Cisco Cisco Firepower Management Center 4000 Fascicule
2-9
FireSIGHT 系统安装指南
第 2 章 了解部署
部署选项
使用虚拟路由器进行部署
许可证:
控制
支持的设备:
3 系列
可以在受管设备上创建
虚拟路由器,路由两个或多个网络之间的流量,或将专用网络连接到公用
网络 (例如互联网)。虚拟路由器连接两个路由接口,根据目标地址为部署提供第 3 层数据包转
发决策。也可以在虚拟路由器上启用严格 TCP 强制。有关路由接口的详细信息,请参阅
发决策。也可以在虚拟路由器上启用严格 TCP 强制。有关路由接口的详细信息,请参阅
。必须使用带网关 VPN 的虚拟路由器。有关详细信息,请参阅
虚拟路由器可以包含同一广播域中一个或多个独立设备的物理或逻辑路由配置。必须将每个逻辑
接口与 VLAN 标记关联,才能使用该特定标记处理物理接口接收的流量。必须为虚拟路由器分配
逻辑路由接口,用以路由流量。
接口与 VLAN 标记关联,才能使用该特定标记处理物理接口接收的流量。必须为虚拟路由器分配
逻辑路由接口,用以路由流量。
要配置虚拟路由器,您可以使用物理或逻辑配置设置路由接口。可以配置处理不带标记的 VLAN
流量的物理路由接口。还可以创建处理带指定 VLAN 标记的流量的逻辑路由接口。系统会丢弃在
外部物理接口上接收的没有路由接口等待接收的任何流量。如果系统收到没有 VLAN 标记的数据
包并且该端口未配置物理路由接口,系统将丢弃该数据包。如果系统收到带有 VLAN 标记的数据
包,并且未配置逻辑路由接口,系统也会丢弃数据包。
流量的物理路由接口。还可以创建处理带指定 VLAN 标记的流量的逻辑路由接口。系统会丢弃在
外部物理接口上接收的没有路由接口等待接收的任何流量。如果系统收到没有 VLAN 标记的数据
包并且该端口未配置物理路由接口,系统将丢弃该数据包。如果系统收到带有 VLAN 标记的数据
包,并且未配置逻辑路由接口,系统也会丢弃数据包。
虚拟路由器具有可扩展性优势。物理路由器限制可以连接的网络数量时,可在同一受管设备上配
置多个虚拟路由器。将多个路由器配置在同一设备上可降低部署的物理复杂性,实现从同一设备
监控和管理多个路由器。
置多个虚拟路由器。将多个路由器配置在同一设备上可降低部署的物理复杂性,实现从同一设备
监控和管理多个路由器。
在想要使用第 3 层物理路由器的情况下使用虚拟路由器在部署中的多个网络之间转发流量或将专
用网络连接至公用网络。在拥有很多网络或网段而且具有不同安全要求的大型部署中虚拟路由器
尤其有用。
用网络连接至公用网络。在拥有很多网络或网段而且具有不同安全要求的大型部署中虚拟路由器
尤其有用。
在受管设备上部署虚拟路由器时,可以使用一台设备将多个网络互相连接起来,并连接至互联网。
图
2-4
受管设备上的虚拟路由器
在本示例中,受管设备包含一个虚拟路由器,在网络 172.16.1.0/20 上的计算机和网络
192.168.1.0/24 上的服务器之间实现流量传输 (用蓝线和绿线表示)。虚拟路由器上的第三个接
口允许来自每个网络的流量在防火墙之间往返传输 (用红线和橙色线表示)。
192.168.1.0/24 上的服务器之间实现流量传输 (用蓝线和绿线表示)。虚拟路由器上的第三个接
口允许来自每个网络的流量在防火墙之间往返传输 (用红线和橙色线表示)。
有关详细信息,请参阅 《FireSIGHT 系统用户指南》中的“设置虚拟路由器”。