Cisco Cisco Firepower Management Center 4000 Merkblatt
2-4
FireSIGHT 系统安装指南
第 2 章 了解部署
了解接口
路由接口
许可证:
控制
支持的设备:
3 系列
可以在第 3 层部署中的受管设备上配置路由接口,使其路由两个或多个接口之间的流量。必须为
每个接口分配一个 IP 地址并将接口分配给虚拟路由器来路由流量。
每个接口分配一个 IP 地址并将接口分配给虚拟路由器来路由流量。
可以配置路由接口,用于网关虚拟专用网络 (网关 VPN)或网络地址转换 (NAT)。有关详细信
息,请参阅
息,请参阅
。
还可以配置系统,通过根据目标地址做出数据包转发决策路由数据包。配置为路由接口的接口接
收和转发第 3 层流量。路由器根据转发条件从传出接口获取目标位置,并且访问控制规则指定要
应用的安全策略。
收和转发第 3 层流量。路由器根据转发条件从传出接口获取目标位置,并且访问控制规则指定要
应用的安全策略。
路由接口具有物理或逻辑配置:
•
物理路由接口是已配置路由的物理接口。物理路由接口用于处理未标记的 VLAN 流量。
•
逻辑交换接口是物理接口和 VLAN 标记之间的关联。逻辑接口用于处理带指定 VLAN 标记的
流量。
流量。
要在第 3 层部署中使用路由接口,必须配置虚拟路由器并为其分配路由接口。虚拟路由器是路由
第 3 层流量的一组路由接口。
第 3 层流量的一组路由接口。
您可以将设备配置为虚拟路由器并使用其余接口连接想要监控的网段。您还可以启用严格 TCP 强
制,最大程度地确保 TCP 安全性。要在设备上使用虚拟路由器,请在设备上创建物理路由接口,
然后按照 《FireSIGHT 系统用户指南》中“设置虚拟路由器”的说明进行操作。
制,最大程度地确保 TCP 安全性。要在设备上使用虚拟路由器,请在设备上创建物理路由接口,
然后按照 《FireSIGHT 系统用户指南》中“设置虚拟路由器”的说明进行操作。
混合接口
许可证:
控制
支持的设备:
3 系列
可以在受管设备上配置逻辑混合接口,允许 FireSIGHT 系统桥接虚拟路由器和虚拟交换机之间的
流量。如果在虚拟交换机的接口上收到的 IP 流量的目标地址为关联混合逻辑接口的 MAC 地址,
系统将其视为第 3 层流量处理并根据目标 IP 地址路由或响应此流量。如果系统接收任何其他流
量,则将其视为第 2 层流量处理并相应地进行交换。
流量。如果在虚拟交换机的接口上收到的 IP 流量的目标地址为关联混合逻辑接口的 MAC 地址,
系统将其视为第 3 层流量处理并根据目标 IP 地址路由或响应此流量。如果系统接收任何其他流
量,则将其视为第 2 层流量处理并相应地进行交换。
要创建混合接口,首先要配置虚拟交换机和虚拟路由器,然后将虚拟交换机和虚拟路由器添加到
混合接口上。未与虚拟交换机和虚拟路由器关联的混合接口无法用于路由,而且不会生成或响应
流量。
混合接口上。未与虚拟交换机和虚拟路由器关联的混合接口无法用于路由,而且不会生成或响应
流量。
可以利用网络地址转换 (NAT) 配置混合接口,在网络之间传输流量。有关详细信息,请参阅
。
如果要在设备上使用混合接口,请在设备上定义一个混合接口,然后按照 《FireSIGHT 系统用户
指南》中“设置混合接口”的说明进行操作。
指南》中“设置混合接口”的说明进行操作。