設定FTD上從管理到資料介面的管理員存取許可權
簡介
本文檔介紹將Firepower威脅防禦(FTD)上的Manager訪問從管理介面修改為資料介面的過程。
必要條件
需求
思科建議您瞭解以下主題:
- Firepower威脅防禦
- Firepower管理中心
採用元件
- Firepower管理中心虛擬7.4.1
- Firepower威脅防禦虛擬7.2.5
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
每台裝置都包括一個專用管理介面,用於與FMC通訊。您可以選擇將裝置配置為使用資料介面而不是專用管理介面進行管理。如果要從外部介面遠端管理Firepower威脅防禦,或者沒有單獨的管理網路,資料介面上的FMC訪問非常有用。此更改必須在FMC管理的FTD的Firepower管理中心(FMC)上執行。
從資料介面進行FMC存取有一些限制:
- 您只能在一個物理資料介面上啟用管理員訪問。不能使用子介面或EtherChannel。
- 僅路由防火牆模式,使用路由介面。
- 不支援PPPoE。如果您的ISP需要PPPoE,則必須將支援PPPoE的路由器置於Firepower威脅防禦和WAN數據機之間。
- 不能使用單獨的管理介面和僅事件介面。
設定
繼續進行介面遷移
附註:強烈建議先備份FTD和FMC,再繼續進行任何變更。
2.轉至 > 部分,按一下的連結。
Manager Access Interface欄位顯示現有的管理介面。點選連結選擇新介面型別,這是管理裝置方式下拉選單中的資料介面選項,然後點選儲存。
3. 您現在必須繼續在資料介面上啟用管理訪問,導航到「裝置」 >「裝置管理」 >「介面」 >「編輯物理介面」 >「管理器訪問」。
注意:(可選)如果使用輔助介面實現冗餘,請在用於冗餘目的的介面上啟用管理訪問。
(可選)如果使用DHCP作為介面,請在Devices > Device Management > DHCP > DDNS對話方塊中啟用Web型別「DDNS」方法。
(可選)在平台設定策略中配置DNS,並將其應用於裝置>平台設定> DNS中的此裝置。
4. 確保威脅防禦可以透過資料介面路由到管理中心;如有必要,可在Devices上增加靜態路由。
- 根據所增加的靜態路由型別,按一下IPv4或IPv6。
- 選擇此靜態路由所應用的介面。
- 在Available Network清單中,選擇destination network。
- 在網關或IPv6網關欄位中,輸入或選擇作為此路由的下一跳的網關路由器。
(可選)要監控路由可用性,請在路由跟蹤欄位中輸入或選擇定義監控策略的服務級別協定(SLA)監控對象的名稱。
5.部署配置更改。配置更改現在透過當前管理介面進行部署。
6. 在FTD CLI上,將「管理」介面設定為使用靜態IP位址,並將閘道設定為資料介面。
configurenetwork{ipv4 | ipv6}manualip_addressnetmaskdata-interfaces
注意:雖然不打算使用管理介面,但必須設定靜態IP地址。例如,一個私有地址,以便您可以將網關設定為data-interfaces。此管理用於使用tap_nlp介面將管理流量轉發到資料介面。
7. 停用管理中心中的管理,按一下「編輯」並在「裝置」(Devices) >「裝置管理」(Device Management) >「裝置」(Device) >「管理」(Management)部分中更新用於威脅防禦的「遠端主機地址IP地址」(可選)和「輔助地址」(Secondary Address),然後啟用連線。
在平台設定上啟用SSH
在平台設定上啟用SSH在平台設定策略中為資料介面啟用SSH,並在Devices SSH Access。
- 允許進行SSH連線的主機或網路。
- 增加包含允許SSH連線的介面的區域。對於不在區域中的介面,可以在Selected Zones/Interfaces欄位鍵入interface name,然後按一下Add。
- 按一下「OK」(確定)。 部署變更
注意:預設情況下,資料介面上未啟用SSH,因此,如果要使用SSH管理威脅防禦,需要明確允許它。
驗證
驗證確保已透過Data介面建立管理連線。
從FMC圖形使用者介面(GUI)進行驗證
從FMC圖形使用者介面(GUI)進行驗證在管理中心,檢查Devices > Device頁上的管理連線狀態
從FTD指令行介面(CLI)進行驗證
從FTD指令行介面(CLI)進行驗證在威脅防禦CLI上,輸入thesftunnel-status-briefcommand檢視管理連線狀態。
狀態顯示資料介面連線成功,並顯示內部tap_nlp介面。
疑難排解
疑難排解在管理中心,檢查Devices > Device頁上的管理連線狀態
在威脅防禦CLI上,輸入thesftunnel-status-briefcommand檢視管理連線狀態。您還可以使用esftunnel-statuss檢視更完整的資訊。
管理連線狀態
管理連線狀態工作案例
工作案例
非工作案例
非工作案例
驗證網路資訊
驗證網路資訊在威脅防禦CLI上,檢視管理和管理器訪問資料介面網路設定:
> show network
驗證管理員狀態
驗證管理員狀態在威脅防禦 CLI中,檢查管理中心註冊是否完成。
>顯示管理員
注意:此命令不顯示管理連線的當前狀態。
驗證網路連線
驗證網路連線Ping管理中心
Ping管理中心在threat defenseCLI中,使用命令從資料介面ping management 中心:
> ping fmc_ip
在threat defenseCLI中,使用命令從管理介面(透過背板路由到資料介面)對管理中心執行ping操作:
> ping系統fmc_ip
檢查介面狀態、統計資訊和資料包計數
檢查介面狀態、統計資訊和資料包計數在threat防禦CLI中,請參閱關於內部底板介面的資訊nlp_int_tap:
> show interface detail
驗證FTD上到達FMC的路由
驗證FTD上到達FMC的路由在threat defenseCLI中,檢查是否已增加預設路由(S*),以及管理介面(nlp_int_tap)是否存在內部NAT規則。
>顯示路由
>顯示nat
檢查Sftunnel和連線統計資訊
檢查Sftunnel和連線統計資訊 > show running-config sftunnel
警告:在變更管理員存取權的整個過程中,請勿刪除FTD上的管理員或取消註冊/強制刪除FTD自FMC。
相關資訊
相關資訊 修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
18-Jul-2024 |
初始版本 |
意見