はじめに

Firepower Systemでは デフォルトで5分に1回、FMCと管理デバイスのHealthチェックを行っていますが、運用上でFTDデバイスに対するInterfaceのケーブル配線などのネットワーク メンテナンスを行う場合、特定なInterfaceもしくはデバイス全体に一時的に使用不能にしたりすることがあります。このような機能停止は意図したものであり、FTDのヘルスステータスをFMCに反映させる必要はありません。
本ドキュメントでは、個別のヘルスポリシー モジュール（Interface Status）を Blacklist に設定し、当該モジュールのヘルス ステータスをFMCに反映させない方法について紹介します。本ドキュメントは、FMCv/FTDv バージョン 6.x 用に作成しております。（7.0 以降のバージョンで、GUI上では Blacklist から Exclude に変更されております。）

※ご注意：誤ってヘルスポリシーモジュールを無効に設定すると、必要な警告を見逃す可能性があります。

構成例

本ドキュメントは、以下の構成で、動作確認例を紹介します。

FMC側の設定

1.　対象FTDにヘルスポリシーを適用した状態で、Health -> Blacklist をクリックします。

2.　対象デバイスを選択し、右側の編集ボタンをクリックします。

3.　「Interface Status」項目をチェックし、保存します。

動作確認例

1.　上記の構成で、FTDのGi0/1 Interfaceをshutdownします。

2.　FMCで、対象InterfaceがDownしたことを確認します。

3.　FMCのヘルスイベント画面で、Gi0/1 Interfaceに対し "Interface GigabitEthernet0/1 has no link."のメッセージが出力されますが、ステータスがDisabled（✖マーク）であるため、デバイスのヘルスステータスに影響しません。

4.　FMCのヘルスモニター画面で、対象FTDのステータスがNormalであることを確認できます。

参考情報

Firepower System / Firepower Threat Defense (FTD) トラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161733

Cisco Secure Firewall (FTD) - how to  ※FTD情報 まとめサイト
https://community.cisco.com/t5/-/-/ta-p/5024782