Cisco Firepower 1010 Leitfaden Seite 150

Durchführen der Startkonfiguration über die CLI
Later, using the web interface on the Firepower Management Center, you must
use the same registration key and, if necessary, the same NAT ID when you add
this sensor to the Firepower Management Center.
>
Schritt 5 Konfigurieren Sie die externe Schnittstelle für den Managerzugriff.
configure network management-data-interface
Anschließend werden Sie aufgefordert, grundlegende Netzwerkeinstellungen für die externe Schnittstelle zu
konfigurieren. Lesen Sie die folgenden Informationen zur Verwendung dieses Befehls:
• Die Management-Schnittstelle kann DHCP nicht verwenden, wenn Sie eine Datenschnittstelle für das
Management verwenden möchten. Wenn Sie die IP-Adresse bei der Ersteinrichtung nicht manuell
festgelegt haben, können Sie sie jetzt mit dem Befehl configure network {ipv4 | ipv6} manual festlegen.
Falls Sie das Gateway der Management-Schnittstelle noch nicht auf data-interfaces gesetzt haben, wird
es jetzt mit diesem Befehl festgelegt.
• Wenn Sie Threat Defense zu CDO hinzufügen, erkennt und verwaltet CDO die Schnittstellenkonfiguration,
einschließlich der folgenden Einstellungen: Schnittstellenname und IP-Adresse, statische Route zum
Gateway, DNS-Server und DDNS-Server. Weitere Informationen zur Konfiguration des DNS-Servers
finden Sie unten. In CDO können Sie später Änderungen an der Konfiguration der
Managerzugriffsschnittstelle vornehmen. Nehmen Sie jedoch keinesfalls Änderungen vor, die verhindern
können, dass Threat Defense oder CDO die Managementverbindung wieder herstellt. Für den Fall, dass
die Managementverbindung unterbrochen wird, enthält Threat Defense den Befehl configure policy
rollback zum Wiederherstellen der vorherigen Bereitstellung.
• Wenn Sie eine DDNS-Server-Update-URL konfigurieren, fügt Threat Defense automatisch Zertifikate
für alle wichtigen Zertifizierungsstellen aus dem Cisco Trusted Root CA-Paket hinzu, damit Threat
Defense das DDNS-Serverzertifikat für die HTTPS-Verbindung validieren kann. Threat Defense unterstützt
jeden DDNS-Server, der die DynDNS Remote API-Spezifikation
verwendet.
• Dieser Befehl legt den DNS-Server der Datenschnittstelle fest. Der Management-DNS-Server, den Sie
mit dem Einrichtungsskript (oder mit dem Befehl configure network dns servers) festlegen, wird für
den Management-Traffic verwendet. Der Daten-DNS-Server wird für DDNS (sofern konfiguriert) oder
für auf diese Schnittstelle angewendete Sicherheitsrichtlinien verwendet.
Im CDO werden die DNS-Server der Datenschnittstelle in der Richtlinie für Plattformeinstellungen
konfiguriert, die Sie diesem Threat Defense-System zuweisen. Wenn Sie Threat Defense zum CDO
hinzufügen, werden die lokalen Einstellungen beibehalten, und die DNS-Server werden keiner Richtlinie
für Plattformeinstellungen hinzugefügt. Wenn Sie jedoch später dem Threat Defense-System eine
Richtlinie für Plattformeinstellungen zuweisen, die eine DNS-Konfiguration enthält, überschreibt diese
Konfiguration die lokale Einstellung. Wir empfehlen Ihnen, die DNS-Plattformeinstellungen aktiv mit
dieser Einstellung zu konfigurieren, um CDO und Threat Defense zu synchronisieren.
Außerdem werden lokale DNS-Server von CDO nur beibehalten, wenn die DNS-Server bei der ersten
Registrierung erkannt wurden. Wenn Sie beispielsweise das Gerät über die Management-Schnittstelle
registriert haben, aber später eine Datenschnittstelle mit dem Befehl configure network
management-data-interface konfigurieren, müssen Sie alle diese Einstellungen in CDO, einschließlich
der DNS-Server, manuell so konfigurieren, dass sie mit der Threat Defense-Konfiguration übereinstimmen.
• Sie können die Management-Schnittstelle ändern, nachdem Sie Threat Defense beim CDO registriert
haben, und zwar entweder in die Management-Schnittstelle oder eine andere Datenschnittstelle.
• Für diese Schnittstelle wird der FQDN verwendet, den Sie im Einrichtungsassistenten festgelegt haben.
Leitfaden zu den ersten Schritten mit Cisco Firepower 1010
148
Threat Defense-Bereitstellung mit CDO
(https://help.dyn.com/remote-access-api/)