Introduction
La mise à jour d'un déploiement de FirePOWER exige que vous téléchargez périodiquement des données du centre de Gestion de FirePOWER aux périphériques qu'il gère. Ce document fournit des informations que vous pouvez employer pour transférer avec succès des mises à jour du centre de Gestion de FirePOWER vers des périphériques gérés.
Instructions générales de téléchargement
Pour prendre en charge l'exécution de jour en jour de votre système de FirePOWER, Cisco recommande mettre à jour une bande passante de réseau dédié au moins de 256 Kbps entre l'interface externe et chaque périphérique géré. Soyez sûr que la bande passante répartie entre le centre de Gestion de FirePOWER et le commutateur qu'il l'utilise pour communiquer avec ses périphériques gérés est suffisante pour prendre en charge au moins 256 Kbps pour chaque périphérique. La bande passante supplémentaire peut être exigée en téléchargeant des mises à jour logicielles de la Gestion de FirePOWER centrent à un périphérique géré, ou quand simultanément téléchargeant de plusieurs mises à jour de stratégie ou de données à un périphérique géré.
Attention : Télécharger des mises à jour aux périphériques gérés peut affecter l'inspection du trafic, la circulation, et l'état de lien. Dans le cas des mises à jour logicielles, le corrélateur de données est désactivé tandis qu'une mise à jour est en cours. Par conséquent Cisco vous recommande des mises à jour de téléchargement dans une fenêtre de maintenance ou à un moment où le chargement sur le périphérique géré étant mis à jour est minimal et une interruption aura la moins incidence sur votre déploiement.
La durée requise pour exécuter n'importe quel téléchargement de type de données du centre de Gestion de FirePOWER à un périphérique géré dépend de la taille du module de données et de la bande passante de réseau dédié entre les deux appliances. Les téléchargements de données aux périphériques gérés échoueront s'ils ne peuvent pas se terminer au cours des délais d'inactivité indiqués que FirePOWER impose sur des activités de téléchargement.
Note: Les bandes passantes nécessaires citées dans ce document présument les liens sans perte entre les appliances ; si votre latence d'expériences réseau ou hauts débits élevés de perte de paquets, bande passante supplémentaire sera exigée pour se terminer des téléchargements dans les délais d'attente que FirePOWER exige.
Si après avoir ajusté votre environnement de réseau utilisant les informations dans ce document vous ne pouvez pas télécharger un module de mise à jour à un périphérique géré au cours du délai d'inactivité, contactez Cisco TAC.
Télécharger des mises à jour logicielles
Les tailles de module de mise à jour logicielle varient considérablement ; voyez les notes en version système de FirePOWER pour votre version pour le plein processus de mise à jour aussi bien que la taille de module de données. FirePOWER s'applique un délai d'attente de 1 heure aux téléchargements logiciels. Le tableau suivant fournit des formules pour rapprocher la durée qu'un téléchargement logiciel prendra selon la taille de module et la bande passante dédiée disponible entre les périphériques.
Taille de module |
Heure de télécharger à 256 Kbps |
Heure de télécharger à 512 Kbps |
Heure de télécharger à 2 mbps |
Heure de télécharger à 3 mbps |
X MO |
secondes 32X |
secondes 16X |
secondes 4X |
secondes 3X |
Attention : Puisque le processus de mise à jour peut affecter l'inspection du trafic, la circulation, et l'état de lien, et parce que le corrélateur de données est désactivé tandis qu'une mise à jour est en cours, Cisco vous recommande exécutent la mise à jour logicielle dans une fenêtre de maintenance ou à un moment où l'interruption aura la moins incidence sur votre déploiement.
Télécharger des mises à jour de base de données de vulnérabilité
Les mises à jour de base de données de vulnérabilité s'étendent dans la taille de 30 à 70 Mo. Téléchargeant une mise à jour VDB du centre de Gestion de FirePOWER à un périphérique géré échoue s'il ne se termine pas dans un délai de 1 heure. La bande passante indiquée de réseau dédié, doublant la bande passante disponible pour le téléchargement divise en deux approximativement la durée exigée pour se terminer le téléchargement. Par exemple, la table ci-dessous présente les bandes passantes et le temps-à-téléchargement pour un module VDB de 65 Mo :
Taille de module |
Heure de télécharger à 256 Kbps |
Heure de télécharger à 512 Kbps |
Heure de télécharger à 2 mbps |
Heure de télécharger à 4 mbps |
65 Mo |
2130 secondes |
1065 secondes |
273 secondes |
136 secondes |
Les téléchargements de mise à jour VDB se produisent asynchrone.
Attention : Installant une mise à jour VDB redémarre le processus de renifler quand vous déployez des modifications de configuration, interrompant temporairement l'inspection du trafic. Si le trafic chute pendant ces interruption ou passages sans davantage d'inspection dépend du modèle du périphérique géré et comment il traite le trafic. Voyez le pour en savoir plus de guide de configuration de centre de Gestion de FirePOWER.
Télécharger des mises à jour de stratégie de contrôle d'accès et de règle d'intrusion
La taille d'une mise à jour de stratégie de contrôle d'accès et de règle d'intrusion varie selon un certain nombre de facteurs, y compris le nombre de règles dans la mise à jour, les conditions dans les règles, le nombre de réutilisable objecte la référence de règles, et le nombre de combinaisons stratégie-variables de positionnement d'intrusion que les règles mettent en référence. Tandis qu'aucune formule fixe ne peut prévoir que taille de module pour la stratégie de contrôle d'accès et intrusion ordonnent des mises à jour, le tableau suivant fournit des exemples que vous pouvez employer pour estimer votre propre taille de module. Pour chaque module témoin, la table fournit la bande passante minimum de réseau dédié exigée entre les deux appliances pour se terminer le téléchargement dans le délai d'attente 5 minute que le système impose.
Description de stratégie |
Taille prévue de module |
Bande passante minimale |
4 stratégies d'intrusion et stratégies 1K (chacune des 4 intrusions par défaut et 1000 règles de contrôle d'accès) |
7.8 Mo |
223 Kbps |
4 stratégies d'intrusion et stratégies 5K (chacune des intrusion 4 par défaut + 5000 règles de contrôle d'accès) |
8.2 Mo |
256 Kbps |
4 stratégies d'intrusion et stratégies 10K (chacune des 4 intrusions par défaut et 10000 règles de contrôle d'accès) |
9 Mo |
256 Kbps |
La table dépeint seulement quelques scénarios de mise à jour de stratégie d'exemple. Les modules de mise à jour de stratégie qui incluent des stratégies supplémentaires telles que des stratégies de fichier ou de système seront plus grands et exigeront de la bande passante supplémentaire de les télécharger dans le délai d'attente que le système de FirePOWER impose.
Attention : Déployer des mises à jour de règle de contrôle d'accès et d'intrusion peut augmenter des exigences et le résultat de ressource en un nombre restreint de paquets relâchant sans inspection. Supplémentaire, déployant quelques configurations redémarre le processus de renifler, qui interrompt l'inspection du trafic. Si le trafic chute pendant ces interruption ou passages sans davantage d'inspection dépend du modèle du périphérique géré et comment il traite le trafic. Voyez le pour en savoir plus de guide de configuration de centre de Gestion de FirePOWER.
Télécharger des listes URL
En raison des limites de mémoire, quelques modèles de périphérique exécutent la plupart de Filtrage URL avec un plus petit, moins granulaire, ensemble de catégories et réputations. En conséquence les téléchargements de liste URL varient dans la taille selon le modèle de périphérique ; des tailles approximatives sont affichées dans le tableau suivant :
Taille de module |
Plein téléchargement de liste URL |
Mise à jour de liste URL |
périphériques d'Élevé-mémoire |
450 Mo |
40 – 80 Mo |
périphériques de Bas-mémoire |
20 Mo |
20 Mo |
les périphériques de Bas-mémoire incluent la famille 7100 et les modèles suivants ASA : ASA5506-X, ASA5506H-X, ASA5506W-X, ASA5508-X, ASA5512-X, ASA5515-X, ASA5516-X, et ASA5525-X. (Pour NGIPSv, voyez le guide d'installation virtuel de système de FirePOWER pour les informations sur allouer la quantité de mémoire correcte pour exécuter la catégorie et le Filtrage URL basé sur réputation.)
Une mise à jour téléchargeant URL liste ou de liste URL s'étendant dans la taille de 1 à 100 Mo échoue s'il ne se termine pas dans un délai de 10 minutes (600 secondes). Une mise à jour téléchargeant URL liste ou de liste URL s'étendant dans la taille de 100 Mo à 4 Go échoue s'il ne se termine pas dans un délai de 1 heure (3600 secondes).
La bande passante indiquée de réseau dédié, doublant la bande passante disponible pour le téléchargement divise en deux approximativement la durée exigée pour se terminer le téléchargement, suivant les indications des exemples ci-dessous :
Taille de module |
Heure de télécharger à 256 Kbps |
Heure de télécharger à 512 Kbps |
Heure de télécharger à 2 mbps |
Heure de télécharger à 4 mbps |
20 Mo |
640 secondes |
320 secondes |
80 secondes |
42 secondes |
450 Mo |
14745 secondes |
7373 secondes |
1887 secondes |
944 secondes |
Les téléchargements des mises à jour de liste URL se produisent asynchrone.