要在 Firepower 4100 或 9300 系列设备上配置多个管理接口以分隔事件和管理流量,请使用 configure network management-interface 命令。对于 threat defense,多个管理接口仅适用于 Firepower 4100 和 9300 系列设备。您还可以使用此命令设置用于 管理中心 通信的 MTU 和 TCP 端口。
configure network management-interface { [ disable | disable-event-channel | disable-management-channel | enable | enable-event-channel | enable-management-channel ] interface_id ] | tcpport number | mtu-event-channel [ bytes ] | mtu-management-channel [ bytes ] }
Syntax Description
disable
|
禁用指定的管理接口。
|
disable-event-channel
|
在指定的接口上禁用事件信道。
|
disable-management-channel
|
在指定的接口上禁用管理信道。
|
enable
|
启用指定的管理接口。
|
enable-event-channel
|
在指定的接口上启用事件信道。
|
enable-management-channel
|
在指定的接口上启用管理信道。
|
interface_id
|
指定要启用或禁用的管理接口, management0 或 management1 。 management0 和 management1 是这些接口的内部名称,而不考虑物理接口 ID。
|
tcpport number
|
配置用于与 管理中心通信的 TCP 端口。默认值为 8305。如果更改默认值,请勿指定 SSH (22) 或 HTTPS (443) 端口。保持数字在 1024 以上的高范围内,最高可达 65535。此命令与 configure network management-port 命令等效:
|
mtu-event-channel [bytes]
|
设置事件接口的 MTU,以字节为单位,如果启用 IPv4,该值可以介于 64 和 9000 之间;如果启用 IPv6,该值可以介于 1280 和 9000 之间。如果同时启用 IPv4 和 IPv6,则最小值为 1280。如果不输入 字节 ,系统会提示您输入值。此命令与 configure network mtu 命令等效:
|
mtu-management-channel [bytes]
|
设置管理接口的 MTU,以字节为单位,如果启用 IPv4,该值可以介于 64 和 1500 之间;如果启用 IPv6,该值可以介于 1280 和 1500 之间。如果同时启用 IPv4 和 IPv6,则最小值为 1280。如果不输入 字节 ,系统会提示您输入值。此命令与 configure network mtu 命令等效:
注
|
如果设置了 非常 低的 MTU,设备管理器 性能可能会受到影响。
|
|
Command Default
management0 接口已启用,并用于事件和管理流量。 management1 已禁用。
默认 UDP 端口为 8305。
管理和事件的默认 MTU 为 1500。
Command History
版本
|
修改
|
6.1
|
引入了此命令。
|
6.6
|
我们添加了 mtu-event-channel 和 mtu-management-channel 关键字。
|
Usage Guidelines
对于设备管理,管理中心管理接口承载两个单独的流量信道:管理流量信道承载所有内部流量(如特定于设备管理的设备间流量),而事件流量通道承载所有事件流量(如 Web 事件)。您可以选择在 管理中心 中配置单独的仅事件接口来处理事件流量(请参阅 管理中心 Web 界面以执行此配置)。只能配置一个仅事件接口。事件流量这能会占用大量带宽,因此将事件流量从管理流量中分离出来可以提高 管理中心的性能。
在 Firepower 4100 和 9300 系列设备上,分配给逻辑设备的管理类型接口被指定为 threat defense 应用中的默认 management0 接口。默认情况下,此接口包括管理信道和事件通道。如果在 管理中心上配置了单独的事件接口,则在 Firepower 4100 或 9300 设备上,可以选择将事件类型接口分配给 threat defense 逻辑设备,以利用这种分离。此接口被指定为 management1 接口。如果可能,在设备事件接口和 管理中心事件接口之间发送事件流量。如果事件网络关闭,则事件流量将恢复到默认管理接口。尽可能使用单独的事件接口,但管理接口始终为备用接口。
管理中心仅事件接口不能接受管理通道流量,因此您应在设备事件接口上禁用管理通道。您可以选择为管理接口禁用事件。不管是哪种情况,设备都会尝试通过事件专属接口发送事件,如果该接口关闭,那么即使您禁用了事件信道,设备也会通过管理接口发送事件。
将事件接口分配给逻辑设备后,此接口不会启用或配置网络设置。您必须访问 threat defense CLI 并使用 configure network management-interface 命令启用它。然后使用 configure network {ipv4 | ipv6} manual 命令来配置接口的地址。
Examples
以下示例启用 management1,并禁用管理信道。默认情况下,两个信道均已启用。
> configure network management-interface enable management1
> configure network management-interface disable-management-channel management1
>
以下示例更改用于与 管理中心通信的端口。
> configure network management-interface tcpport 8306
Management port changed to 8306.
以下示例将事件接口上的 MTU 设置为 9000。
> configure network management-interface mtu-event-channel 9000
MTU set successfully to 9000 from 1500 for management1
Refreshing Network Config...
Interface management1 speed is set to '10000baseT/Full'
>
以下示例使用 CLI 提示符将管理接口上的 MTU 设置为 1400。
> configure network management-interface mtu-management-channel
Do you want to change the MTU [1500] for management0 interface?(Yes/No): Yes
Enter the new value for MTU [1500]> 1400
MTU set successfully to 1400 from 1500 for management0
Refreshing Network Config...
Interface management0 speed is set to '10000baseT/Full'
>