Cisco Cisco Firepower Management Center 4000 Merkblatt
2-8
FireSIGHT 系统安装指南
第 2 章 了解部署
部署选项
•
•
使用虚拟交换机进行部署
许可证:
控制
支持的设备:
3 系列
可以通过将内联接口配置为交换接口,在受管设备上创建
虚拟交换机。虚拟交换机为部署提供第
2 层数据包交换。高级选项包括设置静态 MAC 地址、启用生成树协议、启用严格 TCP 强制和在
域级丢弃网桥协议数据单元 (BPDU)。有关交换接口的详细信息,请参阅
域级丢弃网桥协议数据单元 (BPDU)。有关交换接口的详细信息,请参阅
。
虚拟交换机必须包含两个或多个交换接口,用以处理流量。对于每个虚拟交换机,系统交换机仅
为配置为交换接口的端口集交换流量。例如,如果配置带有四个交换接口的虚拟交换机,系统通
过其中一个端口接收流量时,只将这些数据包广播至交换机的其余三个端口。
为配置为交换接口的端口集交换流量。例如,如果配置带有四个交换接口的虚拟交换机,系统通
过其中一个端口接收流量时,只将这些数据包广播至交换机的其余三个端口。
要配置允许流量通信的虚拟交换机,您可以在物理端口配置两个或多个交换接口,添加并配置虚
拟交换机,然后将虚拟交换机分配给交换接口。系统会放弃在外部物理接口上接收的没有交换接
口等待接收的任何流量。如果系统收到没有 VLAN 标记的数据包并且该端口未配置物理交换接
口,系统将放弃该数据包。如果系统收到带有 VLAN 标记的数据包,并且未配置逻辑交换接口,
系统也会放弃数据包。
拟交换机,然后将虚拟交换机分配给交换接口。系统会放弃在外部物理接口上接收的没有交换接
口等待接收的任何流量。如果系统收到没有 VLAN 标记的数据包并且该端口未配置物理交换接
口,系统将放弃该数据包。如果系统收到带有 VLAN 标记的数据包,并且未配置逻辑交换接口,
系统也会放弃数据包。
必要时可以在物理端口上定义更多逻辑交换接口,但是,必须将一个逻辑交换接口分配给虚拟交
换机,用于处理流量。
换机,用于处理流量。
虚拟交换机具有可扩展性优势。使用物理交换机时,会受到交换机上可用端口数量的限制。用虚
拟交换机代替物理交换机,就只受带宽和想要实现的部署的复杂程度限制。
拟交换机代替物理交换机,就只受带宽和想要实现的部署的复杂程度限制。
请在要使用第 2 层交换机的场景下使用虚拟交换机,例如要确保工作站连接和网络分段的情况
下。第 2 层交换机在员工大部分时间都位于地网段的情况下特别有效。大型部署 (例如,包含广
播流量、 Voice-over-IP 或多个网络的部署)可以在部署的小型网段使用虚拟交换机。
下。第 2 层交换机在员工大部分时间都位于地网段的情况下特别有效。大型部署 (例如,包含广
播流量、 Voice-over-IP 或多个网络的部署)可以在部署的小型网段使用虚拟交换机。
在同一受管设备上部署多个虚拟交换机时,可以根据每个网络的需要保持独立的安全级别。
图
2-3
受管设备上的虚拟交换机
在本示例中,该受管设备监控来自两个独立网络 172.16.1.0/20 和 192.168.1.0/24 的流量。虽然两
个网络由同一受管设备监控,但是虚拟交换机仅向同一网络上的计算机或服务器传输流量。流量
可以通过 172.16.1.0/24 虚拟交换机从计算机 A 传输到计算机 B (用蓝线表示),也可以通过同一
虚拟交换机从计算机 B 传输到计算机 A (用绿线表示)。同样,流量可以通过 192.168.1.0/24 虚
拟交换机在文件和网络服务器之间往返传输 (用红线和橙色线表示)。但是,由于计算机和服务
器不在同一虚拟交换机上,流量无法在计算机和网络或文件服务器之间传输。
个网络由同一受管设备监控,但是虚拟交换机仅向同一网络上的计算机或服务器传输流量。流量
可以通过 172.16.1.0/24 虚拟交换机从计算机 A 传输到计算机 B (用蓝线表示),也可以通过同一
虚拟交换机从计算机 B 传输到计算机 A (用绿线表示)。同样,流量可以通过 192.168.1.0/24 虚
拟交换机在文件和网络服务器之间往返传输 (用红线和橙色线表示)。但是,由于计算机和服务
器不在同一虚拟交换机上,流量无法在计算机和网络或文件服务器之间传输。
有关配置交换接口和虚拟交换机的详细信息,请参阅 《FireSIGHT 系统用户指南》中“设置虚拟
交换机”。
交换机”。