接口管理

关于接口

Firepower 4100/9300 机箱支持物理接口、容器实例的 VLAN 子接口和 EtherChannel(端口通道)接口。EtherChannel 接口最多可以包含同一类型的 16 个成员接口。

机箱管理接口

机箱管理接口用于通过 SSH 或 机箱管理器来管理 FXOS 机箱。此接口在接口 (Interfaces) 选项卡顶部显示为 MGMT,您只可在接口 (Interfaces) 选项卡上启用或禁用此接口。此接口独立于分配给应用管理用逻辑设备的 MGMT 型接口。

要配置此接口参数,必须从 CLI 进行配置。另请参阅更改管理 IP 地址要在 FXOS CLI 中查看此接口,请连接到本地管理并显示管理端口:

Firepower # connect local-mgmt

Firepower(local-mgmt) # show mgmt-port

请注意,即使将物理电缆或小型封装热插拨模块拔下,或者执行了 mgmt-port shut 命令,机箱管理接口仍会保持正常运行状态。


机箱管理接口不支持巨型帧。

接口类型

物理接口、容器实例的 VLAN 子接口, 和 EtherChannel(端口通道)接口可以是下列类型之一:

  • 数据 - 用于常规数据。不能在逻辑设备之间共享数据接口,且逻辑设备无法通过背板与其他逻辑设备通信。对于数据接口上的流量,所有流量必须在一个接口上退出机箱,并在另一个接口上返回以到达另一个逻辑设备。

  • 数据共享 - 用于常规数据。仅容器实例支持这些数据接口,可由一个或多个逻辑设备/容器实例(仅限威胁防御-使用-管理中心 )共享。 每个容器实例都可通过背板与共享此接口的所有其他实例通信。共享的接口可能会影响您可以部署容器实例的数量。共享接口不支持用于网桥组成员接口(在透明模式或路由模式下)、内联集、被动接口、集群或故障切换链路。

  • 管理 - 用于管理应用程序实例。这些接口可以由一个或多个逻辑设备共享,以访问外部主机;逻辑设备无法通过此接口与共享接口的其他逻辑设备通信。只能为每个逻辑设备分配一个管理接口。根据您的应用和管理器,您可以稍后从数据接口启用管理;但必须将管理接口分配给逻辑设备,即使您不打算在启用数据管理后使用该接口。

    管理接口更改会导致逻辑设备重新启动,例如将管理接口从 e1/1 更改为 e1/2 会导致逻辑设备重新启动以应用新的管理接口。

  • 事件 - 用作 威胁防御-using-管理中心 设备的辅助管理接口。 要使用此接口,您必须在 威胁防御 CLI 上配置其 IP 地址和其他参数。例如,您可以将管理流量从活动(例如网络活动)中分隔出来。有关详细信息,请参阅《管理中心配置指南》。事件接口可以由一个或多个逻辑设备共享,以访问外部主机;逻辑设备无法通过此接口与共享接口的其他逻辑设备通信。 如果稍后为管理配置数据接口,则无法使用单独的事件接口。

    安装每个应用实例时,会分配一个虚拟以太网接口。如果应用不使用事件接口,则虚拟接口将处于管理员关闭状态。

    Firepower # show interface Vethernet775
Firepower # Vethernet775 is down (Administratively down)
Bound Interface is Ethernet1/10
Port description is server 1/1, VNIC ext-mgmt-nic5

  • 集群 - 用作集群逻辑设备的集群控制链路。默认情况下,系统会在端口通道 48 上自动创建集群控制链路。“集群”类型仅在 EtherChannel 接口上受支持。 对于多实例集群,无法在设备之间共享集群类型接口。您可以将 VLAN 子接口添加到集群 EtherChannel,以便为每个集群提供单独的集群控制链路。如果向某个集群接口添加子接口,则不能将该接口用于本地集群。设备管理器 和 CDO 不支持集群。

本章仅讨论 FXOS VLAN 子接口。您还可以在 威胁防御 应用内单独创建子接口。有关详细信息,请参阅FXOS 接口与应用接口

有关独立部署和集群部署中威胁防御和 ASA 应用的接口类型支持,请参阅下表。

表 1. 接口类型支持

应用

数据

数据:子接口

数据共享

数据共享:子接口

管理

Eventing

集群(仅 EtherChannel)

集群:子接口

威胁防御

独立本地实例

支持

-

支持

支持

-

独立容器实例

支持

支持

支持

支持

支持

支持

-

集群本地实例

支持

(EtherChannel 仅用于机箱间集群)

-

-

支持

支持

支持

集群容器实例

支持

(EtherChannel 仅用于机箱间集群)

-

-

支持

支持

支持

支持

ASA

独立本地实例

支持

-

支持

支持

集群本地实例

支持

(EtherChannel 仅用于机箱间集群)

-

-

支持

支持

FXOS 接口与应用接口

Firepower 4100/9300 管理物理接口、容器实例的 VLAN 子接口和 EtherChannel(端口通道)接口的基本以太网设置。在应用中,您可以配置更高级别的设置。例如,您只能在 FXOS 中创建 EtherChannel;但是,您可以为应用中的 EtherChannel 分配 IP 地址。

下文将介绍 FXOS 接口与应用接口之间的交互。

VLAN 子接口

对于所有逻辑设备,您可以在应用内创建 VLAN 子接口。

仅对于独立模式下的容器实例,您可以在 FXOS 中创建 VLAN 子接口。 除集群类型接口外,多实例集群不支持 FXOS 中的子接口。应用定义的子接口不受 FXOS 限值的约束。选择在哪个操作系统创建子接口取决于网络部署和个人偏好。例如,要共享子接口,必须在 FXOS 中创建子接口。偏好 FXOS 子接口的另一种场景包含将单个接口上的单独子接口组分配至多个实例。例如,您想要结合使用端口通道 1 与实例 A 上的 VLAN 2-11、实例 B 上的 VLAN 12-21 和实例 C 上的 VLAN 22-31。如果您在应用内创建这些子接口,则必须在 FXOS 中共享父接口,但这可能并不合适。有关可以用于实现这种场景的三种方法,请参阅下图:

图 1. FXOS 中的 VLAN 与容器实例的应用
VLAN 子接口场景

机箱和应用中的独立接口状态

您可以从管理上启用和禁用机箱和应用中的接口。必须在两个操作系统中都启用能够正常运行的接口。由于接口状态可独立控制,因此机箱与应用之间可能出现不匹配的情况。

应用内接口的默认状态取决于接口类型。例如,在应用内,默认禁用物理接口或 EtherChannel,但默认启用子接口。

硬件旁路对

对于 威胁防御,Firepower 9300 和 4100 系列上的某些接口模块允许您启用 硬件旁路 功能。硬件旁路 可在停电时确保流量在内联接口对之间继续流动。在软件或硬件发生故障时,此功能可用于维持网络连接性。

硬件旁路功能在 威胁防御 应用中进行配置。您不需要将这些接口用作硬件旁路对;它们可用作 ASA 和 威胁防御 应用的常规接口。请注意,不可为分支端口配置具有硬件旁路功能的接口。如果您想使用硬件旁路功能,请勿将端口配置为 EtherChannel;否则,您可将这些接口作为常规接口模式下的 EtherChannel 成员。

当在内联对上启用 硬件旁路 时,首先尝试交换机旁路。如果由于交换机错误而导致旁路配置失败,则会启用物理旁路。


硬件旁路 (FTW) 在与第三方应用(例如 VDP/Radware)的服务链中安装的 威胁防御 上不受支持。

对于以下型号上特定网络模块的接口对,威胁防御 支持 硬件旁路

  • Firepower 9300

  • Firepower 4100 系列

这些型号的受支持 硬件旁路 网络包括:

  • Firepower 6 端口 1G SX FTW 单位宽网络模块 (FPR-NM-6X1SX-F)

  • Firepower 6 端口 10G SR FTW 单位宽网络模块 (FPR-NM-6X10SR-F)

  • Firepower 6 端口 10G LR FTW 单位宽网络模块 (FPR-NM-6X10LR-F)

  • Firepower 2 端口 40G SR FTW 单位宽网络模块 (FPR-NM-2X40G-F)

  • Firepower 8 端口 1G 铜 FTW 单位宽网络模块 (FPR-NM-8X1G-F)

硬件旁路 仅可使用以下端口对:

  • 1、2

  • 3、4

  • 5、6

  • 7、8

巨帧支持

Firepower 4100/9300 机箱默认启用巨帧支持。要在 Firepower 4100/9300 机箱上安装的特定逻辑设备上启用巨帧支持,您将需要为逻辑设备上的接口配置合适的 MTU 设置。

Firepower 4100/9300 机箱 上应用支持的最大 MTU 为 9184

机箱管理接口不支持巨型帧。

共享接口可扩展性

实例可以共享数据共享型接口。此功能允许您保存物理接口的使用情况,以及支持灵活的网络部署。当您共享接口时,机箱会使用唯一 MAC 地址将流量转发至适当实例。然而,由于需要在机箱内实现全网状拓扑,因此共享接口将导致转发表规模扩大(每个实例都必须能够与共享同一接口的所有其他实例进行通信)。因此,您可以共享的接口存在数量限制。

除转发表外,机箱还维护用于 VLAN 子接口转发的 VLAN 组表。 您最多可以创建 500 个 VLAN 子接口。

请参阅共享接口分配的以下限制:

共享接口最佳实践

为确保转发表的最佳可扩展性,请共享尽可能少的接口。相反,您可以在一个或多个物理接口上创建最多 500 个 VLAN 子接口,然后在容器实例之间划分 VLAN。

共享接口时,请按照可扩展性从高到低的顺序遵循这些最佳实践:

  1. 最佳 - 共享单父项下的子接口,并结合使用相同集合的子接口和同组实例。

    例如,创建一个大型 EtherChannel 以将所有类似接口捆绑在一起,然后共享该 EtherChannel 的子接口:Port-Channel1.2, 3 和 4 而不是 Port-Channel2、Port-Channel3 和 Port-Channel4。与跨父项共享物理/EtherChannel 接口或子接口相比,当您共享单父项子接口时,VLAN 组表提供更高的转发表可扩展性。

    图 2. 最佳:一个父项上的共享子接口组

    如果未与一组实例共享相同集合的子接口,则配置会提高资源使用率(更多 VLAN 组)。例如,与实例 1、2 和 3(一个 VLAN 组)共享 Port-Channel1.2, 3 和 4 而不是与实例 1 和 2 分享 Port-Channel1.2 和 3,同时与实例 3(两个 VLAN 组)共享 Port-Channel1.3 和 4。

    图 3. 良好:一个父项上共享多个子接口组

  2. 一般 - 跨父项共享子接口。

    例如,共享 Port-Channel1.2、Port-Channel2.3 和 Port-Channel3.4 而不是 Port-Channel2、Port-Channel4 和 Port-Channel4。虽然这种使用方法的效率低于仅共享同一父项上的子接口,但仍可利用 VLAN 组。

    图 4. 一般:独立父项上的共享子接口

  3. 最差 - 共享单个父接口(物理或 EtherChannel)。

    此方法使用的转发表条目最多。

    图 5. 最差:共享父接口

共享接口使用示例

有关接口共享示例和可扩展性,请参阅下表。以下情景假设使用一个在所有实例中共享的物理/EtherChannel 接口来实现管理,和另一个设有专用子接口的物理或 EtherChannel 接口,用于实现高可用性。

Firepower 9300(设有三个 SM-44)

下表适用于仅使用物理接口或 Etherchannel 的 9300 上的三个 SM-44 安全模块。在未设子接口的情况下,接口的最大数量受限。此外,与共享多个子接口相比,共享多个物理接口所使用的转发表资源更多。

每个 SM-44 模块最多可支持 14 个实例。如有必要,系统会拆分模块之间的实例,以将实例数维持在限值范围内。

表 2. Firepower 9300(设有三个 SM-44)上的物理/EtherChannel 接口和实例

专用接口

共享接口

实例数

转发表使用百分比

32:

  • 8

  • 8

  • 8

  • 8

0

4:

  • 实例 1

  • 实例 2

  • 实例 3

  • 实例 4

16%

30:

  • 15

  • 15

0

2:

  • 实例 1

  • 实例 2

14%

14:

  • 14(每个实例 1 个专用子接口)

1

14:

  • 实例 1 至实例 14

46%

33:

  • 11(每个实例 1 个专用子接口)

  • 11(每个实例 1 个专用子接口)

  • 11(每个实例 1 个专用子接口)

3:

  • 1

  • 1

  • 1

33:

  • 实例 1 至实例 11

  • 实例 12 至实例 22

  • 实例 23 至实例 33

98%

33:

  • 11(每个实例 1 个专用接口)

  • 11(每个实例 1 个专用接口)

  • 12(每个实例 1 个专用接口)

3:

  • 1

  • 1

  • 1

34:

  • 实例 1 至实例 11

  • 实例 12 至实例 22

  • 实例 23 至实例 34

102%

禁止使用

30:

  • 30(每个实例 1 个专用接口)

1

6:

  • 实例 1 实例 6

25%

30:

  • 10(每个实例 5 个专用接口)

  • 10(每个实例 5 个专用接口)

  • 10(每个实例 5 个专用接口)

3:

  • 1

  • 1

  • 1

6:

  • 实例 1 至实例 2

  • 实例 2 至实例 4

  • 实例 5 至实例 6

23%

30:

  • 30(每个实例 6 个专用接口)

2

5:

  • 实例 1 至实例 5

28%

30:

  • 12(每个实例 6 个专用接口)

  • 18(每个实例 6 个专用接口)

4:

  • 2

  • 2

5:

  • 实例 1 至实例 2

  • 实例 2 至实例 5

26%

24:

  • 6

  • 6

  • 6

  • 6

7

4:

  • 实例 1

  • 实例 2

  • 实例 3

  • 实例 4

44%

24:

  • 12(每个实例 6 个专用接口)

  • 12(每个实例 6 个专用接口)

14:

  • 7

  • 7

4:

  • 实例 1 至实例 2

  • 实例 2 至实例 4

41%

下表适用于使用单父项物理接口上子接口的 9300 的三个 SM-44 安全模块。例如,创建一个大型 EtherChannel 以将所有类似接口捆绑在一起,然后共享该 EtherChannel 的子接口。与共享多个子接口相比,共享多个物理接口所使用的转发表资源更多。

每个 SM-44 模块最多可支持 14 个实例。如有必要,系统会拆分模块之间的实例,以将实例数维持在限值范围内。

表 3. Firepower 9300(设有三个 SM-44)上的一个父接口的子接口和实例

专用子接口

共享子接口

实例数

转发表使用百分比

168:

  • 168(每个实例 4 个专用子接口)

0

42:

  • 实例 1 至实例 42

33%

224:

  • 224(每个实例 16 个专用子接口)

0

14:

  • 实例 1 至实例 14

27%

14:

  • 14(每个实例 1 个专用子接口)

1

14:

  • 实例 1 至实例 14

46%

33:

  • 11(每个实例 1 个专用子接口)

  • 11(每个实例 1 个专用子接口)

  • 11(每个实例 1 个专用子接口)

3:

  • 1

  • 1

  • 1

33:

  • 实例 1 至实例 11

  • 实例 12 至实例 22

  • 实例 23 至实例 33

98%

70:

  • 70(每个实例 5 个专用子接口)

1

14:

  • 实例 1 至实例 14

46%

165:

  • 55(每个实例 5 个专用子接口)

  • 55(每个实例 5 个专用子接口)

  • 55(每个实例 5 个专用子接口)

3:

  • 1

  • 1

  • 1

33:

  • 实例 1 至实例 11

  • 实例 12 至实例 22

  • 实例 23 至实例 33

98%

70:

  • 70(每个实例 5 个专用子接口)

2

14:

  • 实例 1 至实例 14

46%

165:

  • 55(每个实例 5 个专用子接口)

  • 55(每个实例 5 个专用子接口)

  • 55(每个实例 5 个专用子接口)

6:

  • 2

  • 2

  • 2

33:

  • 实例 1 至实例 11

  • 实例 12 至实例 22

  • 实例 23 至实例 33

98%

70:

  • 70(每个实例 5 个专用子接口)

10

14:

  • 实例 1 至实例 14

46%

165:

  • 55(每个实例 5 个专用子接口)

  • 55(每个实例 5 个专用子接口)

  • 55(每个实例 5 个专用子接口)

30:

  • 10

  • 10

  • 10

33:

  • 实例 1 至实例 11

  • 实例 12 至实例 22

  • 实例 23 至实例 33

102%

禁止使用
Firepower 9300(设有一个 SM-44)

下表适用于仅使用物理接口或 Etherchannel 的 Firepower 9300(设一个 SM-44)。在未设子接口的情况下,接口的最大数量受限。此外,与共享多个子接口相比,共享多个物理接口所使用的转发表资源更多。

Firepower 9300(设有一个 SM-44)最多可支持 14 个实例。

表 4. Firepower 9300(设有一个 SM-44)上的物理/EtherChannel 接口和实例

专用接口

共享接口

实例数

转发表使用百分比

32:

  • 8

  • 8

  • 8

  • 8

0

4:

  • 实例 1

  • 实例 2

  • 实例 3

  • 实例 4

16%

30:

  • 15

  • 15

0

2:

  • 实例 1

  • 实例 2

14%

14:

  • 14(每个实例 1 个专用子接口)

1

14:

  • 实例 1 至实例 14

46%

14:

  • 7(每个实例 1 个专用子接口)

  • 7(每个实例 1 个专用子接口)

2:

  • 1

  • 1

14:

  • 实例 1 至实例 7

  • 实例 8 至实例 14

37%

32:

  • 8

  • 8

  • 8

  • 8

1

4:

  • 实例 1

  • 实例 2

  • 实例 3

  • 实例 4

21%

32:

  • 16(每个实例 8 个专用接口)

  • 16(每个实例 8 个专用接口)

2

4:

  • 实例 1 至实例 2

  • 实例 3 至实例 4

20%

32:

  • 8

  • 8

  • 8

  • 8

2

4:

  • 实例 1

  • 实例 2

  • 实例 3

  • 实例 4

25%

32:

  • 16(每个实例 8 个专用接口)

  • 16(每个实例 8 个专用接口)

4:

  • 2

  • 2

4:

  • 实例 1 至实例 2

  • 实例 3 至实例 4

24%

24:

  • 8

  • 8

  • 8

8

3:

  • 实例 1

  • 实例 2

  • 实例 3

37%

10:

  • 10(每个实例 2 个专用接口)

10

5:

  • 实例 1 至实例 5

69%

10:

  • 6(每个实例 2 个专用接口)

  • 4(每个实例 2 个专用接口)

20:

  • 10

  • 10

5:

  • 实例 1 至实例 3

  • 实例 4 至实例 5

59%

14:

  • 12(每个实例 2 个专用接口)

10

7:

  • 实例 1 至实例 7

109%

禁止使用

下表适用于使用单父项物理接口上子接口的 Firepower 9300(设有一个 SM-44)。例如,创建一个大型 EtherChannel 以将所有类似接口捆绑在一起,然后共享该 EtherChannel 的子接口。与共享多个子接口相比,共享多个物理接口所使用的转发表资源更多。

Firepower 9300(设有一个 SM-44)最多可支持 14 个实例。

表 5. Firepower 9300(设有一个 SM-44)上的一个父接口的子接口和实例

专用子接口

共享子接口

实例数

转发表使用百分比

112:

  • 112(每个实例 8 个专用子接口)

0

14:

  • 实例 1 至实例 14

17%

224:

  • 224(每个实例 16 个专用子接口)

0

14:

  • 实例 1 至实例 14

17%

14:

  • 14(每个实例 1 个专用子接口)

1

14:

  • 实例 1 至实例 14

46%

14:

  • 7(每个实例 1 个专用子接口)

  • 7(每个实例 1 个专用子接口)

2:

  • 1

  • 1

14:

  • 实例 1 至实例 7

  • 实例 8 至实例 14

37%

112:

  • 112(每个实例 8 个专用子接口)

1

14:

  • 实例 1 至实例 14

46%

112:

  • 56(每个实例 8 个专用子接口)

  • 56(每个实例 8 个专用子接口)

2:

  • 1

  • 1

14:

  • 实例 1 至实例 7

  • 实例 8 至实例 14

37%

112:

  • 112(每个实例 8 个专用子接口)

2

14:

  • 实例 1 至实例 14

46%

112:

  • 56(每个实例 8 个专用子接口)

  • 56(每个实例 8 个专用子接口)

4:

  • 2

  • 2

14:

  • 实例 1 至实例 7

  • 实例 8 至实例 14

37%

140:

  • 140(每个实例 10 个专用子接口)

10

14:

  • 实例 1 至实例 14

46%

140:

  • 70(每个实例 10 个专用子接口)

  • 70(每个实例 10 个专用子接口)

20:

  • 10

  • 10

14:

  • 实例 1 至实例 7

  • 实例 8 至实例 14

37%

查看共享接口资源

要查看转发表和 VLAN 组使用情况,请参阅实例 (Instances) > 接口转发利用率 (Interface Forwarding Utilization) 区域 下输入 show detail 命令。例如:

威胁防御 支持的内联集链路状态传播

内联集类似于导线上的凹凸,用于将两个接口绑定在一起插入到现有网络中。此功能使系统可以安装在任何网络环境中,而无需配置相邻网络设备。内联接口无条件接收所有流量,但是,除非已明确丢弃,否则这些接口上接收的所有流量将在内联集外重传。

当您在 威胁防御 应用中配置内联集并启用链路状态传播时,威胁防御 会向 FXOS 机箱发送内联集成员身份。链路状态传播意味着,当内联集的一个接口断开时,机箱将自动关闭内联接口对的第二个接口。当被关闭的接口恢复运行时,第二个接口也将自动恢复运行。换句话说,如果一个接口的链路状态更改,机箱会感知该更改并更新其他接口的链路状态以与其匹配。请注意,机箱最多需要 4 秒即可传播链路状态更改。在将路由器配置为在处于故障状态的网络设备上自动重新路由流量的弹性网络环境中,链路状态传播特别有用。

接口的准则和限制

VLAN 子接口

  • 本文档仅讨论 FXOS VLAN 子接口。您还可以在 威胁防御 应用内单独创建子接口。有关详细信息,请参阅FXOS 接口与应用接口

  • 子接口(和父接口)仅可分配至容器实例。

    如果将父接口分配至容器实例,该接口将仅传递未标记(非 VLAN)流量。除非您想要传递未标记流量,否则不予分配父接口。 对于集群类型接口,不得使用父接口。

  • 子接口在数据或数据共享型接口以及集群类型接口上受支持。如果向某个集群接口添加子接口,则不能将该接口用于本地集群

  • 对于多实例集群,数据接口上不支持 FXOS 子接口。但是,集群控制链路支持子接口,因此可以将专用 EtherChannel 或 EtherChannel 子接口用于集群控制链路。请注意,数据接口支持 应用定义的子接口。

  • 最多可以创建 500 个 VLAN ID。

  • 请参阅逻辑设备应用中的以下限制;规划接口分配时,请谨记这些限制。

    • 不得将子接口用于 威胁防御 内联集或用作被动接口。

    • 如果将子接口用于故障转移链路,则该父接口及其上的所有子接口仅限于用作故障转移链路。不得将某些子接口用作故障转移链路,而将某些用作常规数据接口。

数据共享接口

  • 不得结合使用数据共享接口和本地实例。

  • 每个共享接口最多 14 个实例。例如,您可以将以太网接口 1/1 分配至实例 1 至实例 14。

    每个实例最多 10 个共享接口。例如,您可以将以太网接口 1/1.1 至以太网接口 1/1.10 分配至实例 1。

  • 不得在集群中使用数据共享接口。

  • 请参阅逻辑设备应用中的以下限制;规划接口分配时,请谨记这些限制。

    • 不得结合使用数据共享接口和透明防火墙模式设备。

    • 不得结合数据共享接口和 威胁防御 内联集或被动接口。

    • 不得将数据共享接口用于故障转移链路。

FTD 的内联集 威胁防御

  • 支持物理接口(常规端口和分支端口)和 Etherchannel。 不支持子接口。

  • 支持链路状态传播。

硬件旁路

  • 支持 威胁防御;可以将它们用作 ASA 的常规接口。

  • 威胁防御仅支持包含内联集的 硬件旁路

  • 不可为分支端口配置具有硬件旁路功能的接口。

  • 不得包含 EtherChannel 中的硬件旁路接口包含在并将它们用于硬件旁路;可以将它们用作 EtherChannel 中的常规接口。

  • 硬件旁路不支持高可用性。

默认 MAC 地址

对于本地实例:

默认 MAC 地址分配取决于接口类型。

  • 物理接口 - 物理接口使用已刻录的 MAC 地址。

  • EtherChannel - 对于 EtherChannel,属于通道组的所有接口共用同一个 MAC 地址。此功能使 EtherChannel 对网络应用和用户透明,因为他们只看到一个逻辑连接;而不知道各个链路。端口通道接口使用来自池中的唯一 MAC 地址;接口成员身份不影响 MAC 地址。

对于容器实例:

  • 所有接口的 MAC 地址均取自一个 MAC 地址池。对于子接口,如果决定要手动配置 MAC 地址,请确保将唯一 MAC 地址用于同一父接口上的所有子接口,从而确保分类正确。请参阅容器实例接口的自动 MAC 地址

配置接口

默认情况下,物理接口处于禁用状态。可以启用接口,添加 Etherchannel,添加 VLAN 子接口,编辑接口属性,配置分支端口

启用或禁用接口

可以将每个接口的管理状态更改为启用或禁用。默认情况下,物理接口处于禁用状态。 对于 VLAN 子接口,其管理状态继承自父接口。

过程

步骤 1

选择接口 (Interfaces) 打开接口页面。

“接口 (Interfaces)”页面顶部显示当前已安装的接口的直观展示图,在下表中提供已安装接口列表。

步骤 2

要启用接口,请点击已禁用滑块已禁用滑块已禁用,使其更改为已启用滑块已启用滑块已启用

点击,确认更改。以直观展示图表现的对应接口从灰色变为绿色。

步骤 3

要禁用接口,请点击已启用滑块已启用滑块已启用,使其更改为已禁用滑块已禁用滑块已禁用

点击,确认更改。以直观展示图表现的对应接口从绿色变为灰色。

配置物理接口

您可以通过物理方式启用和禁用接口,并设置接口速度和双工。要使用某一接口,必须在 FXOS 中以物理方式启用它,并在应用中以逻辑方式启用它。

对于 QSFPH40G-CUxM,默认情况下自动协商会始终处于启用状态,并且您无法将其禁用。

开始之前

  • 不能单独修改已经是 EtherChannel 成员的接口。务必在将接口添加到 EtherChannel 之前为其配置设置。

过程

步骤 1

选择接口 (Interfaces) 打开“接口”(Interfaces) 页面。

所有接口页面顶部显示当前已安装的接口的直观展示图,在下表中提供已安装接口列表。

步骤 2

在您要编辑的接口所对应的行中点击编辑 (Edit),可打开编辑接口 (Edit Interface) 对话框。

步骤 3

要启用接口,请选中启用复选框。要禁用接口,请取消选中启用复选框。

步骤 4

选择接口类型

  • 数据

  • 数据共享 - 仅用于容器实例。

  • 管理

  • Firepower 事件 - 仅用于 威胁防御

  • 集群 - 请勿选择集群类型;默认情况下,系统会自动在端口通道 48 上创建集群控制链路。

步骤 5

(可选) 从速度 (Speed) 下拉列表中选择接口的速度。

步骤 6

(可选) 如果您的接口支持自动协商,请点击是 (Yes)否 (No) 单选按钮。

步骤 7

(可选) 从双工 (Duplex) 下拉列表中选择接口双工。

步骤 8

(可选) 选择先前配置的网络控制策略

步骤 9

(可选) 明确配置防反跳时间 (ms)。输入 0-15000 毫秒之间的值。

步骤 10

点击确定 (OK)

添加 EtherChannel(端口通道)

EtherChannel(也称为端口通道)最多可以包含 16 个同一介质类型和容量的成员接口,并且必须设置为相同的速度和双工模式。介质类型可以是 RJ-45 或 SFP;可以混合使用不同类型(铜缆和光纤)的 SFP。不能通过在大容量接口上将速度设置为较低值来混合接口容量(例如 1GB 和 10GB 接口)。链路汇聚控制协议 (LACP) 将在两个网络设备之间交换链路汇聚控制协议数据单元 (LACPDU),进而汇聚接口。

您可以将 EtherChannel 中的每个物理数据或数据共享接口配置为:

  • Active - 发送和接收 LACP 更新。主用 EtherChannel 可以与主用或备用 EtherChannel 建立连接。除非您需要最大限度地减少 LACP 流量,否则应使用主用模式。

  • 开启 - EtherChannel 始终开启,并且不使用 LACP。“开启”的 EtherChannel 只能与另一个“开启”的 EtherChannel 建立连接。

如果将其模式从打开更改为主用或从主用更改为打开状态,则可能需要多达三分钟的时间才能使 EtherChannel 进入运行状态。

非数据接口仅支持主用模式。

LACP 将协调自动添加和删除指向 EtherChannel 的链接,而无需用户干预。LACP 还会处理配置错误,并检查成员接口的两端是否连接到正确的通道组。 如果接口发生故障且未检查连接和配置,“开启”模式将不能使用通道组中的备用接口。

Firepower 4100/9300 机箱 创建 EtherChannel 时,EtherChannel 将处于挂起状态(对于主动 LACP 模式)或关闭状态(对于打开 LACP 模式),直到将其分配给逻辑设备,即使物理链路是连通的。EtherChannel 在以下情况下将退出挂起状态:

  • 将 EtherChannel 添加为独立逻辑设备的数据或管理端口

  • 将 EtherChannel 添加为属于集群一部分的逻辑设备的管理接口或集群控制链路

  • 将 EtherChannel 添加为属于集群一部分的逻辑设备的数据端口,并且至少有一个单元已加入该集群

请注意,EtherChannel 在您将它分配到逻辑设备前不会正常工作。如果从逻辑设备移除 EtherChannel 或删除逻辑设备,EtherChannel 将恢复为挂起关闭状态。

过程

步骤 1

选择接口 (Interfaces) 打开“接口”(Interfaces) 页面。

所有接口页面顶部显示当前已安装的接口的直观展示图,在下表中提供已安装接口列表。

步骤 2

点击接口表上方的添加端口通道 (Add Port Channel),可打开添加端口通道 (Add Port Channel) 对话框。

步骤 3

端口通道 ID (Port Channel ID) 字段中输入端口通道 ID。有效值介于 1 与 47 之间。

部署集群逻辑设备时,端口通道 48 为集群控制链路预留。如果不想将端口通道 48 用于集群控制链路,可以将其删除并为集群类型 EtherChannel 配置不同的 ID。您可以添加多个集群类型 Etherchannel,并添加 VLAN 子接口以与多实例集群结合使用。对于机箱内集群,请不要将任何接口分配给集群 EtherChannel。

步骤 4

要启用端口通道,请选中启用复选框。要禁用端口通道,请取消选中启用复选框。

步骤 5

选择接口类型

  • 数据

  • 数据共享 - 仅用于容器实例。

  • 管理

  • Firepower 事件 - 仅用于 威胁防御

  • 集群

步骤 6

从下拉列表设置成员接口要求的管理速度

如果添加未达到指定速度的成员接口,接口将无法成功加入端口通道。

步骤 7

对于数据或数据共享接口,选择 LACP 端口通道模式主用保持

对于非数据或数据共享接口,模式始终是主用模式。

步骤 8

为成员接口、全双工半双工设置所需的管理双工

如果添加以指定双工配置的成员接口,接口将无法成功加入端口通道。

步骤 9

要将接口添加到端口通道,请在可用接口 (Available Interface) 列表中选择该接口,点击添加接口 (Add Interface),将接口移动至“成员 ID”列表。

您最多可以添加相同介质类型和容量的 16 个成员接口。成员接口必须设置为相同的速度和双工,并且必须与您为此端口通道配置的速度和双工相匹配。介质类型可以是 RJ-45 或 SFP;可以混合使用不同类型(铜缆和光纤)的 SFP。不能通过在大容量接口上将速度设置为较低值来混合接口容量(例如 1GB 和 10GB 接口)。

提示

 

一次可添加多个接口。要选择多个独立接口,请点击所需的接口,同时按住 Ctrl 键。要选择一个接口范围,请选择范围中的第一个接口,然后,在按住 Shift 键的同时,点击选择范围中的最后一个接口。

步骤 10

要从端口通道删除接口,请点击“成员 ID”(Member ID) 列表中接口右侧的删除 (Delete) 按钮。

步骤 11

点击确定 (OK)

为容器实例添加 VLAN 子接口

您最多可以将 500 个子接口连接到您的机箱。

对于多实例集群,只能将子接口添加到集群类型接口;不支持数据接口上的子接口。

每个接口的 VLAN ID 都必须具有唯一性,并且在容器实例内,VLAN ID 在所有已分配接口上也必须具有唯一性。只要系统将 VLAN ID 分配至不同的容器实例,您就可以在单独接口上重新使用它们。然而,即使每个子接口使用相同的 ID,这些子接口仍将计入限值。

本文档仅讨论 FXOS VLAN 子接口。您还可以在 威胁防御 应用内单独创建子接口。

过程

步骤 1

选择接口 (Interfaces)打开所有接口 (All Interfaces)选项卡。

页面顶部的所有接口 (All Interfaces) 选项卡显示当前已安装的接口的直观展示图,并在下表中提供已安装接口列表。

步骤 2

点击添加新 > 子接口打开添加子接口对话框。

步骤 3

选择接口类型

  • 数据

  • 数据共享

  • 集群 - 如果向某个集群接口添加子接口,则不能将此接口用于本地集群。

对于数据和数据共享接口:此类型独立于父接口类型;例如,您可以设数据共享父接口和数据子接口。

步骤 4

从下拉列表选择父接口

不得将子接口添加到当前已分配至逻辑设备的物理接口。如果系统已分配父接口的其他子接口,只要未分配此父接口,您就可以添加新的子接口。

步骤 5

输入一个介于 1 和 4294967295 之间的子接口 ID

此 ID 将附加到父接口 ID,作为 interface_id.subinterface_id。例如,如果您将子接口添加到 ID 为 100 的以太网接口 1/1,则子接口 ID 将为:以太网接口 1/1.100。尽管可以出于方便目的将此 ID 和 VLAN ID 设置为相互匹配,但两者始终不同。

步骤 6

设置介于 1 和 4095 之间的 VLAN ID

步骤 7

点击确定 (OK)

展开父接口查看其项下所有子接口。

配置分支电缆

以下程序介绍如何配置分支线缆以供 Firepower 4100/9300 机箱使用。您可以使用分支线缆提供 4 个 10 Gbps 端口,代替单个 40 Gbps 端口。

开始之前

不可为分支端口配置具有硬件旁路功能的接口。

过程

步骤 1

选择接口 (Interfaces) 打开接口页面。

“接口 (Interfaces)”页面顶部显示当前已安装的接口的直观展示图,在下表中提供已安装接口列表。

接口对应的行中的“分支端口 (Breakout Port)”图标表示能够支持分支线缆但当前未配置为支持的接口。对于已配置为使用分支线缆的接口,分别列出各个分支接口(例如,以太网 2/1/1、2/1/2、2/1/3 和 2/1/4)。

步骤 2

要将 40 Gbps 接口转换为 4 个 10 Gbps 接口,请执行以下操作:

  1. 点击您想转换的接口所对应的分支端口 (Breakout Port) 图标。

    “创建分支端口 (Breakout Port Creation)”对话框打开,要求您确认是否想要继续,并警告您机箱将被重启。

  2. 点击进行确认。

    机箱重启,指定接口转换为 4 个 10 Gbps 接口。

步骤 3

要将 4 个 10 Gbps 分支接口转换回单个 40 Gbps 接口,请执行以下操作:

  1. 点击任意分支接口所对应的 删除 (Delete)

    确认对话框打开,要求您确认是否想要继续,并警告您全部 4 个分支接口都将被删除,机箱将重启。

  2. 点击进行确认。

    机箱重启,指定的接口转换为单个 40 Gbps 接口。

监控接口

机箱管理器的“接口 (Interfaces)”页面,您可以查看机箱上已安装的接口的状态,编辑接口属性,启用或禁用接口,以及创建端口通道。

“接口 (Interfaces)”页面由两部分组成:

  • 上半部分显示机箱中安装的接口的直观表示。您可以将鼠标悬停在任何接口上方,以获取有关该接口的其他信息。

    接口带有色标,表示其当前状态:

    • 绿色 - 已安装并启用接口。

    • 深灰色 - 已安装但禁用接口。

    • 红色 - 接口的运行状态有问题。

    • 浅灰色 - 未安装接口。


    此列表中不包含在端口通道中充当端口的接口。

  • 下半部分包含两个选项卡:所有接口硬件旁路。在所有接口选项卡上:对于每个接口,您可以启用或禁用接口。您也可以点击编辑 (Edit) 编辑接口属性,例如速度和接口类型。有关硬件旁路,请参阅硬件旁路对


    如果端口通道 48 群集类型接口不包括任何成员接口,则该接口的运行状态 (Operation State) 将显示为失败 (failed)。对于机箱内群集,此 EtherChannel 无需任何成员接口,您可忽略此“运行状态 (Operational State)”。

排除接口故障

错误:交换机转发路径条目数为 1076,超出限值 1024。如果要添加接口,请减少分配至逻辑设计的共享接口的数量,减少共享接口的逻辑设备的数量或改为使用非共享子接口。如果要删除子接口,您将看到此消息,因为系统不再优化剩余配置以适应交换机转发路径表。有关使用案例删除的故障排除信息,请参阅 FXOS 配置指南。使用“交换矩阵互联”项下的“显示详细信息”查看当前交换机转发路径条目计数。

如果在尝试从逻辑设备删除共享子接口时看到此错误,则是因为新配置未遵循此准则中有关共享子接口的相关规定:结合使用相同集合的子接口和同组逻辑设备。如果从一个逻辑设备删除共享子接口,则最终可能生成更多 VLAN 组,并因此降低转发表的使用效率。要解决此问题,需要使用 CLI 同时添加和删除共享子接口,以便维护同组逻辑设备的相同集合的子接口。

有关详细信息,请参阅以下场景。这些场景从以下接口和逻辑设备开始:

  • 同一父接口上设置的共享子接口:端口通道 1.100 (VLAN 100)、端口通道 1.200 (VLAN 200)、端口通道 1.300 (VLAN 300)

  • 逻辑设备组:LD1、LD2、LD3 和 LD4

场景 1:从一个逻辑设备上删除子接口,但将其分配至其他逻辑设备

不删除子接口。相反,只需在应用配置中禁用此子接口即可。如果必须删除子接口,一般情况下需要减少共享接口的数量,以继续适应转发表。

场景 2:从一个逻辑设备上删除集合中的所有子接口

从 CLI 上的逻辑设备上删除集合中的所有子接口,然后保存配置以同步删除信息。

  1. 查看 VLAN 组(供参考)。在以下输出中,组 1 包括 VLAN 100、200 和 300,表示 3 个共享子接口。

    
firepower# connect fxos
[...]
firepower(fxos)# show ingress-vlan-groups
ID   Class ID  Status         INTF         Vlan Status
1    1         configured
                                           100  present
                                           200  present
                                           300  present
2048 512       configured
                                           0    present
2049 511       configured
                                           0    present
firepower(fxos)# exit
firepower#

  2. 查看分配至要更改的逻辑设备的共享子接口。

    
firepower# scope ssa
firepower /ssa # scope logical-device LD1
firepower /ssa/logical-device # show external-port-link

External-Port Link:
    Name                           Port or Port Channel Name Port Type          App Name   Description
    ------------------------------ ------------------------- ------------------ ---------- -----------
    Ethernet14_ftd                 Ethernet1/4               Mgmt               ftd
    PC1.100_ftd                    Port-channel1.100         Data Sharing       ftd
    PC1.200_ftd                    Port-channel1.200         Data Sharing       ftd
    PC1.300_ftd                    Port-channel1.300         Data Sharing       ftd

  3. 从逻辑设备上删除子接口,然后保存配置。

    
firepower /ssa/logical-device # delete external-port-link PC1.100_ftd
firepower /ssa/logical-device* # delete external-port-link PC1.200_ftd
firepower /ssa/logical-device* # delete external-port-link PC1.300_ftd
firepower /ssa/logical-device* # commit-buffer
firepower /ssa/logical-device #

    如果您在操作过程中提交了配置,则最终将生成 2 个 VLAN 组,这可能产生交换机转发路径错误并阻止您保存配置。

场景 3:从组中的所有逻辑设备上删除子接口

从 CLI 上组中的所有逻辑设备上删除子接口,然后保存配置以同步删除信息。例如:

  1. 查看 VLAN 组(供参考)。在以下输出中,组 1 包括 VLAN 100、200 和 300,表示 3 个共享子接口。

    
firepower# connect fxos
[...]
firepower(fxos)# show ingress-vlan-groups
ID   Class ID  Status         INTF         Vlan Status
1    1         configured
                                           100  present
                                           200  present
                                           300  present
2048 512       configured
                                           0    present
2049 511       configured
                                           0    present

  2. 查看分配至每个逻辑设备的接口,并注意通用共享子接口。如果这些子接口在同一父接口上,则它们属于一个 VLAN 组,并应与 show ingress-vlan-groups 列表相匹配。在 机箱管理器中,您可以将鼠标悬停在每个共享子接口上,以查看这些子接口分配至哪些实例。

    图 6. 每个共享接口的实例数
    每个共享接口的实例数

    在 CLI 上,可以查看所有逻辑设备的特征,包括已分配的接口。

    
firepower# scope ssa
firepower /ssa # show logical-device expand

Logical Device:
    Name: LD1
    Description:
    Slot ID: 1
    Mode: Standalone
    Oper State: Ok
    Template Name: ftd

    External-Port Link:
        Name: Ethernet14_ftd
        Port or Port Channel Name: Ethernet1/4
        Port Type: Mgmt
        App Name: ftd
        Description:

        Name: PC1.100_ftd
        Port or Port Channel Name: Port-channel1.100
        Port Type: Data Sharing
        App Name: ftd
        Description:

        Name: PC1.200_ftd
        Port or Port Channel Name: Port-channel1.200
        Port Type: Data Sharing
        App Name: ftd
        Description:

        System MAC address:
            Mac Address
            -----------
            A2:F0:B0:00:00:25

        Name: PC1.300_ftd
        Port or Port Channel Name: Port-channel1.300
        Port Type: Data Sharing
        App Name: ftd
        Description:

[...]

    Name: LD2
    Description:
    Slot ID: 1
    Mode: Standalone
    Oper State: Ok
    Template Name: ftd

    External-Port Link:
        Name: Ethernet14_ftd
        Port or Port Channel Name: Ethernet1/4
        Port Type: Mgmt
        App Name: ftd
        Description:

        Name: PC1.100_ftd
        Port or Port Channel Name: Port-channel1.100
        Port Type: Data Sharing
        App Name: ftd
        Description:

        Name: PC1.200_ftd
        Port or Port Channel Name: Port-channel1.200
        Port Type: Data Sharing
        App Name: ftd
        Description:

        System MAC address:
            Mac Address
            -----------
            A2:F0:B0:00:00:28

        Name: PC1.300_ftd
        Port or Port Channel Name: Port-channel1.300
        Port Type: Data Sharing
        App Name: ftd
        Description:

[...]

    Name: LD3
    Description:
    Slot ID: 1
    Mode: Standalone
    Oper State: Ok
    Template Name: ftd

    External-Port Link:
        Name: Ethernet14_ftd
        Port or Port Channel Name: Ethernet1/4
        Port Type: Mgmt
        App Name: ftd
        Description:

        Name: PC1.100_ftd
        Port or Port Channel Name: Port-channel1.100
        Port Type: Data Sharing
        App Name: ftd
        Description:

        Name: PC1.200_ftd
        Port or Port Channel Name: Port-channel1.200
        Port Type: Data Sharing
        App Name: ftd
        Description:

        System MAC address:
            Mac Address
            -----------
            A2:F0:B0:00:00:2B

        Name: PC1.300_ftd
        Port or Port Channel Name: Port-channel1.300
        Port Type: Data Sharing
        App Name: ftd
        Description:

[...]

    Name: LD4
    Description:
    Slot ID: 1
    Mode: Standalone
    Oper State: Ok
    Template Name: ftd

    External-Port Link:
        Name: Ethernet14_ftd
        Port or Port Channel Name: Ethernet1/4
        Port Type: Mgmt
        App Name: ftd
        Description:

        Name: PC1.100_ftd
        Port or Port Channel Name: Port-channel1.100
        Port Type: Data Sharing
        App Name: ftd
        Description:

        Name: PC1.200_ftd
        Port or Port Channel Name: Port-channel1.200
        Port Type: Data Sharing
        App Name: ftd
        Description:

        System MAC address:
            Mac Address
            -----------
            A2:F0:B0:00:00:2E

        Name: PC1.300_ftd
        Port or Port Channel Name: Port-channel1.300
        Port Type: Data Sharing
        App Name: ftd
        Description:

[...]

  3. 从每个逻辑设备上删除子接口,然后保存配置。

    
firepower /ssa # scope logical device LD1
firepower /ssa/logical-device # delete external-port-link PC1.300_ftd
firepower /ssa/logical-device* # exit
firepower /ssa* # scope logical-device LD2
firepower /ssa/logical-device* # delete external-port-link PC1.300_ftd
firepower /ssa/logical-device* # exit
firepower /ssa* # scope logical-device LD3
firepower /ssa/logical-device* # delete external-port-link PC1.300_ftd
firepower /ssa/logical-device* # exit
firepower /ssa* # scope logical-device LD4
firepower /ssa/logical-device* # delete external-port-link PC1.300_ftd
firepower /ssa/logical-device* # commit-buffer
firepower /ssa/logical-device #

如果您在操作过程中提交了配置,则最终将生成 2 个 VLAN 组,这可能产生交换机转发路径错误并阻止您保存配置。

场景 4:将子接口添加至一个或多个逻辑设备

在 CLI 中将子接口添加至组中的所有 逻辑设备,然后保存配置以同步添加信息。

  1. 将子接口添加至每个逻辑设备,然后保存配置。

    
firepower# scope ssa
firepower /ssa # scope logical-device LD1
firepower /ssa/logical-device # create external-port-link PC1.400_ftd Port-channel1.400 ftd
firepower /ssa/logical-device/external-port-link* # exit
firepower /ssa/logical-device* # exit
firepower /ssa # scope logical-device LD2
firepower /ssa/logical-device # create external-port-link PC1.400_ftd Port-channel1.400 ftd
firepower /ssa/logical-device/external-port-link* # exit
firepower /ssa/logical-device* # exit
firepower /ssa # scope logical-device LD3
firepower /ssa/logical-device # create external-port-link PC1.400_ftd Port-channel1.400 ftd
firepower /ssa/logical-device/external-port-link* # exit
firepower /ssa/logical-device* # exit
firepower /ssa # scope logical-device LD4
firepower /ssa/logical-device # create external-port-link PC1.400_ftd Port-channel1.400 ftd
firepower /ssa/logical-device/external-port-link* # commit-buffer
firepower /ssa/logical-device/external-port-link #

    如果您在操作过程中提交了配置,则最终将生成 2 个 VLAN 组,这可能产生交换机转发路径错误并阻止您保存配置。

  2. 您可以检查端口通道 1.400 VLAN ID 已添加至 VLAN 组 1。

    
firepower /ssa/logical-device/external-port-link # connect fxos
[...]
firepower(fxos)# show ingress-vlan-groups
ID   Class ID  Status         INTF         Vlan Status
1    1         configured
                                           200  present
                                           100  present
                                           300  present
                                           400  present
2048 512       configured
                                           0    present
2049 511       configured
                                           0    present
firepower(fxos)# exit
firepower /ssa/logical-device/external-port-link #

接口历史

功能名称

平台版本

功能信息

威胁防御 运行链路状态与物理链路状态之间的同步

2.9.1

机箱现在可以将 威胁防御 运行链路状态与数据接口的物理链路状态同步。目前,只要 FXOS 管理状态为“运行”且物理链路状态为“运行”,接口将处于“运行”状态,而不考虑 威胁防御 应用接口管理状态。如果没有从 威胁防御同步,数据接口可能在 威胁防御 应用完全上线之前处于“Up”物理状态,或者在您启动 威胁防御 关闭后的一段时间内保持 “Up” 状态。对于内联集,此状态不匹配可能会导致数据包丢失,因为外部路由器可能会在 威胁防御 可以处理流量之前开始向 威胁防御 发送流量。该功能默认为禁用状态并可在 FXOS 中按逻辑设备逐一启用。

 

集群、容器实例或具有 Radware vDP 修饰器的 威胁防御 不支持此功能。此外,ASA 也不支持此功能。

新增/修改的 机箱管理器 屏幕:逻辑设备 > 启用链路状态

新增/修改的 FXOS 命令:set link-state-sync enabledshow interface expand detail

支持集群类型接口上的 VLAN 子接口(仅限多实例使用)

2.8.1

要与多实例集群配合使用,您现在可以在集群类型接口上创建 VLAN 子接口。由于每个集群都需要唯一的集群控制链路,因此 VLAN 子接口提供了一种可满足此要求的简单方法。您也可以为每个集群分配专用的 EtherChannel。现在允许多个集群类型接口。

新增/修改的屏幕:

接口 (Interfaces) > 所有接口 (All Interfaces) > 新增 (Add New)下拉菜单 > 子接口 (Subinterface) > 类型 (Type) 字段

支持 500 个 VLAN,无意外事件

2.7.1

以前,设备支出 250 到 500 个 VLAN,具体取决于父接口的数量和其他部署决策。现在,您可以在所有情况下使用 500 个 VLAN。

用于容器实例的 VLAN 子接口

2.4.1

要确保灵活使用物理接口,可以在 FXOS 中创建 VLAN 子接口,还可以在多个实例之间共享接口。

 

要求使用 6.3 或更高版本的 威胁防御

新增/修改的菜单项:

接口 (Interfaces) > 所有接口 (All Interfaces) > 新增 (Add New)下拉菜单 > 子接口 (Subinterface)

新增/修改的 管理中心菜单项:

设备 > 设备管理 > 编辑图标> 接口选项卡

用于容器实例的数据共享接口

2.4.1

要确保灵活使用物理接口,可以在多个实例之间共享接口。

 

要求使用 6.3 或更高版本的 威胁防御

新增/修改的菜单项:

接口 > 所有接口 > 类型

支持保存模式下的数据 Etherchannel

2.4.1

现在可以将数据和数据共享 Etherchannel 设置为“主用”LACP 模式或“保持”模式。其他类型 Etherchannel 仅支持“主用”模式。

新增/修改的菜单项:

接口 > 所有接口 > 编辑端口通道 > 模式

支持 威胁防御内联集中的 Etherchannel

2.1.1

现在可以使用 威胁防御 内联集中的 EtherChannel。

威胁防御 支持的内联集链路状态传播

2.0.1

当您在 威胁防御 应用中配置内联集并启用链路状态传播时,威胁防御 会向 FXOS 机箱发送内联集成员身份。链路状态传播意味着,当内联集的一个接口断开时,机箱将自动关闭内联接口对的第二个接口。

威胁防御 支持的硬件绕行网络模块

2.0.1

硬件绕行确保流量在断电期间继续在接口对之间流动。在软件或硬件发生故障时,此功能可用于维持网络连接性。

新增/修改的 管理中心菜单项:

设备 > 设备管理 > 接口 > 编辑物理接口

用于 威胁防御 的 Firepower 事件类型接口

1.1.4

可以将接口指定为用于 威胁防御 的 Firepower 事件接口。此接口是 威胁防御 设备的辅助管理接口。要使用此接口,您必须在 威胁防御 CLI 上配置其 IP 地址和其他参数。例如,您可以将管理流量从活动(例如网络活动)中分隔出来。请参阅《管理中心配置指南》“系统配置”一章中的“管理接口”部分。

新增/修改的 机箱管理器菜单项:

接口 > 所有接口 > 类型