Cisco Cisco Firepower Management Center 4000 User Guide

6-7

FireSIGHT 系统用户指南 

第 6 章      设置虚拟交换机 

  配置虚拟交换机  

如果虚拟交换机在 VLAN 之间路由，类似于单臂路由， BPDU 将通过不同的逻辑交换接口进出设
备，但是在同一个物理交换接口。因此， STP 确认设备为冗余网络环路，可在特定第二层部署产生
问题。为了防止这种情况出现，可在域级别配置虚拟交换机，让设备在监控流量时删除 BPDU。

注

思科强烈建议在配置计划于设备集群中部署的虚拟交换机时启用 STP。

为最大程度地提高 TCP 的安全性，可以启用严格执行，以阻断三次握手尚未完成的连接。严格执
行功能也阻止：

三次握手尚未完成的连接的非 SYN TCP 数据包

TCP 连接上由发起方发出的、响应方尚未发送 SYN-ACK 数据包的非 SYN/RST 数据包

TCP 连接上由响应方在 SYN 数据包之后、但在会话建立前发出的非 SYN-ACK/RST 数据包

来自发起方或响应方的已建立 TCP 连接上的 SYN 数据包

请注意，如果将虚拟交换机与逻辑混合接口关联，交换机使用与该逻辑混合接口关联的虚拟路由
器相同的严格 TCP 执行设置。在这种情况下，不能在交换机上的指定严格 TCP 执行。

要配置高级虚拟交换机设置，请执行以下操作：

访问：管理员/网络管理员

步骤 1

选择 

。

系统将显示 Device Management 页面。

步骤 2

在要编辑的包含虚拟交换机的设备旁，点击编辑图标  (

)。

系统将显示 Interfaces 选项卡。

步骤 3

点击 

。

系统将显示 Virtual Switches 选项卡。

步骤 4

在要编辑的虚拟交换机旁，点击编辑图标  (

)。

系统将显示 Edit Virtual Switch 弹出窗口。

步骤 5

点击 

。

系统将显示 Advanced 选项卡。

步骤 6

要添加静态 MAC 条目，请点击 

。

系统将显示 Add Static MAC Address 弹出窗口。

步骤 7

在 

 字段中，使用两个十六进制数字为一组的六组数位，采用冒号分隔的标准格式键入

地址（例如，01:23:45:67:89:AB）。

注

广播地址（00:00:00:00:00:00 和 FF:FF:FF:FF:FF:FF）不能作为静态 MAC 地址来添加。

步骤 8

从 

 下拉列表中，选择要分配 MAC 地址的接口。

步骤 9

点击 

。

MAC 地址被添加到 Static MAC Entries 表格。

要编辑 MAC 地址，请点击编辑图标  (

)。要删除 MAC 地址，请点击删除图标  (

)。

步骤 10

或者，要启用生成树协议，请选择 

。只有当虚拟交换机在多个网络接口

之间传输流量时，才选择 

。

无法选择 

，除非清除

。