Cisco Cisco Firepower Management Center 2000 User Guide
第
章
6-1
FireSIGHT 系统用户指南
6
设置虚拟交换机
可以在第二层部署配置受管设备,使它在两个或多个网络之间提供数据包交换。在第二层部署,
可以在受管设备上将虚拟交换机配置为独立运行的广播域,将网络划分为多个逻辑分段。虚拟交
换机根据主机的媒体访问控制 (MAC) 地址来确定在哪里发送数据包。
可以在受管设备上将虚拟交换机配置为独立运行的广播域,将网络划分为多个逻辑分段。虚拟交
换机根据主机的媒体访问控制 (MAC) 地址来确定在哪里发送数据包。
当配置虚拟交换机时,交换机起初会通过交换机的每个可用端口来广播数据包。随着时间的推
移,交换机使用标记的回传流量了解哪些主机驻留在连接到每个端口的网络上。
移,交换机使用标记的回传流量了解哪些主机驻留在连接到每个端口的网络上。
虚拟交换机必须包含两个或多个交换接口来处理流量。对于每个虚拟交换机,配置作为交换接口
的组端口的流量受到限制。例如,如果用四个交换接口配置虚拟交换机,通过某个广播端口发送
的数据包只能通过交换机的其余三个端口转发出去。
的组端口的流量受到限制。例如,如果用四个交换接口配置虚拟交换机,通过某个广播端口发送
的数据包只能通过交换机的其余三个端口转发出去。
配置物理交换接口时,必须将它分配到虚拟交换机。还可以根据需要在物理端口定义其他逻辑交
换接口。在 3 系列受管设备上,可将多个物理接口组合到一个称为链路聚合组 (LAG) 的逻辑交换
接口中。此单个聚合逻辑链路在两个端点之间提供更高的带宽、冗余和负载均衡。
换接口。在 3 系列受管设备上,可将多个物理接口组合到一个称为链路聚合组 (LAG) 的逻辑交换
接口中。此单个聚合逻辑链路在两个端点之间提供更高的带宽、冗余和负载均衡。
注意事项
如果第二层部署因任何原因而失效,设备将不再传递流量。
有关配置第二层部署的详细信息,请参阅以下各节:
•
•
•
配置交换接口
许可证:可控性
受支持的设备:3 系列
可以将交换接口设置成物理或逻辑配置。可以配置用于处理未标记 VLAN 流量的物理交换接口。
还可以创建用于处理含指定 VLAN 标记的流量的逻辑交换接口。
还可以创建用于处理含指定 VLAN 标记的流量的逻辑交换接口。
在第二层部署,系统将删除在没有交换接口为其等待的外部物理接口上收到的所有流量。如果系
统接收到没有 VLAN 标记的数据包且您没有为该端口配置物理交换接口,系统会删除该数据包。
如果系统收到带有 VLAN 标记的数据包且您未配置逻辑交换接口,系统也会删除数据包。
统接收到没有 VLAN 标记的数据包且您没有为该端口配置物理交换接口,系统会删除该数据包。
如果系统收到带有 VLAN 标记的数据包且您未配置逻辑交换接口,系统也会删除数据包。
系统在交换接口处理所接收的带有 VLAN 标记的流量,去除入口处最外层的 VLAN 标记,然后
做出任何规则评估或转发决策。通过 VLAN 标记的逻辑交换接口离开设备的数据包将通过出口相
关的 VLAN 标记封装。
做出任何规则评估或转发决策。通过 VLAN 标记的逻辑交换接口离开设备的数据包将通过出口相
关的 VLAN 标记封装。
请注意,如果将父物理接口更改为内联或被动接口,系统将删除所有关联的逻辑接口。