Cisco Cisco Firepower Management Center 4000 User Guide
48-3
FireSIGHT 系统用户指南
第 48 章 使用网络映射
使用网络设备网络映射
步骤 2
向下钻取到要调查的主机的特定 IP 地址或 MAC 地址。
例如,要查看 IP 地址为 192.168.40.11 的主机,请依次点击
192
、
192.168
、
192.168.40
、
192.168.40.11
。
点击
192.168.40.11
时,系统将显示主机配置文件。有关主机配置文件的详细信息,请参阅
要按 IP 地址或 MAC 地址过滤,请在搜索字段中键入地址。要清除搜索,请点击清除图标 (
)。
步骤 3
或者,要删除子网、 IP 地址或 MAC 地址,请点击要删除的元素旁边的删除图标 (
),然后确认
要删除主机还是子网。
主机删除成功。如果系统重新发现主机,则会将该主机添加至网络映射。
步骤 4
或者,在主机网络映射的主机视图和拓扑视图之间切换:
•
要切换至按自定义拓扑排列的主机网络映射的视图,在主机视图 (默认)上,请点击网络映
射顶部的
射顶部的
(拓扑)
。
•
要切换至按子网排列的主机网络映射的视图,在拓扑视图上,请点击网络映射顶部的
(主机)
。
。
使用网络设备网络映射
许可证:FireSIGHT
使用网络设备网络映射查看将一段网络连接到另一段网络的网络设备 (网桥、路由器、 NAT 设
备和负载均衡器),以及向下钻取至这些网络设备的主机配置文件。网络设备网络映射分为两个
部分:IP 和 MAC。 IP 部分列出通过 IP 地址识别的网络设备;Mac 部分列出通过 MAC 地址识别
的网络设备。此网络映射视图也提供系统检测到的所有唯一设备的计数,无论设备有一个 IP 地址
还是多个 IP 地址。
备和负载均衡器),以及向下钻取至这些网络设备的主机配置文件。网络设备网络映射分为两个
部分:IP 和 MAC。 IP 部分列出通过 IP 地址识别的网络设备;Mac 部分列出通过 MAC 地址识别
的网络设备。此网络映射视图也提供系统检测到的所有唯一设备的计数,无论设备有一个 IP 地址
还是多个 IP 地址。
如果为网络创建自定义拓扑,则网络设备网络映射中会显示分配给子网的标签。
系统用于区分网络设备的方法包括:
•
分析思科发现协议 (CDP) 消息,可识别网络设备及其类型 (仅限思科设备)
•
检测生成树协议 (STP),可识别作为交换机或网桥的设备
•
检测使用同一 MAC 地址的多台主机,可用于识别 MAC 地址为属于路由器
•
检测客户端 TTL 值的变化或变化频率高于典型启动时间的 TTL 值,可用于识别 NAT 设备和
负载均衡器
负载均衡器
如果网络设备使用 CDP 进行通信,则其可能有一个或多个 IP 地址。如果它使用 STP 进行通信,
则它可能仅有 MAC 地址。
则它可能仅有 MAC 地址。
不能从网络映射中删除网络设备,因为系统使用其位置确定网络拓扑 (包括为受监控主机生成网
络跃点和 TTL 值)。
络跃点和 TTL 值)。
网络设备的主机配置文件具有 System 部分而不是 Operating Systems 部分,其中包括反映网络设
备后检测到的任何移动设备的硬件平台的 Hardware 列。如果 Systems 下列出硬件平台值,该系统
是网络设备后检测出的一个或多个移动设备。请注意,移动设备可能有,也可能没有硬件平台信
息,但不会检测到非移动设备系统的硬件平台信息。
备后检测到的任何移动设备的硬件平台的 Hardware 列。如果 Systems 下列出硬件平台值,该系统
是网络设备后检测出的一个或多个移动设备。请注意,移动设备可能有,也可能没有硬件平台信
息,但不会检测到非移动设备系统的硬件平台信息。