关于 Firepower 接口
Firepower 4100/9300 机箱支持物理接口、容器实例的 VLAN 子接口和 EtherChannel(端口通道)接口。EtherChannel 接口最多可以包含同一类型的 16 个成员接口。
机箱管理接口
机箱管理接口用于通过 SSH 或 Firepower 机箱管理器来管理 FXOS 机箱。此接口在接口选项卡顶部显示为 MGMT,您只可在接口选项卡上启用或禁用此接口。此接口独立于分配给应用管理用逻辑设备的 MGMT 型接口。
要配置此接口参数,必须从 CLI 进行配置。另请参阅更改管理 IP 地址。要在 FXOS CLI 中查看此接口,请连接到本地管理并显示管理端口:
Firepower # connect local-mgmt
Firepower(local-mgmt) # show mgmt-port
请注意,即使将物理电缆或小型封装热插拨模块拔下,或者执行了 mgmt-port shut 命令,机箱管理接口仍会保持正常运行状态。
接口类型
每个接口可以是以下类型之一:
-
数据 - 用于常规数据。不能在逻辑设备之间共享数据接口。不能在逻辑设备之间共享数据接口,且逻辑设备无法通过背板与其他逻辑设备通信。对于数据接口上的流量,所有流量必须在一个接口上退出机箱,并在另一个接口上返回以到达另一个逻辑设备。
-
数据共享 - 用于常规数据。仅容器实例支持这些数据接口,可由一个或多个逻辑设备/容器实例(仅限FTD)共享。每个容器实例都可通过背板与共享此接口的所有其他实例通信。共享的接口可能会影响您可以部署容器实例的数量;请参阅共享接口可扩展性。共享接口不支持用于桥接组成员接口(在透明模式或路由模式下)、内联集、被动接口或故障切换链路。
-
管理 - 用于管理应用程序实例。这些接口可以由一个或多个逻辑设备共享,以访问外部主机;逻辑设备无法通过此接口与共享接口的其他逻辑设备通信。只能为每个逻辑设备分配一个管理接口。
-
Firepower 事件 - 用作 FTD 设备的辅助管理接口。要使用此接口,您必须在 FTD CLI 上配置其 IP 地址和其他参数。例如,您可以将管理流量从活动(例如网络活动)中分隔出来。请参阅 Firepower 管理中心 配置指南系统配置一章中的“管理接口”部分。Firepower 事件接口可以由一个或多个逻辑设备共享,以访问外部主机;逻辑设备无法通过此接口与共享接口的其他逻辑设备通信。
-
群集 - 用作群集逻辑设备的群集控制链路。默认情况下,系统会在端口通道 48 上自动创建群集控制链路。此类型仅在 EtherChannel 接口上受支持。
机箱和应用中的独立接口状态
您可以从管理上启用和禁用机箱和应用中的接口。必须在两个操作系统中都启用能够正常运行的接口。由于接口状态可独立控制,因此机箱与应用之间可能出现不匹配的情况。
应用内接口的默认状态取决于接口类型。例如,在应用内,默认禁用物理接口或 EtherChannel,但默认启用子接口。
硬件旁路对
对于 FTD,Firepower 9300 和 4100 系列上的某些接口模块允许您启用硬件绕行功能。硬件绕行可确保流量在停电期间继续在内联接口对之间流动。在软件或硬件发生故障时,此功能可用于维持网络连接性。
硬件绕行功能在 FTD 应用中进行配置。您不需要将这些接口用作硬件绕行对;它们可用作 ASA 和 FTD 应用的常规接口。请注意,不可为分支端口配置具有硬件绕行功能的接口。如果您想使用硬件绕行功能,请勿将端口配置为 EtherChannel;否则,您可将这些接口作为常规接口模式下的 EtherChannel 成员。
对于以下型号上特定网络模块的接口对,FTD 支持 硬件绕行:
-
Firepower 9300
-
Firepower 4100 系列
这些型号的受支持 硬件绕行 网络包括:
-
Firepower 6 端口 1G SX FTW 单位宽网络模块 (FPR-NM-6X1SX-F)
-
Firepower 6 端口 10G SR FTW 单位宽网络模块 (FPR-NM-6X10SR-F)
-
Firepower 6 端口 10G LR FTW 单位宽网络模块 (FPR-NM-6X10LR-F)
-
Firepower 2 端口 40G SR FTW 单位宽网络模块 (FPR-NM-2X40G-F)
-
Firepower 8 端口 1G 铜 FTW 单位宽网络模块 (FPR-NM-8X1G-F)
硬件绕行 仅可使用以下端口对:
-
1、2
-
3、4
-
5、6
-
7、8
巨帧支持
Firepower 4100/9300 机箱默认启用巨帧支持。要在 Firepower 4100/9300 机箱上安装的特定逻辑设备上启用巨帧支持,您将需要为逻辑设备上的接口配置合适的 MTU 设置。
Firepower 4100/9300 机箱 上应用支持的最大 MTU 为 9184。
共享接口可扩展性
容器实例可以共享数据共享型接口。此功能允许您保存物理接口的使用情况,以及支持灵活的网络部署。当您共享接口时,机箱会使用唯一 MAC 地址将流量转发至适当实例。然而,由于需要在机箱内实现全网状拓扑,因此共享接口将导致转发表规模扩大(每个实例都必须能够与共享同一接口的所有其他实例进行通信)。因此,您可以共享的接口存在数量限制。
除转发表外,机箱还维护用于 VLAN 子接口转发的 VLAN 组表。您可以创建最多 500 个 VLAN 子接口,具体取决于父接口数量和其他部署决策。
请参阅共享接口分配的以下限制:
![](/c/dam/en/us/td/i/500001-600000/500001-510000/502001-503000/502520.jpg)
共享接口最佳实践
为确保转发表的最佳可扩展性,请共享尽可能少的接口。相反,您可以在一个或多个物理接口上创建最多 500 个 VLAN 子接口,然后在容器实例之间划分 VLAN。
共享接口时,请按照可扩展性从高到低的顺序遵循这些最佳实践:
-
最佳 - 共享单父项下的子接口,并结合使用相同集合的子接口和同组逻辑设备。
例如,创建一个大型 EtherChannel 以将所有类似接口捆绑在一起,然后共享该 EtherChannel 的子接口:端口通道 1.100、200 和 300 而不是端口通道1、端口通道 2 和端口通道 3。与跨父项共享物理/EtherChannel 接口或子接口相比,当您共享单父项子接口时,VLAN 组表提供更高的转发表可扩展性。
如果未与一组逻辑设备共享相同集合的子接口,则配置会提高资源使用率(更多 VLAN 组)。例如,与逻辑设备 1、2 和 3 共享端口通道 1.100 和 200(一个 VLAN 组),而不是与逻辑设备 1 和 2 共享端口通道 1.100,同时与逻辑设备 2 和 3 共享端口通道 1.200(两个 VLAN 组)。
-
一般 - 跨父项共享子接口。
例如,共享端口通道 1.100、端口通道 2.200 和端口通道 3.300 而不是端口通道 1、端口通道 2 和端口通道 3。虽然这种使用方法的效率低于仅共享同一父项上的子接口,但仍可利用 VLAN 组。
-
最差 - 共享单个父接口(物理或 EtherChannel)。
此方法使用的转发表条目最多。
共享接口使用示例
有关接口共享示例和可扩展性,请参阅下表。以下情景假设使用一个在所有实例中共享的物理/EtherChannel 接口来实现管理,和另一个设有专用子接口的物理或 EtherChannel 接口,用于实现高可用性。
Firepower 9300(设有三个 SM-44)
下表适用于仅使用物理接口或 Etherchannel 的 9300 上的三个 SM-44 安全模块。在未设子接口的情况下,接口的最大数量受限。此外,与共享多个子接口相比,共享多个物理接口所使用的转发表资源更多。
每个 SM-44 模块最多可支持 14 个实例。如有必要,系统会拆分模块之间的实例,以将实例数维持在限值范围内。
专用接口 |
共享接口 |
实例数 |
转发表使用百分比 |
---|---|---|---|
32:
|
0 |
4:
|
16% |
30:
|
0 |
2:
|
14% |
14:
|
1 |
14:
|
46% |
33:
|
3:
|
33:
|
98% |
33:
|
3:
|
34:
|
102% 禁止使用 |
30:
|
1 |
6:
|
25% |
30:
|
3:
|
6:
|
23% |
30:
|
2 |
5:
|
28% |
30:
|
4:
|
5:
|
26% |
24:
|
7 |
4:
|
44% |
24:
|
14:
|
4:
|
41% |
下表适用于使用单父项物理接口上子接口的 9300 的三个 SM-44 安全模块。例如,创建一个大型 EtherChannel 以将所有类似接口捆绑在一起,然后共享该 EtherChannel 的子接口。与共享多个子接口相比,共享多个物理接口所使用的转发表资源更多。
每个 SM-44 模块最多可支持 14 个实例。如有必要,系统会拆分模块之间的实例,以将实例数维持在限值范围内。
专用子接口 |
共享子接口 |
实例数 |
转发表使用百分比 |
---|---|---|---|
168:
|
0 |
42:
|
33% |
224:
|
0 |
14:
|
27% |
14:
|
1 |
14:
|
46% |
33:
|
3:
|
33:
|
98% |
70:
|
1 |
14:
|
46% |
165:
|
3:
|
33:
|
98% |
70:
|
2 |
14:
|
46% |
165:
|
6:
|
33:
|
98% |
70:
|
10 |
14:
|
46% |
165:
|
30:
|
33:
|
102% 禁止使用 |
Firepower 9300(设有一个 SM-44)
下表适用于仅使用物理接口或 Etherchannel 的 Firepower 9300(设一个 SM-44)。在未设子接口的情况下,接口的最大数量受限。此外,与共享多个子接口相比,共享多个物理接口所使用的转发表资源更多。
Firepower Firepower 9300(设有一个 SM-44)最多可支持 14 个实例。
专用接口 |
共享接口 |
实例数 |
转发表使用百分比 |
---|---|---|---|
32:
|
0 |
4:
|
16% |
30:
|
0 |
2:
|
14% |
14:
|
1 |
14:
|
46% |
14:
|
2:
|
14:
|
37% |
32:
|
1 |
4:
|
21% |
32:
|
2 |
4:
|
20% |
32:
|
2 |
4:
|
25% |
32:
|
4:
|
4:
|
24% |
24:
|
8 |
3:
|
37% |
10:
|
10 |
5:
|
69% |
10:
|
20:
|
5:
|
59% |
14:
|
10 |
7:
|
109% 禁止使用 |
下表适用于使用单父项物理接口上子接口的 Firepower 9300(设有一个 SM-44)。例如,创建一个大型 EtherChannel 以将所有类似接口捆绑在一起,然后共享该 EtherChannel 的子接口。与共享多个子接口相比,共享多个物理接口所使用的转发表资源更多。
Firepower 9300(设有一个 SM-44)最多可支持 14 个实例。
专用子接口 |
共享子接口 |
实例数 |
转发表使用百分比 |
---|---|---|---|
112:
|
0 |
14:
|
17% |
224:
|
0 |
14:
|
17% |
14:
|
1 |
14:
|
46% |
14:
|
2:
|
14:
|
37% |
112:
|
1 |
14:
|
46% |
112:
|
2:
|
14:
|
37% |
112:
|
2 |
14:
|
46% |
112:
|
4:
|
14:
|
37% |
140:
|
10 |
14:
|
46% |
140:
|
20:
|
14:
|
37% |
查看共享接口资源
要查看转发表和 VLAN 组使用情况,请在scope fabric-interconnect 项下输入 show detail 命令。例如:
Firepower# scope fabric-interconnect
DFirepower /fabric-interconnect # show detail
Fabric Interconnect:
ID: A
Product Name: Cisco FPR9K-SUP
PID: FPR9K-SUP
VID: V02
Vendor: Cisco Systems, Inc.
Serial (SN): JAD104807YN
HW Revision: 0
Total Memory (MB): 16185
OOB IP Addr: 10.10.5.14
OOB Gateway: 10.10.5.1
OOB Netmask: 255.255.255.0
OOB IPv6 Address: ::
OOB IPv6 Gateway: ::
Prefix: 64
Operability: Operable
Thermal Status: Ok
Ingress VLAN Group Entry Count (Current/Max): 0/500
Switch Forwarding Path Entry Count (Current/Max): 16/1021
Current Task 1:
Current Task 2:
Current Task 3:
Firepower 威胁防御的内联集链路状态传播
内联集类似于导线上的凹凸,用于将两个接口绑定在一起插入到现有网络中。此功能使系统可以安装在任何网络环境中,而无需配置相邻网络设备。内联接口无条件接收所有流量,但是,除非已明确丢弃,否则这些接口上接收的所有流量将在内联集外重传。
当您在 FTD 应用中配置内联集并启用链路状态传播时,FTD 会向 FXOS 机箱发送内联集成员身份。链路状态传播意味着,当内联集的一个接口断开时,机箱将自动关闭内联接口对的第二个接口。当被关闭的接口恢复运行时,第二个接口也将自动恢复运行。换句话说,如果一个接口的链路状态更改,机箱会感知该更改并更新其他接口的链路状态以与其匹配。请注意,机箱最多需要 4 秒即可传播链路状态更改。在将路由器配置为在处于故障状态的网络设备上自动重新路由流量的弹性网络环境中,链路状态传播特别有用。