Cisco Cisco Firepower Management Center 2000 产品宣传页
2-3
FireSIGHT 系统安装指南
第 2 章 了解部署
了解接口
可配置旁路内联集可让您选择在硬件出现故障完全无法运行 (例如设备断电)的情况下如何处理
流量。在某个网段,您可能确定连接性非常重;而在其他网段流量检测又非常重要,不允许不执
行检测。使用可配置旁路内联集,可以通过以下方式之一来管理网络流量:
流量。在某个网段,您可能确定连接性非常重;而在其他网段流量检测又非常重要,不允许不执
行检测。使用可配置旁路内联集,可以通过以下方式之一来管理网络流量:
•
旁路:将一个接口对配置为旁路模式,如果设备出现故障,则允许所有流量通过。流量绕过
设备和设备执行的任何检查或其他处理。旁路允许整个网段的流量都不接受检查,但是可确
保网络连接的畅通。
设备和设备执行的任何检查或其他处理。旁路允许整个网段的流量都不接受检查,但是可确
保网络连接的畅通。
•
非旁路:将一个接口对配置为非旁路模式,如果设备出现故障,则停止所有流量。到达故障设备
的流量不会进入设备。非旁路模式不允许流量在未经检测的情况下通过网络,但是如果设备出现
故障,网段将失去连接。在网络安全性比流量流失更加重要的部署情况下使用非旁路接口。
的流量不会进入设备。非旁路模式不允许流量在未经检测的情况下通过网络,但是如果设备出现
故障,网段将失去连接。在网络安全性比流量流失更加重要的部署情况下使用非旁路接口。
将内联集配置为旁路模式,确保如果设备出现故障,流量将继续传输。将内联集配置为非旁路模式,
如果设备出现故障,将停止流量传输。请注意,重新映像会将旁路模式下的设备重置为非旁路配置并
中断网络流量,直至重新配置了旁路模式。有关详细信息,请参阅
如果设备出现故障,将停止流量传输。请注意,重新映像会将旁路模式下的设备重置为非旁路配置并
中断网络流量,直至重新配置了旁路模式。有关详细信息,请参阅
所有设备均包含可配置旁路接口。 8000 系列设备还包含带有不能用于旁路配置的接口的网络模
块。有关网络模块的详细信息,请参阅
块。有关网络模块的详细信息,请参阅
。
高级选项依设备而定,可能包括 TAP 模式、传播链路状态、透明内联模式和严格 TCP 模式。有
关如何配置内联接口集的详细信息,请参阅 《FireSIGHT 系统用户指南》中的“配置内联集”。
有关使用内联接口的详细信息,请参阅
关如何配置内联接口集的详细信息,请参阅 《FireSIGHT 系统用户指南》中的“配置内联集”。
有关使用内联接口的详细信息,请参阅
无法使用 FireSIGHT 系统在 ASA FirePOWER 设备上配置旁路接口。有关在内联模式下配置
ASA FirePOWER 设备的详细信息,请参阅 ASA 文档。
ASA FirePOWER 设备的详细信息,请参阅 ASA 文档。
交换接口
许可证:
控制
支持的设备:
3 系列
可以在第 2 层部署中的受管设备上配置交换接口,以在两个或更多网络之间提供数据包交换。也
可以在受管设备上配置虚拟交换机作为独立的广播域,将网络划分为多个逻辑分段。虚拟交换机
根据来自主机的媒体访问控制 (MAC) 地址来确定向哪里发送数据包。
可以在受管设备上配置虚拟交换机作为独立的广播域,将网络划分为多个逻辑分段。虚拟交换机
根据来自主机的媒体访问控制 (MAC) 地址来确定向哪里发送数据包。
交换接口具有物理或逻辑配置︰
•
物理交换接口是已配置交换的物理接口。物理交换接口用于处理未标记的 VLAN 流量。
•
逻辑交换接口是物理接口和 VLAN 标记之间的关联。逻辑接口用于处理带指定 VLAN 标记的
流量。
流量。
虚拟交换机可以作为独立的广播域,将网络划分为多个逻辑分段。虚拟交换机根据来自主机的媒
体访问控制 (MAC) 地址来确定向哪里发送数据包。配置虚拟交换机时,交换机首先通过交换机
上每个可用端口广播数据包。随着时间的推移,交换机通过带标记的返回流量了解哪些主机位于
和每个端口连接的网络上。
体访问控制 (MAC) 地址来确定向哪里发送数据包。配置虚拟交换机时,交换机首先通过交换机
上每个可用端口广播数据包。随着时间的推移,交换机通过带标记的返回流量了解哪些主机位于
和每个端口连接的网络上。
可以将设备配置为虚拟交换机并使用其余接口连接想要监控的网段。要在设备上使用虚拟交换
机,请创建物理交换接口,然后按照 《FireSIGHT 系统用户指南》中“设置虚拟机”的说明进行
操作。
机,请创建物理交换接口,然后按照 《FireSIGHT 系统用户指南》中“设置虚拟机”的说明进行
操作。