콘솔 포트는 FXOS CLI에 연결됩니다.

FXOS에 처음 로그인하면 비밀번호를 변경하라는 메시지가 표시됩니다. 이 비밀번호는 SSH의 threat defense 로그인에도 사용됩니다.

connect ftd

데이터 인터페이스에서 관리자 액세스를 활성화하더라도 관리 인터페이스 네트워크 설정은 계속 사용됩니다.

기본값 또는 이전에 입력한 값이 괄호 안에 표시됩니다. 이전에 입력한 값을 승인하려면 Enter를 누릅니다.

다음 지침을 참조하십시오.

• Do you want to configure IPv4?(IPv4를 구성하시겠습니까?) 및/또는 Do you want to configure IPv6?(IPv6를 구성하시겠습니까?) - 이러한 주소 유형 중 하나 이상에 y를 입력합니다. 관리 인터페이스를 사용할 계획은 없지만 IP 주소(예: 개인 주소)를 설정해야 합니다.

• Configure IPv4 via DHCP or manually?(DHCP를 통해 또는 수동으로 IPv4를 구성하시겠습니까)? 및/또는 Configure IPv6 via DHCP, router, or manually?(DHCP, 라우터를 통해 또는 수동으로 IPv6를 설정하시겠습니까?)- manual(수동)을 선택합니다. 관리 인터페이스가 DHCP로 설정된 경우 관리를 위해 데이터 인터페이스를 설정할 수 없습니다. 데이터 인터페이스(데이터 인터페이스)여야 하는 기본 경로(다음 글머리 기호 참조)가 DHCP 서버에서 수신한 기본 경로를 덮어 쓸 수 있기 때문입니다.

• Enter the IPv4 default gateway for the management interface(관리 인터페이스의 IPv4 기본 게이트웨이 입력) 및/또는 Enter the IPv6 gateway for the management interface(관리 인터페이스에 대한 IPv6 게이트웨이 입력)— 게이트웨이를 data-interfaces로 설정합니다. 이 설정은 관리 트래픽을 백플레인을 통해 전달하므로 관리자 액세스 데이터 인터페이스를 통해 라우팅될 수 있습니다.

• Configure firewall mode?(방화벽 모드를 구성하시겠습니까?)—routed(라우팅)를 입력합니다. 외부 관리자 액세스는 라우팅 방화벽 모드에서만 지원됩니다.

configure network management-data-interface

그러면 외부 인터페이스에 대한 기본 네트워크 설정을 구성하라는 메시지가 표시됩니다. 이 명령 사용에 대한 자세한 내용은 다음을 참조하십시오.

• 관리에 데이터 인터페이스를 사용하려는 경우 관리 인터페이스에서 DHCP를 사용할 수 없습니다. 초기 설정 중에 IP 주소를 수동으로 설정하지 않은 경우 사전에 configure network {ipv4 | ipv6} manual 명령을 사용하여 설정할 수 있습니다. 관리 인터페이스 게이트웨이를 아직 data-interfaces로 설정하지 않은 경우, 이 명령이 이제 설정합니다.

• management center에 threat defense를 추가하면 management center는 인터페이스 이름 및 IP 주소, 게이트웨이에 대한 고정 경로, DNS 서버 및 DDNS 서버를 포함한 인터페이스 컨피그레이션을 검색하고 유지 관리합니다. DNS 서버 설정에 관한 자세한 내용은 아래를 참조하십시오. management center에서 나중에 관리자 액세스 인터페이스 컨피그레이션을 변경할 수 있지만, threat defense 또는 management center가 관리 연결을 재설정하지 못하게 할 수 있는 변경은 수행하지 않아야 합니다. 관리 연결이 중단되면 threat defense에 이전 구축을 복구하는 configure policy rollback 명령이 포함됩니다.

• DDNS 서버 업데이트 URL을 설정하는 경우 threat defense가 HTTPS 연결을 위해 DDNS 서버 인증서를 검증할 수 있도록 threat defense가 Cisco Trusted Root CA 번들에서 모든 주요 CA에 대한 인증서를 자동으로 추가합니다. threat defense는 DynDNS 원격 API 사양(https://help.dyn.com/remote-access-api/)을 사용하는 모든 DDNS 서버를 지원합니다.

• 이 명령은 데이터 인터페이스 DNS 서버를 설정합니다. 설정 스크립트로 설정하거나 configure network dns servers 명령을 사용하여 설정한 관리 DNS 서버는 관리 트래픽에 사용됩니다. 데이터 DNS 서버는 DDNS(설정된 경우) 또는 이 인터페이스에 적용된 보안 정책에 사용됩니다.

  management center에서 이 threat defense에 할당하는 플랫폼 설정 정책에서 데이터 인터페이스 DNS 서버가 설정됩니다. management center에 threat defense를 추가하면 로컬 설정이 유지되고 DNS 서버가 플랫폼 설정 정책에 추가되지 않습니다. 그러나 나중에 DNS 컨피그레이션을 포함하는 threat defense에 플랫폼 설정 정책을 할당하면 해당 컨피그레이션이 로컬 설정을 덮어씁니다. management center와 threat defense를 동기화하려면 이 설정과 일치하도록 DNS 플랫폼 설정을 적극적으로 구성하는 것이 좋습니다.

  또한 로컬 DNS 서버는 초기 등록시 DNS 서버가 검색된 경우에만 management center에 의해 유지됩니다. 예를 들어 관리 인터페이스를 사용하여 디바이스를 등록한 다음 나중에 configure network management-data-interface 명령을 사용하여 데이터 인터페이스를 구성하는 경우 threat defense 컨피그레이션과 일치하도록 DNS 서버를 포함하여 management center에서 이러한 모든 설정을 수동으로 구성해야 합니다.

• threat defense를 management center에 등록한 후 관리 인터페이스를 관리 인터페이스 또는 다른 데이터 인터페이스로 변경할 수 있습니다.

• 설정 마법사에서 설정한 FQDN이 이 인터페이스에 사용됩니다.

• 명령의 일부로 전체 디바이스 구성을 지울 수 있습니다. 복구 시나리오에서는 이 옵션을 사용할 수 있지만 초기 설정 또는 정상 작동에는 이 옵션을 사용하지 않는 것이 좋습니다.

• 데이터 관리를 비활성화하려면 configure network management-data-interface disable 명령을 입력합니다.

configure network management-data-interface client ip_address netmask

기본적으로 모든 네트워크가 허용됩니다.

configure manager add {hostname | IPv4_address | IPv6_address | DONTRESOLVE} reg_key [nat_id]

• {hostname | IPv4_address | IPv6_address | DONTRESOLVE}—management center의 FQDN 또는 IP 주소를 지정합니다. management center의 주소를 직접 지정할 수 없는 경우 DONTRESOLVE를 사용합니다. 하나 이상의 디바이스(management center 또는 threat defense)에는 두 디바이스 간 양방향 SSL 암호화 통신 채널을 설정하기 위한 연결 가능한 IP 주소가 있어야 합니다. 이 명령에서 DONTRESOLVE를 지정하는 경우 threat defense에 연결할 수 있는 IP 주소 또는 호스트 이름이 있어야 합니다.

• reg_key — threat defense 등록시 management center에 지정할 일회용 등록 키를 지정합니다. 이 등록 키는 37자를 초과해서는 안 됩니다. 영숫자(A~Z, a~z, 0~9)와 하이픈(-)을 사용할 수 있습니다.

• nat_id —management center에서 지정할 고유한 일회성 문자열을 지정합니다. 관리에 데이터 인터페이스를 사용하는 경우 등록을 위해 threat defense 및 management center 모두에서 NAT ID를 지정해야 합니다. NAT ID는 37자를 초과할 수 없습니다. 영숫자(A~Z, a~z, 0~9)와 하이픈(-)을 사용할 수 있습니다. 이 ID는 management center에 등록하는 다른 디바이스에 사용할 수 없습니다.

시스템을 올바르게 종료하는 것이 중요합니다. 단순히 전원을 분리하거나 전원 스위치를 누르는 경우 파일 시스템이 심각하게 손상될 수 있습니다. 항상 백그라운드에서 많은 프로세스가 실행되므로 전원을 분리하거나 종료하면 Firepower 시스템이 정상적으로 종료되지 않는다는 점에 유의하십시오.

브랜치 오피스에서는 일상적인 사용에 콘솔 연결이 필요 하지 않습니다. 그러나 문제 해결을 위해 필요할 수 있습니다.

https://fmc_ip_address

Cisco 또는 리셀러에서 디바이스를 구매한 경우 라이선스는 Smart Software License 계정에 연결되어 있어야 합니다. 그러나 라이선스를 직접 추가해야 하는 경우 Cisco Commerce Workspace에서 Search All(모두 검색) 필드를 사용합니다.

결과에서 Products & Services(제품 및 서비스)를 선택합니다.

다음 라이선스 PID를 검색합니다.

• Essentials 라이선스:

  • L-FPR4215-BSE=

  • L-FPR4225-BSE=

  • L-FPR4245-BSE=

• IPS, 악성코드 방어 및 URL 라이선스 조합:

  • L-FPR4215T-TMC =

  • L-FPR4225T-TMC =

  • L-FPR4245T-TMC =

  위의 PID 중 하나를 주문에 추가하면 다음 PID 중 하나에 해당하는 기간별 서브스크립션을 선택할 수 있습니다.

  • L-FPR4215T-TMC-1Y

  • L-FPR4215T-TMC-3Y

  • L-FPR4215T-TMC-5Y

  • L-FPR4225T-TMC-1Y

  • L-FPR4225T-TMC-3Y

  • L-FPR4225T-TMC-5Y

  • L-FPR4245T-TMC-1Y

  • L-FPR4245T-TMC-3Y

  • L-FPR4245T-TMC-5Y

• 통신 사업자 라이선스:

  • L-FPR4200-FTD-CAR=

• Cisco Secure Client— Cisco Secure Client 주문 가이드를 참조하십시오.

등록하려면 Smart Software Manager에서 등록 토큰을 생성해야 합니다. 자세한 지침은 management center구성 가이드를 참조하십시오.

등록 키 방법이 기본적으로 선택됩니다.

다음 매개변수를 설정합니다.

• Host(호스트)—추가하려는 threat defense의 IP 주소 또는 호스트 이름을 입력합니다. threat defense 초기 구성에서 management center IP 주소와 NAT ID를 모두 지정한 경우 이 필드를 비워둘 수 있습니다.

  참고	HA 환경에서 management center 두 가지가 모두 NAT 뒤에 있는 경우 기본 management center에 호스트 IP 또는 이름 없이 threat defense 등록이 가능합니다. 그러나 보조 management center에 threat defense 등록을 하려면 threat defense에 대한 IP 주소 또는 호스트 이름을 제공해야 합니다.

• Display Name(표시 이름)—management center에서 표시하려는 threat defense의 이름을 입력합니다.

• Registration key(등록 키)—threat defense 초기 구성에서 지정한 것과 동일한 등록 키를 입력합니다.

• Domain(도메인) - 멀티 도메인 환경이 있는 경우 리프 도메인에 디바이스를 할당합니다.

• Group(그룹) - 그룹을 사용하는 경우 디바이스 그룹에 할당합니다.

• Access Control Policy(액세스 제어 정책) - 초기 정책을 선택합니다. 사용해야 하는 맞춤형 정책이 이미 있는 경우가 아니라면 Create new policy(새 정책 생성), Block all traffic(모든 트래픽 차단)을 선택합니다. 나중에 트래픽을 허용하도록 변경할 수 있습니다. 내부에서 외부로 트래픽을 허용합니다.을 참조하십시오.

  

• 스마트 라이선싱—구축하려는 기능에 필요한 스마트 라이선스를 할당합니다. 참고: 디바이스를 추가한 후 System(시스템) > Licenses(라이선스) > Smart Licenses(스마트 라이선스) 페이지에서 Secure Client 원격 액세스 VPN 라이선스를 적용할 수 있습니다.

• Unique NAT ID(고유 NAT ID)—threat defense 초기 구성에서 지정한 NAT ID를 지정합니다.

• Transfer Packets(패킷 전송) - 디바이스가 management center에 패킷을 전송하도록 허용합니다. 이 옵션이 활성화되어 IPS 또는 Snort 같은 이벤트가 트리거되면 디바이스는 검사를 위해 이벤트 메타데이터 정보 및 패킷 데이터를 management center에 전송합니다. 이벤트를 비활성화하면 management center에 이벤트 정보만 전송하고 패킷 데이터는 전송하지 않습니다.

등록에 성공하면 디바이스가 목록에 추가됩니다. 오류가 발생하면 오류 메시지가 표시됩니다. threat defense 등록에 실패하면 다음 항목을 확인하십시오.

• Ping - 다음 명령을 사용해 threat defense CLI에 액세스하고 management center IP 주소에 Ping을 보냅니다.

  ping system ip_address

  Ping이 실패하는 경우 show network 명령을 사용해 네트워크 설정을 확인합니다. threat defense 관리 IP 주소를 변경해야 하는 경우 configure network management-data-interface 명령을 사용합니다.

• 등록 키, NAT ID 및 management center IP 주소 - 두 디바이스에서 동일한 등록 키 및 NAT ID가 사용되고 있는지 확인합니다. configure manager add 명령을 사용해 threat defense에서 등록 키 및 NAT ID를 설정할 수 있습니다.

자세한 문제 해결 정보는 https://cisco.com/go/fmc-reg-error를 참조하십시오.

• 9600보드

• 8 데이터 비트

• 패리티 없음

• 1 스톱 비트

FXOS CLI에 연결합니다. 초기 설정 시 설정한 관리자 사용자 이름 및 비밀번호(기본값은 Admin123)를 사용하여 CLI에 로그인합니다.

connect ftd

로그인한 후 CLI에서 사용할 수 있는 명령에 대한 정보를 확인하려면 help 또는 ? 를 입력하십시오. 사용 정보는 Cisco Secure Firewall Threat Defense 명령 참조에서 참조하십시오.

그러면 FXOS CLI 프롬프트로 돌아갑니다. FXOS CLI에서 사용할 수 있는 명령에 대한 정보를 확인하려면 ? 를 입력하십시오.