FTD のオンボーディング
FTD デバイスのオンボーディングにはさまざまな方法があります。登録キー方式を使用することが推奨されます。
デバイスのオンボーディング中に問題が発生した場合は、シリアル番号を使用した FTD オンボーディングのトラブルシュートまたはライセンス不足のために失敗で詳細を参照してください。
シリアル番号を使用した FTD のオンボーディング
この手順は、サポートされているバージョンの FTD ソフトウェアを実行している Firepower 1000、2100、または 3100 シリーズの物理デバイスをオンボーディングする簡単な方法です。デバイスをオンボードするには、デバイスのシャーシシリアル番号または PCA シリアル番号が必要です。また、インターネットに接続できるネットワークにデバイスが追加されていることを確認します。
工場から出荷された新しいデバイスも、すでに設定済みのデバイスもオンボーディングすることができます。CDO
詳細については、「Onboard a Firepower Threat Defense using Device Serial Number」を参照してください。
登録キーを使用した FTD のオンボーディング
登録キーを使用して FTD デバイスをオンボーディングすることが推奨されます。これは、FTD に DHCP を使用して IP アドレスが割り当てられている場合に役立ちます。その IP アドレスが何らかの理由で変更された場合、登録キーを使用してオンボードしていれば、FTD は CDO に接続されたままになります。
ログイン情報を使用した FTD デバイスのオンボーディング
ネットワーク内でのデバイスの設定に応じて、デバイスの外部インターフェイス、内部インターフェイス、または管理インターフェイスの IP アドレスおよびデバイスのログイン情報を使用して FTD をオンボードできます。ログイン情報を使用してデバイスをオンボードするには、ユーザー名、パスワード、IP アドレスを使用した FTD のオンボーディングを参照してください。インターフェイスアドレスを使用してオンボードするには、この記事で後述する「デバイスのアドレス指定」を参照してください。
CDO を管理するには、FTD への HTTPS アクセスが必要です。デバイスへの HTTPS アクセスを許可する方法は、ネットワークでの FTD の設定方法や、Secure Device Connector と Cloud Connector のどちらを使用してデバイスをオンボードしたかによって異なります。
 (注) |
https://www.defenseorchestrator.eu に接続し、FTD ソフトウェアバージョン 6.4 を使用している場合は、この方法で FTD をオンボードする必要があります。登録キーを使用して FTD デバイスをオンボードすることはできません。 |
デバイスのログイン情報を使用して CDO をデバイスに接続する場合、CDO とデバイス間の通信を管理するために、ネットワークに Secure Device Connector(SDC)をダウンロードして展開することがベストプラクティスです。通常、これらのデバイスは非境界ベースであり、パブリック IP アドレスを持たないか、外部インターフェイスに開かれたポートを持っています。ログイン情報を使用してオンボードした FTD デバイスは、SDC を使用して CDO にオンボードできます。
お客様が FTD を VPN 接続のヘッドエンドとしても使用している場合は、外部インターフェイスを使用してデバイスを管理することはできません。
FTD HA ペアのオンボーディング
シリアル番号、登録キー方式、またはログイン情報方式を使用して、CDO の外部で形成された FTD 高可用性ペアをオンボードできます。1 つのピアデバイスをオンボードすると、CDO が別のデバイスとペアリングされていることが自動的に検出されます。CDO は、すでに提供されているログイン情報またはキーを使用して、他のピアデバイスのオンボーディングプロセスを合理化し、ペアを [インベントリ(Inventory)] ページの 1 つのエントリに結合します。
バージョン 6.4 またはバージョン 6.5 を実行する FTD HA ペアのオンボーディングおよびユーザー名、パスワード、IP アドレスを使用した FTD HA ペアの導入準備を参照してください。
オンボーディングのための FTD 設定の前提条件
FTD デバイス管理
Firepower Device Manager(FDM)によって管理されている FTD デバイスのみをオンボードできます。これらの FTD デバイスは、ローカル管理用にも設定する必要があります。 Firepower Management Center(FMC)で管理されている FTD デバイスは、CDO では管理できません。
デバイスがローカル管理用に設定されていない場合は、デバイスをオンボードする前にローカル管理に切り替える必要があります。『Cisco Firepower Threat Defense Configuration Guide for Firepower Device Manager』の「Switching Between Local and Remote Management」の章を参照してください。
ライセンシング
デバイスを CDO にオンボードするには、デバイスに少なくとも基本ライセンスがインストールされている必要があります(ただし状況によってはスマートライセンスを適用できる場合もあります)。
|
オンボーディング方式 |
FTD ソフトウェアバージョン |
90 日間の評価ライセンスは許可されていますか? |
オンボーディングするデバイスに予めスマートライセンスを付与できますか? |
オンボーディングするデバイスを予め Cisco Cloud サービスに登録できますか? |
|---|---|---|---|---|
|
ログイン情報(ユーザー名とパスワード) |
すべて(All) |
対応 |
対応 |
対応 |
| 登録キー |
6.4 または 6.5 |
対応 |
いいえ。スマートライセンスを登録解除してからデバイスをオンボードしてください。 |
該当なし |
|
登録キー |
6.6 以降 |
対応 |
対応 |
いいえ。Cisco Cloud サービスからデバイスを登録解除してからデバイスをオンボードしてください。 |
|
Low Touch Provisioning |
6.7 以降 |
対応 |
対応 |
対応 |
|
シリアル番号によるデバイスのオンボーディング |
6.7 以降 |
対応 |
対応 |
対応 |
詳細については『Cisco Firepower システム機能ライセンス』を参照してください。
デバイスのアドレス指定
FTD デバイスのオンボードに使用するアドレスは、静的アドレスにすることをお勧めします。デバイスの IP アドレスが DHCP によって割り当てられている場合は、DDNS(ダイナミック ドメイン ネーム システム)を使用して、デバイスの新しい IP アドレスが変更された場合に FTD のドメイン名エントリを自動的に更新するのが最適です。
(注) |
FTD はネイティブで DDNS をサポートしていませんので、独自の DDNS を設定する必要があります。 |
重要 |
デバイスが DHCP サーバーから IP アドレスを取得し、DDNS サーバーが FTD のドメイン名エントリを新しい IP アドレスで更新していない場合、または FTD が新しいアドレスを受け取った場合は、CDO がデバイス用に管理する IP アドレスを変更し、その後デバイスを再接続できます。さらに良い方法は、登録キーを使用してデバイスをオンボードすることです。 |
内部インターフェイスからの FTD の管理
専用の MGMT インターフェイスに組織内でルーティングできないアドレスが割り当てられている場合は、内部インターフェイスを使用して Firepower Threat Defense(FTD)デバイスを管理することが望ましい場合があります。たとえば、データセンターまたはラボ内からしか到達できない場合などです。
リモートアクセス VPN の要件
CDO で管理する FTD がリモートアクセス VPN(RA VPN)接続を管理する場合、CDO は内部インターフェイスを使用して FTD デバイスを管理する必要があります。
次に行う作業:
FTD を設定する手順については、 内部インターフェイスからの FTD の管理 に進んでください。
内部インターフェイスからの FTD の管理
設定方法は次のとおりです。
-
FTD が CDO にオンボードされていないことが前提です。
-
データインターフェイスを内部インターフェイスとして設定します。
-
MGMT トラフィック(HTTPS)を受信するように内部インターフェイスを設定します。
-
SDC またはクラウドコネクタのアドレスが FTD の内部インターフェイスに到達できるようにします。
始める前に
手順
| ステップ 1 |
FDM にログインします。 |
| ステップ 2 |
[システム設定(System Settings)] メニューで、[管理アクセス(Management Access)] をクリックします。 |
| ステップ 3 |
[データインターフェース(Data Interfaces)] タブをクリックし、[データインターフェースの作成(Create Data Interface)] を選択します。
|
| ステップ 4 |
変更を展開します。これで、内部インターフェイスを使用してデバイスを管理できるようになりました。 |
次のタスク
Cloud Connector を使用している場合
上記の手順に加えて、以下の手順を実行します。
-
外部インターフェイス(203.0.113.2)から内部インターフェイス(192.168.1.1)への「NAT」を実行するステップを追加します。
-
上記の手順のステップ 3c の [許可ネットワーク(Allowed Network)] は、Cloud Connector のパブリック IP アドレスを含むネットワーク グループ オブジェクトになります。
-
クラウドコネクタのパブリック IP アドレスから外部インターフェイス(203.0.113.2)へのアクセスを許可するアクセス制御ルールの作成ステップを追加します。
ヨーロッパ、中東、またはアフリカ(EMEA)地域のお客様が https://defenseorchestrator.eu/ で Defense Orchestrator に接続している場合、Cloud Connector のパブリック IP アドレスは、次のようになります。
-
35.157.12.126
-
35.157.12.15
アメリカ合衆国のお客様が https://defenseorchestrator.com/ で Defense Orchestrator に接続する場合、クラウドコネクタのパブリック IP アドレスは、次のようになります。
-
52.34.234.2
-
52.36.70.147
アジア - 太平洋 - 日本 - 中国(APJC)地域のお客様が https://www.apj.cdo.cisco.com/ で Defense Orchestrator に接続する場合は、次の IP アドレスからのインバウンドアクセスを許可します。
-
54.199.195.111
-
52.199.243.0
FTD の導入準備
CDO で FTD デバイスの導入準備をする際、登録トークンを使用した導入準備の方法をお勧めします。Cloud Connector から FTD への管理アクセスを許可するように内部インターフェイスを設定した後に、ユーザー名とパスワードを使用して FTD デバイスの導入準備をします。 詳細については、「ユーザー名、パスワード、および IP アドレスを使用した FTD の導入準備」を参照してください。内部インターフェイスの IP アドレスを使用して接続します。上記シナリオでは、そのアドレスは 192.168.1.1 です。
外部インターフェイスから FTD を管理する
分散拠点に 1 つのパブリック IP アドレスが割り当てられていて、CDO が別の場所にある Secure Device Connector(SDC)または Cloud Connector を使用して管理されている場合は、外部インターフェイスから Firepower Threat Defense(FTD)デバイスを管理することを推奨します。
この設定により、MGMT 物理インターフェイスがデバイスの管理インターフェイスでなくなるわけではありません。FTD の設置場所にいる場合は、MGMT インターフェイスのアドレスに接続して、FTD を直接管理できます。
リモートアクセス VPN の要件
CDO を使用して管理する FTD で、リモートアクセス VPN(RA VPN)接続を管理する場合、CDO は外部インターフェイスを使用して FTD デバイスを管理できません。代わりに、「内部インターフェイスからの FTD デバイスの管理」を参照してください。
次に行う作業:
FTD を設定する手順については、FTD の外部インターフェイスの管理 に進んでください。
FTD の外部インターフェイスの管理
設定方法は次のとおりです。
-
FTD が CDO にオンボードされていないことが前提です。
-
データインターフェイスを外部インターフェイスとして設定します。
-
外部インターフェイスで管理アクセスを設定します。
-
SDC または Cloud Connector のパブリック IP アドレス(ファイアウォールによる NAT 処理済み)が外部インターフェイスに到達できるようにします。
始める前に
手順
| ステップ 1 |
FDM にログインします。 |
| ステップ 2 |
[システム設定(System Settings)] メニューで、[管理アクセス(Management Access)] をクリックします。 |
| ステップ 3 |
[データインターフェース(Data Interfaces)] タブをクリックし、[データインターフェースの作成(Create Data Interface)] を選択します。
|
| ステップ 4 |
SDC または Cloud Connector のパブリック IP アドレスから FTD の外部インターフェイスへの管理トラフィック(HTTPS)を許可するアクセス コントロール ポリシーを、FDM で作成します。このシナリオでは、送信元アドレスは 203.0.113.2 で、送信元プロトコルは HTTPS です。また、宛先アドレスは 209.165.202.129 で、宛先プロトコルは HTTPS です。 |
| ステップ 5 |
変更を展開します。これで、外部インターフェイスを使用してデバイスを管理できるようになります。 |
次のタスク
Cloud Connector を使用している場合
プロセスは非常によく似ていますが、次の 2 つの点が異なります。
-
上記の手順のステップ 3c の [許可ネットワーク(Allowed Network)] は、Cloud Connector のパブリック IP アドレスを含むネットワーク グループ オブジェクトになります。
-
ヨーロッパ、中東、またはアフリカ(EMEA)地域のお客様が https://defenseorchestrator.eu/ で Defense Orchestrator に接続している場合、Cloud Connector のパブリック IP アドレスは、次のようになります。
-
35.157.12.126
-
35.157.12.15
-
-
アメリカ合衆国のお客様が https://defenseorchestrator.com/ で CDO に接続している場合、Cloud Connector のパブリック IP アドレスは、次のようになります。
-
52.34.234.2
-
52.36.70.147
-
-
アジア - 太平洋 - 日本 - 中国(APJC)地域のお客様が https://www.apj.cdo.cisco.com/ で Defense Orchestrator に接続する場合は、次の IP アドレスからのインバウンドアクセスを許可します。
-
54.199.195.111
-
52.199.243.0
-
-
-
上記の手順のステップ 4 では、Cloud Connector のパブリック IP アドレスから外部インターフェイスへのアクセスを許可するアクセス制御ルールを作成します。
FTD デバイスを CDO にオンボーディングする際は、「登録トークンによるオンボーディング」の方法を推奨します。Cloud Connector からの管理アクセスを許可するように外部インターフェイスを設定した後に、FTD デバイスをオンボードします。外部インターフェイスの IP アドレスを使用して接続します。このシナリオでは、そのアドレスは 209.165.202.129 です。
ユーザー名、パスワード、IP アドレスを使用した FTD のオンボーディング
この手順を使用して、デバイスのログイン情報とデバイスの管理 IP アドレスのみを用いた Firepower Threat Defense(FTD)デバイスのオンボーディングを行います。これは、FTD デバイスのオンボーディングを実行する最も簡単な方法です。ただし、CDO への FTD のオンボーディングに推奨される方法は、登録キーを使用することです。
始める前に
重要 |
CDO に FTD デバイスをオンボーディングする前に、『Onboard an FTD』と「Cisco Defense Orchestrator の管理対象デバイスへの接続」を確認してください。これらの資料には、デバイスのオンボーディングに必要な一般的なデバイス要件とオンボーディングの前提条件が示されています。 |
-
ログイン情報方式を使用して FTD をオンボーディングするには、次の情報が必要です。
-
CDO が FTD への接続に使用するデバイスログイン情報。
-
デバイスの管理に使用しているインターフェイスの IP アドレス。このインターフェイスは、ネットワークの設定方法に応じて、管理インターフェイス、内部インターフェイス、または外部インターフェイスになります。
-
FTD を CDO にオンボーディングするには、Firepower Device Manager(FDM)で管理し、ローカル管理用に設定する必要があります。Firepower Management Center(FMC)では管理できません。
-
(注) |
FTD がソフトウェアバージョン 6.4 を実行しており、https://www.defenseorchestrator.eu に接続する場合は、この方法を使用する必要があります。ソフトウェア バージョン 6.5 以降を実行している FTD デバイスのみをオンボードできます。 |
手順
| ステップ 1 |
CDO にログインします。 |
||
| ステップ 2 |
ナビゲーションウィンドウで、[インベントリ(Inventory)] をクリックし、青いプラスボタン |
||
| ステップ 3 |
[FTD] をクリックします。
|
||
| ステップ 4 |
[FTDデバイスのオンボーディング(Onboard FTD Device)] 画面で、[ログイン番号の使用(Use Credentials)] をクリックします。 |
||
| ステップ 5 |
[デバイスの詳細(Device Details)] ステップで、以下の手順を実行します。
|
||
| ステップ 6 |
[データベースの更新(Database Updates)] 領域では、[セキュリティ更新を即時に実行し、定期更新を有効にする(Immediately perform security updates, and enable recurring updates)] がデフォルトで有効になっています。このオプションは、セキュリティ更新をすぐにトリガーするとともに、毎週月曜日の午前 2 時に追加の更新をチェックするようにデバイスを自動的にスケジュールします。詳細については、『Update FTD Security Databases』と『Schedule a Security Database Update』を参照してください。 このオプションを無効にしても、以前に FDM を使用して設定したスケジュール済みの更新には影響しません。 [次へ(Next)] をクリックします。 |
||
| ステップ 7 |
デバイス管理者のユーザー名とパスワードを入力し、[次へ(Next)] をクリックします。 |
||
| ステップ 8 |
デバイスの FDM に保留中の変更がある場合は通知され、変更を元に戻すか、FDM にログインして保留中の変更を展開することができます。FDM に保留中の変更がない場合、プロンプトは表示されません。 |
||
| ステップ 9 |
(オプション)ログイン情報が確認されると、デバイスにラベルを付けるように求められます。詳細については、『Labels and Label Groups』を参照してください。 |
||
| ステップ 10 |
[インベントリに移動(Go to Inventory)] をクリックします。 |
||
| ステップ 11 |
デバイスのオンボーディングが完了すると、CDO はデバイスを [インベントリ(Inventory)] ページに [同期(Synced)] ステータスで表示します。 |
をクリックして、デバイスのオンボーディングを行います。
次のタスク
FTD HA ペアをオンボーディングする場合は、ピアデバイスも CDO にオンボーディングする必要があります。詳細については、「ユーザー名、パスワード、IP アドレスを使用した FTD HA ペアの導入準備」のステップ 2 を参照してください。
登録キーを使用したソフトウェアバージョン 6.4 または 6.5 を実行する FTD の導入準備
この手順では、登録キーを使用して Firepower Threat Defense(FTD)デバイスをオンボーディングする方法について説明します。この方法は FTD デバイスを CDO にオンボーディングするための推奨される方法であり、DHCP を使用して FTD に IP アドレスが割り当てられている場合に適しています。その IP アドレスが何らかの理由で変更されても、FTD は CDO に接続されたままになります。さらに、FTD はローカルエリアネットワーク上のアドレスを持つことができ、外部ネットワークにアクセスできる限り、この方法で CDO にオンボーディングできます。
 警告 |
SecureX または Cisco Threat Response(CTR)アカウントをすでにお持ちの場合、デバイスを SecureX に登録するには、CDO アカウントと SecureX/CTR アカウントを統合する必要があります。アカウントがマージされるまで、デバイスのイベントを SecureX で表示したり、他の SecureX 機能を利用したりすることはできません。SecureX で CDO モジュールを作成する前に、アカウントをマージすることを強くお勧めします。アカウントは、SecureX ポータルから統合できます。手順については、「アカウントの統合」を参照してください。 |
オンボーディング前
-
FTD リリース 6.4 を実行しているお客様の場合、このオンボーディング方法は US リージョン(defenseorchestrator.com)でのみサポートされます。
-
FTD リリース 6.4 を実行し、EU リージョン(defenseorchestrator.eu)に接続しているお客様の場合、デバイスのユーザー名、パスワード、および IP アドレスを使用してデバイスをオンボードする必要があります。
-
FTD リリース 6.5 以降を実行しており、US、EU、または APJC リージョン(apj.cdo.cisco.com)リージョンのいずれかに接続しているお客様は、このオンボーディング方法を使用できます。
-
CDO を FTD に接続するために必要なネットワーク要件を Cisco Defense Orchestrator の管理対象デバイスへの接続 で確認します。
-
デバイスが、Firepower Management Center(FMC)ではなく、Firepower Device Manager(FDM)によって管理されていることを確認してください。
-
FTD ソフトウェアバージョン 6.4 および 6.5 を実行しているデバイスは、登録キーを使用してデバイスをオンボーディングしてから、デバイスを Cisco Smart Software Manager に登録する必要があります。それらの FTD を CDO にオンボーディングする前に、FTD のスマートライセンスを登録解除する必要があります。下の「スマートライセンス取得済みの FTD を登録解除する」を参照してください。
-
デバイスが 90 日間の評価ライセンスを使用している可能性があります。
-
FTD の FDM にログインし、デバイスで待機している保留中の変更がないことを確認します。
-
FTD デバイスで DNS が正しく設定されていることを確認します。
-
FTD デバイスでタイムサービスが正しく設定されていることを確認します。
-
FTD デバイスに正しい日付と時刻が表示されていることを確認します。そうでない場合はオンボーディングは失敗します。
次の作業
次の 2 つの操作のいずれかを実行します。
-
FTD にすでにスマートライセンスが適用されている場合は、Cisco Smart Software Manager から FTD の登録を解除します。登録キーを使用してデバイスを CDO にオンボードする前に、Smart Software Manager からデバイスの登録を解除する必要があります。スマートライセンス取得済みの FTD を登録解除するに進みます。
-
デバイスにスマートライセンスが適用されていない場合は、登録キーを使用したソフトウェアバージョン 6.4 または 6.5 を実行する FTD の導入準備手順に進みます。
スマートライセンス取得済みの FTD を登録解除する
オンボードするデバイスが FTD ソフトウェアバージョン 6.4 または 6.5 を実行しており、すでにスマートライセンスが付与されている場合、デバイスは Cisco Smart Software Manager に登録されている可能性があります。登録キーを使用してデバイスを CDO にオンボードする前に、Smart Software Manager からデバイスの登録を解除する必要があります。登録を解除すると、仮想アカウントでデバイスに関連付けられている基本ライセンスとすべてのオプション ライセンスが解放されます。
デバイスの登録を解除すると、デバイスの現在の設定とポリシーはそのまま機能しますが、変更を加えたり展開したりすることはできません。
手順
| ステップ 1 |
FDM を使用して FTD にログオンします。 |
| ステップ 2 |
[FDM] メニューのデバイスアイコンをクリックします。
|
| ステップ 3 |
[スマートライセンス(Smart License)] 領域で、 [設定の表示(View Configuration)] をクリックします。 |
| ステップ 4 |
[クラウドサービスに移動(Go to Cloud Services)] 歯車メニューをクリックして、[デバイスの登録解除(Unregister Device)] を選択します。
|
| ステップ 5 |
警告を確認し、[登録解除(Unregister)] をクリックしてデバイスの登録を解除します。 |
次のタスク
CDO にオンボーディングするためにデバイスの登録を解除した場合は、 登録キーを使用したソフトウェアバージョン 6.4 または 6.5 を実行する FTD の導入準備手順に進みます。
登録キーを使用したソフトウェアバージョン 6.4 または 6.5 を実行する FTD の導入準備手順
登録キーを使用して FTD をオンボードするには、次の手順に従います。
始める前に
「登録キーを使用したソフトウェアバージョン 6.4 または 6.5 を実行する FTD の導入準備」に記載されている前提条件を確認します。
手順
| ステップ 1 |
CDO にログインします。 |
||
| ステップ 2 |
ナビゲーションウィンドウで、[インベントリ(Inventory)] をクリックし、青いプラスボタン |
||
| ステップ 3 |
[FTD] をクリックします。
|
||
| ステップ 4 |
[FTD デバイスのオンボード(Onboard FTD Device)] 画面で、[登録キーの使用(Use Registration Key)] をクリックします。 |
||
| ステップ 5 |
[デバイス(Device Name)] フィールドにデバイス名を入力します。デバイスのホスト名またはその他の任意の名前にすることができます。  |
||
| ステップ 6 |
[データベースの更新(Database Updates)] 領域では、[セキュリティ更新を即時に実行し、定期更新を有効にする(Enable Immediately security updates、and enable recurring updates)] がデフォルトで有効になっています。このオプションは、セキュリティ更新をすぐにトリガーするとともに、毎週月曜日の午前 2 時に追加の更新をチェックするようにデバイスを自動的にスケジュールします。詳細については、『Update FTD Security Databases』と『Schedule a Security Database Update』を参照してください。
|
||
| ステップ 7 |
CDO によって [登録キーの作成(Create Registration Key)] 領域に登録キーが生成されます。
|
||
| ステップ 8 |
[コピー(Copy)] アイコン
[インベントリ(Inventory)] ページで、 デバイスの接続状態が「プロビジョニング解除(Unprovisioned)」になっていることを確認できます。[Firepower Defense Managerのプロビジョニングの解除(Unprovisioned to Firepower Defense Manager)] の下に表示される登録キーをコピーして、オンボーディングプロセスを完了します。 |
||
| ステップ 9 |
CDO にオンボーディングする FTD の FDM にログインします。 |
||
| ステップ 10 |
[システム設定(System Settings)] で、[クラウドサービス(Cloud Services)] をクリックします。 |
||
| ステップ 11 |
[Cisco Defense Orchestrator] タイトルで、[始める(Get Started)] をクリックします。 |
||
| ステップ 12 |
[リージョン(Region)] フィールドで、テナントが割り当てられている Cisco cloud のリージョンを選択します。
|
||
| ステップ 13 |
[登録キー(Registration Key)] フィールドに、CDO で生成した登録キーを貼り付けます。
|
||
| ステップ 14 |
[登録(Register)] をクリックし、[シスコの開示情報を受け入れる(Accept the Cisco Disclosure)] をクリックします。 |
||
| ステップ 15 |
CDO に戻ります。[スマートライセンス(Smart License)] 領域で、スマートライセンスを FTD デバイスに適用し、[次へ(Next)] をクリックします。 詳細については、「スマートライセンスの適用または更新」を参照してください。[スキップ(Skip)] をクリックして、90 日間の評価ライセンスでオンボーディングを続行することもできます。
|
||
| ステップ 16 |
CDO に戻り、[インベントリ(Inventory)] ページを開き、デバイスのステータスが [プロビジョニング解除(Unprovisioned)] から [検索中(Locating)]、[同期中(Syncing)]、[同期済み(Synced)] に変わっていくことを確認します。 |
をクリックして登録キーをコピーします。
登録キーを使用したソフトウェアバージョン 6.6+ を実行する FTD のオンボード
この手順では、登録キーを使用して Firepower Threat Defense(FTD)のバージョン 6.6 以降のデバイスをオンボーディングする方法について説明します。この方法は FTD デバイスを CDO にオンボーディングするための推奨される方法であり、DHCP を使用して FTD に IP アドレスが割り当てられている場合に適しています。その IP アドレスが何らかの理由で変更されても、FTD は CDO に接続されたままになります。さらに、FTD はローカルエリアネットワーク上のアドレスを持つことができ、外部ネットワークにアクセスできる限り、この方法で CDO にオンボーディングできます。
警告 |
SecureX または Cisco Threat Response(CTR)アカウントをすでにお持ちの場合、デバイスを SecureX に登録するには、CDO アカウントと SecureX/CTR アカウントを統合する必要があります。アカウントがマージされるまで、デバイスのイベントを SecureX で表示したり、他の SecureX 機能を利用したりすることはできません。SecureX で CDO モジュールを作成する前に、アカウントをマージすることを強くお勧めします。アカウントは、SecureX ポータルから統合できます。手順については、「アカウントの統合」を参照してください。 |
ソフトウェアバージョン 6.4 または 6.5 を実行している FTD をオンボーディングする場合は、『登録キーを使用したソフトウェアバージョン 6.4 または 6.5 を実行する FTD のオンボード』を参照してください。
オンボーディング前
-
このオンボーディング方法は、現在、FTD 6.6 リリースで、defenseorchestrator.com、defenseorchestrator.eu、apj.cdo.cisco.com に接続しているお客様が利用できます。
-
CDO を FTD に接続するために必要なネットワーク要件を Cisco Defense Orchestrator の管理対象デバイスへの接続 で確認します。
-
デバイスが、Firepower Management Center(FMC)ではなく、Firepower Device Manager(FDM)によって管理されていることを確認してください。
-
デバイスで 90 日間の評価ライセンスを使用することも、スマートライセンスを使用することもできます。FTD ソフトウェアバージョン 6.6 以降を実行しているデバイスは、インストールされているスマートライセンスを登録解除することなく、登録キーを使用して CDO にオンボーディングできます。
-
デバイスはまだ Cisco Cloud サービスに登録することはできません。オンボーディングの前に、以下の「Cisco Cloud サービスからの FTD の登録解除」を参照してください。
-
FTD の FDM UI にログインし、デバイスで待機している保留中の変更がないことを確認します。
-
FTD デバイスで DNS が正しく設定されていることを確認します。
-
FTD デバイスでタイムサービスが設定されていることを確認します。
-
FTD デバイスに正しい日付と時刻が表示されていることを確認します。そうでない場合はオンボーディングは失敗します。
次に行う作業:
次のいずれかの操作を実行します。
-
FTD 6.6+ デバイスがすでに Cisco Cloud サービスに登録されている場合は、デバイスをオンボーディングする前に登録を解除する必要があります。Cisco Cloud サービスから FTD を登録解除するに進みます。
-
デバイスが Cisco Cloud サービスに登録されていない場合は、登録キーを使用してソフトウェアバージョン 6.6+ を実行している FTD をオンボードする手順に進みます。
Cisco Cloud サービスから FTD を登録解除する
次に、Cisco Cloud サービスからデバイスを登録解除するための最新の手順を示します。登録キーを使用して CDO に FTD デバイスをオンボーディングする前に、この方法を使用します。
(注) |
バージョン 7.0 以降を実行している FTDv をオンボードする場合、FTDv を CDO に登録すると、パフォーマンス階層型のスマートライセンスの選択が、デフォルトの階層である [可変(Variable)] に自動的にリセットされます。オンボーディング後に、FDM UI を使用して、デバイスに関連付けられたライセンスに一致する層を手動で再選択する必要があります。 |
そのデバイスが Cisco Cloud サービスに登録されていないことを確認するには、次の手順を実行します。
手順
| ステップ 1 |
FDM を使用して FTD にログオンします。 |
| ステップ 2 |
[FDM] メニューのデバイスアイコンをクリックします。 
|
| ステップ 3 |
[システム設定(System Settings)] メニューを展開し、[クラウドサービス(Cloud Services)] をクリックします。 |
| ステップ 4 |
[クラウドサービス(Cloud Services)] ページで、歯車メニューをクリックし、[クラウドサービスの登録解除(Unregister Cloud Services)] を選択します。 
|
| ステップ 5 |
警告を確認し、[登録解除(Unregister)] をクリックしてデバイスの登録を解除します。 |
次のタスク
登録キーを使用してソフトウェアバージョン 6.6+ を実行している FTD をオンボードする手順
登録キーを使用して FTD をオンボードするには、次の手順に従います。
手順
| ステップ 1 |
CDO にログインします。 |
||
| ステップ 2 |
ナビゲーションウィンドウで、[インベントリ(Inventory)] をクリックし、青いプラスボタン |
||
| ステップ 3 |
[FTD] をクリックします。
|
||
| ステップ 4 |
[FTD デバイスのオンボード(Onboard FTD Device)] 画面で、[登録キーの使用(Use Registration Key)] をクリックします。 |
||
| ステップ 5 |
[デバイス(Device Name)] フィールドにデバイス名を入力します。デバイスのホスト名またはその他の任意の名前にすることができます。 |
||
| ステップ 6 |
[データベースの更新(Database Updates)] 領域では、[セキュリティ更新を即時に実行し、定期更新を有効にする(Immediately perform security updates, and enable recurring updates)] がデフォルトで有効になっています。このオプションは、セキュリティ更新をすぐにトリガーするとともに、毎週月曜日の午前 2 時に追加の更新をチェックするようにデバイスを自動的にスケジュールします。詳細については、『Update FTD Security Databases』と『Schedule a Security Database Update』を参照してください。
|
||
| ステップ 7 |
CDO によって [登録キーの作成(Create Registration Key)] 領域に登録キーが生成されます。
|
||
| ステップ 8 |
[コピー(Copy)] アイコン
[インベントリ(Inventory)] ページで、 デバイスの接続状態が「プロビジョニング解除(Unprovisioned)」になっていることを確認できます。[Firepower Defense Manager のプロビジョニングの解除(Unprovisioned to Firepower Defense Manager)] の下に表示される登録キーをコピーして、オンボーディングプロセスを完了します。 |
||
| ステップ 9 |
オンボーディング中の FTD の FDM にログインします。 |
||
| ステップ 10 |
[システム設定(System Settings)] で、[クラウドサービス(Cloud Services)] をクリックします。 |
||
| ステップ 11 |
[リージョン(Region)] フィールドで、テナントが割り当てられている Cisco cloud のリージョンを選択します。
|
||
| ステップ 12 |
[登録タイプ(Enrollment Type)] 領域で、[セキュリティ/アカウント(Security/Account)] をクリックします。
|
||
| ステップ 13 |
[登録キー(Registration Key)] フィールドに、CDO で生成した登録キーを貼り付けます。 |
||
| ステップ 14 |
[サービス登録(Service Enrollment)] 領域で、[Cisco Defense Orchestratorを有効にする(Enable Cisco Defense Orchestrator)]をオンにします。 |
||
| ステップ 15 |
Cisco Success Network Enrollment の登録に関する情報を確認します。参加しない場合は、[Cisco Success Networkに登録(Enroll Cisco Success Network)] チェックボックスをオフにします。 |
||
| ステップ 16 |
[登録(Register)] をクリックし、[シスコの開示情報を受け入れる(Accept the Cisco Disclosure)] をクリックします。FDM が CDO に登録要求を送信します。 |
||
| ステップ 17 |
CDO に戻り、[登録キーの作成(Create Registration Key)] 領域で [次へ(Next)] をクリックします。 |
||
| ステップ 18 |
[スマートライセンス(Smart License)] 領域で、スマートライセンスを FTD デバイスに適用して [次へ(Next)] をクリックするか、[スキップ(Skip)] をクリックして、90 日間の評価ライセンスでオンボーディングを続行するか、デバイスがすでにスマートライセンスを取得している場合は、続行できます。詳細については、「スマートライセンスの適用または更新」を参照してください。 詳細については、「スマートライセンスの適用または更新」を参照してください。[スキップ(Skip)] をクリックして、90 日間の評価ライセンスでオンボーディングを続行することもできます。
|
||
| ステップ 19 |
CDO に戻り、[インベントリ(Inventory)] ページを開き、デバイスのステータスが [プロビジョニング解除(Unprovisioned)] から [検索中(Locating)]、[同期中(Syncing)]、[同期済み(Synced)] に変わっていくことを確認します。 |
デバイスのシリアル番号を使用した FTD の導入準備
この手順により、Firepower Threat Defense(FTD)デバイスを簡単にセットアップして CDO にオンボーディングできます。必要なのは、デバイスのシャーシのシリアル番号または PCA シリアル番号だけです。デバイスのオンボード時に、スマートライセンスを適用するか、90 日間の評価ライセンスを使用できます。
オンボーディング手順を実行する前に、使用例を読んで概念を理解してください。
重要 |
FTD をオンボーディングするためのこれらの方法は、Firepower バージョン 6.7 以降がインストールされているデバイスでのみ使用できます。 |
使用例
-
新しい FTD デバイスのロータッチプロビジョニング:ネットワークに追加され、インターネットを介して到達できる、工場出荷状態の新しい FTD デバイスのオンボーディング。デバイスの初期デバイス セットアップ ウィザードは完了してしない。
-
デバイスのシリアル番号を使用して設定済みの FTD をオンボード:ネットワークにすでに追加されインターネットから到達可能な、設定済みの FTD デバイス、またはアップグレードされたデバイスのオンボーディング。初期デバイス セットアップ ウィザードは、デバイスで完了している。
新しい FTD デバイスのロータッチ プロビジョニング
ロータッチプロビジョニングは、工場出荷状態の新しい FTD 1000、2100、3100 シリーズのデバイスを自動的にプロビジョニングして設定できるようにする機能です。これにより、CDO へのデバイスのオンボーディングに伴う手動タスクの大部分が不要になります。ロータッチ プロビジョニング プロセスにより、物理デバイスにログインする必要性が最小限に抑えられます。これは、従業員がネットワークデバイスの操作に慣れていないリモートオフィスやその他の場所を対象としています。
ロータッチプロビジョニングは、さまざまなハードウェアモデルのサポート対象ソフトウェアバージョンで使用できます。
| ロータッチプロビジョニングをサポートするファイアウォールモデル番号 | サポート対象のファイアウォール ソフトウェア バージョン | FTDソフトウェア パッケージ |
|---|---|---|
| Firepower 1000 シリーズ デバイスモデル:1010、1120、1140、1150 | 6.7 以降 | SF-F1K-TD6.7-K9 |
| Firepower 2100 シリーズ デバイスモデル:2110、2120、2130、2140 | 6.7 以降 | SF-F2K-TD6.7-K9 |
| Secure Firewall 3100 シリーズ デバイスモデル:3110、3120、3130、3140 | 7.1 以降 | SF-F3K-TD7.1.0-K9 |
重要 |
この方法を使用して、古いソフトウェアバージョン(6.4、6.5、および 6.6)で実行されている FTD デバイスをオンボーディングする場合は、アップグレードではなく、そのデバイスでソフトウェアの新規インストール(再イメージ化)を実行する必要があります。 |
ロータッチ プロビジョニング プロセスを使用するには、FTD デバイスを CDO にオンボーディングし、インターネットにアクセスできるネットワークに接続して、デバイスの電源を入れます。
(注) |
CDO にオンボーディングする前か後にデバイスの電源を入れますが、最初にデバイスを CDO にオンボーディングしてから、デバイスの電源を入れてブランチネットワークに接続することをお勧めします。CDO にデバイスをオンボーディングすると、デバイスは Cisco Cloud の CDO テナントに関連付けられます。デバイスの電源をオンにしてネットワークに接続すると、そのデバイスは Cisco Cloud に接続されます。また、テナントにすでに関連付けられているため、CDO によってデバイスの構成が自動的に同期されます。 |
デバイスを有効化するには、以下の手順を実行します。
手順
| ステップ 1 |
「デバイスシリアル番号を使用した FTD のオンボーディング手順」で説明されている手順を使用して、CDO でデバイスをオンボーディングします。ここでは、デバイスパスワードが変更されていないため、[デフォルトパスワード変更なし(Default Password Not Changed)] を選択する必要があります。 |
||
| ステップ 2 |
FTD がクラウドに接続されると、テナントはオンボーディングプロセスを完了します。デバイスの [接続(Connectivity)] ステータスが [要求中(Claiming)] に変わります。 |
||
| ステップ 3 |
ネットワーク ケーブルをイーサネット 1/1 または管理 1/1 インターフェイスに接続します。インターフェイスにインターネットへのルートがあることを確認します。デバイスの電源を入れると、デバイスは DHCP サーバーから IPv4 アドレスを受け取り、Cisco Cloud に接続します。デバイスのデフォルト設定では、DHCP を使用して外部インターフェイスのアドレスを取得します。 デバイスは、Cisco Cloud ですでに要求されているかどうかを自動的に確認します。この場合、デバイスはすでに CDO で要求されているため、CDO のテナントに直接割り当てられ、CDO にオンボーディングされます。
|
デバイスの [接続(Connectivity)] ステータスが [オンライン(Online)] に変更され、[設定(Configuration)] ステータスが [同期済み(Synced)] に変更されます。FTD デバイスが CDO にオンボードされます。
ハードウェアの背面パネルでステータス LED(FTD 1010)、SYS LED(FTD 2100)、または S LED(3100)が緑色に点滅しているのを確認できます。デバイスがクラウドに接続されている場合、デバイスの LED は緑色で点滅し続けます。デバイスが Cisco Cloud に接続できない場合、または接続後に接続が失われた場合、ステータス LED(FTD 1010)、SYS LED(FTD 2100)、または M LED(FTD 3100)が交互に緑色とオレンジ色に点滅しているのを確認できます。
LED インジケータについて理解するには、「ロータッチプロビジョニングを使用した Cisco Firepower ファイアウォールのインストール」のビデオをご覧ください。
重要 |
これまでに FTD コンソール、SSH、FDM にログインしている場合は、最初のログイン時にデバイスのパスワードを変更しているはずです。それでも、CDO を使用したデバイスのオンボーディングにロータッチ プロビジョニング プロセスを使用できます。FDM にログイン後、デバイスのセットアップウィザードで、外部インターフェイスの設定ステップを完了しないでください。このステップを完了すると、デバイスはクラウドから登録解除され、ロータッチ プロビジョニング プロセスを使用できなくなります。 |
FDM にログインすると、ダッシュボードに次の画面が表示されます。
FDM UI では先に進まず、シリアル番号のオンボーディングウィザードに移動し、デバイスをオンボーディングしてください。ここでは、デバイスパスワードが変更されているため、[デフォルトパスワード変更済み(Default Password Changed)] を選択する必要があります。「デバイスシリアル番号を使用した FTD のオンボーディング手順」を参照してください。
デバイスのシリアル番号を使用した設定済み FTD のオンボード
デバイス セットアップ ウィザードは設定済みの FTD デバイスで完了するため、デバイスはクラウドから登録解除され、ロータッチ プロビジョニング プロセスを使用して登録解除されたデバイスを CDO にオンボードすることはできません。
(注) |
デバイスが Cisco Cloud に接続されていない場合、ステータス LED(FTD 1000 シリーズ)、SYS LED(FTD 2100 シリーズ)、または M LED(3100 シリーズ)が緑色とオレンジ色に交互に点滅しているのを確認できます。 |
次のタスクを実行するためにデバイス セットアップ ウィザードを完了している可能性があります。
-
デバイスが FTD 6.7 以降にアップグレードされている。シリアル番号を使用して FTD を CDO にオンボーディングするには、デバイスに FTD 6.7 がインストールされている必要があります。
-
デバイスの管理インターフェイスで静的 IP アドレスを設定します。インターフェイスが必要なダイナミック IP アドレスを取得できない場合、または DHCP サーバーでゲートウェイルートが提供されない場合は、静的 IP アドレスを設定する必要があります。
-
PPPoE を使用してアドレスを取得し、外部インターフェイスを設定します。
-
FDM または FMC を使用して FTD 6.7 以降のデバイスを管理します。
重要 |
CDO では、Firepower Management Center(FMC)で管理されている FTD を管理できません。ただし、このデバイスを CDO で引き続き管理する場合は、デバイスをオンボードする前に FTD デバイスをローカル管理に切り替え、後でデバイスをオンボードします。デバイスが実行しているバージョンの Cisco Firepower Threat Defense コンフィギュレーション ガイド(Firepower Device Manager 用)[英語] の「System Management」の章にある「Switching Between Local and Remote Management」で説明されている手順を実行します。https://www.cisco.com/c/en/us/support/security/firepower-ngfw/products-installation-and-configuration-guides-list.html#anchor854 |
このようなデバイスをオンボードする場合は、次の手順を実行します。
手順
| ステップ 1 |
「デバイスシリアル番号を使用した FTD のオンボーディング手順」で説明されている手順を使用して、CDO でデバイスをオンボードします。ここでは、デバイスパスワードが変更されているため、[デフォルトパスワード変更済み(Default Password Changed)] を選択する必要があります。 |
| ステップ 2 |
FDM UI で、 に移動し、[Cisco Defense Orchestratorからテナントへの自動登録(Auto-enroll with Tenancy from Cisco Defense Orchestrator)] オプションを選択して [登録(Register)] をクリックします。 |
CDO は、デバイスの [接続(Connectivity)] ステータスを [オンライン(Online)] に変更し、[設定(Configuration)] ステータスを [同期(Synced)] 状態に変更します。FTD デバイスが CDO にオンボーディングされます。ハードウェアの背面パネルでステータス LED(FTD 1010)、SYS LED(FTD 2100)、または M LED が緑色に点滅しているのを確認できます。デバイスが Cisco Cloud に接続されている場合、デバイスの LED は緑色で点滅し続けます。デバイスが Cisco Cloud に接続できない場合、または接続後に接続が失われた場合、同じステータス LED が緑色とオレンジ色に交互に点滅しているのを確認できます。
ロータッチプロビジョニングを使用した Firepower Threat Defense デバイスの導入準備ワークフローと前提条件
このワークフローは、工場出荷状態の新しい Firepower 1000、Firepower 2100、および Secure Firewall 3100 シリーズ デバイスのロータッチプロビジョニングを使用した導入準備に適用されます。
この手順を使用して、外部ベンダーから購入したデバイスをオンボードしたり、別のリージョンにある別のクラウドテナントによってすでに管理されているデバイスをオンボードしたりもできます。ただし、デバイスが外部ベンダーのクラウドテナントまたは別のリージョンのクラウドテナントにすでに登録されている場合、CDO はデバイスをオンボードせず、「デバイスのシリアル番号がすでに要求されている(Device serial number already claimed)」というエラーメッセージを表示します。このような場合、CDO 管理者は、デバイスのシリアル番号を以前のクラウドテナントから登録解除してから、独自のテナントで CDO デバイスを要求する必要があります。トラブルシューティングの章の「デバイスのシリアル番号がすでに要求されている」を参照してください。
前提条件
ソフトウェアおよびハードウェアの要件
FTD デバイスは、シリアル番号による導入準備をサポートする脅威防御ソフトウェアを実行している必要があります。
| ロータッチプロビジョニングをサポートするファイアウォールモデル番号 | サポート対象のファイアウォール ソフトウェア バージョン | FTDソフトウェア パッケージ |
|---|---|---|
| Firepower 1000 シリーズ デバイスモデル:1010、1120、1140、1150 | 6.7 以降 | SF-F1K-TD6.7-K9 |
| Firepower 2100 シリーズ デバイスモデル:2110、2120、2130、2140 | 6.7 以降 | SF-F2K-TD6.7-K9 |
| Secure Firewall 3100 シリーズ デバイスモデル:3110、3120、3130、3140 | 7.1 以降 | SF-F3K-TD7.1.0-K9 |
ハードウェア設置に関する構成の前提条件
-
分散拠点のネットワークは 192.168.1.0/24 アドレス空間を使用できません。イーサネット 1/1(外部)上のネットワークは、192.168.1.0/24 アドレス空間を使用できません。FTD 6.7 を実行している 1000 および 2100 シリーズ デバイスのイーサネット 1/2 「内部」インターフェイスのデフォルト IP アドレスは 192.168.1.1 であり、WAN モデムがそのサブネット上にある場合、WAN モデムによって割り当てられた DHCP アドレスと競合する可能性があります。
-
内部:イーサネット 1/2、IP アドレス 192.168.1.1
-
外部:イーサネット 1/1、DHCP からの IP アドレス、またはセットアップ時に指定したアドレス
外部インターフェイスの設定を変更できない場合は、FDM を使用してイーサネット 1/2 の「内部」インターフェイス設定のサブネットを変更し、競合を回避します。たとえば、次のサブネット設定に変更できます。
-
IP アドレス:192.168.95.1
-
DHCP サーバーの範囲:192.168.95.5 ~ 192.168.95.254
物理インターフェイスの設定手順については、Cisco Firepower Threat Defense コンフィギュレーション ガイド(Firepower Device Manager 用)[英語] を参照してください。https://www.cisco.com/c/en/us/support/security/firepower-ngfw/products-installation-and-configuration-guides-list.html「Interfaces」の章の「Configure a Physical Interface」を参照してください。
-
-
FTD デバイスがインストールされ、Cisco Cloud に接続されている必要があります。
-
デバイスの外部インターフェイスまたは管理インターフェイスは、DHCP アドレッシングを提供するネットワークに接続する必要があります。通常、デバイスには外部インターフェイスまたは管理インターフェイスにデフォルトの DHCP クライアントがあります。
(注)
管理インターフェイスが DHCP サーバーを備えたネットワークに接続されている場合、Linux スタックによって開始されるトラフィックの外部インターフェイスよりも優先されます。
-
シリアルオンボーディング方法の次の SSE ドメインにアクセスできるようにするには、外部または管理インターフェイスにアクセスする必要があります。
-
US リージョン
-
api sse.cisco.com
-
est.sco.cisco.com(地理的に共通)
-
mx*.sse.itd.cisco.com(現在は mx01.sse.itd.cisco.com のみ)
-
dex.sse.itd.cisco.com(カスタマーサクセス用)
-
eventing-ingest.sse.itd.cisco.com(CTR および CDO 用)
-
registration.us.sse.itd.cisco.com(地域の Cisco Cloud へのデバイス登録が可能)
-
-
EU リージョン
-
api.eu.sse.itd.cisco.com
-
est.sco.cisco.com(地理的に共通)
-
mx*.eu.sse.itd.cisco.com(現在は mx01.eu.sse.itd.cisco.com のみ)
-
dex.eu.sse.itd.cisco.com(カスタマーサクセス用)
-
eventing-ingest.eu.sse.itd.cisco.com(CTR および CDO 用)
-
registration.eu.sse.itd.cisco.com(地域の Cisco Cloud へのデバイス登録が可能)
-
-
APJ リージョン
-
api.apj.sse.itd.cisco.com
-
est.sco.cisco.com(地理的に共通)
-
mx*.apj.sse.itd.cisco.com(現在は mx01.apj.sse.itd.cisco.com のみ)
-
dex.apj.sse.itd.cisco.com(カスタマーサクセス用)
-
eventing-ingest.apj.sse.itd.cisco.com(CTR および CDO 用)
-
http://registration.apj.sse.itd.cisco.com(地域の Cisco Cloud へのデバイス登録が可能)
-
-
-
デバイスの外部インターフェイスから、Cisco Umbrella DNS に DNS アクセスできる必要があります。
CDO でデバイスを要求する前に
CDO でデバイスを要求する前に、次の情報があることを確認してください。
-
FTD デバイスのシャーシのシリアル番号または PCA 番号。この情報は、ハードウェアシャーシの下部、またはデバイスが納品された段ボール箱に記載されています。次の図の例では、FTD 1010 シャーシの下部にシリアル番号「*******X0R9」が表示されています。
-
デバイスのデフォルトのパスワード。
-
追加機能を使用するために Cisco Smart Software Manager から生成されたスマートライセンス。ただし、90 日間の評価ライセンスを使用してデバイスのオンボーディングを完了し、後にスマートライセンスを適用できます。
次の作業
ロータッチプロビジョニングに向けた Firepower Threat Defense デバイスのシリアル番号の導入準備 に進みます。
ロータッチプロビジョニングに向けた Firepower Threat Defense デバイスのシリアル番号の導入準備
注意:CDO で FTD デバイスの導入準備をしている場合は、Firepower Device Manager を使用してデバイスの簡易セットアップを実行しないことをお勧めします。簡易セットアップを実行すると、CDO でプロビジョニングエラーが発生します。
デバイスの電源を入れてブランチネットワークに接続する前に、シリアル番号を使用してデバイスを CDO にオンボーディングすることをお勧めします。
手順
| ステップ 1 |
外部ベンダーから購入したデバイスの導入準備をする場合は、まずデバイスを再イメージ化する必要があります。詳細については、『Cisco FXOS Troubleshooting Guide for the Firepower 1000/21000 with FTD』の「Reimage Procedures」の章を参照してください。 |
||||||||
| ステップ 2 |
CDO にログインします。 |
||||||||
| ステップ 3 |
ナビゲーションウィンドウで、[インベントリ(Inventory)] をクリックし、青いプラスボタン |
||||||||
| ステップ 4 |
FTD をクリックします。
|
||||||||
| ステップ 5 |
[FTDデバイスの導入準備(Onboard FTD Device)] 画面で、[シリアル番号の使用(Use Serial Number)] をクリックします。 |
||||||||
| ステップ 6 |
[接続(Connection)] ステップで、次の詳細を入力し、[次へ(Next)] をクリックします。
|
次のタスク
CDO がデバイスの要求を開始すると、右側に [要求中(Claiming)] メッセージが表示されます。CDO は、デバイスがオンラインでクラウドに登録されているかどうかを確認するために、1 時間継続的にポーリングします。クラウドに登録されると、CDO は初期プロビジョニングを開始し、デバイスを正常にオンボーディングします。デバイスの LED ステータスが緑色に点滅することで、デバイスが登録されていることを確認できます。デバイスが Cisco Cloud に接続できない場合、または接続後に接続が失われた場合、ステータス LED(FTD 1010)または SYS LED(FTD 2100)が交互に緑色とオレンジ色に点滅します。
最初の 1 時間以内にデバイスがクラウドに登録されない場合、タイムアウトが発生し、CDO は 10 分ごとに定期的にポーリングしてデバイスのステータスを確認し、[要求中(Claiming)]の状態を維持します。デバイスの電源が入っていてクラウドに接続されている場合、オンボーディングステータスを把握するために 10 分間待つ必要はありません。いつでも [ステータスの確認(Check Status)] リンクをクリックしてステータスを確認できます。CDO は初期プロビジョニングを開始し、デバイスを正常にオンボーディングします。
重要 |
デバイス セットアップ ウィザードをすでに完了したと仮定すると(「すでに設定済みの FTD デバイスのオンボーディング」を参照)、デバイスはクラウドから登録解除され、この場合、CDO は [要求中(Claiming)] 状態のままになります。FDM を CDO に追加するには、FDM から手動登録を完了する必要があります。(FDM で、[システム設定(System Settings)] > [クラウドサービス(Cloud Services)] に移動し、[Cisco Defense Orchestratorからテナントへの自動登録(Auto-enroll with Tenancy from Cisco Defense Orchestrator)] オプションを選択して [登録(Register)] をクリックします)。次に、[ステータスの確認(Check Status)] をクリックします。 |
FTD 高可用性ペア
FTD ペアを CDO にオンボーディングするには、ペアの各デバイスを個別にオンボーディングする必要があります。ペアの両方のピアがオンボーディングされると、CDO はそれらを [インベントリ(Inventory)] ページの 1 つのエントリとして自動的に組み合わせます。ログイン情報または登録キーを使用してデバイスをオンボーディングします。両方のデバイスを同じ方法でオンボーディングすることをお勧めします。また、先にスタンバイモードのデバイスをオンボーディングすると、CDO はそのデバイスの展開機能または読み取り機能を無効にすることに注意してください。HA ペア内のアクティブなデバイスに対してのみ読み取りまたは展開を実行できます。
(注) |
CDO は、登録キーを使用して FTD デバイスをオンボーディングすることを強く推奨します。登録キーを使用したオンボーディングは、特定の Firepower ソフトウェアバージョンを実行している FTD デバイスでは若干異なります。詳細については、バージョン 6.4 またはバージョン 6.5 を実行する FTD HA ペアのオンボーディングと バージョン 6.6 またはバージョン 6.7 以降を実行する FTD HA ペアのオンボーディングを参照してください。 |
FTD HA ペアを CDO にオンボードする前に、以下を確認してください。
-
HA ペアは、CDO にオンボーディングされる前にすでに形成されている。
-
両方のデバイスは正常な状態である。ペアは、プライマリ/アクティブモードとセカンダリ/スタンバイモード、またはプライマリ/スタンバイモードとセカンダリ/アクティブモードのいずれかである。異常なデバイスは、CDO に正常に同期されない。
-
HA ペアは、Firepower Management Center(FMC)ではなく、Firepower Device Manager(FDM)によって管理されている。
-
Cloud Connector が https://www.defenseorchestrator.com で CDO に接続している。
登録キーを使用した FTD HA ペアの導入準備
登録キーを使用して FTD 高可用性(HA)ペアの導入準備を開始する前に、次の前提条件に注意してください。
-
FTD バージョン 6.4 を実行するデバイスの登録キーを使用した導入準備は、米国リージョン (defenseorchestrator.com)でのみサポートされています。EU リージョン(defenseorchestrator.eu)に接続するには、ユーザー名、パスワード、および IP アドレスを使用して HA ペアを導入準備する必要があります。
-
FTD リリース 6.5 以降を実行しており、US、EU、または APJC リージョンのいずれかに接続しているお客様は、登録キーを使用して導入準備できます。
-
FTD ソフトウェアバージョン 6.4 および 6.5 を実行しているデバイスは、登録キーを使用してデバイスをオンボーディングしてから、デバイスを Cisco Smart Software Manager に登録する必要があります。それらの FTD を CDO にオンボーディングする前に、FTD のスマートライセンスを登録解除する必要があります。詳細については、スマートライセンス取得済みの FTD を登録解除するを参照してください。
バージョン 6.4 またはバージョン 6.5 を実行する FTD HA ペアのオンボーディング
ソフトウェア バージョン 6.4 または 6.5 を実行している FTD HA ペアをオンボーディングするには、一度に 1 つずつデバイスをオンボーディングする必要があります。オンボーディングするデバイスがアクティブであるかスタンバイであるか、プライマリであるかセカンダリであるかは関係ありません。
(注) |
登録キーを使用して HA ペアのいずれかのデバイスをオンボーディングする場合、もう一方のピアデバイスのオンボーディングにも同じ方法を使用する必要があります。 |
バージョン 6.4 または 6.5 を実行している HA ペアをオンボーディングするには、以下の手順に従ってください。
手順
| ステップ 1 |
ピアデバイスをオンボーディングします。ペアのうち最初のデバイスをオンボーディングするには、『登録キーを使用したソフトウェアバージョン 6.4 または 6.5 を実行する FTD のオンボーディング』を参照してください。 |
||
| ステップ 2 |
ナビゲーションウィンドウで、[インベントリ(Inventory)] をクリックします。 |
||
| ステップ 3 |
[デバイス(Devices)] タブをクリックして、デバイスを見つけます。 |
||
| ステップ 4 |
[FTD] タブをクリックします。デバイスが同期されたら、デバイスを選択してハイライトします。[デバイスの詳細(Devie Details)] のすぐ下にある操作ウィンドウで、[デバイスのオンボーディング(Onboard Device)] をクリックします。 |
||
| ステップ 5 |
すでにオンボーディングされているピアデバイスの HA ピアデバイス名を入力します。[次へ(Next)] をクリックします。 |
||
| ステップ 6 |
最初のデバイスのスマートライセンスを提示した場合、CDO はそのライセンスを再入力して、このデバイスのオンボーディングに使用できるようにします。[次へ(Next)] をクリックします。
|
||
| ステップ 7 |
CDO は、オンボーディングの準備をしているデバイスの登録キーを自動的に生成します。[コピー(Copy)] アイコン |
||
| ステップ 8 |
オンボーディング中の FTD の FDM UI にログインします。 |
||
| ステップ 9 |
[システム設定(System Settings)] で、[クラウドサービス(Cloud Services)] をクリックします。 |
||
| ステップ 10 |
[Cisco Defense Orchestrator] タイトルで、[始める(Get Started)] をクリックします。 |
||
| ステップ 11 |
[登録キー(Registration Key)] フィールドに、CDO で生成した登録キーを貼り付けます。 
|
||
| ステップ 12 |
[リージョン(Region)] フィールドで、テナントが割り当てられている Cisco cloud のリージョンを選択します。
|
||
| ステップ 13 |
[登録(Register)] をクリックし、[シスコの開示情報を受け入れる(Accept the Cisco Disclosure)] をクリックします。 |
||
| ステップ 14 |
CDO に戻り、[登録キーの作成(Create Registration Key)] 領域で [次へ(Next)] をクリックします。 |
||
| ステップ 15 |
[インベントリに移動(Go to Inventory)] をクリックします。CDO は自動的にデバイスをオンボーディングし、それらを単一のエントリとして結合します。オンボーディングした最初のピアデバイスと同様に、デバイスのステータスは「プロビジョニング解除(Unprovisioned)」から「取得中(Locating)」、「同期中(Syncing)」、「同期済み(Synced)」に変わります。 |
バージョン 6.6 またはバージョン 6.7 以降を実行する FTD HA ペアのオンボーディング
バージョン 6.6 または 6.7 を実行している FTD HA ペアをオンボーディングするには、一度に 1 つずつデバイスをオンボーディングする必要があります。オンボーディングするデバイスがアクティブであるかスタンバイであるか、プライマリであるかセカンダリであるかは関係ありません。
(注) |
登録キーを使用して HA ペアのいずれかのデバイスをオンボーディングする場合、もう一方のピアデバイスのオンボーディングにも同じ方法を使用する必要があります。 バージョン 6.6 または 6.7 を実行している HA ペアをオンボーディングするには、以下の手順に従ってください。 |
手順
| ステップ 1 |
ピアデバイスをオンボーディングします。詳細については、「登録キーを使用したソフトウェアバージョン 6.6+ を実行する FTD のオンボード」を参照してください。 |
||
| ステップ 2 |
ナビゲーションウィンドウで、[インベントリ(Inventory)] をクリックします。 |
||
| ステップ 3 |
[デバイス(Devices)] タブをクリックして、デバイスを見つけます。 |
||
| ステップ 4 |
[FTD] タブをクリックします。デバイスが同期されたら、デバイスを選択してハイライトします。[デバイスの詳細(Devie Details)] のすぐ下にある操作ウィンドウで、[デバイスのオンボーディング(Onboard Device)] をクリックします。 |
||
| ステップ 5 |
すでにオンボーディングされているピアデバイスの HA ピアデバイス名を入力します。[次へ(Next)] をクリックします。 |
||
| ステップ 6 |
最初のデバイスのスマートライセンスを提示した場合、CDO はそのライセンスを再入力して、このデバイスのオンボーディングに使用できるようにします。[次へ(Next)] をクリックします。 |
||
| ステップ 7 |
CDO は、オンボーディングの準備をしているデバイスの登録キーを自動的に生成します。[コピー(Copy)] アイコン |
||
| ステップ 8 |
CDO にオンボーディングする FTD の FDM UI にログインします。 |
||
| ステップ 9 |
[システム設定(System Settings)] で、[クラウドサービス(Cloud Services)] をクリックします。 |
||
| ステップ 10 |
[登録タイプ(Enrollment Type)] 領域で、[セキュリティ/CDOアカウント(Security/CDO Account)] をクリックします。
|
||
| ステップ 11 |
[リージョン(Region)] フィールドで、テナントが割り当てられている Cisco cloud のリージョンを選択します。
|
||
| ステップ 12 |
[登録キー(Registration Key)] フィールドに、CDO で生成した登録キーを貼り付けます。 |
||
| ステップ 13 |
[サービス登録(Service Enrollment)] 領域で、[Cisco Defense Orchestratorを有効にする(Enable Cisco Defense Orchestrator)]をオンにします。 |
||
| ステップ 14 |
Cisco Success Network Enrollment の登録に関する情報を確認します。参加しない場合は、[Cisco Success Networkに登録(Enroll Cisco Success Network)] チェックボックスをオフにします。 |
||
| ステップ 15 |
[登録(Register)] をクリックし、[シスコの開示情報を受け入れる(Accept the Cisco Disclosure)] をクリックします。FDM が CDO に登録要求を送信します。 |
||
| ステップ 16 |
CDO に戻り、[登録キーの作成(Create Registration Key)] 領域で [次へ(Next)] をクリックします。 |
||
| ステップ 17 |
[スマートライセンス(Smart License)] 領域で、スマートライセンスを FTD デバイスに適用して [次へ(Next)] をクリックするか、[スキップ(Skip)] をクリックして、90 日間の評価ライセンスでオンボーディングを続行するか、デバイスがすでにスマートライセンスを取得している場合は、続行できます。詳細については、「スマートライセンスの適用または更新」を参照してください。
|
||
| ステップ 18 |
CDO に戻り、[インベントリに移動(Go to Inventory)] をクリックします。CDO は自動的にデバイスをオンボーディングし、それらを単一のエントリとして結合します。オンボーディングした最初のピアデバイスと同様に、デバイスのステータスは「プロビジョニング解除(Unprovisioned)」から「取得中(Locating)」、「同期中(Syncing)」、「同期済み(Synced)」に変わります。 |
ユーザー名、パスワード、IP アドレスを使用した FTD HA ペアの導入準備
(注) |
ユーザー名とパスワードを使用して HA ペアのいずれかのデバイスをオンボーディングする場合、もう一方のピアデバイスのオンボーディングにも同じ方法を使用する必要があります。 |
CDO の外部で作成された FTD HA ペアをオンボードするには、次の手順に従います。
手順
| ステップ 1 |
HA ペア内のピアデバイスの片方をオンボードします。最初のデバイスのオンボードについては、ユーザー名、パスワード、IP アドレスを使用した FTD のオンボーディングを参照してください。 |
| ステップ 2 |
デバイスが同期されたら、[インベントリ(Inventory)] ページで [デバイス(Devices)] タブをクリックします。 |
| ステップ 3 |
[FTD] タブをクリックします。 |
| ステップ 4 |
デバイスを選択します。[デバイスの詳細(Devie Details)] のすぐ下にある操作ウィンドウで、[デバイスのオンボーディング(Onboard Device)] をクリックします。 |
| ステップ 5 |
ポップアップウィンドウで、HA ピアのデバイス名と場所を入力します。 |
| ステップ 6 |
[デバイスのオンボード(Onboard Device)] をクリックします。両方のデバイスが CDO に正常に同期されると、HA ペアが単一のエンティティとして [インベントリ(Inventory)] ページに表示されます。 |
スマートライセンスの適用または更新
FTD デバイスへの新しいスマートライセンスの適用
次のいずれかの手順を実行して、Firepower Threat Defense(FTD)デバイスのスマートライセンスを取得します。
-
登録キーを使用してオンボーディングするときに FTD デバイスにスマートライセンスを付与します。
-
登録キーまたは管理者のログイン情報を使用してデバイスをオンボーディングした後、FTD デバイスにスマートライセンスを付与します。
(注) |
FTD デバイスで 90 日間の評価ライセンスを使用しているか、ライセンスが登録解除されている可能性があります。 |
登録キーを使用して導入準備する場合の FTD デバイスのスマートライセンス付与
手順
| ステップ 1 |
Cisco Smart Software Manager にログインして、新しいスマートライセンスキーを生成します。新しく生成したキーをコピーします。詳細については、スマートライセンスの生成に関するビデオをご覧ください。
|
| ステップ 2 |
登録キーを使用して FTD の導入準備を開始します。詳細については、「ソフトウェアバージョン 6.6 以降を実行する FTD の登録キーを使用した導入準備」または「ソフトウェアバージョン 6.4 または 6.5 を実行する FTD の登録キーを使用した導入準備」を参照してください。 |
| ステップ 3 |
導入準備ウィザードのステップ 4 で、[スマートライセンス情報(Smart License here)] ボックス内の [アクティブ化(Activate)] フィールドにスマートライセンスを貼り付けて、[次へ(Next)] をクリックします。
|
| ステップ 4 |
[インベントリページに移動(Go to Inventory page)] をクリックします。 |
| ステップ 5 |
[FTD] タブをクリックして、導入準備プロセスの進行状況を確認します。デバイスで同期が開始され、スマートライセンスが適用されます。 デバイスがオンライン接続状態になったことを確認する必要があります。デバイスがオンライン接続状態にない場合は、右側の [デバイス アクション(Device Actions)] ペインで、をクリックして、接続状態を更新します。 |
| ステップ 6 |
スマートライセンスが FTD デバイスに正常に適用されたら、[ライセンス管理(Manage Licenses)] をクリックします。デバイスのステータスは [接続済み(Connected)]、[十分なライセンス(Sufficient License)] と表示されます。また、オプションライセンスを有効化または無効化できます。詳細については、 「FTD スマートライセンスのタイプ」を参照してください。
|
登録キーまたはログイン情報を使用したデバイスの導入準備の後に、FTD デバイスにスマートライセンスを付与する
手順
| ステップ 1 |
ナビゲーションウィンドウで、[インベントリ(Inventory)] をクリックします。 |
| ステップ 2 |
[デバイス(Devices)] タブをクリックしてデバイスを見つけます。 |
| ステップ 3 |
[FTD] タブをクリックして、ライセンスを付与するデバイスを選択します。 |
| ステップ 4 |
右側の [デバイスアクション(Device Actions)] ペインで、[ライセンスの管理(Manage Licenses)] をクリックします。
|
| ステップ 5 |
画面の指示に従って Smart Software Manager で生成されたスマートライセンスを入力します。 |
| ステップ 6 |
ボックスに新しいライセンスキーを貼り付け、[デバイスの登録(Register Device)] をクリックします。デバイスと同期すると、接続状態が「オンライン(Online)」に変わります。スマートライセンスが FTD デバイスに正常に適用されると、デバイスのステータスに [接続済み(Connected)]、[十分なライセンス(Sufficient License)] と表示されます。また、オプションライセンスを有効化または無効化できます。詳細については、「FTD スマートライセンスのタイプ」を参照してください。 |
FTD デバイスの既存のスマートライセンスの更新
スマートライセンスが適用された FTD デバイスに、新しいスマートライセンスを適用できます。デバイスのオンボーディングで選択した方法に基づいて、適切な手順を選択します。
登録キーを使用して導入準備した FTD デバイスのスマートライセンスの変更
手順
| ステップ 1 |
対応する FTD デバイスを CDO から削除します。 |
| ステップ 2 |
FTD の Firepower Device Manager(FDM)にログインし、スマートライセンスを登録解除します。 詳細については、「FTD のスマートライセンスの登録解除」を参照してください。 |
| ステップ 3 |
CDO で、再び登録キーを使用して FTD デバイスの導入準備をします。詳細については、「登録キーを使用した FTD の導入準備」を参照してください。 |
| ステップ 4 |
[デバイス(Devices)] タブをクリックしてデバイスを見つけます。 |
| ステップ 5 |
[] タブをクリックします。 |
| ステップ 6 |
新しいスマートライセンスの適用は導入準備プロセス中に行うか、または右側の [デバイスアクション(Device Actions)] ペインで [ライセンス管理(Manage Licenses)] をクリックします。
|
ログイン情報を使用して導入準備した FTD デバイスのスマートライセンスの変更
手順
| ステップ 1 |
FTD の Firepower Device Manager(FDM)にログインし、スマートライセンスを登録解除します。 詳細については、「登録キーを使用した FTD の導入準備」を参照してください。 |
| ステップ 2 |
FDM の FTD デバイスに新しいスマートライセンスを適用します。
|
| ステップ 3 |
CDO の [インベントリ(Inventory)] ページで [デバイス(Devices)] タブをクリックします。 |
| ステップ 4 |
FTD デバイスをクリックします。FTD 設定の変更内容を確認します。これにより、CDO では FTD の展開された設定のコピーが作成され、CDO 独自のデータベースに保存されます。詳細については、「設定変更の読み取り、破棄、チェック、および展開」を参照してください。 |
FTD デバイスの DHCP アドレス指定の CDO サポート
Firepower Threat Defense Device(FTD)で使用される IP アドレスが変更された場合について説明します。
適応型セキュリティアプライアンス(ASA)や FTD を使用する Cisco Defense Orchestrator(CDO)のお客様の多くは、DHCP を介してサービスプロバイダーから提供される IP アドレスを使用してデバイスをオンボードします。
デバイスの IP アドレスが何らかの理由で変更された場合、それが静的 IP アドレスの変更であるか、DHCP による IP アドレスの変更であるかにかかわらず、CDO がデバイスへの接続に使用する IP アドレスを変更して、デバイスを再接続できます。
分散拠点に展開されている FTD デバイスを CDO によって管理することについて、開発現場では懸念の声が上がっています。FTD の外部インターフェイスでは静的 IP が必要です。一部の SE は、FTD で外部インターフェイスに DHCP アドレスが設定されている場合、CDO を管理ソリューションとして使用することは不可能だという見解を示しています。
ただし、この状況は、リモート ブランチ ファイアウォールへの VPN トンネルを使用しているお客様には影響しません。また、お客様の大多数が、分散拠点からデータセンターへのサイト間トンネルを使用していることがわかっています。サイト間 VPN を使用してデバイスからセントラルサイトに接続する場合、外部インターフェイスの DHCP は問題になりません。CDO(および任意の管理プラットフォーム)は内部の静的アドレスが指定されたインターフェイスを介して(そのように設定されている場合) FW に接続できるためです。これは推奨される方法であり、デバイス数が多い(1000 超)CDO のお客様は、この展開モードを使用しています。
また、インターフェイスの IP アドレスが DHCP 経由で発行されている場合でも、お客様がその IP を使用してデバイスを管理することの妨げにはなりません。繰り返しますが、これは最適な方法ではありませんが、CDO で IP アドレスを定期的に変更する必要があっても、お客様の不利益になるとは考えられません。この状況は CDO に限ったものではなく、ASDM、FDM、または SSH などの外部インターフェイスを使用するすべてのマネージャで発生します。
FTD のライセンスタイプ
スマート ライセンスのタイプ
次の表に、Firepower Threat Defense(FTD)デバイスで使用可能なライセンスの説明を示します。
FTD を購入すると、自動的に基本ライセンスが含まれます。すべての追加ライセンスはオプションです。
|
ライセンス |
期間 |
付与される機能 |
|---|---|---|
|
基本ライセンス(自動的に含まれます) |
永続 |
サブスクリプション ターム ライセンスでカバーされないすべての機能。 [このトークンに登録した製品でエクスポート制御機能を許可する(Allow export-controlled functionality on the products registered with this token)] かどうかも指定する必要があります。このオプションは、自国が輸出管理の標準規格に適合している場合のみ選択できます。このオプションは、高度な暗号化や、高度な暗号化を必要とする機能の使用を制御します。 |
|
脅威 |
ターム ベース |
侵入検知および防御:侵入ポリシーが侵入とエクスプロイトを検出するためネットワークトラフィックを分析し、またオプションで違反パケットをドロップします。 ファイル制御:ファイルポリシーが特定タイプのファイルを検出し、オプションでこれらのファイルのアップロード(送信)またはダウンロード(受信)をブロックできます。マルウェア ライセンスが必要な AMP for Firepower を使用すると、マルウェアを含むファイルのインスペクションを実行してブロックできます。任意のタイプのファイルポリシーを使用するには、脅威ライセンスが必要です。 セキュリティ インテリジェンス フィルタ:トラフィックがアクセスコントロールルールによって分析を受ける前に、選択されたトラフィックをドロップします。ダイナミックフィードを使用することで、最新のインテリジェンスに基づいて接続をただちにドロップできます。 |
|
マルウェア(Malware) |
ターム ベース |
マルウェアを確認するポリシーであり、Cisco Advanced Malware Protection(AMP)と一緒に AMP for Firepower (ネットワークベースの高度なマルウェア保護)と Cisco Threat Grid を使用します。 ファイル ポリシーは、ネットワーク上で伝送されるファイルに存在するマルウェアを検出してブロックできます。 |
|
URL ライセンス |
ターム ベース |
カテゴリとレピュテーションに基づく URL フィルタリング。 このライセンスなしでも、個々の URL で URL フィルタリングを実行できます。 |
|
RA VPN Only ライセンス RA VPN Plus ライセンス RA VPN Apex ライセンス |
ライセンスタイプに基づきタームベースまたは永久 |
リモート アクセス VPN の設定RA VPN を設定するには、基本ライセンスによるエクスポート制御機能を許可する必要があります。デバイスを登録するときに、エクスポート要件を満たすかどうかを選択します。 Firepower Device Manager は、AnyConnect の任意の有効なライセンスを使用できます。使用可能な機能は、ライセンスタイプによる違いはありません。まだライセンスを購入していない場合は、「リモートアクセス VPN のライセンス要件」を参照してください。 『Cisco AnyConnect 発注ガイド』( http://www.cisco.com/c/dam/en/us/products/collateral/security/anyconnect-og.pdf)も参照してください。 |
FTDv の階層型ライセンス
FTD バージョン 7.0 では、スループット要件と RA VPN セッションの制限に基づいて、仮想 FTD(FTDv)デバイスのパフォーマンス階層型のスマートライセンスをサポートするようになりました。使用可能なパフォーマンスライセンスのいずれかで FTDv のライセンスが付与されると、次の 2 つのことが発生します。RA VPN のセッション制限が、インストールされている FTDv プラットフォームのエンタイトルメント層によって決定され、レートリミッタを介して適用されます。
現時点では、CDO は階層型スマートライセンスを完全にはサポートしていません。次の制限事項を参照してください。
-
CDO を介して階層型ライセンスを変更できません。FDM UI で変更する必要があります。
-
クラウドサービスの CDO に FTDv を登録すると、階層型ライセンスの選択が自動的にデフォルト階層の [変数(Variable)] にリセットされます。
-
バージョン 7.0 以降を実行している FTDv の導入準備プロセス中にデフォルトライセンスではないライセンスを選択すると、階層型ライセンスの選択は、デフォルト階層の [変数(Variable)] に自動的にリセットされます。
上記の問題を回避するために、デバイスの導入準備後に FTDv ライセンスの階層を選択することを強く推奨します。詳細については、「スマート ライセンスの管理」を参照してください。
デバイスのスマートライセンスの表示
手順
| ステップ 1 |
ナビゲーションバーで、[インベントリ(Inventory)] をクリックします。 |
| ステップ 2 |
[デバイス(Devices)] タブをクリックして、デバイスを見つけます。 |
| ステップ 3 |
[FTD] タブをクリックします。 |
| ステップ 4 |
FTD デバイスを選択して、現在のライセンスステータスを表示します。 |
| ステップ 5 |
右側の [デバイスアクション(Device Actions)] ペインで、[ライセンスの管理(Manage Licenses)] をクリックします。[ライセンスの管理] 画面には、次の情報が表示されます。
|
オプション ライセンスの有効化または無効化
90 日間の評価ライセンスまたはフルライセンスが採用されている FTD デバイスでオプションライセンスを有効化(登録)できます。ライセンスによって制御される機能を使用するには、ライセンスを有効にする必要があります。
オプションのタームライセンスの対象となる機能を使用しなくなった場合、ライセンスを無効化(解除)できます。ライセンスを無効にすると、Cisco Smart Software Manager アカウントでライセンスが解除されるため、別のデバイスにそのライセンスを適用できるようになります。
評価モードでは、オプションライセンスの評価版を有効にして、すべての操作を実行することもできます。このモードでは、デバイスを登録するまでライセンスは Cisco Smart Software Manager に登録されません。
(注) |
評価モードでは RA VPN ライセンスを有効にすることはできません。 |
始める前に
ライセンスを無効にする前に、そのライセンスが使用中でないことを確認します。ライセンスを必要とするポリシーは書き換えるか削除します。
高可用性の設定で動作する装置の場合は、アクティブな装置でのみライセンスを有効化または無効化します。スタンバイ装置が必要なライセンスを要求(または解放)すると、次の設定の展開時にスタンバイ装置に変更内容が反映されます。ライセンスを有効にする際は、Cisco Smart Software Manager アカウントで十分な数のライセンスが使用可能であることを確認する必要があります。これを確認しないと、一方の装置が準拠、もう一方の装置が非準拠になる可能性があります。
オプションライセンスを有効または無効にするには、次の手順を実行します。
手順
| ステップ 1 |
[インベントリ(Inventory)] ページで、必要な FTD デバイスを選択し、[デバイスアクション(Device Actions)] ペインで [ライセンスの管理(Manage Licenses)] をクリックします。[ライセンスの管理(Manage Licenses)] 画面が表示されます。 |
| ステップ 2 |
それぞれのオプションライセンスのスライダコントロールをクリックして、ライセンスを有効または無効にします。有効になっている場合、ライセンスのステータスには [OK] と表示されます。
|
| ステップ 3 |
[保存(Save)] をクリックして、変更内容を保存します。 |
期限切れまたは無効なオプション ライセンスの影響
オプションのライセンスが期限切れになっても、そのライセンスを必要とする機能を使用し続けることはできます。ただし、ライセンスは非準拠とマークされます。ライセンスを準拠状態に戻すには、ライセンスを購入してアカウントに追加する必要があります。
オプションのライセンスを無効にすると、システムは次のように反応します。
-
[マルウェアライセンス(Malware license)]:システムは AMP クラウドへの問い合わせを停止し、AMP レトロスペクションクラウドから送信されたレトロスペクティブイベントの認証も停止します。既存のアクセス コントロール ポリシーにマルウェア検出を適応するファイル ポリシーが含まれている場合、このアクセス コントロール ポリシーを再展開することはできません。マルウェア ライセンスが無効にされた後、システムが既存のキャッシュ ファイルの性質を使用できるのは極めて短時間のみであることに注意してください。この時間枠の経過後、システムは Unavailable という性質をこれらのファイルに割り当てます。
-
[脅威(Threat)]:システムは侵入またはファイル制御ポリシーを適用しなくなります。セキュリティ インテリジェンス ポリシーの場合、システムはこのポリシーを適用せず、フィード更新のダウンロードを停止します。ライセンスを必要とする既存のポリシーを再展開することはできません。
-
[URLフィルタリング(URL Filtering)]:URL カテゴリ条件が指定されたアクセス制御ルールは URL のフィルタリングをただちに停止し、システムは URL データへの更新をダウンロードしなくなります。既存のアクセス コントロール ポリシーに、カテゴリ ベースまたはレピュテーション ベースの URL 条件を含むルールが含まれている場合は、それらのポリシーを再展開することができません。
-
[RA VPN]:リモートアクセス VPN 設定は編集できませんが、削除は可能です。ユーザーは引き続き RA VPN 設定を使用して接続できます。ただし、デバイスの登録を変更してシステムがエクスポートに準拠しなくなると、リモートアクセス VPN 設定はただちに停止し、リモートユーザーは VPN に接続できなくなります。
FTD モデルの作成とインポート
CDO では、CDO テナントにある FTD デバイスの完全な設定を JSON ファイル形式でエクスポートできます。エクスポートしたファイルは、FTD モデルとして別のテナントにインポートし、そのテナントの新しいデバイスに適用できます。この機能は、管理対象のさまざまなテナントで FTD デバイスの設定を使用する際に役立ちます。
(注) |
FTD デバイスにルールセットが存在する場合、設定をエクスポートすると、そのルールセットに関連付けられている共有ルールはローカルルールとして変更されます。その後、モデルが別のテナントにインポートされ、FTD デバイスに適用されると、デバイスにローカルルールが表示されます。 |
FTD 設定のエクスポート
FTD デバイスに次の設定がある場合、エクスポート設定機能は使用できません。
-
高可用性
-
Snort 3 の有効化
手順
| ステップ 1 |
ナビゲーションバーで、[インベントリ(Inventory)] をクリックします。 |
| ステップ 2 |
[デバイス(Devices)] タブをクリックしてデバイスを見つけるか、[テンプレート(Templates)] タブをクリックしてモデルデバイスを見つけます。 |
| ステップ 3 |
[FTD] タブをクリックします。 |
| ステップ 4 |
FTD デバイスを選択し、右側の [デバイスアクション(Device Actions)] ペインで、[設定のエクスポート(Export Configuration)] をクリックします。 |
FTD 設定のインポート
手順
| ステップ 1 |
FTD の設定をインポートするには、[インベントリ(Inventory)] ページで青いプラス( |
||
| ステップ 2 |
[インポート(Import)] をクリックして、オフライン管理用に設定をインポートします。 |
||
| ステップ 3 |
[デバイスタイプ(Device Type)] として [FTD] を選択します。 |
||
| ステップ 4 |
[参照(Browse)] をクリックし、アップロードする設定ファイル(JSON 形式)を選択します。 |
||
| ステップ 5 |
設定が確認されると、デバイスまたはサービスにラベルを設定するよう求められます。詳細については、『Labels and Label Groups』を参照してください。 |
||
| ステップ 6 |
モデルデバイスにラベルを設定すると、[インベントリ(Inventory)] リストに表示できます。
|
ボタンが [バックアップイメージのダウンロード(Download Backup Image)] に変わります。
をクリックします。
フィードバック