
เมื่อเราทำการติดตังตัว Firepower Threat Defense (FTD) ระบบจะให้เซต IP Management เพื่อใช้ในการเข้าไปจัดการคอนฟิก และตั้งค่าต่างๆ รวมถึงใช้ในการ Register เข้าใช้งานร่วมกับ Firepower Management Center (FMC) เพื่อใช้ในการจัดการและคอนฟิก FTD ซึ่งจะเห็นว่า Management IP ของ FTD เป็นสิ่งที่สำคัญมาก หากเราเปลี่ยนด้วยวิธีการที่ผิดวิธี อาจจะทำให้เราไม่สามารถเข้าไปคอนฟิก FTD ได้อีกเลย หรือในกรณีที่แย่ที่สุดคือต้อง Factory default ตัวอุปกรณ์นั้น การเปลี่ยน Management IP อาจจะเกิดขึ้นได้จากหลายกรณี เช่น ไอพีที่กำหนดให้กับ FTD ได้ถูกใช้งานซ้ำกับอุปกรณ์อื่นในระบบ(ไอพีชน) หรืออาจจะเกิดจากการที่เราใส่ไอพีผิดพลาดตั้งแต่แรก จึงจำเป็นที่ต้องเปลี่ยน โดยในบทความนี้ ผมจะแสดงวิธีการเปลี่ยน Management IP ของ FTD อย่างถูกต้อง ตามที่เอกสารที่ Cisco แนะนำ และจากการที่ได้ใช้ในการทำงานจริง รับรองว่าข้อมูลไม่หายแน่นอน และระบบเองก็สามารถทำงานต่อได้อย่างปกติ แต่อย่างไรก็ตาม แนะนำให้ทำในช่วง Maintenance windows นะครับ วิธีการมีดังนี้
1. ถ้า FTD ทำงานอยู่ใน HA Mode ให้เอา FTD HA เข้า Maintenance mode ก่อน (ถ้าไม่ทำจะทำให้ Config Failover หาย )
2.Delete FTD ออกจาก FMC
- เข้าไปที่ FMC – > Devices -> Select Group -> Select Device -> Edit … -> Delete
3. ลบ Manager Config ออกจาก FTD
- เข้าไปที่หน้า CLI ของ FTD และใส่คำสั่งดังนี้ (เข้าผ่าน SSH หรือ Console )
configure manager delete
4. เปลี่ยนไอพีของ FTD โดยใช้คำสั่งดังนี้
configure network ipv4 manual <ipaddr> <netmask> <gateway> [ management_interface ]
5. Add Config Manager กลับเข้าไป
configure manager add 10.0.0.30 cisco123 ตรวจสอบโดยใช้คำสั่ง show managers
6. Register FTD กลับไปที่ FMC
- ไปที่เมนู FMC – > Devices -> Add -> ใส่ IP Address ใหม่ของ FTD กับ Register key และกด Register
7. FTD จะถูก Register เข้ามา และสามารถใช้งานได้ปกติ
8. Re-Deploy Policy อีกครั้ง เพื่อ Apply Config ล่าสุดไปที่ FTD
- ช่วง Deploy จะมี interrupt traffic แนะนำให้ทำในช่วง Maintenance windows ประมาณ 10-30 วินาที
Reference: https://community.cisco.com/t5/network-security/ftd-need-to-change-mgmt-ip/td-p/3673890