 |
eth3管理インターフェイス (オプション)10ギガビットイーサネットSFP+サポート SFP-10G-SRおよびSFP-10G-LRは、FMCでの使用が認定されています。 |
14 |
ライザーハンドル 非サポート |
関連資料
ハードウェアのインストール手順の詳細については、『Cisco Firepower Management Center 1600、2600、および4600ハードウェアインストールガイド』を参照してください。
Cisco Secure Firewallシリーズに関するドキュメントの完全なリストとその入手方法については、ドキュメントロードマップを参照してください。
事前設定
バージョン6.5以降のSecure Firewall Management Centerのインストール
インストール手順の詳細については、『CiscoFirepower管理センター1600、2600、および4600スタートアップガイド』を参照してください。このガイドは、「バージョン6.5以降のケーブルを接続して電源検証ステータスをオンにする」の手順に至っています。背面の図に基づいて、必要なインターフェイスにケーブルを接続してください。
バージョン6.5以降のCLIを使用したSecure Firewall Management Centerの初期セットアップ
ドキュメント『バージョン6.5以降のCLIを使用したManagement Center初期セットアップ』のすべての8つの手順で詳細に説明されているCLIを使用して、Management Centerの初期セットアップを実行します。
コンソールCLIを使用した管理インターフェイスの変更
手順
- コンソールで、adminをユーザ名として使用し、Initial Setupで定義したadminアカウントのパスワードを使用して、Management Center Virtualにログインします。パスワードでは大文字と小文字が区別されることに注意してください。
- expertコマンドを使用して、Linuxシェルモードに入ります。
- sudo vi /etc/sf/ims.confコマンドを使用し、viエディタを使用してims.confファイルを編集します。
図 4
4.キーボードの矢印キーを使用して、行MANAGEMENT=eth0を見つけます。
図 5:
5.キー「I」を入力してINSERTモードに入り、編集します。画面の一番下の行は、編集モードであることをINSERTメッセージで確認し、eth0を設計されたインターフェイスで置き換え、前の表を参照として使用できます。
図 6
6.キーボードのEscキーを押してINSERTモードを終了し、コロンキー「:」を使用してコマンドモードに入り、「wq!」と入力して変更を保存し、ファイルを終了します。
図 7
7.コマンドsudo ip link set eth0 downを使用して、eth0インターフェイスを無効にします。
図 8
8.ネットワーク設定ウィザードを実行し、sudo usr/local/sf/bin/configure-networkコマンドを使用してIPアドレス、ネットワークマスク、ゲートウェイアドレスを再入力します。このコマンドは、インターフェイスを作成し、デフォルトルートを割り当てることができます。
図 9
9. exitコマンドを使用して、Linuxシェルモードを終了します。
確認
選択したインターフェイスが有効になっているかどうかを確認するには、次の手順を実行します。
- Linuxシェルモードからコマンドsudo route -nを実行して、新しい管理インターフェイスのデフォルトルートテーブルを確認します。
図 10
トラブルシュート
新しいインターフェイスがルーティングテーブルに入力されていない場合は、次の点を確認します。
- sudo ifconfigコマンドを使用して、eth0インターフェイスを無効にしたことを確認します。
- インターフェイスがまだ有効な場合は、ステップ7を再実行します。
- ステップ8でconfigure networkスクリプトを再度実行し、インターフェイス設定とデフォルトルートを生成します。