Cisco Cisco Firepower Management Center 2000 Merkblatt
2-5
FireSIGHT 系统安装指南
第 2 章 了解部署
将设备与网络连接
将设备与网络连接
可以通过多种方式将受管设备与网络连接。使用被动或内联接口配置集线器或网络分路器,或使
用被动接口配置 SPAN 端口。以下各节将介绍受支持的连接方法和布线注意事项:
用被动接口配置 SPAN 端口。以下各节将介绍受支持的连接方法和布线注意事项:
•
•
•
•
•
使用集线器
以太网集线器是确保受管设备可以监视网段上所有流量的最简单方法。大多数的此类集线器都采
用专用于此网段主机的 IP 流量并将其广播给连接此集线器的所有设备。将接口集与集线器连接,
监控网段上所有传入和传出的流量。由于可能存在数据包冲突,使用集线器无法保证检测引擎能
监视更高流量网络上的所有数据包。对于低流量的简单网络,这不可能有问题。在高流量网络
中,进行不同的选择可以实现更好的结果。请注意,如果集线器出现故障或断电,网络连接就会
断开。在简单网络中,网络可能会断开。
用专用于此网段主机的 IP 流量并将其广播给连接此集线器的所有设备。将接口集与集线器连接,
监控网段上所有传入和传出的流量。由于可能存在数据包冲突,使用集线器无法保证检测引擎能
监视更高流量网络上的所有数据包。对于低流量的简单网络,这不可能有问题。在高流量网络
中,进行不同的选择可以实现更好的结果。请注意,如果集线器出现故障或断电,网络连接就会
断开。在简单网络中,网络可能会断开。
某些设备虽然作为集线器销售,但实际上作用和交换机一样,并且不向各端口广播每个数据包。
如果将受管设备与集线器连接,但无法监视所有流量,则可能需要购买一个不同的集线器或使用
带 SPAN 端口的交换机。
如果将受管设备与集线器连接,但无法监视所有流量,则可能需要购买一个不同的集线器或使用
带 SPAN 端口的交换机。
使用 SPAN 端口
许多网络交换机包括能镜像一个或多个端口流量的 SPAN 端口。将接口集连接至 SPAN 端口,可以
监控来自所有端口的合并流量,通常包括传入和传出流量。如果网络上已经配置包含此功能的交换
机,只需在受管设备成本之外再多花一点成本即可在多个网段部署检测。在高流量网络中,此解决
方案有其局限性。如果 SPAN 端口可以处理 200 Mbps,并且三个镜像端口分别都可以处理 100 Mbps
的流量,则 SPAN 端口可能被过度订用并丢弃数据包,降低受管设备的效果。
监控来自所有端口的合并流量,通常包括传入和传出流量。如果网络上已经配置包含此功能的交换
机,只需在受管设备成本之外再多花一点成本即可在多个网段部署检测。在高流量网络中,此解决
方案有其局限性。如果 SPAN 端口可以处理 200 Mbps,并且三个镜像端口分别都可以处理 100 Mbps
的流量,则 SPAN 端口可能被过度订用并丢弃数据包,降低受管设备的效果。
使用网络分路器
网络分路器用于被动监控流量,而不会中断网络流量或更改网络拓扑。不同带宽都有现成可用的
分路器,可用于分析网段的传入和传出数据包。由于大多数分路器都只能监控单个网段,如果想
要监控交换机八个端口中的两个端口,这个解决方案就不适用。可以在路由器和交换机之间安装
分路器并访问流向交换机的完整 IP 数据流。
分路器,可用于分析网段的传入和传出数据包。由于大多数分路器都只能监控单个网段,如果想
要监控交换机八个端口中的两个端口,这个解决方案就不适用。可以在路由器和交换机之间安装
分路器并访问流向交换机的完整 IP 数据流。
根据设计,网络分路器将传入和传出流量分为两个不同的数据流,通过两种不同的电缆进行传
输。受管设备提供多端口选项,可重新整合会话的双方,从而使解码器、预处理器和检测引擎可
以评估整个流量。
输。受管设备提供多端口选项,可重新整合会话的双方,从而使解码器、预处理器和检测引擎可
以评估整个流量。