Cisco Cisco Firepower Management Center 4000 Dépliant
5.3 版本
Sourcefire 3D 系统安装指南
35
了解部署
部署选项
第
2 章
要将虚拟交换机配置为允许流量通过,可在物理端口上配置两个或更多交换接口,
添加并配置虚拟交换机,然后将配置好的虚拟交换机分配给这些交换接口。系统会
丢弃在没有对应交换接口的外部物理接口上接收到的所有流量。如果系统接收到没
有
添加并配置虚拟交换机,然后将配置好的虚拟交换机分配给这些交换接口。系统会
丢弃在没有对应交换接口的外部物理接口上接收到的所有流量。如果系统接收到没
有
VLAN 标记的数据包,且您未为该端口配置物理交换接口,系统将丢弃该数据
包。如果系统接收到
VLAN 标记的数据包,且您未配置逻辑交换接口,系统将丢
弃该数据包。
必要时可以在物理端口上定义更多逻辑交换接口,但是,必须将一个逻辑交换接口
分配给虚拟交换机以用于处理流量。
分配给虚拟交换机以用于处理流量。
虚拟交换机具有可扩展性优势。如果使用物理交换机,会受到该交换机上可用端口
数量的限制。如果使用虚拟交换机代替物理交换机,则仅受制于带宽和想要实现部
署的复杂程度。
数量的限制。如果使用虚拟交换机代替物理交换机,则仅受制于带宽和想要实现部
署的复杂程度。
请在要使用第
2 层交换机的情况下使用虚拟交换机,例如要确保工作站连接和网
络分段的情况下。在员工主要使用本地网段的情况下,第
2 层交换机特别有用。
对于大型部署 (例如,包含广播流量、
IP 语音或多个网络的部署),可以在部署
的小型网段上使用虚拟交换机。
在同一受管设备上部署多个虚拟交换机时,可以根据每个网络的需要保持独立的安
全级别。
全级别。
受管设备上的虚拟交换机
在本示例中,受管设备监控来自两个独立网络 (
172.16.1.0/20 和 192.168.1.0/24)
的流量。虽然这两个网络由同一受管设备监控,但是虚拟交换机仅向同一网络上的
计算机或服务器传输流量。流量可以通过
计算机或服务器传输流量。流量可以通过
172.16.1.0/24 虚拟交换机从计算机 A 传
输到计算机
B (用蓝色线表示),也可以通过同一虚拟交换机从计算机 B 传输到
计算机
A (用绿色线表示)。同样,流量可以通过 192.168.1.0/24 虚拟交换机在文
件和网络服务器之间往返传输 (用红色线和橙色线表示)。但是,流量不能在计算
机与网络服务器或文件服务器之间传输,因为计算机与这些服务器不在同一个虚拟
交换机上。
机与网络服务器或文件服务器之间传输,因为计算机与这些服务器不在同一个虚拟
交换机上。
有关配置交换接口和虚拟交换机的详细信息,请参阅 《
Sourcefire 3D 系统用户指
南》中的“设置虚拟交换机”。