Cisco Firepower Threat Defense バージョン 6.1 コンフィギュレーション ガイド(Firepower Device Manager 用)

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

Cisco Firepower Threat Defense バージョン 6.1 コンフィギュレーション ガイド(Firepower Device Manager 用)

Chapter Title

システム管理

検索結果

Updated:
2017年12月8日

章のタイトル: システム管理

システム管理

ここでは、システム データベースの更新やシステムのバックアップおよび復元などの、システム管理タスクの実行方法について説明します。

ソフトウェア アップデートのインストール

システム データベースとシステム ソフトウェアの更新プログラムをインストールできます。ここでは、これらの更新プログラムのインストール方法について説明します。

システム データベースの更新

システムは複数のデータベースを使用して高度なサービスを提供しています。シスコは、セキュリティ ポリシーが利用可能な最新の情報を使用できるように、これらのデータベースの更新プログラムを提供しています。

システム データベース更新の概要

Firepower Threat Defense は、次のデータベースを使用してアドバンスド サービスを提供します。

侵入ルール

新しい脆弱性が出現すると、Cisco Talos Security Intelligence and Research Group(Talos)は、ユーザがインポートできる侵入ルールの更新をリリースします。この更新は、侵入ルール、プリプロセッサ ルール、およびそのルールを使用するポリシーに影響します。

侵入ルールの更新には、新規および更新された侵入ルールとプリプロセッサ ルール、既存のルールの変更されたステータス、変更されたデフォルト侵入ポリシーの設定が含まれています。ルールの更新では、ルールが削除されたり、新しいルール カテゴリとデフォルトの変数が提供されたり、デフォルトの変数値が変更されたりすることもあります。

侵入ルールの更新によって行われた変更を有効にするには、設定を再展開する必要があります。

侵入ルールの更新は量が多くなることがあるため、ルールのインポートはネットワークの使用量が少ないときに実行してください。

位置情報データベース(GeoDB)

シスコの位置情報データベース(GeoDB)は、ルート可能な IP アドレスに関連する位置情報データ(国、都市、緯度と経度の座標など)、および接続関係のデータ(インターネット サービス プロバイダー、ドメイン名、接続タイプなど)のデータベースです。

GeoDB の更新には、物理的な場所や接続タイプなど、検出されたルート可能な IP アドレスにシステムが関連付けることができるものに関する更新情報が含まれています。位置情報データは、アクセス コントロール ルールとして使用できます。

GeoDB の更新にかかる時間はアプライアンスによって異なります。インストールには通常、30 ~ 40 分かかります。GeoDB の更新によって他のシステム機能(進行中の位置情報収集など)が中断されることはありませんが、更新が完了するまでシステム リソースが消費されます。更新を計画する場合には、この点について考慮してください。

脆弱性データベース(VDB)

シスコの脆弱性データベース(VDB)は、オペレーティング システム、クライアント、およびアプリケーションのフィンガープリントだけでなく、ホストが影響を受ける可能性がある既知の脆弱性のデータベースです。Firepower システムはフィンガープリントと脆弱性を関連付けて、特定のホストがネットワークの侵害のリスクを増大させているかどうかを判断するのをサポートします。Cisco Talos Security Intelligence and Research Group(Talos)は、VDB に定期的な更新を発行します。

脆弱性のマッピングを更新するのにかかる時間は、ネットワーク マップ内のホストの数によって異なります。システムのダウンタイムの影響を最小にするために、システムの使用率が低い時間帯に更新をスケジュールすることをお勧めします。一般的に、更新の実行にかかるおおよその時間(分)を判断するには、ネットワーク上のホストの数を 1000 で割ります。

VDB を更新した後、更新されたアプリケーション ディテクタとオペレーティング システム フィンガープリントを有効にするために、設定を再展開する必要があります。

システム データベースの更新

必要に応じて、手動でシステム データベースの更新を取得して適用することができます。更新はシスコサポート サイトから取得されます。したがって、システムの管理アドレスからインターネットへのパスが存在する必要があります。

またデータベースの更新を取得して適用するよう、定期的なスケジュールを設定することもできます。これらの更新はサイズが大きい場合があるため、ネットワーク アクティビティが少ない時間帯にスケジュールしてください。


(注)  

データベース更新が進行中の場合、ユーザ インターフェイスのアクションへの応答が遅くなる場合があります。

はじめる前に

保留中の変更に対して潜在的な影響を与えることを避けるため、これらのデータベースを手動で更新する前に、デバイスに設定を展開します。

手順
    ステップ 1   [デバイス(Device)]メニューのデバイス名クリックし、[更新サマリ(Updates summary)] の [設定の表示(View Configuration)] をクリックします。

    これによって、[更新(Updates)] ページが開きます。このページの情報には、各データベースの現在のバージョン、および各データベースの最終更新日時が表示されます。

    ステップ 2   手動でデータベースを更新するには、そのデータベースのセクションで [今すぐ更新(Update Now)]をクリックします。

    更新をダウンロードして適用した後、更新された情報を使用できるよう、ポリシーがデバイスに自動的に再展開されます。

    ステップ 3   (オプション)定期的なデータベース更新スケジュールを設定するには、次の手順に従います。
    1. 目的のデータベースのセクションで [設定(Configure)]リンクをクリックします。すでにスケジュールが設定されている場合、[編集(Edit)]をクリックします。

      データベースの更新スケジュールは独立しています。スケジュールは別途定義する必要があります。

    2. 更新開始時刻を設定します。

      • 更新の頻度(日次、週次、または月次)。

      • 週次または月次の場合、更新が必要な曜日または日付。

      • 更新を開始する時刻。

    3. [保存(Save)]をクリックします。
    (注)     

    定期的なスケジュールを削除する場合、[編集(Edit)]リンクをクリックしてスケジューリング ダイアログボックスを開き、[削除(Remove)] ボタンをクリックします。

    Firepower Threat Defenseソフトウェアのアップグレード

    Firepower Threat Defenseソフトウェア アップグレードが使用可能になると、インストールできます。次の手順は、システム上ですでに Firepower Threat Defenseソフトウェアが稼働していて、正常に動作していることを前提としています。

    この手順では、デバイスのイメージ再作成も、ASA ソフトウェアから Firepower Threat Defenseソフトウェアへの移行もできません。

    はじめる前に

    保留中の変更を展開し、展開が完了するまで待ちます(確認するには、タスク リストを参照してください)。保留中の変更があると、アップグレードを適用することはできません。

    次に、Firepower Device Manager をログアウトします。ソフトウェアのアップグレード中、設定の変更は行わないでください。

    アップグレード中、すべてのイベントが消去されます。

    手順
      ステップ 1   アップグレード イメージを取得し、インストールの準備をします。
      1. Cisco.com にログインし、アップグレード イメージをダウンロードします。

        • ファイル タイプが .sh の適切なアップグレード ファイルを取得します。システム ソフトウェア パッケージまたはブート イメージをダウンロードしないでください。

        • アップグレードに必要なベースライン イメージを実行していることを確認します。

      2. 管理 IP アドレスからアクセスできる HTTP サーバにイメージを置きます。

        または、TFTP または SCP を使用してファイルをダウンロードすることもできます。これらのオプションのいずれかを選択する場合、これらのファイル転送プロトコルをサポートするサーバにファイルを置きます。

      ステップ 2   SSH クライアントを使用し、[管理者(admin)]ユーザ アカウントとパスワードを使用して管理 IP アドレスにログインします。

      または、コンソール ポートに接続することもできます。

      ステップ 3   エキスパート モードにアクセスするには、expert コマンドを入力します。 
      > expert
admin@firepower:~$
      ステップ 4   作業ディレクトリ(cd)を /var/sf/updates/ に変更します。 
      admin@firepower:~$ cd /var/sf/updates/ 
admin@firepower:/var/sf/updates$
      ステップ 5   HTTP サーバからアップグレード ファイルをダウンロードします。

      sudo wgeturl

      たとえば次のコマンドは、架空の Cisco_FTD_Upgrade-6.2.0-181.sh アップグレード ファイルを files.example.com HTTP サーバの ftd フォルダからダウンロードします。sudo コマンドは root ユーザの下で動作するため、ストック警告が表示されます。このコマンドを実行する前に、[管理者(admin)] パスワードを再入力する必要があります。ダウンロードが完了するまで待ちます。

      admin@firepower:/var/sf/updates$ sudo wget 
http://files.example.com/ftd/Cisco_FTD_Upgrade-6.2.0-181.sh

We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:

    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.

Password: (enter admin password)
Connecting to files.example.com 
|*************************************************
**************************************************
**************************************************
**************************************************
**********************************| 

...(remaining output omitted)

      HTTP サーバを使用していない場合、代わりに tftp または scp コマンドを使用します。

      ステップ 6   アップグレード ファイルをインストールします。

      sudo install_update.pl/var/sf/updates/filename

      コマンドにアップグレード ファイルへのフル パスを含める必要があります。次に例を示します。

      admin@firepower:/var/sf/updates$ sudo 
install_update.pl /var/sf/updates/Cisco_FTD_Upgrade-6.2.0-181.sh
(output omitted)
      ステップ 7   インストールが完了するまで待機します。インストールが完了したら再起動されます。

      インストールには 30 分以上かかることがあります。

      ステップ 8   インストールが完了したことを確認します。

      SSH クライアントを使用し、[管理者(admin)]ユーザ アカウントとパスワードを使用して管理 IP アドレスにログインします。バナー情報には、新しいビルド番号が表示される行(強調表示される)が含まれます。たとえば次の出力は、現在のFirepower Threat Defenseのバージョンが 6.2.0-181 であり、例の更新ファイルと一致していることを示しています。show version コマンドでもソフトウェア バージョン情報が表示されます。

      Password: 

Last login: Fri May 6 14:42:18 2016 from 10.152.242.234 

Copyright 2004-2016, Cisco and/or its affiliates. All rights reserved. 
Cisco is a registered trademark of Cisco Systems, Inc. 
All other trademarks are property of their respective owners. 

Cisco Fire Linux OS v6.1.0 (build 22) 
Cisco ASA5512-X Threat Defense v6.2.0 (build 181) 

>

      デバイスの再イメージ化

      デバイスを再イメージ化すると、デバイス設定が消去され、新しいソフトウェア イメージがインストールされます。再イメージ化の目的は、工場出荷時のデフォルト設定でクリーン インストールすることです。

      次の場合に、デバイスを再イメージ化します。

      • ASA ソフトウェアからFirepower Threat Defenseソフトウェアにシステムを変換する場合。ASA イメージを実行しているデバイスを Firepower Threat Defenseイメージを実行しているデバイスにアップグレードすることはできません。

      • デバイスが 6.1.0 以前のイメージを実行していて、6.1 以降のイメージにアップグレードし、Firepower Device Manager を使用してデバイスを設定したい場合。Firepower Management Center を使用して、6.1 以前のデバイスをアップグレードしてからローカル管理を切り替えることはできません。

      • デバイスが正しく機能せず、設定の修正ですべての試行が失敗した場合。

      デバイスの再イメージ化の詳細については、ご使用のデバイス モデルの『Reimage the Cisco ASA or Firepower Threat Defense Device』または Firepower Threat Defense のクイック スタート ガイドを参照してください。これらのガイドは、http:/​/​www.cisco.com/​c/​en/​us/​support/​security/​firepower-ngfw/​products-installation-guides-list.html で入手できます。

      システムのバックアップと復元

      後の設定ミスまたは物理的な事故が原因で設定が損なわれた場合にデバイスを復元できるように、システム設定をバックアップできます。

      代替のデバイスにバックアップを復元できるのは、2 台のデバイスが同じモデルで、同じバージョンのソフトウェアを実行している場合です。アプライアンス間でコンフィギュレーションをコピーする目的で、バックアップと復元のプロセスを使用しないでください。バックアップ ファイルには、この方法で共有することができないようにアプライアンスを一意に特定する情報が含まれます。


      (注)  

      バックアップには管理 IP アドレス設定は含まれません。そのため、バックアップ ファイルを回復しても管理アドレスはバックアップ コピーから置換されません。これにより、アドレスに行ったいかなる変更も保持され、別のネットワーク セグメント上のさまざまなデバイスの設定を復元することも可能になります。

      バックアップには設定だけが含まれ、システム ソフトウェアは含まれません。デバイスを完全に最イメージングする必要がある場合、ソフトウェアを再インストールしてからバックアップをアップロードして、設定を回復する必要があります。

      バックアップ中は設定データベースがロックされます。バックアップの間はポリシー、ダッシュボードなどを表示できますが、設定を変更することはできません。復元を行っている間、システムは完全に使用できません。

      「バックアップと復元」ページの表は、バックアップのファイル名、作成日時、ファイル サイズを含む、システムで使用できる既存のすべてのバックアップ コピーを示します。バックアップのタイプ(手動、スケジュール、繰り返し)は、システムに指示したバックアップ コピーの作成方法に基づいています。


      ヒント

      バックアップ コピーはシステム自体に作成されます。ディザスタ リカバリのために必要なバックアップ コピーを確保するため、バックアップ コピーは手動でダウンロードし、安全なサーバに保存する必要があります。

      次に、バックアップの管理と復元操作について説明します。

      システムの即時バックアップ

      希望する場合はいつでもバックアップを開始できます。

      手順
        ステップ 1   [デバイス(Device)]メニューのデバイス名をクリックして、[バックアップと復元(Backup and Restore)] の概要ページで [設定の表示(View Configuration)] をクリックします。

        [バックアップと復元(Backup and Restore)] ページが開きます。表に、システムで使用可能なすべての既存のバックアップ コピーが一覧されます。

        ステップ 2   [手動バックアップ(Manual Backup)] > [今すぐバックアップ(Back Up Now)] をクリックします。
        ステップ 3   バックアップの名前を入力し、任意で説明を入力します。

        今すぐではなく、将来のある時刻にバックアップする場合は、代わりに [スケジュール(Schedule)]をクリックすることができます。

        ステップ 4   [今すぐバックアップ(Back Up Now)]をクリックします。

        システムがバックアップ プロセスを開始します。バックアップが完了すると、バックアップ ファイルが表に表示されます。必要に応じて、バックアップ コピーをシステムにダウンロードして、他の場所に保存することができます。

        バックアップが開始されたら、[バックアップと復元(Backup and Restore)] ページを閉じてもかまいません。

        スケジュールされた時間でのシステムのバックアップ

        システムを将来の特定の日時にバックアップするために、スケジュール バックアップを設定できます。スケジュール バックアップは、1 回だけ実行されます。定期的にバックアップを作成するようにバックアップ スケジュールを作成するには、スケジュール バックアップではなく、繰り返しバックアップを設定します。


        (注)  

        将来のバックアップのスケジュールを削除するには、スケジュールを編集して、[削除(Remove)]をクリックします。

        手順
          ステップ 1   [デバイス(Device)]メニューのデバイス名をクリックして、[バックアップと復元(Backup and Restore)] の概要ページで [設定の表示(View Configuration)] をクリックします。
          ステップ 2   [スケジュール バックアップ(Scheduled Backup)] > [バックアップをスケジュール(Schedule a Backup)] をクリックします。

          すでにスケジュール バックアップがある場合は、[スケジュール バックアップ(Scheduled Backup)] > [編集(Edit)] をクリックします。

          ステップ 3   バックアップの名前を入力し、任意で説明を入力します。
          ステップ 4   バックアップの日時を入力します。
          ステップ 5   [スケジュール(Schedule)]をクリックします。

          選択した日時に達すると、システムがバックアップされます。完了すると、バックアップ コピーがバックアップの表に一覧されます。

          定期的なバックアップ スケジュールの設定

          定期的なバックアップを設定し、システムを定期的にバックアップすることができます。たとえば、毎週金曜日の真夜中にバックアップをとることもできます。定期的なバックアップ スケジュールにより、常に最新のバックアップ セットを保持できます。


          (注)  

          定期的なスケジュールを削除する場合、スケジュールを編集し、[削除(Delete)]をクリックします。

          手順
            ステップ 1   [デバイス(Device)]メニューのデバイス名クリックし、[バックアップおよび復元サマリ(Backup and Restore summary)] の [設定の表示(View Configuration)] をクリックします。
            ステップ 2   [定期的なバックアップ(Recurring Backup)] > [設定(Configure)] をクリックします。

            すでに定期的なバックアップが設定されている場合、[定期的なバックアップ(Recurring Backup)] > [編集(Edit)] をクリックします。

            ステップ 3   バックアップの名前を入力し、任意で説明を入力します。
            ステップ 4   [頻度(Frequency)]と関連スケジュールを選択します。
            • [日次(Daily)]:時刻を選択します。バックアップは毎日、スケジュールされた時刻に取得されます。
            • [週次(Weekly)]:曜日と時刻を選択します。バックアップは選択した日付のスケジュールされた時刻に取得されます。たとえば、毎週月曜日、水曜日、金曜日の 23 時(午後 11 時)にバックアップをスケジュールすることもできます。
            • [月次(Monthly)]:日付と時刻を選択します。バックアップは選択した日付のスケジュールされた時刻に取得されます。たとえば、1 日、15 日、28 日の 23 時(午後 11 時)にバックアップをスケジュールすることもできます。
            ステップ 5   [保存(Save)]をクリックします。

            選択した日付と時刻になると、バックアップが取得されます。完了すると、バックアップ コピーがバックアップ テーブルにリストされます。

            定期的なスケジュールを変更または削除するまで、バックアップを取得し続けます。

            バックアップの復元

            必要に応じてバックアップを復元できます。復元するバックアップ コピーがまだデバイスに存在しない場合、復元する前にまずバックアップをアップロードする必要があります。

            復元している間、システムは全く使用できません。


            (注)  

            バックアップには管理 IP アドレスの設定は含まれません。したがって、バックアップ ファイルを復元しても、管理アドレスがバックアップ コピーにより置き換えられることはありません。これにより、アドレスに対する変更はすべて保持され、また異なるネットワーク セグメント上の別のデバイスに設定を復元することもできます。

            手順
              ステップ 1   [デバイス(Device)]メニューのデバイス名クリックし、[バックアップおよび復元サマリ(Backup and Restore summary)] の [設定の表示(View Configuration)] をクリックします。

              これにより、[バックアップおよび復元(Backup and Restore)] ページが開きます。使用可能なすべての既存のバックアップ コピーが表にリストされています。

              ステップ 2   復元しようとするバックアップ コピーが、使用可能なバックアップのリストにない場合、[アップロード(Upload)] > [検索(Browse)] をクリックし、バックアップ コピーをアップロードします。
              ステップ 3   ファイルの [復元(restore)] アイコン()をクリックします。

              復元するかどうかの確認が求められます。デフォルトでは、復元後にバックアップ コピーは削除されますが、これを保持するには、復元を続行する前に、[復元後にバックアップを削除しない(Do not remove the backup after restoring)]を選択します。

              復元が完了すると、システムは再起動します。

              ステップ 4   システムが起動して稼働したら、[展開(Deploy)]ボタンをクリックし、設定を再展開します。

              バックアップ ファイルの管理

              新しいバックアップを作成すると、バックアップ ファイルがバックアップと復元ページに表示されます。バックアップ コピーは無期限に保たれません。デバイスのディスク領域の利用量が最大しきい値に達すると、新しいバックアップ コピー用の場所を空けるために、古いバックアップ コピーが削除されます。したがって、定期的にバックアップ ファイルを管理し、最も保持したい特定のバックアップ コピーが削除されていないことを確認してください。

              バックアップ コピーを管理するには、次の操作を行うことができます。

              • ファイルを安全なストレージにダウンロード:バックアップ ファイルをワークステーションにダウンロードするには、ファイルのダウンロード アイコン()をクリックします。その後、安全なファイル ストレージにファイルを移動できます。

              • システムにバックアップ ファイルをアップロードする:デバイスで使用できなくなったバックアップ コピーを復元するには、[アップロード(Upload)] > [ファイルを参照(Browse File)] をクリックしてワークステーションからアップロードします。その後、復元できます。


                (注)  

                アップロードされたファイルは、元のファイル名と一致するように名前が変更される場合があります。また、システムに 10 以上のバックアップ コピーがすでに存在する場合、アップロードされたファイル用の場所を空けるために最も古いものは削除されます。古いソフトウェア バージョンによって作成されたファイルをアップロードすることはできません。

              • バックアップを復元する:バックアップ コピーを復元するには、ファイルの復元アイコン()をクリックします。復元の間システムは使用できなくなり、復元が完了するとリブートします。システムが稼働していて、動作中になってから設定を展開してください。

              • バックアップ ファイルを削除する:特定のバックアップが必要でなくなったら、ファイルの削除アイコン()をクリックします。削除の確認が求められます。削除すると、バックアップ ファイルを回復することはできません。

              システムの再起動

              システムが正常に動作していないときに、他の問題解決手段では解決しない場合は、デバイスを再起動できます。デバイスは CLI から再起動する必要があります。Firepower Device Manager からは再起動できません。

              手順
                ステップ 1   SSH クライアントを使用して管理 IP アドレスへの接続を開き、Configuration CLI 権限があるユーザ名でデバイスの CLI にログインします。たとえば、admin ユーザ名を使用します。
                ステップ 2   reboot コマンドを入力します。

                例: 
                > reboot

                システムのトラブルシューティング

                ここでは、いくつかのシステムレベルのトラブルシューティングのタスクおよび機能について説明します。特定の機能(アクセス コントロールなど)のトラブルシューティングの詳細については、その機能に関する章を参照してください。

                接続をテストするための ping アドレス

                ping は、特定のアドレスが使用可能で、応答するかどうかを確認するための単純なコマンドです。これは基本接続が機能していることを意味します。ただし、デバイスで実行されている他のポリシーにより、特定のタイプのトラフィックは正常にデバイスを通過できないことがあります。デバイス CLI にログインすることで ping を使用できます。


                (注)  

                システムには複数のインターフェイスがあるため、アドレスの ping に使用されるインターフェイスを制御できます。接続をテストすることが重要であるため、確実に正しいコマンドを使用する必要があります。たとえば、システムは仮想管理インターフェイスを介してシスコ ライセンス サーバに到達できる必要があるため、ping system コマンドを使用して接続をテストする必要があります。ping を使用すると、データ インターフェイスを介してアドレスに到達できるかどうかをテストしており、同じ結果にならない可能性があります。

                通常の ping は、ICMP パケットを使用して接続をテストします。ネットワークで ICMP が禁止されている場合は、代わりに TCP ping を使用できます(データ インターフェイスの ping のみ)。

                次に、ネットワーク アドレスを ping するための主なオプションを示します。

                仮想管理インターフェイスを介したアドレスの ping

                ping system コマンドを使用します。

                ping systemhost

                ホストは IP アドレスまたは完全修飾ドメイン名(FQDN)(www.example.com など)にすることができます。データ インターフェイスを介した ping とは違い、システム ping のデフォルト数はありません。ping は Ctrl+c を使用して停止するまで続けられます。次に例を示します。

                
> ping system www.cisco.com
PING origin-www.cisco.COM (72.163.4.161) 56(84) bytes of data.
64 bytes from www1.cisco.com (72.163.4.161): icmp_seq=1 ttl=242 time=10.6 ms
64 bytes from www1.cisco.com (72.163.4.161): icmp_seq=2 ttl=242 time=8.13 ms
64 bytes from www1.cisco.com (72.163.4.161): icmp_seq=3 ttl=242 time=8.51 ms
64 bytes from www1.cisco.com (72.163.4.161): icmp_seq=4 ttl=242 time=8.40 ms
^C
--- origin-www.cisco.COM ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3003ms
rtt min/avg/max/mdev = 8.139/8.927/10.650/1.003 ms
>
                ルーティング テーブルを使用するデータ インターフェイスを介したアドレスの ping

                ping コマンドを使用します。インターフェイスを指定せずに、システムが一般的にホストへのルートを検索できるかどうかをテストします。システムは通常このようにしてトラフィックをルーティングするため、一般的に実行する必要があるのはこのテストです。

                pinghost

                ホストの IP アドレスを指定します。FQDN しかわからない場合は、nslookupfqdn-name コマンドを使用して IP アドレスを特定します。次に例を示します。

                
> ping 171.69.38.1
Sending 5, 100-byte ICMP Echos to 171.69.38.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms

                (注)  

                タイムアウト、繰り返し回数、パケット サイズ、さらには送信するデータ パターンを指定できます。使用可能なオプションを表示するには、CLI でヘルプ インジケータの「?」を使用します。

                特定のデータ インターフェイスを介したアドレスの ping

                特定のデータ インターフェイスを介して接続をテストするには、pinginterfaceif_name コマンドを使用します。このコマンドを使用して診断インターフェイスを指定することもできますが、仮想管理インターフェイスは指定できません。

                pinginterfaceif_namehost

                ホストの IP アドレスを指定します。FQDN しかわからない場合は、nslookupfqdn-name コマンドを使用して IP アドレスを特定します。次に例を示します。

                > ping interface inside 171.69.38.1
Sending 5, 100-byte ICMP Echos to 171.69.38.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms
                TCP ping を使用するデータ インターフェイスを介したアドレスの ping

                ping tcp コマンドを使用します。TCP ping では、SYN パケットを送信し、宛先から SYN-ACK パケットが返されると成功と見なします。

                ping tcp [interfaceif_name] hostport

                ホストと TCP ポートを指定する必要があります。FQDN しかわからない場合は、nslookupfqdn-name コマンドを使用して IP アドレスを特定します。

                オプションで、ping を送信するインターフェイスではなく、ping の送信元インターフェイスであるインターフェイスを指定できます。このタイプの ping では、必ずルーティング テーブルを使用します。

                TCP ping では、SYN パケットを送信し、宛先から SYN-ACK パケットが返されると成功と見なします。次に例を示します。

                
> ping tcp 10.0.0.1 21
Type escape sequence to abort.
No source specified. Pinging from identity interface.
Sending 5 TCP SYN requests to 10.0.0.1 port 21
from 10.0.0.10, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

                (注)  

                タイムアウト、繰り返し回数、および TCP ping の送信元アドレスも指定できます。使用可能なオプションを表示するには、CLI でヘルプ インジケータの「?」を使用します。

                ホストまでのルートの追跡

                IP アドレスへのトラフィックの送信で問題が発生している場合は、ホストまでのルートを追跡することによってネットワーク パスに問題がないかどうかを確認できます。トレースルートでは、宛先に対して、無効なポートで UDP パケットを送信したり、ICMPv6 エコーを送信したりします。宛先までの途中にあるルータから ICMP Time Exceeded メッセージが返され、トレースルートにそのエラーが報告されます。各ノードは 3 つのパケットを受信するため、有益な結果を得る機会が 1 台のノードにつき 3 回あります。デバイス CLI にログインすることで、トレースルートを使用できます。


                (注)  

                データ インターフェイスを介してルートを追跡するためのコマンド(traceroute)、または仮想管理インターフェイスを介してルートを追跡するためのコマンド(traceroute system)があります。適切なコマンドを使用するようにしてください。

                次の表に、パケットによって出力に表示される可能性のある結果を示します。

                出力記号

                説明

                *

                タイムアウトの期間内にプローブへの応答を受信しませんでした。

                nn msec

                各ノードで、指定した数のプローブのラウンドトリップにかかる時間(ミリ秒)。

                !N.

                ICMP ネットワークに到達できません。

                !H

                ICMP ホストに到達できません。

                !P

                ICMP プロトコルに到達できません。

                !A

                ICMP が管理者によって禁止されています。

                ?

                原因不明の ICMP エラーが発生しました。
                仮想管理インターフェイスを介したルートの追跡

                traceroute system コマンドを使用します。

                traceroute systemdestination

                ホストには、IPv4/IPv6 アドレスまたは完全修飾ドメイン名(FQDN)(www.example.com など)を使用できます。次に例を示します。

                
> traceroute system www.example.com 
traceroute to www.example.com (172.163.4.161), 30 hops max, 60 byte packets
 1  192.168.0.254 (192.168.0.254)  0.213 ms  0.310 ms  0.328 ms
 2  10.88.127.1 (10.88.127.1)  0.677 ms  0.739 ms  0.899 ms
 3  lab-gw1.example.com (10.89.128.25)  0.638 ms  0.856 ms  0.864 ms
 4  04-bb-gw1.example.com (10.152.240.65)  1.169 ms  1.355 ms  1.409 ms
 5  wan-gw1.example.com (10.152.240.33)  0.712 ms  0.722 ms  0.790 ms
 6  wag-gw1.example.com (10.152.240.73)  13.868 ms  10.760 ms  11.187 ms
 7  rbb-gw2.example.com (172.30.4.85)  7.202 ms  7.301 ms  7.101 ms
 8  rbb-gw1.example.com (172.30.4.77)  8.162 ms  8.225 ms  8.373 ms
 9  sbb-gw1.example.com (172.16.16.210)  7.396 ms  7.548 ms  7.653 ms
10  corp-gw2.example.com (172.16.16.58)  7.413 ms  7.310 ms  7.431 ms
11  dmzbb-gw2.example.com (172.16.0.78)  7.835 ms  7.705 ms  7.702 ms
12  dmzdcc-gw2.example.com (172.16.0.190)  8.126 ms  8.193 ms  11.559 ms
13  dcz05n-gw1.example.com (172.16.2.106)  11.729 ms  11.728 ms  11.939 ms
14  www1.example.com (172.16.4.161)  11.645 ms  7.958 ms  7.936 ms
                データ インターフェイスを介したルートの追跡

                traceroute コマンドを使用します。

                traceroutedestination

                ホストの IP アドレスを指定します。FQDN しかわからない場合は、nslookupfqdn-name コマンドを使用して IP アドレスを特定します。次に例を示します。

                
> traceroute 209.165.200.225
Tracing the route to 209.165.200.225
 1  10.83.194.1 0 msec 10 msec 0 msec
 2  10.83.193.65 0 msec 0 msec 0 msec
 3  10.88.193.101 0 msec 10 msec 0 msec
 4  10.88.193.97 0 msec 0 msec 10 msec
 5  10.88.239.9 0 msec 10 msec 0 msec
 6  10.88.238.65 10 msec 10 msec 0 msec
 7 172.16.7.221 70 msec 70 msec 80 msec
 8 209.165.200.225 70 msec 70 msec 70 msec

                (注)  

                タイムアウト、パケット存続時間、1 ノードあたりのパケット数、およびトレースルートの送信元として使用する IP アドレスまたはインターフェイスを指定できます。使用可能なオプションを表示するには、CLI でヘルプ インジケータの「?」を使用します。

                NTP のトラブルシューティング

                システムは、正確で一貫性のある時間に基づいて正しく動作し、イベントやその他のデータ ポイントを正確に処理します。少なくとも 1 つ、理想的には 3 つの Network Time Protocol(NTP)サーバで、システムが常に信頼できる時間情報を取得できるようにする必要があります。

                デバイスの接続概要図(メイン メニューで [デバイス(Device)]をクリック)に、NTP サーバへの接続ステータスが示されます。ステータスが黄色またはオレンジ色の場合、設定したサーバへの接続に問題があります。接続の問題が解消されない(一時的な問題ではない)場合は、次の操作を試します。

                • まず、[デバイス(Device)] > [システム設定(System Settings)] > [NTP(NTP)] で 3 つ以上の NTP サーバが設定されていることを確認します。これは要件になっていませんが、NTP サーバが 3 つ以上あると信頼性が大幅に向上します。

                • 管理インターフェイス IP アドレス([デバイス(Device)] > [システム設定(System Settings)] > [管理インターフェイス(Management Interface)] で定義される)と NTP サーバの間にネットワーク パスがあることを確認します。

                  デバイス CLI にログインし、ping system コマンドを使用して、各 NTP サーバへのネットワーク パスがあるかどうかテストします。

                • デバイス CLI にログインし、次のコマンドを使用して NTP サーバのステータスを確認します。

                  • show ntp:このコマンドは、NTP サーバの基本情報とその可用性を表示します。ただし、Firepower Device Manager の接続ステータスではその他の情報を使用してステータスを示すため、このコマンドが示す内容や接続ステータス図が示す内容と一致しないことがあります。

                  • system support ntp:このコマンドには、show ntp の出力と、NTP プロトコルによってドキュメント化される標準の NTP コマンド ntpq の出力が含まれます。NTP 同期を確認する必要がある場合は、このコマンドを使用します。

                    「Results of ‘ntpq -pn」の部分を探します。たとえば、次のように表示されます。

                    Results of 'ntpq -pn'
remote                    : +216.229.0.50
refid                     : 129.7.1.66
st                        : 2
t                         : u
when                      : 704
poll                      : 1024
reach                     : 377
delay                     : 90.455
offset                    : 2.954
jitter                    : 2.473

                    この例では、NTP サーバ アドレスの前にある + は潜在的な候補であることを示します。アスタリスク * は、現在の時刻源のピアを示します。

                    NTP デーモン(NTPD)は、各ピアの 8 つのスライディング ウィンドウ サンプルを使用して 1 つのサンプルを選択します。その後、クロックの選択によって正しいチャイマーと不正なチッカーが特定されます。次に、NTPD がラウンドトリップ距離を特定します(候補のオフセットをラウンドトリップ遅延の半分以上にすることはできません)。接続の遅延、パケットの損失、またはサーバの問題が発生して 1 つまたはすべての候補が拒否されると、同期中に長い遅延が生じます。また、調整にも非常に長い時間がかかります。クロック規律アルゴリズムによって、クロック オフセットおよびオシレータ エラーを解決する必要がありますが、これには数時間かかる可能性があります。


                    (注)  

                    refid が .LOCL. の場合は、ピアが無規律のローカル クロックであることを示します。つまり、時間設定にそのローカル クロックのみを使用します。選択したピアが .LOCL. の場合、Firepower Device Manager は NTP 接続を常に黄色(非同期)にマークします。通常 NTP は、より適切な候補を利用できる場合、.LOCL. 候補を選択しません。そのため、サーバを 3 つ以上設定する必要があります。

                CPU およびメモリ使用率の分析

                CPU およびメモリの使用率に関するシステム レベルの情報を表示するには、[モニタリング(Monitoring)] > [システム(System)] を選択し、CPU とメモリの棒グラフを検索します。これらのグラフは、show cpu system および show memory system コマンドを使用して CLI から収集した情報を示します。

                CLI にログインすると、これらのコマンドの追加バージョンを使用して他の情報を見ることができます。通常、この情報を確認するのは使用状況に関する永続的な問題がある場合や、Cisco Technical Assistance Center(TAC)の指示があった場合に限られます。詳細情報の多くは複雑で、TAC の解釈が必要です。

                以下に、調べることができるいくつかのポイントを示します。これらのコマンドについての詳細情報は、http:/​/​www.cisco.com/​c/​en/​us/​td/​docs/​security/​firepower/​command_ref/​b_​Command_​Reference_​for_​Firepower_​Threat_​Defense.htmlの「Firepower Threat Defense のコマンド リファレンス」[英語] をご覧ください。

                • show cpu は、データ プレーンの CPU 使用率を表示します。

                • show cpu core は、各 CPU コアの使用率を個別に表示します。

                • show cpu detailed は、追加のコアごと、および全体的なデータ プレーン CPU の使用率を表示します。

                • show memory は、データ プレーンのメモリ使用率を表示します。


                (注)  

                キーワード(上述されていない)の中には、cpu または memory コマンドを使用して最初にプロファイルその他の機能の設定が必要な場合があります。これらの機能は、TAC の指示があった場合のみ使用します。

                ログの表示

                システムはさまざまなアクションに関する情報をログに記録します。システム ログを開くには、system support view-files コマンドを使用します。Cisco Technical Assistance Center(TAC)への問い合わせ時にこのコマンドを使用すると、出力を解釈して、適切なログを表示できるようになります。

                コマンドは、ログを選択するためのメニューを表示します。ウィザードに移動するには、次のコマンドを使用します。

                • サブディレクトリに変更するには、ディレクトリの名前を入力して、Enter を押します。

                • 表示するファイルを選択するには、プロンプトで s と入力します。その後、ファイル名の入力が求められます。完全な名前を入力する必要があります。大文字と小文字は区別されます。ファイル リストにはログのサイズが示されます。非常に大きいログを開く前には検討が必要な場合があります。

                • 「--More--」が表示されたら Space キーを押してログ エントリの次のページを表示します。次のログ エントリのみを表示するには Enter を押します。ログの最後に到達すると、メイン メニューに戻ります。「--More--」の行には、ログのサイズと表示した量が示されます。ログのすべてのページを表示する必要がなく、ログを閉じて、コマンドを終了するには、Ctrl+C を使用します。

                • メニューまでの構造内で 1 つ上のレベルに移動するには、b を入力します。

                新しいメッセージが追加されたときにそれらを確認できるように、ログを開いたままにするには、system support view-files ではなく tail-logs コマンドを使用します。

                次の例は、システムへのログイン試行を追跡する cisco/audit.log ファイルがどのように表示されるかを示しています。ファイル リストは、最上位のディレクトリで始まり、その後、現在のディレクトリ内のファイル リストが続きます。

                
> system support view-files

===View Logs===

============================
Directory: /ngfw/var/log
----------sub-dirs----------
cisco
mojo
removed_packages
setup
seshat
connector
sf
scripts
packages
removed_scripts
httpd
-----------files------------
2016-10-14 18:12:04.514783 | 5371       | SMART_STATUS_sda.log
2016-10-14 18:12:04.524783 | 353        | SMART_STATUS_sdb.log
2016-10-11 21:32:23.848733 | 326517     | action_queue.log
2016-10-06 16:00:56.620019 | 1018       | br1.down.log

<list abbreviated>


([b] to go back or [s] to select a file to view, [Ctrl+C] to exit)
Type a sub-dir name to list its contents: cisco

============================
Directory: /ngfw/var/log/cisco
-----------files------------
2017-02-13 22:44:42.394907 | 472        | audit.log
2017-02-13 23:40:30.858198 | 903615     | ev_stats.log.0
2017-02-09 18:14:26.870361 | 0          | ev_stats.log.0.lck
2017-02-13 05:24:00.682601 | 1024338    | ev_stats.log.1
2017-02-12 08:41:00.478103 | 1024338    | ev_stats.log.2
2017-02-11 11:58:00.260805 | 1024218    | ev_stats.log.3
2017-02-09 18:12:13.828607 | 95848      | firstboot.ngfw-onbox.log
2017-02-13 23:40:00.240359 | 6523160    | ngfw-onbox.log

([b] to go back or [s] to select a file to view, [Ctrl+C] to exit)
Type a sub-dir name to list its contents: s

Type the name of the file to view ([b] to go back, [Ctrl+C] to exit)
> audit.log
2017-02-09 18:59:26 - SubSystem:LOGIN, User:admin, IP:10.24.42.205, Message:Login successful, 
2017-02-13 17:59:28 - SubSystem:LOGIN, User:admin, IP:10.24.111.72, Message:Login successful, 
2017-02-13 22:44:36 - SubSystem:LOGIN, User:admin, IP:10.24.111.72, Message:Login failed, 
2017-02-13 22:44:42 - SubSystem:LOGIN, User:admin, IP:10.24.111.72, Message:Login successful, 
2017-02-13 22:44:42 - SubSystem:LOGIN, User:admin, IP:10.24.111.72, Message:Unlocked account., 

<remaining log truncated>

                トラブルシューティング ファイルの作成

                問題レポートを提出した際に、Cisco Technical Assistance Center(TAC)の担当者により、システム ログ情報の提出を求められることがあります。この情報は、問題の診断に役立ちます。診断ファイルの提出は、求められた場合だけでかまいません。

                次の手順では、ログ レベルを設定して診断ファイルを作成する方法について説明します。

                手順
                  ステップ 1   [デバイス(Device)]メニューのデバイス名
                  ステップ 2   [トラブルシューティング(Troubleshooting)]の下で、[ファイルの作成を要求(Request File to be Created)] または [ファイルの作成を再要求(Re-Request File to be Created)](事前に作成していた場合)をクリックします。

                  システムが診断ファイルの生成を開始します。他のページに移動して、後で戻ってきてステータスを確認することができます。ファイルの準備が整うと、ファイル作成日時が [ダウンロード(Download)] ボタンとともに表示されます。

                  ステップ 3   ファイルの準備が整ったら、[ダウンロード(Download)] ボタンをクリックします。

                  ファイルは、ブラウザの標準のダウンロード方式を使用してワークステーションにダウンロードされます。

                  一般的でない管理タスク

                  ここでは、皆無ではありませんが、頻繁には実行しないアクションについて取り上げます。これらのアクションはすべて、デバイス設定を消去します。これらの変更を行う前に、デバイスが現在、実稼働ネットワークに重要なサービスを提供していないことを確認してください。

                  ローカル管理とリモート管理の切り替え

                  デバイスに直接ホストされているローカルの Firepower Device Manager を使用し、またはリモートでFirepower Management Centerの複数のデバイス マネージャを使用して、デバイスを設定および管理できます。Firepower Device Manager でサポートされていない機能を設定する場合、または Firepower Management Centerで使用可能な電力と分析機能が必要な場合、リモート マネージャを使用できます。

                  トランスペアレント ファイアウォール モードでデバイスを実行する場合、Firepower Management Centerも使用する必要があります。

                  ソフトウェアを再インストールすることなく、ローカル管理とリモートの管理を切り替えることができます。リモート管理からローカル管理に切り替える前に、Firepower Device Manager がすべての設定要件を満たしていることを確認します。


                  注意    

                  マネージャを切り替えると、デバイス設定は削除され、デフォルト設定に戻ります。ただし、管理 IP アドレスとホスト名は保持されます。

                  はじめる前に

                  デバイスを登録した場合、特に機能ライセンスを有効にした場合、リモート管理に切り替える前に、Firepower Device Manager を介してデバイスを登録解除する必要があります。デバイスを登録解除すると、基本ライセンスとすべての機能ライセンスが解放されます。デバイスを登録解除しない場合、これらのライセンスは Cisco Smart Software Manager のデバイスに割り当てられたままになります。デバイスの登録解除を参照してください。

                  手順
                    ステップ 1   SSH クライアントを使用して管理 IP アドレスへの接続を開き、設定 CLI アクセスを持つユーザ名でデバイス CLI にログインします。たとえば、[管理者(admin)]ユーザ名など。
                    ステップ 2   ローカル管理からリモート管理へ切り替えるには、次の手順に従います。
                    1. 現在ローカル管理モードになっていることを確認します。 
                      > show managers 
Managed locally.
                    2. リモート マネージャを設定します。

                      configure manager add {hostname | IPv4_address | IPv6_address | DONTRESOLVE} regkey [nat_id]

                      ここで、

                      • {hostname | IPv4_address | IPv6_address | DONTRESOLVE} は、このデバイスを管理するFirepower Management Center の DNS ホスト名、または IP アドレス(IPv4 または IPv6)を表します。Firepower Management Centerを直接アドレス指定できない場合は、DONTRESOLVE を使用します。DONTRESOLVE を使用する場合は、nat_id が必要です。

                      • Regkey はデバイスを Firepower Management Center へ登録するのに必要な、英数字の一意の登録キーです。

                      • nat_id は、Firepower Management Center とデバイス間の登録プロセス中に使用されるオプションの英数字文字列です。hostname が DONTRESOLVE に設定されている場合に必要です。

                      たとえば、192.168.0.123 のマネージャを登録キー [秘密(secret)] で使用する場合、次のように入力します。

                      > configure manager add 192.168.0.123 secret
If you enabled any feature licenses, you must disable them in 
Firepower Device Manager before switching to remote management.
Otherwise, those licenses remain assigned to the device in Cisco 
Smart Software Manager.
Do you want to continue  [yes/no] yes
Manager successfully configured.
Please make note of reg_key as this will be required while adding 
Device in FMC.

> show managers 
Host                      : 192.168.0.123
Registration Key          : ****
Registration              : pending
RPC Status                :
                      (注)     

                      登録がまだ保留中の場合、configure manager delete を使用して登録を取り消し、configure manager local を使用してローカル管理に戻すことができます。

                    3. Firepower Management Centerにログインし、デバイスを追加します。

                      詳細については、Firepower Management Centerオンライン ヘルプを参照してください。

                    ステップ 3   リモート管理からローカル管理へ切り替えるには、次の手順に従います。
                    1. 現在リモート管理モードになっていることを確認します。 
                      > show managers 
Host                      : 192.168.0.123
Registration Key          : ****
Registration              : pending
RPC Status                :
                    2. リモート マネージャを削除し、マネージャなしのモードになります。

                      リモート管理からローカル管理に直接移行することはできません。マネージャを削除するには、configure manager delete コマンドを使用します。

                      > configure manager delete 
Deleting task list
Manager successfully deleted.

> 
> show managers 
No managers configured.
                    3. ローカル マネージャを設定します。

                      configure manager local

                      次に例を示します。

                      > configure manager local 
Deleting task list

> show managers 
Managed locally.

                      Web ブラウザを使用して、https://management-IP-address のローカル マネージャを開くことができるようになります。

                    ファイアウォール モードの変更

                    Firepower Threat Defenseファイアウォールは、ルーテッド モードまたはトランスペアレント モードで実行できます。ルーテッド モードのファイアウォールはルーテッド ホップであり、スクリーン サブネットのいずれかに接続するホストのデフォルト ゲートウェイとして機能します。一方、トランスペアレント ファイアウォールは、「Bump In The Wire」または「ステルス ファイアウォール」のように機能するレイヤ 2 ファイアウォールであり、接続されたデバイスへのルータ ホップとしては認識されません。

                    ローカルの Firepower Device Manager はルーテッド モードのみをサポートします。ただし、トランスペアレント モードですぐに実行する必要がある場合、ファイアウォール モードに変更し、Firepower Management Center を使用してデバイスの管理を開始できます。逆に、トランスペアレント モードのデバイスをルーテッド モードに変換すると、ローカル マネージャでそのデバイスを設定することができ、Firepower Management Centerを使用してルーテッド モードのデバイスを管理することもできます。

                    ローカル管理であるか、リモート管理であるかに関係なく、モードを変更するためにはデバイスの CLI を使用する必要があります。

                    次の手順では、ローカル マネージャを使用している場合、またはローカル マネージャを使用予定の場合のモードの変更方法について説明します。


                    注意    

                    ファイアウォール モードを変更すると、デバイス設定は削除され、システムはデフォルト設定に戻ります。ただし、管理 IP アドレスとホスト名は保持されます。

                    はじめる前に

                    トランスペアレント モードに変換する場合は、ファイアウォール モードを変更する前に Firepower Management Centerをインストールします。

                    いずれかの機能ライセンスを有効にしている場合、ローカル マネージャを削除してリモート管理に切り替える前に、Firepower Device Manager でそれらのライセンスを無効にする必要があります。無効にしないと、それらのライセンスは Cisco Smart Software Manager でデバイスに割り当てられたままになります。オプション ライセンスの有効化と無効化を参照してください。

                    手順
                      ステップ 1   SSH クライアントを使用して管理 IP アドレスへの接続を開き、コンフィギュレーション CLI アクセス権があるユーザ名でデバイスの CLI にログインします。たとえば、admin ユーザ名を使用します。
                      ステップ 2   モードをルーテッドからトランスペアレントに変更して、リモート管理を使用するには、次の手順を実行します。
                      1. ローカル管理を無効にし、ノー マネージャ モードを開始します。

                        アクティブなマネージャが存在する間は、ファイアウォール モードを変更できません。configure manager delete コマンドを使用して、マネージャを削除します。

                        > configure manager delete 
If you enabled any feature licenses, you must disable them in 
Firepower Device Manager before deleting the local manager.
Otherwise, those licenses remain assigned to the device in 
Cisco Smart Software Manager.
Do you want to continue[yes/no] yes
Deleting task list
Manager successfully deleted.

> 
> show managers 
No managers configured.
                      2. ファイアウォール モードをトランスペアレントに変更します。

                        configure firewall transparent



                        例: 
                        > configure firewall transparent 
This will destroy the current interface configurations, 
are you sure that you want to proceed? [y/N] y
The firewall mode was changed successfully.
                      3. リモート マネージャを設定します。

                        configure manager add {hostname | IPv4_address | IPv6_address | DONTRESOLVE} regkey [nat_id]

                        ここで、

                        • {hostname | IPv4_address | IPv6_address | DONTRESOLVE} では、このデバイスを管理するFirepower Management Center の DNS ホスト名または IP アドレス(IPv4 または IPv6)を指定します。Firepower Management Centerを直接アドレス指定できない場合は、DONTRESOLVE を使用します。DONTRESOLVE を使用する場合は、nat_id が必要です。

                        • regkey はデバイスを Firepower Management Center に登録するために必要な一意の英数字の登録キーです。

                        • nat_id は、Firepower Management Center とデバイス間の登録プロセス中に使用される任意の英数字文字列です。hostname が DONTRESOLVE に設定されている場合に必要です。

                        たとえば、192.168.0.123 で登録キーが secret であるマネージャを使用するには、次のように入力します。

                        > configure manager add 192.168.0.123 secret
Manager successfully configured.
Please make note of reg_key as this will be required while adding 
Device in FMC.

> show managers 
Host                      : 192.168.0.123
Registration Key          : ****
Registration              : pending
RPC Status                :
                      4. Firepower Management Centerにログインしてデバイスを追加します。

                        詳細については、Firepower Management Centerのオンライン ヘルプを参照してください。

                      ステップ 3   モードをトランスペアレントからルーテッドに変更して、ローカル管理に変換するには、次の手順を実行します。
                      1. Management Centerからデバイスを登録解除します。
                      2. Firepower Threat Defenseデバイスの CLI にアクセスします。可能ならばコンソール ポートからアクセスします。

                        これは、モードを変更すると設定が削除され、管理 IP アドレスはデフォルトに戻ってしまうため、モード変更後に管理 IP アドレスへの SSH 接続が失われることがあるためです。

                      3. ファイアウォール モードをルーテッドに変更します。

                        configure firewall routed



                        例: 
                        > configure firewall routed
This will destroy the current interface configurations, 
are you sure that you want to proceed? [y/N] y
The firewall mode was changed successfully.
                      4. ローカル マネージャを有効にします。

                        configure manager local

                        次に例を示します。

                        > configure manager local 
Deleting task list

> show managers 
Managed locally.

                        これで、Web ブラウザを使用し、https://management-IP-address でローカル マネージャを開くことができます。

                      設定のリセット

                      最初からやり直したい場合は、システム設定を工場出荷時の設定にリセットできます。設定を直接リセットすることはできませんが、マネージャの削除および追加を行うと設定がクリアされます。

                      設定を削除してバックアップを回復したい場合は、復元するバックアップ コピーをすでにダウンロードしていることを確認してください。システムを復元するには、システムのリセット後にバックアップ コピーをアップロードする必要があります。

                      はじめる前に

                      いずれかの機能ライセンスを有効にしている場合、ローカル マネージャを削除する前に、Firepower Device Manager でそれらのライセンスを無効にする必要があります。無効にしないと、それらのライセンスは Cisco Smart Software Manager でデバイスに割り当てられたままになります。オプション ライセンスの有効化と無効化を参照してください。

                      手順
                        ステップ 1   SSH クライアントを使用して管理 IP アドレスへの接続を開き、Configuration CLI 権限があるユーザ名でデバイスの CLI にログインします。たとえば、admin ユーザ名を使用します。
                        ステップ 2   configure manager delete コマンドを使用して、マネージャを削除します。 
                        > configure manager delete 
If you enabled any feature licenses, you must disable them in 
Firepower Device Manager before deleting the local manager.
Otherwise, those licenses remain assigned to the device in Cisco 
Smart Software Manager.
Do you want to continue[yes/no] yes
Deleting task list
Manager successfully deleted.

> 
> show managers 
No managers configured.
                        ステップ 3   ローカル マネージャを設定します。

                        configure manager local

                        次に例を示します。

                        > configure manager local 
Deleting task list

> show managers 
Managed locally.

                        これで、Web ブラウザを使用して、https://management-IP-address でローカル マネージャを開くことができます。設定をクリアすると、デバイスのセットアップ ウィザードを完了するように求められます。

                        このドキュメントは役に立ちましたか?

                        Feedbackフィードバック

                        シスコに問い合わせ