설정 마법사를 완료하면 내부 인터페이스(Ethernet1/2)에 대한 기본 컨피그레이션 외에 management center 관리로 전환할 때 유지되는 외부(Ethernet1/1) 인터페이스의 컨피그레이션이 생깁니다.

관리 인터페이스에 데이터 인터페이스로 설정된 게이트웨이가 있어야 합니다. 기본적으로 관리 인터페이스는 DHCP에서 IP 주소 및 게이트웨이를 수신합니다. DHCP에서 게이트웨이를 수신하지 못한 경우(예: 이 인터페이스를 네트워크에 연결하지 않은 경우) 게이트웨이는 기본적으로 데이터 인터페이스로 설정되며, 아무것도 구성할 필요가 없습니다. DHCP에서 게이트웨이를 수신한 경우 대신 고정 IP 주소로 이 인터페이스를 구성하고 게이트웨이를 데이터 인터페이스로 설정해야 합니다.

Device Manager()에서 방화벽 구성에서 인터페이스를 구성하는 방법에 대한 자세한 내용은 device manager를 참조하십시오. 디바이스를 management center에 등록할 때 다른 device manager 컨피그레이션은 유지되지 않습니다.

인터페이스를 통과하는 기본 경로가 있는지 확인하라는 메시지가 표시됩니다. 외부를 선택한 경우 설정 마법사의 일부로 이 경로를 이미 구성한 것입니다. 다른 인터페이스를 선택한 경우 management center에 연결하기 전에 기본 경로를 수동으로 구성해야 합니다. device manager의 정적 경로 구성에 대한 자세한 내용은 Device Manager()에서 방화벽 구성 항목을 참조하십시오.

DDNS는 threat defense의 IP 주소가 변경될 경우 management center가 FQDN(Fully-Qualified Domain Name)에서 threat defense에 연결할 수 있도록 합니다. Device(디바이스) > System Settings(시스템 설정) > DDNS Service(DDNS 서비스)를 참조하여 DDNS를 구성합니다.

management center에 threat defense 를 추가하기 전에 DDNS를 구성할 경우 threat defense가 HTTPS 연결을 위해 DDNS 서버 인증서를 검증할 수 있도록 Cisco Trusted Root CA 번들에서 threat defense가 모든 주요 CA에 대한 인증서를 자동으로 추가합니다. threat defense는 DynDNS 원격 API 사양(https://help.dyn.com/remote-access-api/)을 사용하는 모든 DDNS 서버를 지원합니다.

management center에 대한 전환을 취소하려면 Cancel Registration(등록 취소)을 클릭합니다. 아니면 Saving FMC Registration Settings(FMC 등록 설정 저장) 단계까지 device manager 브라우저를 닫지 마십시오. 이렇게 하면 프로세스가 일시 중지되며, device manager에 다시 연결할 때만 재개됩니다.

FMC Registration Settings(FMC 등록 설정 저장) 단계를 수행한 후 device manager에 연결된 상태로 유지되는 경우, 마지막으로 Successful Connection with FMC(FMC와 연결 성공) 대화 상자가 표시된 뒤 device manager으로부터 연결이 해제됩니다.

콘솔 포트는 FXOS CLI에 연결됩니다.

FXOS에 처음 로그인하면 비밀번호를 변경하라는 메시지가 표시됩니다. 이 비밀번호는 SSH의 threat defense 로그인에도 사용됩니다.

connect ftd

데이터 인터페이스에서 관리자 액세스를 활성화하더라도 관리 인터페이스 네트워크 설정은 계속 사용됩니다.

기본값 또는 이전에 입력한 값이 괄호 안에 표시됩니다. 이전에 입력한 값을 승인하려면 Enter를 누릅니다.

다음 지침을 참조하십시오.

• Configure IPv4 via DHCP or manually?(DHCP를 통해 또는 수동으로 IPv4를 구성하시겠습니까?)—manual(수동)을 선택합니다. 관리 인터페이스를 사용할 계획은 없지만 IP 주소(예: 개인 주소)를 설정해야 합니다. 관리 인터페이스가 DHCP로 설정된 경우 관리를 위해 데이터 인터페이스를 설정할 수 없습니다. 데이터 인터페이스(데이터 인터페이스)여야 하는 기본 경로(다음 글머리 기호 참조)가 DHCP 서버에서 수신한 기본 경로를 덮어 쓸 수 있기 때문입니다.

• Enter the IPv4 default gateway for the management interface(관리 인터페이스의 IPv4 기본 게이트웨이 입력) — 게이트웨이를 data-interfaces로 설정합니다. 이 설정은 관리 트래픽을 백플레인을 통해 전달하므로 관리자 액세스 데이터 인터페이스를 통해 라우팅될 수 있습니다.

• If your networking information has changed, you will need to reconnect(네트워킹 정보가 변경된 경우 다시 연결해야 합니다) — SSH를 통해 연결되어 있는 경우 연결이 끊깁니다. 관리 컴퓨터가 관리 네트워크에 있는 경우 새 IP 주소 및 비밀번호로 다시 연결할 수 있습니다. 데이터 인터페이스를 통한 기본 경로 변경으로 인해 원격 네트워크에서 다시 연결할 수 없습니다. 콘솔 연결에는 영향을 미치지 않습니다.

• Manage the device locally?(디바이스를 로컬로 관리하시겠습니까?)—management center을(를) 사용하려면 no를 입력합니다. yes로 응답할 경우 그 대신 device manager를 사용하게 됩니다.

• Configure firewall mode?(방화벽 모드를 구성하시겠습니까?)—routed(라우팅)를 입력합니다. 외부 관리자 액세스는 라우팅 방화벽 모드에서만 지원됩니다.

configure network management-data-interface

그러면 외부 인터페이스에 대한 기본 네트워크 설정을 구성하라는 메시지가 표시됩니다. 이 명령 사용에 대한 자세한 내용은 다음을 참조하십시오.

• 관리에 데이터 인터페이스를 사용하려는 경우 관리 인터페이스에서 DHCP를 사용할 수 없습니다. 초기 설정 중에 IP 주소를 수동으로 설정하지 않은 경우 지금 configure network {ipv4 | ipv6} manual 명령을 사용하여 설정할 수 있습니다. 관리 인터페이스 게이트웨이를 아직 data-interfaces로 설정하지 않은 경우, 이 명령이 이제 설정합니다.

• management center에 threat defense를 추가하면 management center는 인터페이스 이름 및 IP 주소, 게이트웨이에 대한 고정 경로, DNS 서버 및 DDNS 서버를 포함한 인터페이스 컨피그레이션을 검색하고 유지 관리합니다. DNS 서버 설정에 관한 자세한 내용은 아래를 참조하십시오. management center에서 나중에 관리자 액세스 인터페이스 컨피그레이션을 변경할 수 있지만, threat defense 또는 management center가 관리 연결을 재설정하지 못하게 할 수 있는 변경은 수행하지 않아야 합니다. 관리 연결이 중단되면 threat defense에 이전 구축을 복구하는 configure policy rollback 명령이 포함됩니다.

• DDNS 서버 업데이트 URL을 설정하는 경우 threat defense가 HTTPS 연결을 위해 DDNS 서버 인증서를 검증할 수 있도록 threat defense가 Cisco Trusted Root CA 번들에서 모든 주요 CA에 대한 인증서를 자동으로 추가합니다. threat defense는 DynDNS 원격 API 사양(https://help.dyn.com/remote-access-api/)을 사용하는 모든 DDNS 서버를 지원합니다.

• 이 명령은 데이터 인터페이스 DNS 서버를 설정합니다. 설정 스크립트로 설정하거나 configure network dns servers 명령을 사용하여 설정한 관리 DNS 서버는 관리 트래픽에 사용됩니다. 데이터 DNS 서버는 DDNS(설정된 경우) 또는 이 인터페이스에 적용된 보안 정책에 사용됩니다.

  management center에서 이 threat defense에 할당하는 플랫폼 설정 정책에서 데이터 인터페이스 DNS 서버가 설정됩니다. management center에 threat defense를 추가하면 로컬 설정이 유지되고 DNS 서버가 플랫폼 설정 정책에 추가되지 않습니다. 그러나 나중에 DNS 컨피그레이션을 포함하는 threat defense에 플랫폼 설정 정책을 할당하면 해당 컨피그레이션이 로컬 설정을 덮어씁니다. management center와 threat defense를 동기화하려면 이 설정과 일치하도록 DNS 플랫폼 설정을 적극적으로 구성하는 것이 좋습니다.

  또한 로컬 DNS 서버는 초기 등록시 DNS 서버가 검색된 경우에만 management center에 의해 유지됩니다. 예를 들어 관리 인터페이스를 사용하여 디바이스를 등록한 다음 나중에 configure network management-data-interface 명령을 사용하여 데이터 인터페이스를 구성하는 경우 threat defense 컨피그레이션과 일치하도록 DNS 서버를 포함하여 management center에서 이러한 모든 설정을 수동으로 구성해야 합니다.

• threat defense를 management center에 등록한 후 관리 인터페이스를 관리 인터페이스 또는 다른 데이터 인터페이스로 변경할 수 있습니다.

• 설정 마법사에서 설정한 FQDN이 이 인터페이스에 사용됩니다.

• 명령의 일부로 전체 디바이스 구성을 지울 수 있습니다. 복구 시나리오에서는 이 옵션을 사용할 수 있지만 초기 설정 또는 정상 작동에는 이 옵션을 사용하지 않는 것이 좋습니다.

• 데이터 관리를 비활성화하려면 configure network management-data-interface disable 명령을 입력합니다.

configure network management-data-interface client ip_address netmask

기본적으로 모든 네트워크가 허용됩니다.

configure manager add {hostname | IPv4_address | IPv6_address | DONTRESOLVE} reg_key [nat_id]

• {hostname | IPv4_address | IPv6_address | DONTRESOLVE}—management center의 FQDN 또는 IP 주소를 지정합니다. management center의 주소를 직접 지정할 수 없는 경우 DONTRESOLVE를 사용합니다. 하나 이상의 디바이스(management center 또는 threat defense)에는 두 디바이스 간 양방향 SSL 암호화 통신 채널을 설정하기 위한 연결 가능한 IP 주소가 있어야 합니다. 이 명령에서 DONTRESOLVE를 지정하는 경우 threat defense에 연결할 수 있는 IP 주소 또는 호스트 이름이 있어야 합니다.

• reg_key — threat defense 등록시 management center에 지정할 일회용 등록 키를 지정합니다. 이 등록 키는 37자를 초과해서는 안 됩니다. 영숫자(A~Z, a~z, 0~9)와 하이픈(-)을 사용할 수 있습니다.

• nat_id —management center에서 지정할 고유한 일회성 문자열을 지정합니다. 관리에 데이터 인터페이스를 사용하는 경우 등록을 위해 threat defense 및 management center 모두에서 NAT ID를 지정해야 합니다. NAT ID는 37자를 초과할 수 없습니다. 영숫자(A~Z, a~z, 0~9)와 하이픈(-)을 사용할 수 있습니다. 이 ID는 management center에 등록하는 다른 디바이스에 사용할 수 없습니다.

시스템을 올바르게 종료하는 것이 중요합니다. 단순히 전원을 분리하거나 전원 스위치를 누르는 경우 파일 시스템이 심각하게 손상될 수 있습니다. 항상 백그라운드에서 많은 프로세스가 실행되므로 전원을 분리하거나 종료하면 Firepower 시스템이 정상적으로 종료되지 않는다는 점에 유의하십시오.

예를 들어 management center 내부에 내부 인터페이스가 있는 경우 모든 데이터 인터페이스를 관리자 액세스에 사용할 수 있습니다. 그러나 이 가이드는 주로 원격 지사에 대한 시나리오이므로 외부 인터페이스 액세스를 다룹니다.

내부에 대해 모든 인터페이스를 선택할 수 있습니다.

브랜치 오피스에서는 일상적인 사용에 콘솔 연결이 필요 하지 않습니다. 그러나 문제 해결을 위해 필요할 수 있습니다.

https://fmc_ip_address

Cisco 또는 리셀러에서 디바이스를 구매한 경우 라이선스는 Smart Software License 계정에 연결되어 있어야 합니다. 그러나 라이선스를 직접 추가해야 하는 경우 Cisco Commerce Workspace에서 Find Products and Solutions(제품 및 솔루션 찾기) 검색 필드를 사용합니다. 다음 라이선스 PID를 검색합니다.

• Base 라이선스:

  • L-FPR3110-BSE=

  • L-FPR3120-BSE=

  • L-FPR3130-BSE=

  • L-FPR3140-BSE=

• Threat, Malware, URL 라이선스 조합:

  • L-FPR3110T-TMC=

  • L-FPR3120T-TMC=

  • L-FPR3130T-TMC=

  • L-FPR3140T-TMC=

  위의 PID 중 하나를 주문에 추가하면 다음 PID 중 하나에 해당하는 기간별 서브스크립션을 선택할 수 있습니다.

  • L-FPR3110T-TMC-1Y

  • L-FPR3110T-TMC-3Y

  • L-FPR3110T-TMC-5Y

  • L-FPR3120T-TMC-1Y

  • L-FPR3120T-TMC-3Y

  • L-FPR3120T-TMC-5Y

  • L-FPR3130T-TMC-1Y

  • L-FPR3130T-TMC-3Y

  • L-FPR3130T-TMC-5Y

  • L-FPR3140T-TMC-1Y

  • L-FPR3140T-TMC-3Y

  • L-FPR3140T-TMC-5Y

• RA VPN—Cisco AnyConnect 주문 가이드를 참조하십시오.

등록하려면 Smart Software Manager에서 등록 토큰을 생성해야 합니다. 자세한 지침은 management center구성 가이드를 참조하십시오. 로우 터치(Low-Touch) 프로비저닝의 경우 Smart Software Manager에 등록할 때 또는 등록 후에 로우 터치(Low-Touch) 프로비저닝을 위한 클라우드 지원을 활성화해야 합니다. System(시스템) > Licenses(라이선스) > Smart Licenses(스마트 라이선스) 페이지를 참조하십시오.

다음 매개변수를 설정합니다.

• Host(호스트)—추가하려는 threat defense의 IP 주소 또는 호스트 이름을 입력합니다. threat defense 초기 구성에서 management center IP 주소와 NAT ID를 모두 지정한 경우 이 필드를 비워둘 수 있습니다.

  참고	HA 환경에서 management center 두 가지가 모두 NAT 뒤에 있는 경우 기본 management center에 호스트 IP 또는 이름 없이 threat defense 등록이 가능합니다. 그러나 보조 management center에 threat defense 등록을 하려면 threat defense에 대한 IP 주소 또는 호스트 이름을 제공해야 합니다.

• Display Name(표시 이름)—management center에서 표시하려는 threat defense의 이름을 입력합니다.

• Registration key(등록 키)—threat defense 초기 구성에서 지정한 것과 동일한 등록 키를 입력합니다.

• Domain(도메인) - 멀티 도메인 환경이 있는 경우 리프 도메인에 디바이스를 할당합니다.

• Group(그룹) - 그룹을 사용하는 경우 디바이스 그룹에 할당합니다.

• Access Control Policy(액세스 제어 정책) - 초기 정책을 선택합니다. 사용해야 하는 맞춤형 정책이 이미 있는 경우가 아니라면 Create new policy(새 정책 생성), Block all traffic(모든 트래픽 차단)을 선택합니다. 나중에 트래픽을 허용하도록 변경할 수 있습니다. 내부에서 외부로 트래픽을 허용합니다.를 참조하십시오.

  

• Smart license (스마트 라이선싱) - 구축하려는 기능에 필요한 스마트 라이선스(AMP 악성코드 검사를 사용하려는 경우 Malware(악성코드), 침입 방지를 사용하려는 경우 Threat(위협), 카테고리 기반 URL 필터링을 구현하려는 경우 URL)를 할당합니다. 참고: 디바이스를 추가한 후 System(시스템) > Licenses(라이선스) > Smart Licenses(스마트 라이선스) 페이지에서 Secure Client Remote Access VPN 라이선스를 적용할 수 있습니다.

• Unique NAT ID(고유 NAT ID)—threat defense 초기 구성에서 지정한 NAT ID를 지정합니다.

• Transfer Packets(패킷 전송) - 디바이스가 management center에 패킷을 전송하도록 허용합니다. 이 옵션이 활성화되어 IPS 또는 Snort 같은 이벤트가 트리거되면 디바이스는 검사를 위해 이벤트 메타데이터 정보 및 패킷 데이터를 management center에 전송합니다. 비활성화하면 management center에 이벤트 정보만 전송하고 패킷 데이터는 전송하지 않습니다.

등록에 성공하면 디바이스가 목록에 추가됩니다. 오류가 발생하면 오류 메시지가 표시됩니다. threat defense 등록에 실패하면 다음 항목을 확인하십시오.

• Ping - 다음 명령을 사용해 threat defense CLI에 액세스하고 management center IP 주소에 Ping을 보냅니다.

  ping system ip_address

  Ping이 실패하는 경우 show network 명령을 사용해 네트워크 설정을 확인합니다. threat defense 관리 IP 주소를 변경해야 하는 경우 configure network management-data-interface 명령을 사용합니다.

• 등록 키, NAT ID 및 management center IP 주소 - 두 디바이스에서 동일한 등록 키 및 NAT ID가 사용되고 있는지 확인합니다. configure manager add 명령을 사용해 threat defense에서 등록 키 및 NAT ID를 설정할 수 있습니다.

자세한 문제 해결 정보는 https://cisco.com/go/fmc-reg-error를 참조하십시오.

• 9600보드

• 8 데이터 비트

• 패리티 없음

• 1 스톱 비트

FXOS CLI에 연결합니다. 초기 설정 시 설정한 관리자 사용자 이름 및 비밀번호(기본값은 Admin123)를 사용하여 CLI에 로그인합니다.

connect ftd

로그인한 후 CLI에서 사용할 수 있는 명령에 대한 정보를 확인하려면 help 또는 ? 를 입력하십시오. 사용 정보는 Secure Firewall Threat Defense 명령 참조에서 참조하십시오.

그러면 FXOS CLI 프롬프트로 돌아갑니다. FXOS CLI에서 사용할 수 있는 명령에 대한 정보를 확인하려면 ? 를 입력하십시오.

configure policy rollback

롤백 후 threat defense는 롤백이 성공적으로 완료되었음을 management center에 알립니다. management center에서 구축 화면에는 구성이 롤백되었음을 알리는 배너가 표시됩니다.

management center의 Devices(디바이스) > Device Management(디바이스 관리) > Device(디바이스) > Management(관리) > FMC Access - Configuration Details(FMC 액세스 - 설정 세부 사항) > Connection Status(연결 상태) 페이지에서 관리 연결 상태를 확인합니다.

threat defense CLI에서 관리 연결 상태를 확인하는 sftunnel-status-brief 명령을 입력합니다.

연결을 다시 설정하는 데 10분 이상 걸릴 경우, 연결 문제를 해결해야 합니다. 데이터 인터페이스에서 관리 연결성 문제 해결의 내용을 참조하십시오.

System is stopped.
It is safe to power off now.
Do you want to reboot instead? [y/N]

콘솔에 연결되지 않은 경우 시스템이 종료될 때까지 약 3분 동안 기다리십시오.