Cisco Cisco Firepower Management Center 4000 ユーザーガイド
29-2
FireSIGHT 系统用户指南
第 29 章 配置传输和网络层预处理
配置高级传输/网络设置
以下各节介绍这些设置:
•
•
•
忽略 VLAN 报头
许可证:保护
受支持的设备:任何防御中心,除了ASA FirePOWER
同一连接但行进方向不同的流量中的不同 VLAN 标记会影响流量重组和规则处理。例如,在下图
中,同一连接的流量可以通过 VLAN A 进行传输,并通过 VLAN B 进行接收。
中,同一连接的流量可以通过 VLAN A 进行传输,并通过 VLAN B 进行接收。
如果启用
Ignore the VLAN header when tracking connections
,则系统忽略 VLAN 报头,因此可以针对部
署正确处理数据包。
要忽略 VLAN 报头,请执行以下操作:
访问:管理员/访问管理员/网络管理员
步骤 1
选择
Policies > Access Control
。
系统将显示 Access Control Policy 页面。
步骤 2
点击想要编辑的访问控制策略旁的编辑图标 (
)。
系统将显示访问控制策略编辑器。
步骤 3
选择
Advanced
选项卡。
系统将显示访问控制策略高级设置页面。
步骤 4
点击
Transport/Network Layer Preprocessor Settings
旁边的编辑图标 (
)。
系统将显示 Transport/Network Layer Preprocessor Settings 弹出窗口。
步骤 5
有以下选项可供选择:
•
对于可能会对在不同行进方向的流量中的同一连接检测到不同 VLAN 标记的已部署设备,请
选择
选择
Ignore the VLAN header when tracking connections
复选框,以在识别流量时忽略 VLAN 报头。
•
对于不会对在不同行进方向的同一连接流量检测到不同 VLAN 标记的已部署设备,请清除
Ignore the VLAN header when tracking connections
复选框,以在识别流量时包含 VLAN 报头。
步骤 6
点击
OK
。
您必须应用更改的访问控制策略以使更改生效;请参阅
。