Cisco Firepower Threat Defense バージョン 6.2 コンフィギュレーション ガイド(Firepower Device Manager 用)

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

Cisco Firepower Threat Defense バージョン 6.2 コンフィギュレーション ガイド(Firepower Device Manager 用)

Chapter Title

システム管理

検索結果

Updated:
2017年12月8日

章のタイトル: システム管理

システム管理

ここでは、システム データベースの更新やシステムのバックアップ/復元といったシステム管理タスクを実行する方法について説明します。

ソフトウェア アップデートのインストール

システム データベースおよびシステム ソフトウェアにアップデートをインストールできます。ここでは、それらのアップデートをインストールする方法について説明します。

システム データベースの更新

システムは、高度なサービスを提供するために複数のデータベースを使用しています。シスコでは、セキュリティ ポリシーが利用可能な最新情報を使用できるように、これらのデータベースに更新プログラムを提供しています。

システム データベースの更新の概要

Firepower Threat Defense は次のデータベースを使用して、アドバンスド サービスを提供します。

侵入ルール

Cisco Talos セキュリティ インテリジェンス & リサーチ グループ(Talos)は、新たな脆弱性が確認されると、インポート可能な侵入ルールの更新をリリースします。それらの更新は、侵入ルール、プリプロセッサ ルール、およびルールを使用するポリシーに影響を及ぼします。

侵入ルールの更新には、新規および更新された侵入ルールとプリプロセッサ ルール、既存のルールの変更されたステータス、変更されたデフォルト侵入ポリシーの設定が含まれています。ルールの更新では、ルールが削除されたり、新しいルール カテゴリとデフォルトの変数が提供されたり、デフォルトの変数値が変更されたりすることもあります。

侵入ルールの更新によって行われた変更を有効にするためには、設定を再度展開する必要があります。

侵入ルールの更新はサイズが大きくなることがあるため、ルールのインポートはネットワーク使用率が低い時間帯に行ってください。

地理位置情報データベース(GeoDB)

シスコ地理位置情報データベース(GeoDB)は、ルーティング可能な IP アドレスと関連付けられた地理的データ(国、都市、座標など)および接続関連のデータ(インターネット サービス プロバイダー、ドメイン名、接続タイプなど)のデータベースです。

GeoDB の更新には、物理的な場所や接続タイプなど、検出されたルート可能な IP アドレスにシステムが関連付けることができるものに関する更新情報が含まれています。位置情報データは、アクセス コントロール ルールとして使用できます。

GeoDB の更新にかかる時間はアプライアンスによって異なります。インストールには通常 30~40 分かかります。GeoDB の更新によって他のシステム機能(進行中の位置情報収集など)が中断されることはありませんが、更新が完了するまでシステム リソースが消費されます。更新を計画する場合には、この点について考慮してください。

脆弱性データベース(VDB)

シスコ脆弱性データベース(VDB)は、オペレーティング システム、クライアント、およびアプリケーションのフィンガープリントだけでなく、ホストが影響を受ける可能性がある既知の脆弱性のデータベースです。FirePOWER システムはフィンガープリントと脆弱性を関連付けて、特定のホストによるネットワーク侵害リスクの増大の有無を判断できるようにします。Cisco Talos セキュリティ インテリジェンス & リサーチ グループ(Talos)は、VDB の更新を定期的に発行しています。

脆弱性のマッピングを更新するのにかかる時間は、ネットワーク マップ内のホストの数によって異なります。システムのダウンタイムの影響を最小にするために、システムの使用率が低い時間帯に更新をスケジュールすることをお勧めします。一般的に、更新の実行にかかるおおよその時間(分)を判断するには、ネットワーク上のホストの数を 1000 で割ります。

VDB を更新したら、設定を再度展開して、更新されたアプリケーション ディテクタおよびオペレーティング システムのフィンガープリントを有効にする必要があります。

システム データベースの更新

システム データベースの更新は、いつでも手動で取得して適用できます。更新は、シスコ サポート サイトから取得できます。そのため、システムの管理アドレスからインターネットへのパスが必要です。

また、定期スケジュールを設定してデータベース更新を取得および適用することもできます。これらの更新は大規模である可能性があるため、ネットワーク アクティビティが少ない時間帯にスケジュールします。


(注)  

データベースの更新中は、操作に対するユーザ インターフェイスの応答が遅くなる場合があります。

はじめる前に

保留中の変更に影響を与える可能性を避けるため、手動でこれらのデータベースを更新する前にデバイスに設定を導入しておきます。

手順
    ステップ 1   デバイス[更新(Updates)] サマリの [設定の表示(View Configuration)] をクリックします。

    [更新(Updates)] ページが開きます。このページの情報には、各データベースの現在のバージョンと、各データベースの最終更新日時が示されます。

    ステップ 2   手動でデータベースを更新するには、そのデータベースのセクションで [今すぐ更新(Update Now)]をクリックします。

    更新をダウンロードして適用すると、ポリシーがデバイスに自動的に再導入され、システムが更新された情報を使用できるようになります。

    ステップ 3   (オプション)データベース更新の定期スケジュールを設定するには、次の手順に従います。
    1. 目的のデータベースのセクションで [設定(Configure)]リンクをクリックします。すでにスケジュールが存在する場合は、[編集(Edit)]をクリックします。

      更新スケジュールはデータベースごとに異なります。更新スケジュールは個別に定義する必要があります。

    2. 開始時刻を設定します。

      • 更新の頻度(毎日、毎週、または毎月)。

      • 毎週または毎月の場合は、更新を実行する曜日または日付。

      • 更新を開始する時刻。

    3. [保存(Save)]をクリックします。
    (注)     

    定期スケジュールを削除する場合は、[編集(Edit)]リンクをクリックしてスケジューリング ダイアログボックスを開き、次に [削除(Remove)] ボタンをクリックします。

    FirePOWER Threat Defenseソフトウェアのアップグレード

    FirePOWER Threat Defenseソフトウェアのアップグレードが公開されたら、アップグレードをインストールできます。次の手順では、ご使用のシステムですでに FirePOWER Threat Defenseバージョン 6.2.0 以降が実行されており、正常に動作していることを前提としています。

    アップグレードには、ホット フィックス、マイナー アップグレード、およびメジャー アップグレードの 3 種類があります。ホット フィックス アップグレードでは再起動が不要の場合もありますが、メジャー アップグレードとマイナー アップグレードでは再起動が必要です。再起動が必要な場合は、インストール後にシステムが自動的に再起動します。更新のインストール中はトラフィックが中断する可能性があるため、インストールは営業時間外に行ってください。

    この手順では、デバイスのイメージ再作成も、ASA ソフトウェアから FirePOWER Threat Defenseソフトウェアへの移行もできません。


    (注)  

    更新をインストールする前に、保留中の変更をすべて導入したことを確認します。また、バックアップを実行して、バックアップ コピーをダウンロードする必要があります。

    はじめる前に

    Cisco.com にログインし、アップグレード イメージをダウンロードします。

    手順
      ステップ 1   [デバイス(Device)]を選択し、[更新(Updates)] サマリで [設定の表示(View Configuration)] をクリックします。

      [システム アップグレード(System Upgrade)] セクションに、現在実行されているソフトウェア バージョンとすでにアップロードした更新が表示されます。

      ステップ 2   アップグレード ファイルをアップロードします。

      • まだアップグレード ファイルをアップロードしていない場合は、[参照(Browse)]をクリックしてファイルを選択します。

      • アップロードされたファイルが存在し、別のファイルをアップロードする場合は、[別のファイルをアップロード(Upload Another File)]をクリックします。アップロードできるファイルは 1 つだけです。新しいファイルをアップロードすると、古いファイルが置き換えられます。

      • ファイルを削除するには、削除アイコン()をクリックします。

      ステップ 3   [インストール(Install)]をクリックして、インストール プロセスを開始します。

      アイコンの隣の情報は、インストール中にデバイスが再起動するかどうかを示します。システムから自動的にログアウトされます。インストールには 30 分以上かかることがあります。

      システムに再度ログインできるまで待機します。デバイス サマリ、またはシステム モニタリング ダッシュボードが新しいバージョンになっています。

      問題が発生した場合は、インストールのログを確認します。ログ ファイルは、/var/log/upgrade file name フォルダに保存されています。フォルダ名は、ビルド番号を除いたアップグレード ファイルの名前です。最も役立つログ ファイルは、main_upgrade_script.log です。ログを表示するには、デバイス CLI で system support view-logs コマンドを使用します。インストールに失敗し、アップグレードを再インストールしても問題を修正できない場合は、シスコ テクニカル サポートにお問い合わせください。

      ステップ 4   (オプション)システム データベースを更新します。

      地理位置情報、ルール、および脆弱性(VDB)データベース用の自動更新ジョブを設定していない場合は、ここでそれらを更新します。

      デバイスの再イメージ化

      デバイスの再イメージ化には、デバイス設定の削除と新しいソフトウェア イメージのインストールが含まれます。再イメージ化とは、工場出荷時のデフォルト設定でクリーン インストールを行うことを意味します。

      デバイスの再イメージ化は次のような場合に行います。

      • ASA ソフトウェアからFirePOWER Threat Defenseソフトウェアにシステムを変換する場合。ASA イメージを実行しているデバイスを FirePOWER Threat Defenseイメージを実行しているデバイスにアップグレードすることはできません。

      • デバイスで実行している 6.1.0 以前のイメージを 6.1 以降のイメージにアップグレードして、Firepower Device Manager を使用してデバイスを設定する場合。Firepower Management Center を使用して 6.1 以前のデバイスをアップグレードして、ローカル管理に切り替えることはできません。

      • デバイスが正しく機能しておらず、設定を修正するすべての試みが失敗した場合。

      デバイスの再イメージ化方法の詳細については、使用しているデバイス モデルの Cisco ASA または Firepower Threat Defense デバイスの再イメージ化 [英語] または Firepower Threat Defense クイック スタート ガイド [英語] を参照してください。これらのガイドは http:/​/​www.cisco.com/​c/​en/​us/​support/​security/​firepower-ngfw/​products-installation-guides-list.html で入手できます。

      システムのバックアップと復元

      システム設定をバックアップしておくことで、将来的に設定ミスや物理的な災害が生じて設定が破損したとしても、デバイスを復元することができます。

      交換用のデバイス上にバックアップを復元できるのは、2 つのデバイスが同じモデルであり、同じバージョンのソフトウェアを実行している場合に限ります。アプライアンス間で設定をコピーするためにバックアップおよび復元プロセスを使用してはいけません。バックアップ ファイルには、アプライアンスを一意に識別するための情報が含まれているため、このような方法で共有することはできません。


      (注)  

      バックアップには、管理 IP アドレスの設定は含まれません。したがって、バックアップ ファイルを回復しても、管理アドレスはバックアップ コピーの情報によって置換されません。これにより、アドレスに加えた変更はすべて維持され、別のネットワーク セグメント上の別のデバイスにも設定を復元できます。

      バックアップにはシステム ソフトウェアは含まれず、設定のみが含まれます。デバイスのイメージを完全に再作成するには、ソフトウェアを再インストールする必要があります。その後、バックアップをアップロードし、設定を回復します。

      バックアップ中、設定データベースはロックされます。バックアップ中は、ポリシーやダッシュボードなどを閲覧することはできますが、設定を変更することはできません。復元中、システムは一切使用できなくなります。

      [バックアップおよび復元(Backup and Restore)] ページの表には、システムで使用可能な既存のすべてのバックアップ コピーが表示され、バックアップのファイル名、バックアップ作成日時、およびファイル サイズを確認できます。バックアップのタイプ(手動、スケジュール設定、定期的)は、システムに指示したバックアップ コピー作成方法に基づきます。


      ヒント

      バックアップ コピーはシステム自体に作成されます。ディザスタ リカバリ用に必要なバックアップ コピーが確保されるように、システム上のバックアップ コピーを手動でダウンロードして、安全なサーバ上に保管しておく必要があります。

      以下の各トピックでは、バックアップの管理方法、および復元の実行方法について説明します。

      即時のシステム バックアップ

      バックアップはいつでも開始できます。

      手順
        ステップ 1   デバイスをクリックし、[バックアップと復元(Backup and Restore)] サマリの [設定の表示(View Configuration)] をクリックします。

        [バックアップと復元(Backup and Restore)] ページが表示されます。この表には、システムで使用可能なすべての既存バックアップ コピーが示されます。

        ステップ 2   [手動バックアップ(Manual Backup)] > [今すぐバックアップ(Back Up Now)] をクリックします。
        ステップ 3   バックアップの名前を入力し、任意で説明を入力します。

        すぐにバックアップするのではなく、将来の特定の時点でバックアップを実行する場合は、代わりに [スケジュール(Schedule)]をクリックします。

        ステップ 4   [今すぐバックアップ(Back Up Now)] をクリックします。

        バックアップ プロセスが開始されます。バックアップが完了すると、バックアップ ファイルが表に表示されます。その後、必要に応じて、バックアップ コピーをシステムにダウンロードし、別の場所に保存できます。

        バックアップを開始した後は、[バックアップと復元(Backup and Restore)] ページから移動できます。

        スケジュールされた時刻のシステム バックアップ

        スケジュール バックアップを設定して、将来の特定の日時にシステムをバックアップできます。スケジュール バックアップは 1 回だけ実行されます。定期的にバックアップを実行するバックアップ スケジュールを作成する場合は、スケジュール バックアップの代わりに定期的なバックアップを設定します。


        (注)  

        将来のバックアップのスケジュールを削除する場合は、スケジュールを編集し、[削除(Remove)] をクリックします。

        手順
          ステップ 1   デバイスをクリックし、[バックアップと復元(Backup and Restore)] サマリの [設定の表示(View Configuration)] をクリックします。
          ステップ 2   [スケジュール バックアップ(Scheduled Backup)] > [バックアップのスケジュール(Schedule a Backup)] をクリックします。

          すでにスケジュール バックアップがある場合は、[スケジュール バックアップ(Scheduled Backup)] > [編集(Edit)] をクリックします。

          ステップ 3   バックアップの名前を入力し、任意で説明を入力します。
          ステップ 4   バックアップの日時を選択します。
          ステップ 5   [スケジュール(Schedule)]をクリックします。

          選択した日時になると、バックアップが実行されます。完了すると、バックアップ コピーがバックアップの表に示されます。

          定期バックアップ スケジュールの設定

          定期バックアップを設定して、システムを定期的にバックアップできます。たとえば、毎週金曜日の深夜 0 時にバックアップを実行できます。定期バックアップ スケジュールを使用すると、常に一連の最近のバックアップを保持できます。


          (注)  

          定期スケジュールを削除するには、スケジュールを編集し、[削除(Remove)]をクリックします。

          手順
            ステップ 1   デバイス[バックアップと復元(Backup and Restore)] サマリの [設定の表示(View Configuration)] をクリックします。
            ステップ 2   [定期バックアップ(Recurring Backup)] > [設定(Configure)] をクリックします。

            すでに定期バックアップを設定している場合は、[定期バックアップ(Recurring Backup)] > [編集(Edit)] をクリックします。

            ステップ 3   バックアップの名前を入力し、任意で説明を入力します。
            ステップ 4   [頻度(Frequency)]と関連するスケジュールを選択します。
            • [毎日(Daily)]:時刻を選択します。バックアップはスケジュールされた時刻に毎日実行されます。
            • [毎週(Weekly)]:曜日と時刻を選択します。バックアップは、選択した日付のスケジュールされた時刻に実行されます。たとえば、月曜日、水曜日、金曜日の 23:00(午後 11 時)にバックアップをスケジュールできます。
            • [毎月(Monthly)]:日付と時刻を選択します。バックアップは、選択した日付のスケジュールされた時刻に実行されます。たとえば、毎月 1 日、15 日、28 日の 23:00(午後 11 時)にバックアップをスケジュールできます。
            ステップ 5   [保存(Save)]をクリックします。

            選択した日付と時刻になると、バックアップが実行されます。完了すると、バックアップ コピーがバックアップのテーブルに表示されます。

            定期スケジュールは、変更または削除しない限りバックアップを継続します。

            バックアップの復元

            必要に応じてバックアップを復元できます。復元するバックアップ コピーがまだデバイス上にない場合は、復元する前にまずバックアップをアップロードする必要があります。

            復元中は、システムが完全に使用できなくなります。


            (注)  

            バックアップには管理 IP アドレスの設定は含まれません。したがって、バックアップ ファイルを復元しても、管理アドレスはバックアップ コピーから置き換えられません。これにより、アドレスに加えた変更が保持され、異なるネットワーク セグメント上の異なるデバイスで設定を復元することも可能になります。

            手順
              ステップ 1   デバイスをクリックし、[バックアップと復元(Backup and Restore)] サマリの [設定の表示(View Configuration)] をクリックします。

              [バックアップと復元(Backup and Restore)] ページが表示されます。この表には、システムで使用可能なすべての既存バックアップ コピーが示されます。

              ステップ 2   復元するバックアップ コピーが使用可能なバックアップのリストに含まれていない場合は、[アップロード(Upload)] > [参照(Browse)] をクリックして、バックアップ コピーをアップロードします。
              ステップ 3   そのファイルの復元アイコン()をクリックします。

              復元の確認が求められます。デフォルトでは復元後にバックアップ コピーが削除されますが、復元を続行する前に [復元後にバックアップを削除しない(Do not remove the backup after restoring)] を選択してバックアップ コピーを保持することができます。

              復元が完了するとシステムが再起動します。

              (注)     

              システムが再起動すると、脆弱性データベース(VDB)、地理位置情報、およびルール データベースの更新が自動的にチェックされ、必要に応じてそれらがダウンロードされます。システムはポリシーも再導入します。

              バックアップ ファイルの管理

              新しいバックアップを作成すると、バックアップ ファイルは、[バックアップと復元(Backup and Restore)] ページに表示されます。バックアップ コピーは無期限に保持されるわけではありません:デバイスのディスク容量の使用率が最大しきい値に達すると、新しいバックアップ コピー用のスペースを空けるために、より古いバックアップ コピーが削除されます。したがって、最も必要な特定のバックアップ コピーを確保するために、定期的にバックアップ ファイルを管理する必要があります。

              バックアップ コピーを管理するには、次の手順を実行します。

              • ファイルをセキュアなストレージにダウンロードする:バックアップ ファイルをワークステーションにダウンロードするには、ファイルのダウンロード アイコン()をクリックします。その後、ファイルをセキュアなファイル ストレージに移動できます。

              • システムにバックアップ ファイルをアップロードする:デバイスで使用できなくなったバックアップ コピーを復元する場合は、[アップロード(Upload)] > [ファイルの参照(Browse File)] をクリックして、バックアップ コピーをワークステーションからアップロードします。その後、それを復元できます。


                (注)  

                アップロードされたファイルは、元のファイル名と一致するように名前が変更される場合があります。また、システムにすでに 10 を超えるバックアップ コピーがある場合は、アップロードされたファイル用のスペースを空けるために、最も古いファイルが削除されます。古いソフトウェア バージョンによって作成されたファイルはアップロードできません。

              • バックアップを復元する:バックアップ コピーを復元するには、ファイルの復元アイコン()をクリックします。復元中はシステムを使用できません。復元が完了すると、システムは再起動されます。システムが稼働した後に、設定を展開する必要があります。

              • バックアップ ファイルを削除する:特定のバックアップが不要になった場合は、ファイルの削除アイコン()をクリックします。削除の確認が求められます。削除後に、バックアップ ファイルを回復することはできません。

              システムの再起動

              システムが正常に動作していないと思われる場合、問題を解決するための他の取り組みが失敗したときは、デバイスを再起動することができます。デバイスは CLI を使用して再起動する必要があります。Firepower Device Manager を使用してデバイスを再起動することはできません。

              手順
                ステップ 1   SSH クライアントを使用して、管理 IP アドレスへの接続を開き、設定 CLI アクセス権を持つユーザ名でデバイスの CLI にログインします。たとえば、adminユーザ名を使用します。
                ステップ 2   reboot コマンドを入力します。

                例: 
                > reboot

                システムのトラブルシューティング

                次に、システム レベルのトラブルシューティングのタスクと機能の一部を示します。アクセス コントロールなどの特定の機能のトラブルシューティングについては、その機能に関する章を参照してください。

                接続テストのためのアドレスの ping

                ping は、特定のアドレスが使用可能で、応答するかどうかを確認するための単純なコマンドです。これは基本接続が機能していることを意味します。ただし、デバイスで実行されているその他のポリシーにより、特定のタイプのトラフィックがデバイスを正常に通過できないことがあります。ping はデバイスの CLI にログインすることで使用できます。


                (注)  

                システムには複数のインターフェイスがあるため、アドレスの ping に使用されるインターフェイスを制御できます。重要な接続をテストするために、適切なコマンドを使用していることを確認する必要があります。たとえば、システムが仮想管理インターフェイスを介してシスコ ライセンス サーバに接続できる必要がある場合、ping system コマンドを使用して接続をテストする必要があります。ping を使用すると、データ インターフェイスからアドレスにアクセスできるかどうかをテストしていることになり、同じ結果が得られないことがあります。

                通常の ping では、ICMP パケットを使用して接続がテストされます。使用しているネットワークで ICMP が禁止されている場合は、代わりに TCP ping を使用できます(データ インターフェイス ping の場合のみ)。

                ネットワーク アドレスの ping に関する主なオプションは次のとおりです。

                仮想管理インターフェイス経由のアドレスの ping

                ping system コマンドを使用します。

                ping system host

                host には IP アドレス、または www.example.com などの完全修飾ドメイン名(FQDN)を指定できます。データ インターフェイス経由の ping とは異なり、システム ping のデフォルト カウントはありません。ping は、Ctrl+C を使用して停止するまで続行されます。

                
> ping system www.cisco.com
PING origin-www.cisco.COM (72.163.4.161) 56(84) bytes of data.
64 bytes from www1.cisco.com (72.163.4.161): icmp_seq=1 ttl=242 time=10.6 ms
64 bytes from www1.cisco.com (72.163.4.161): icmp_seq=2 ttl=242 time=8.13 ms
64 bytes from www1.cisco.com (72.163.4.161): icmp_seq=3 ttl=242 time=8.51 ms
64 bytes from www1.cisco.com (72.163.4.161): icmp_seq=4 ttl=242 time=8.40 ms
^C
--- origin-www.cisco.COM ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3003ms
rtt min/avg/max/mdev = 8.139/8.927/10.650/1.003 ms
>
                ルーティング テーブルを使用したデータ インターフェイス経由のアドレスの ping

                ping コマンドを使用します。インターフェイスを指定しない場合、システムがホストへの一般的なルートを検出できるかどうかをテストします。これは、標準的なトラフィックのルーティング方法であるため、通常はこのテストを行います。

                ping host

                ホストの IP アドレスを指定します。FQDN のみわかっている場合は、nslookup fqdn-name コマンドを使用して IP アドレスを確認します。次に例を示します。

                
> ping 171.69.38.1
Sending 5, 100-byte ICMP Echos to 171.69.38.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms

                (注)  

                タイムアウト、リピート カウント、パケット サイズ、さらには送信するデータ パターンを指定できます。使用可能なオプションを確認するには、CLI のヘルプ インジケータ(?)を使用します。

                特定のデータ インターフェイス経由のアドレスの ping

                特定のデータ インターフェイス経由で接続をテストする場合は、ping interface if_name コマンドを使用します。このコマンドを使用して診断インターフェイスを指定することもできますが、仮想管理インターフェイスは指定できません。

                ping interface if_name host

                ホストの IP アドレスを指定します。FQDN のみわかっている場合は、nslookup fqdn-name コマンドを使用して IP アドレスを確認します。次に例を示します。

                > ping interface inside 171.69.38.1
Sending 5, 100-byte ICMP Echos to 171.69.38.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms
                TCP ping を使用したデータ インターフェイス経由のアドレスの ping

                ping tcp コマンドを使用します。TCP ping では、SYN パケットを送信し、宛先から SYN-ACK パケットが返されると成功と見なします。

                ping tcp [interfaceif_name] hostport

                ホストと TCP ポートを指定する必要があります。FQDN のみわかっている場合は、nslookup fqdn-name コマンドを使用して IP アドレスを確認します。

                必要に応じて、ping の送信元インターフェイスであるインターフェイスを指定できます。ping を送信するインターフェイスではありません。この ping タイプでは、常にルーティング テーブルが使用されます。

                TCP ping では、SYN パケットを送信し、宛先から SYN-ACK パケットが返されると成功と見なします。次に例を示します。

                
> ping tcp 10.0.0.1 21
Type escape sequence to abort.
No source specified. Pinging from identity interface.
Sending 5 TCP SYN requests to 10.0.0.1 port 21
from 10.0.0.10, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

                (注)  

                タイムアウト、リピート カウント、および TCP ping の送信元アドレスも指定できます。使用可能なオプションを確認するには、CLI のヘルプ インジケータ(?)を使用します。

                ホストまでのルートの追跡

                IP アドレスへのトラフィックの送信で問題が発生している場合は、ホストまでのルートを追跡することによってネットワーク パスに問題がないかどうかを確認できます。traceroute は、無効なポート上で UDP パケットまたは ICMPv6 エコーを宛先に送信することで動作します。宛先までの間にあるルータから ICMP Time Exceeded メッセージが返され、traceroute にエラーが報告されます。各ノードは 3 つのパケットを受信するため、ノードあたり 3 回参考結果が得られる可能性があります。traceroute はデバイス CLI にログインして使用できます。


                (注)  

                データ インターフェイスを通じて(traceroute)、または仮想管理インターフェイスを通じて(traceroute system)ルートをトレースするための個別のコマンドがあります。必ず適切なコマンドを使用してください。

                次の表に、パケットごとの結果を出力で表示されるとおりに示します。

                出力記号

                説明

                *

                タイムアウトの期間内にプローブへの応答を受信しませんでした。

                nn msec

                各ノードで、指定した数のプローブのラウンドトリップにかかる時間(ミリ秒)。

                !N.

                ICMP ネットワークに到達できません。

                !H

                ICMP ホストに到達できません。

                !P

                ICMP プロトコルに到達できません。

                !A

                ICMP が設定によって禁止されています。

                ?

                ICMP の原因不明のエラーが発生しました。
                仮想管理インターフェイスを通じたルートの追跡

                traceroute system コマンドを使用します。

                traceroute systemdestination

                ホストは IPv4/IPv6 アドレスまたは www.example.com などの完全修飾ドメイン名(FQDN)とすることができます。次に例を示します。

                
> traceroute system www.example.com 
traceroute to www.example.com (172.163.4.161), 30 hops max, 60 byte packets
 1  192.168.0.254 (192.168.0.254)  0.213 ms  0.310 ms  0.328 ms
 2  10.88.127.1 (10.88.127.1)  0.677 ms  0.739 ms  0.899 ms
 3  lab-gw1.example.com (10.89.128.25)  0.638 ms  0.856 ms  0.864 ms
 4  04-bb-gw1.example.com (10.152.240.65)  1.169 ms  1.355 ms  1.409 ms
 5  wan-gw1.example.com (10.152.240.33)  0.712 ms  0.722 ms  0.790 ms
 6  wag-gw1.example.com (10.152.240.73)  13.868 ms  10.760 ms  11.187 ms
 7  rbb-gw2.example.com (172.30.4.85)  7.202 ms  7.301 ms  7.101 ms
 8  rbb-gw1.example.com (172.30.4.77)  8.162 ms  8.225 ms  8.373 ms
 9  sbb-gw1.example.com (172.16.16.210)  7.396 ms  7.548 ms  7.653 ms
10  corp-gw2.example.com (172.16.16.58)  7.413 ms  7.310 ms  7.431 ms
11  dmzbb-gw2.example.com (172.16.0.78)  7.835 ms  7.705 ms  7.702 ms
12  dmzdcc-gw2.example.com (172.16.0.190)  8.126 ms  8.193 ms  11.559 ms
13  dcz05n-gw1.example.com (172.16.2.106)  11.729 ms  11.728 ms  11.939 ms
14  www1.example.com (172.16.4.161)  11.645 ms  7.958 ms  7.936 ms
                データ インターフェイスを通じたルートの追跡

                traceroute コマンドを使用します。

                traceroutedestination

                ホストの IP アドレスを指定します。FQDN のみわかっている場合は、nslookupfqdn-name コマンドを使用して IP アドレスを確認します。次に例を示します。

                
> traceroute 209.165.200.225
Tracing the route to 209.165.200.225
 1  10.83.194.1 0 msec 10 msec 0 msec
 2  10.83.193.65 0 msec 0 msec 0 msec
 3  10.88.193.101 0 msec 10 msec 0 msec
 4  10.88.193.97 0 msec 0 msec 10 msec
 5  10.88.239.9 0 msec 10 msec 0 msec
 6  10.88.238.65 10 msec 10 msec 0 msec
 7 172.16.7.221 70 msec 70 msec 80 msec
 8 209.165.200.225 70 msec 70 msec 70 msec

                (注)  

                タイムアウト、パケット存続時間、ノードあたりのパケット数、さらには IP アドレスやインターフェイスを指定して、traceroute のソースとして使用できます。使用可能なオプションを確認するには、CLI のヘルプ インジケータ(?)を使用します。

                NTP のトラブルシューティング

                システムが正常に機能し、イベントその他のデータ ポイントを正確に処理するには、正確かつ一貫した時間が不可欠です。システムが常に信頼できる時間情報を備えるには、少なくとも 1 つ(理想的には 3 つ)のネットワーク タイム プロトコル(NTP)サーバを設定する必要があります。

                デバイス概要接続図(メイン メニューで [デバイス(Device)]をクリック)は、NTP サーバへの接続ステータスを示します。ステータスが黄色またはオレンジの場合、設定済みサーバに接続の問題があります。接続の問題が解消されない(単なる一時的な問題ではない)場合、次を実行します。

                • 最初に、[デバイス(Device)] > [システム設定(System Settings)] > [NTP] で、NTP サーバが少なくとも 3 つ設定されていることを確認します。これは必須要件ではありませんが、少なくとも 3 つの NTP サーバがあると信頼性は格段に高まります。

                • 管理インターフェイスの IP アドレス([デバイス(Device)] > [システム設定(System Settings)] > [管理インターフェイス(Management Interface)] で定義されている)と NTP サーバの間にネットワーク パスがあることを確認します。

                  • 管理インターフェイス ゲートウェイがデータ インターフェイスである場合、デフォルト ルートが不適切であれば、[デバイス(Device)] > [ルーティング(Routing)] で NTP サーバへのスタティック ルートを設定できます。

                  • 明示的な管理インターフェイス ゲートウェイを設定した場合、デバイス CLI にログインして、ping system コマンドを使用して各 NTP サーバへのネットワーク パスがあるかどうかをテストします。

                • デバイス CLI にログインして、次のコマンドを使用して NTP サーバのステータスを確認します。

                  • show ntp:このコマンドは、NTP サーバに関する基本情報と、その可用性を示します。ただし、Firepower Device Manager の接続ステータスは、ステータスを示す追加情報を使用しているため、このコマンドで表示される情報と、接続ステータスの図に示される情報が一致しない場合があります。

                  • system support ntp:このコマンドには、show ntp の出力に加えて、NTP プロトコルと一緒に記載される標準の NTP コマンドである ntpq の出力が含まれます。このコマンドは、NTP の同期を確認する必要がない場合に使用します。

                    「Results of ‘ntpq -pn.’」セクションを探します。たとえば、次のような出力が表示されます。

                    Results of 'ntpq -pn'
remote                    : +216.229.0.50
refid                     : 129.7.1.66
st                        : 2
t                         : u
when                      : 704
poll                      : 1024
reach                     : 377
delay                     : 90.455
offset                    : 2.954
jitter                    : 2.473

                    この例では、NTP サーバ アドレスの前の「+」は、それが潜在的な候補であることを示します。次のアスタリスク(*)は、現在の時刻源のピアを示します。

                    NTP deamon(NTPD)は、ピアのそれぞれから 8 つのサンプルのスライディング ウィンドウを使用してサンプルを 1 つ選択し、次にクロックを選択して、True chimer と False ticker を決定します。次に、NTPD はラウンドトリップの距離を決定します(候補のオフセットは、ラウンドトリップ遅延の 2 分の 1 を超えてはいけません)。接続が遅延すると、パケット損失により、またはサーバの問題によって候補の 1 つまたはすべてが拒否され、同期に長時間の遅延が発生します。さらに、調整にも非常に長い時間がかかります。クロック オフセットとオシレーターのエラーはクロック規律アルゴリズムによって解決する必要があり、これには数時間かかる場合があります。


                    (注)  

                    refid が .LOCL. である場合、ピアが規律のないローカル クロックであること、つまり、そのローカル クロックを時間設定にのみ使用していることを意味します。Firepower Device Manager は、選択したピアが .LOCL. である場合、NTP 接続は常に黄色くマークします(未同期)。通常、NTP はより優れた候補があれば .LOCL. 候補を選びません。少なくとも 3 つのサーバを設定する必要があるのはこのためです。

                CPU とメモリ使用率の分析

                CPU とメモリ使用率についてのシステムレベルの情報を表示するには、[モニタリング(Monitoring)] > [システム(System)] を選択して、CPU およびメモリ使用率を表す棒グラフを確認します。これらのグラフには、CLI で show cpu system および show memory system コマンドを使用して収集した情報が表示されます。

                CLI にログインすると、これらのコマンドのその他のバージョンを使用して、その他の情報を表示できます。このような情報が必要になるのは通常、使用率に関する問題が長引いている場合、または Cisco Technical Assistance Center(TAC)からの指示があった場合です。詳細情報の多くは複雑で、TAC による解釈が必要です。

                以下に、ユーザが個人で検証可能ないくつかの箇所を紹介します。これらのコマンドの詳細情報については、Firepower Threat Defense コマンド リファレンスhttp:/​/​www.cisco.com/​c/​en/​us/​td/​docs/​security/​firepower/​command_ref/​b_​Command_​Reference_​for_​Firepower_​Threat_​Defense.html)を参照してください。

                • show cpu は、データ プレーンの CPU 使用率を表示します。

                • show cpu core は、各 CPU コアの使用率を個別に表示します。

                • show cpu detailed は、コア単位、または全体的なデータ プレーンの CPU 使用率に関する追加情報を表示します。

                • show memory は、データ プレーンのメモリ使用率を表示します。


                (注)  

                一部のキーワード(上記以外)の場合は、cpu または memory コマンドを使用して、最初にプロファイリングまたは他の機能をセットアップする必要があります。これらの機能は、TAC の指示があった場合にのみ使用します。

                ログの表示

                システムはさまざまなアクションに関する情報を記録します。system support view-files コマンドを使用すると、システム ログを開くことができます。Cisco Technical Assistance Center(TAC)への問い合わせ時にこのコマンドを使用すると、出力を解釈して、適切なログを表示できるようになります。

                コマンドは、ログを選択するためのメニューを表示します。ウィザードに移動するには、次のコマンドを使用します。

                • サブディレクトリに変更するには、ディレクトリの名前を入力し、Enter キーを押します。

                • 表示するファイルを選択するには、プロンプトで s を入力します。次に、ファイル名の入力を求められます。完全な名前を入力する必要があります。大文字と小文字は区別されます。ファイル リストはログのサイズを示します。非常に大きいログを開く前には検討が必要な場合があります。

                • 「--More--」が表示されたら Space キーを押してログ エントリの次のページを表示します。次のログ エントリを表示するには Enter キーを押します。ログの最後に到達すると、メイン メニューに移動します。「--More--」の行は、ログのサイズと表示した量を示します。ログのすべてのページを表示する必要がなく、ログを閉じ、コマンドを終了するには、Ctrl+C キーを使用します。

                • メニューまでの構造のレベルを 1 つ上がるには、b を入力します。

                ログを開いたままにして、新しいメッセージが追加されるたびに確認できるようにするには、tail-logs コマンドを system support view-files コマンドの代わりに使用します。

                次の例は、システムへのログイン試行を追跡する cisco/audit.log ファイルの表示方法を示します。ファイル リストの上部はディレクトリで始まり、次に現在のディレクトリにあるファイルのリストが表示されます。

                
> system support view-files

===View Logs===

============================
Directory: /ngfw/var/log
----------sub-dirs----------
cisco
mojo
removed_packages
setup
seshat
connector
sf
scripts
packages
removed_scripts
httpd
-----------files------------
2016-10-14 18:12:04.514783 | 5371       | SMART_STATUS_sda.log
2016-10-14 18:12:04.524783 | 353        | SMART_STATUS_sdb.log
2016-10-11 21:32:23.848733 | 326517     | action_queue.log
2016-10-06 16:00:56.620019 | 1018       | br1.down.log

<list abbreviated>


([b] to go back or [s] to select a file to view, [Ctrl+C] to exit)
Type a sub-dir name to list its contents: cisco

============================
Directory: /ngfw/var/log/cisco
-----------files------------
2017-02-13 22:44:42.394907 | 472        | audit.log
2017-02-13 23:40:30.858198 | 903615     | ev_stats.log.0
2017-02-09 18:14:26.870361 | 0          | ev_stats.log.0.lck
2017-02-13 05:24:00.682601 | 1024338    | ev_stats.log.1
2017-02-12 08:41:00.478103 | 1024338    | ev_stats.log.2
2017-02-11 11:58:00.260805 | 1024218    | ev_stats.log.3
2017-02-09 18:12:13.828607 | 95848      | firstboot.ngfw-onbox.log
2017-02-13 23:40:00.240359 | 6523160    | ngfw-onbox.log

([b] to go back or [s] to select a file to view, [Ctrl+C] to exit)
Type a sub-dir name to list its contents: s

Type the name of the file to view ([b] to go back, [Ctrl+C] to exit)
> audit.log
2017-02-09 18:59:26 - SubSystem:LOGIN, User:admin, IP:10.24.42.205, Message:Login successful, 
2017-02-13 17:59:28 - SubSystem:LOGIN, User:admin, IP:10.24.111.72, Message:Login successful, 
2017-02-13 22:44:36 - SubSystem:LOGIN, User:admin, IP:10.24.111.72, Message:Login failed, 
2017-02-13 22:44:42 - SubSystem:LOGIN, User:admin, IP:10.24.111.72, Message:Login successful, 
2017-02-13 22:44:42 - SubSystem:LOGIN, User:admin, IP:10.24.111.72, Message:Unlocked account., 

<remaining log truncated>

                トラブルシューティング ファイルの作成

                問題レポートを提出した際に、Cisco Technical Assistance Center(TAC)の担当者により、システム ログ情報の提出を求められることがあります。この情報は、問題の診断に役立ちます。診断ファイルの提出は、求められた場合だけでかまいません。

                次の手順では、ログ レベルを設定して診断ファイルを作成する方法について説明します。

                手順
                  ステップ 1   デバイス
                  ステップ 2   [トラブルシューティング(Troubleshooting)]の下で、[ファイルの作成を要求(Request File to be Created) または [ファイルの作成を再要求(Re-Request File to be Created)(事前に作成していた場合)をクリックします。

                  システムが診断ファイルの生成を開始します。他のページに移動して、後で戻ってきてステータスを確認することができます。ファイルの準備が整うと、ファイル作成日時が [ダウンロード(Download)] ボタンとともに表示されます。

                  ステップ 3   ファイルの準備が整ったら、[ダウンロード(Download)] ボタンをクリックします。

                  ファイルは、ブラウザの標準のダウンロード方式を使用してワークステーションにダウンロードされます。

                  一般的でない管理タスク

                  次に、ごくまれにしか行われないアクションについて説明します。これらすべてのアクションは、デバイス設定の消去を引き起こします。これらの変更を加える前に、デバイスが現在、実稼働ネットワークに対して重要なサービスを提供していないことを確認します。

                  ローカル管理とリモート管理の切り替え

                  デバイスの設定と管理は、デバイスで直接ホストされるローカル Firepower Device Manager を使用して行うか、Firepower Management Centerマルチ デバイス マネージャを使用してリモートで行います。Firepower Device Manager でサポートされていない機能を設定する場合、または Firepower Management Centerのパワーと分析機能が必要な場合は、リモート管理を使用することをお勧めします。

                  また、デバイスをトランスペアレント ファイアウォール モードで実行する場合も、Firepower Management Centerを使用する必要があります。

                  ローカル管理とリモート管理の切り替えは、ソフトウェアを再インストールせずに行うことができます。リモート管理からローカル管理に切り替える前に、Firepower Device Manager が設定要件をすべて満たしていることを確認します。


                  注意    

                  マネージャを切り替えると、デバイスの設定が消去され、システムがデフォルト設定に戻ります。ただし、管理 IP アドレスとホスト名は保持されます。

                  はじめる前に

                  デバイスを登録した場合(特にフィーチャ ライセンスを有効化した場合)は、リモート管理に切り替える前に、Firepower Device Manager を使用してデバイスの登録を解除する必要があります。デバイスの登録を解除すると、基本ライセンスおよびすべてのフィーチャ ライセンスが解放されます。デバイスの登録を解除しないと、これらのライセンスは Cisco Smart Software Manager でデバイスに割り当てられたままになります。デバイスの登録解除を参照してください。

                  手順
                    ステップ 1   SSH クライアントを使用して、管理 IP アドレスへの接続を開き、設定 CLI アクセス権を持つユーザ名でデバイス CLI にログインします。たとえば、admin ユーザ名を使用します。

                    管理 IP アドレスに接続されている間、このプロセスに従うことが重要です。Firepower Device Manager を使用するときには、データ インターフェイスの IP アドレスを使用してデバイスを制御するオプションを選択できます。ただし、デバイスをリモートで管理するには、管理物理ポートと管理 IP アドレスを使用する必要があります。

                    管理 IP アドレスに接続できない場合は、次の事項を確認します。

                    • 管理物理ポートが正しく機能しているネットワークに接続されていることを確認します。

                    • 管理 IP アドレスとゲートウェイが管理ネットワーク用に設定されていることを確認します。Firepower Device Manager で、[デバイス(Device)] > [システム設定(System Settings)] > [管理インターフェイス(Management Interface)] を選択してアドレスとゲートウェイを設定します(CLI では、configure network ipv4/ipv6 manual コマンドを使用します)。

                      (注)     

                      管理 IP アドレス用に外部ゲートウェイを使用していることを確認します。リモート マネージャを使用する場合は、ゲートウェイとしてデータ インターフェイスを使用することはできません。

                    ステップ 2   ローカル管理からリモート管理に切り替えるには、次の手順に従います。
                    1. 現在ローカル管理モードであることを確認します。 
                      > show managers 
Managed locally.
                    2. リモート マネージャを設定します。

                      configure manager add {hostname | IPv4_address | IPv6_address | DONTRESOLVE} regkey [nat_id]

                      ここで、

                      • {hostname | IPv4_address | IPv6_address | DONTRESOLVE} は、このデバイスを管理するFirepower Management Center の DNS ホスト名、または IP アドレス(IPv4 または IPv6)を表します。Firepower Management Centerを直接アドレス指定できない場合は、DONTRESOLVE を使用します。DONTRESOLVE を使用する場合は、nat_id が必要です。

                      • regkey はデバイスを Firepower Management Center へ登録するのに必要な、英数字の一意の登録キーです。

                      • nat_id は、Firepower Management Center とデバイス間の登録プロセス中に使用されるオプションの英数字文字列です。hostname が DONTRESOLVE に設定されている場合に必要です。

                      たとえば、登録キー secret を使用して 192.168.0.123 でマネージャを使用するには、次のように入力します。

                      > configure manager add 192.168.0.123 secret
If you enabled any feature licenses, you must disable them in 
Firepower Device Manager before switching to remote management.
Otherwise, those licenses remain assigned to the device in Cisco 
Smart Software Manager.
Do you want to continue  [yes/no] yes
Manager successfully configured.
Please make note of reg_key as this will be required while adding 
Device in FMC.

> show managers 
Host                      : 192.168.0.123
Registration Key          : ****
Registration              : pending
RPC Status                :
                      (注)     

                      登録がまだ保留中であれば、configure manager delete を使用して登録をキャンセルし、次に configure manager local を使用してローカル管理に戻ることができます。

                    3. Firepower Management Centerにログインしてデバイスを追加します。

                      詳細については、Firepower Management Centerのオンライン ヘルプを参照してください。

                    ステップ 3   リモート管理からローカル管理に切り替えるには、次の手順に従います。
                    1. 現在リモート管理モードであることを確認します。 
                      > show managers 
Host                      : 192.168.0.123
Registration Key          : ****
Registration              : pending
RPC Status                :
                    2. リモート マネージャを削除し、マネージャなしモードに移行します。

                      リモート管理からローカル管理に直接切り替えることはできません。configure manager delete コマンドを使用してマネージャを削除します。

                      > configure manager delete 
Deleting task list
Manager successfully deleted.

> 
> show managers 
No managers configured.
                    3. ローカル マネージャを設定します。

                      configure manager local

                      次に例を示します。

                      > configure manager local 
Deleting task list

> show managers 
Managed locally.

                      これで、Web ブラウザを使用して https://management-IP-address でローカル マネージャを開くことができます。

                    ファイアウォール モードの変更

                    FirePOWER Threat Defenseのファイアウォールは、ルーテッド モードまたはトランスペアレント モードで実行できます。ルーテッド モードのファイアウォールはルーテッド ホップであり、保護されたサブネットのいずれかに接続するホストのデフォルト ゲートウェイとして機能します。これに対し、トランスペアレント ファイアウォールは、「Bump In The Wire」または「ステルス ファイアウォール」のように動作するレイヤ 2 ファイアウォールであり、接続されたデバイスへのルータ ホップとしては認識されません。

                    ローカル FirePOWER Device Manager は、ルーテッド モードのみをサポートします。ただし、デバイスをトランスペアレント モードで実行する必要がある場合は、ファイアウォールのモードを変更して、Firepower Management Centerでのデバイス管理を開始できます。逆に、トランスペアレント モードのデバイスをルーテッド モードに変換することもできます。この場合は、ローカル マネージャを使用してデバイスを設定できます(Firepower Management Centerを使用してルーテッド モード デバイスを管理することも可能)。

                    ローカル管理、リモート管理にかかわらず、モードを変更するにはデバイスの CLI を使用する必要があります。

                    以下の手順では、ローカル マネージャの使用中にモードを変更する方法、またはローカル マネージャを使用するためにモードを変更する方法について説明します。


                    注意    

                    ファイアウォール モードを変更すると、デバイス設定が消去され、システムはデフォルト設定に戻ります。ただし、管理 IP アドレスおよびホスト名は保持されます。

                    はじめる前に

                    トランスペアレント モードに変換する場合は、ファイアウォール モードを変更する前にFirepower Management Centerをインストールします。

                    有効化された機能ライセンスが存在する場合は、FirePOWER Device Manager でこのライセンスを無効にしてから、ローカル マネージャを削除し、リモート管理に切り替えます。そうしないと、Cisco Smart Software Manager でこれらのライセンスがデバイスに割り当てられたままの状態となります。オプション ライセンスの有効化と無効化を参照してください。

                    手順
                      ステップ 1   SSH クライアントを使用して、管理 IP アドレスへの接続を開き、設定用 CLI へのアクセスが許可されたユーザ名でデバイス CLI にログインします。たとえば、adminユーザ名を使用します。

                      管理 IP アドレスとの接続中は、このプロセスに従うことが重要です。FirePOWER Device Manager を使用する場合は、データ インターフェイスの IP アドレス経由でデバイスを管理することができます。しかし、デバイスをリモートに管理する場合は、管理用の物理ポートと管理 IP アドレスを使用する必要があります。

                      管理 IP アドレスに接続できない場合は、以下を確認します。

                      • 管理用の物理ポートが、正しく機能するネットワークに接続されていることを確認します。

                      • 管理 IP アドレスおよびゲートウェイが、管理ネットワーク用に設定されていることを確認します。FirePOWER Device Manager から、[デバイス(Device)] > [システム設定(System Settings)] > [管理インターフェイス(Management Interface)] を選択して、アドレスおよびゲートウェイを設定します(CLI では configure network ipv4/ipv6 manual コマンドを使用)。

                        (注)     

                        管理 IP アドレスには、外部のゲートウェイを使用するようにしてください。リモート マネージャを使用する場合は、データ インターフェイスをゲートウェイとして使用することはできません。

                      ステップ 2   ルーテッド モードをトランスペアレント モードに変更して、リモート管理を使用するには、以下を行います。
                      1. ローカル管理を無効にし、マネージャなしのモードに切り替えます。

                        アクティブなマネージャが存在する状態では、ファイアウォール モードを変更できません。configure manager delete コマンドを使用して、マネージャを削除します。

                        > configure manager delete 
If you enabled any feature licenses, you must disable them in 
Firepower Device Manager before deleting the local manager.
Otherwise, those licenses remain assigned to the device in 
Cisco Smart Software Manager.
Do you want to continue[yes/no] yes
Deleting task list
Manager successfully deleted.

> 
> show managers 
No managers configured.
                      2. ファイアウォール モードをトランスペアレントに変更します。

                        configure firewalltransparent



                        例: 
                        > configure firewall transparent 
This will destroy the current interface configurations, 
are you sure that you want to proceed? [y/N] y
The firewall mode was changed successfully.
                      3. リモート マネージャを設定します。

                        configure manager add {hostname | IPv4_address | IPv6_address | DONTRESOLVE} regkey [nat_id]

                        ここで、

                        • {hostname | IPv4_address | IPv6_address | DONTRESOLVE} は、このデバイスを管理するFirepower Management Center の DNS ホスト名または IP アドレス(IPv4 または IPv6)を表します。Firepower Management Centerを直接アドレス指定できない場合は、DONTRESOLVE を使用します。DONTRESOLVE を使用する場合は、nat_id が必要です。

                        • regkey は、デバイスをFirepower Management Centerに登録するのに必要な、英数字の一意の登録キーです。

                        • nat_id は、Firepower Management Center とデバイス間の登録プロセス中に使用される、オプションの英数字文字列です。hostname が DONTRESOLVE に設定されている場合に必要です。

                        たとえば、192.168.0.123 にあるマネージャ、および登録キー secret を使用するには、次のように入力します。

                        > configure manager add 192.168.0.123 secret
Manager successfully configured.
Please make note of reg_key as this will be required while adding 
Device in FMC.

> show managers 
Host                      : 192.168.0.123
Registration Key          : ****
Registration              : pending
RPC Status                :
                      4. Firepower Management Centerにログインし、デバイスを追加します。

                        詳細については、Firepower Management Centerのオンライン ヘルプを参照してください。

                      ステップ 3   トランスペアレント モードからルーテッド モードに変更し、ローカル管理に切り替えるには、以下を行います。
                      1. デバイスを Management Centerから登録解除します。
                      2. 可能であればコンソール ポートから、Firepower Threat Defenseデバイスの CLI にアクセスします。

                        モードの変更によって設定が消去されるため、管理 IP アドレスはデフォルトに戻ります。したがって、モードの変更後に、管理 IP アドレスとの SSH 接続が失われる可能性があります。

                      3. ファイアウォール モードをルーテッドに変更します。

                        configure firewallrouted



                        例: 
                        > configure firewall routed
This will destroy the current interface configurations, 
are you sure that you want to proceed? [y/N] y
The firewall mode was changed successfully.
                      4. ローカル マネージャを有効にします。

                        configure manager local

                        次に例を示します。

                        > configure manager local 
Deleting task list

> show managers 
Managed locally.

                        これで、Web ブラウザを使用して、https://management-IP-address のローカル マネージャを起動できるようになります。

                      設定のリセット

                      最初からやり直す場合は、システム設定を工場出荷時のデフォルトにリセットできます。設定を直接リセットすることはできませんが、マネージャを削除して追加すると設定がクリアされます。

                      設定を消去してバックアップを復元する場合は、復元するバックアップ コピーを既にダウンロードしていることを確認してください。システムを復元するには、システムのリセット後にバックアップ コピーをアップロードする必要があります。

                      はじめる前に

                      いずれかの機能ライセンスを有効にした場合は、ローカル マネージャを削除する前に Firepower Device Manager でそれらを無効にする必要があります。無効にしないと、それらのライセンスが Cisco Smart Software Manager のデバイスに割り当てられたままになります。オプション ライセンスの有効化と無効化を参照してください。

                      手順
                        ステップ 1   SSH クライアントを使用して、管理 IP アドレスへの接続を開き、設定 CLI アクセス権を持つユーザ名でデバイスの CLI にログインします。たとえば、adminユーザ名を使用します。
                        ステップ 2   configure manager delete コマンドを使用してマネージャを削除します。 
                        > configure manager delete 
If you enabled any feature licenses, you must disable them in 
Firepower Device Manager before deleting the local manager.
Otherwise, those licenses remain assigned to the device in Cisco 
Smart Software Manager.
Do you want to continue[yes/no] yes
Deleting task list
Manager successfully deleted.

> 
> show managers 
No managers configured.
                        ステップ 3   ローカル マネージャを設定します。

                        configure manager local

                        次に例を示します。

                        > configure manager local 
Deleting task list

> show managers 
Managed locally.

                        これで、Web ブラウザを使用して https://management-IP-address でローカル マネージャを開くことができるようになりました。設定をクリアすると、デバイス セットアップ ウィザードの完了を求めるメッセージが表示されます。

                        このドキュメントは役に立ちましたか?

                        Feedbackフィードバック

                        シスコに問い合わせ