First Published: July 30, 2019

Last Updated: September 23, 2019

使用多实例功能 Firepower 4100/9300

多实例功能允许您运行使用安全模块/引擎的资源子集的容器实例。仅 Firepower 威胁防御支持多实例功能;ASA 对此不予支持。


本文档包含最新的 FXOS 版本功能;有关功能更改的详细信息,请参阅多实例功能的历史记录。如果您安装的是旧版本,请参阅 FXOS 配置指南中对应于您的版本的程序。

关于多实例功能

Firepower 机箱包括一个管理引擎和最多三个安全模块,您可以在其中安装逻辑设备。逻辑设备允许您运行一个应用实例(Firepower 威胁防御或 ASA)。当您添加逻辑设备时,还应定义应用实例类型和版本,分配接口,并配置推送至应用配置的引导程序设置。应用类型决定了您可以运行单个实例(本机)还是多个实例(容器)。

逻辑设备应用程序实例:容器和本地

应用实例在以下类型部署中运行:

  • 本地实例 - 本地实例使用安全模块/引擎的所有资源(CPU、RAM 和磁盘空间),因此您仅可安装一个本地实例。

  • 容器实例 - 容器实例使用安全模块/引擎的部分资源,因此您可以安装多个容器实例。仅使用 FMC 的 Firepower 威胁防御支持多实例功能;ASA 或使用 FDM 的 FTD 不支持。


    尽管实现方式不同,但多实例功能与 ASA 多情景模式类似。多情景模式下区分了单个应用实例,而多实例功能允许独立容器实例。容器实例允许硬资源分离、单独配置管理、单独重新加载、单独软件更新和完全 Firepower 威胁防御功能支持。由于共享资源,多情景模式支持给定平台上的更多情景。Firepower 威胁防御不支持多情景模式。

对于 Firepower 9300,可以在某些模块上使用本地实例,在其他模块上使用容器实例。

容器实例接口

要确保灵活使用容器实例的物理接口,可以在 FXOS 中创建 VLAN 子接口,还可以在多个实例之间共享接口(VLAN 或物理接口)。本地实例不得使用 VLAN 子接口或共享接口。请参阅共享接口可扩展性为容器实例添加 VLAN 子接口

接口类型

每个接口可以是以下类型之一:

  • 数据 - 用于常规数据。不能在逻辑设备之间共享数据接口。不能在逻辑设备之间共享数据接口,且逻辑设备无法通过背板与其他逻辑设备通信。对于数据接口上的流量,所有流量必须在一个接口上退出机箱,并在另一个接口上返回以到达另一个逻辑设备。

  • 数据共享 - 用于常规数据。仅容器实例支持这些数据接口,可由一个或多个逻辑设备/容器实例(仅限FTD使用 FMC)共享。每个容器实例都可通过背板与共享此接口的所有其他实例通信。共享的接口可能会影响您可以部署容器实例的数量;请参阅共享接口可扩展性。共享接口不支持用于桥接组成员接口(在透明模式或路由模式下)、内联集、被动接口或故障切换链路。

  • 管理 - 用于管理应用程序实例。这些接口可以由一个或多个逻辑设备共享,以访问外部主机;逻辑设备无法通过此接口与共享接口的其他逻辑设备通信。只能为每个逻辑设备分配一个管理接口。

  • Firepower 事件 - 用作 FTD-using-FMC 设备的辅助管理接口。要使用此接口,您必须在 FTD CLI 上配置其 IP 地址和其他参数。例如,您可以将管理流量从活动(例如网络活动)中分隔出来。请参阅 Firepower 管理中心配置指南系统配置 一章中的“管理接口”部分。Firepower 事件接口可以由一个或多个逻辑设备共享,以访问外部主机;逻辑设备无法通过此接口与共享接口的其他逻辑设备通信。

  • 群集 - 用作群集逻辑设备的群集控制链路。默认情况下,系统会在端口通道 48 上自动创建群集控制链路。此类型仅在 EtherChannel 接口上受支持。 FDM 不支持群集。

共享接口可扩展性

容器实例可以共享数据共享型接口。此功能允许您保存物理接口的使用情况,以及支持灵活的网络部署。当您共享接口时,机箱会使用唯一 MAC 地址将流量转发至适当实例。然而,由于需要在机箱内实现全网状拓扑,因此共享接口将导致转发表规模扩大(每个实例都必须能够与共享同一接口的所有其他实例进行通信)。因此,您可以共享的接口存在数量限制。

除转发表外,机箱还维护用于 VLAN 子接口转发的 VLAN 组表。您最多可以创建 500 个 VLAN 子接口。

请参阅共享接口分配的以下限制:

共享接口最佳实践

为确保转发表的最佳可扩展性,请共享尽可能少的接口。相反,您可以在一个或多个物理接口上创建最多 500 个 VLAN 子接口,然后在容器实例之间划分 VLAN。

共享接口时,请按照可扩展性从高到低的顺序遵循这些最佳实践:

  1. 最佳 - 共享单父项下的子接口,并结合使用相同集合的子接口和同组逻辑设备。

    例如,创建一个大型 EtherChannel 以将所有类似接口捆绑在一起,然后共享该 EtherChannel 的子接口:端口通道 1.100、200 和 300 而不是端口通道1、端口通道 2 和端口通道 3。与跨父项共享物理/EtherChannel 接口或子接口相比,当您共享单父项子接口时,VLAN 组表提供更高的转发表可扩展性。

    如果未与一组逻辑设备共享相同集合的子接口,则配置会提高资源使用率(更多 VLAN 组)。例如,与逻辑设备 1、2 和 3 共享端口通道 1.100 和 200(一个 VLAN 组),而不是与逻辑设备 1 和 2 共享端口通道 1.100,同时与逻辑设备 2 和 3 共享端口通道 1.200(两个 VLAN 组)。

  2. 一般 - 跨父项共享子接口。

    例如,共享端口通道 1.100、端口通道 2.200 和端口通道 3.300 而不是端口通道 1、端口通道 2 和端口通道 3。虽然这种使用方法的效率低于仅共享同一父项上的子接口,但仍可利用 VLAN 组。

  3. 最差 - 共享单个父接口(物理或 EtherChannel)。

    此方法使用的转发表条目最多。

共享接口使用示例

有关接口共享示例和可扩展性,请参阅下表。以下情景假设使用一个在所有实例中共享的物理/EtherChannel 接口来实现管理,和另一个设有专用子接口的物理或 EtherChannel 接口,用于实现高可用性。

Firepower 9300(设有三个 SM-44)

下表适用于仅使用物理接口或 Etherchannel 的 9300 上的三个 SM-44 安全模块。在未设子接口的情况下,接口的最大数量受限。此外,与共享多个子接口相比,共享多个物理接口所使用的转发表资源更多。

每个 SM-44 模块最多可支持 14 个实例。如有必要,系统会拆分模块之间的实例,以将实例数维持在限值范围内。

表 1. Firepower 9300(设有三个 SM-44)上的物理/EtherChannel 接口和实例

专用接口

共享接口

实例数

转发表使用百分比

32:

  • 8

  • 8

  • 8

  • 8

0

4:

  • 实例 1

  • 实例 2

  • 实例 3

  • 实例 4

16%

30:

  • 15

  • 15

0

2:

  • 实例 1

  • 实例 2

14%

14:

  • 14(每个实例 1 个专用子接口)

1

14:

  • 实例 1 至实例 14

46%

33:

  • 11(每个实例 1 个专用子接口)

  • 11(每个实例 1 个专用子接口)

  • 11(每个实例 1 个专用子接口)

3:

  • 1

  • 1

  • 1

33:

  • 实例 1 至实例 11

  • 实例 12 至实例 22

  • 实例 23 至实例 33

98%

33:

  • 11(每个实例 1 个专用接口)

  • 11(每个实例 1 个专用接口)

  • 12(每个实例 1 个专用接口)

3:

  • 1

  • 1

  • 1

34:

  • 实例 1 至实例 11

  • 实例 12 至实例 22

  • 实例 23 至实例 34

102%

禁止使用

30:

  • 30(每个实例 1 个专用接口)

1

6:

  • 实例 1 实例 6

25%

30:

  • 10(每个实例 5 个专用接口)

  • 10(每个实例 5 个专用接口)

  • 10(每个实例 5 个专用接口)

3:

  • 1

  • 1

  • 1

6:

  • 实例 1 至实例 2

  • 实例 2 至实例 4

  • 实例 5 至实例 6

23%

30:

  • 30(每个实例 6 个专用接口)

2

5:

  • 实例 1 至实例 5

28%

30:

  • 12(每个实例 6 个专用接口)

  • 18(每个实例 6 个专用接口)

4:

  • 2

  • 2

5:

  • 实例 1 至实例 2

  • 实例 2 至实例 5

26%

24:

  • 6

  • 6

  • 6

  • 6

7

4:

  • 实例 1

  • 实例 2

  • 实例 3

  • 实例 4

44%

24:

  • 12(每个实例 6 个专用接口)

  • 12(每个实例 6 个专用接口)

14:

  • 7

  • 7

4:

  • 实例 1 至实例 2

  • 实例 2 至实例 4

41%

下表适用于使用单父项物理接口上子接口的 9300 的三个 SM-44 安全模块。例如,创建一个大型 EtherChannel 以将所有类似接口捆绑在一起,然后共享该 EtherChannel 的子接口。与共享多个子接口相比,共享多个物理接口所使用的转发表资源更多。

每个 SM-44 模块最多可支持 14 个实例。如有必要,系统会拆分模块之间的实例,以将实例数维持在限值范围内。

表 2. Firepower 9300(设有三个 SM-44)上的一个父接口的子接口和实例

专用子接口

共享子接口

实例数

转发表使用百分比

168:

  • 168(每个实例 4 个专用子接口)

0

42:

  • 实例 1 至实例 42

33%

224:

  • 224(每个实例 16 个专用子接口)

0

14:

  • 实例 1 至实例 14

27%

14:

  • 14(每个实例 1 个专用子接口)

1

14:

  • 实例 1 至实例 14

46%

33:

  • 11(每个实例 1 个专用子接口)

  • 11(每个实例 1 个专用子接口)

  • 11(每个实例 1 个专用子接口)

3:

  • 1

  • 1

  • 1

33:

  • 实例 1 至实例 11

  • 实例 12 至实例 22

  • 实例 23 至实例 33

98%

70:

  • 70(每个实例 5 个专用子接口)

1

14:

  • 实例 1 至实例 14

46%

165:

  • 55(每个实例 5 个专用子接口)

  • 55(每个实例 5 个专用子接口)

  • 55(每个实例 5 个专用子接口)

3:

  • 1

  • 1

  • 1

33:

  • 实例 1 至实例 11

  • 实例 12 至实例 22

  • 实例 23 至实例 33

98%

70:

  • 70(每个实例 5 个专用子接口)

2

14:

  • 实例 1 至实例 14

46%

165:

  • 55(每个实例 5 个专用子接口)

  • 55(每个实例 5 个专用子接口)

  • 55(每个实例 5 个专用子接口)

6:

  • 2

  • 2

  • 2

33:

  • 实例 1 至实例 11

  • 实例 12 至实例 22

  • 实例 23 至实例 33

98%

70:

  • 70(每个实例 5 个专用子接口)

10

14:

  • 实例 1 至实例 14

46%

165:

  • 55(每个实例 5 个专用子接口)

  • 55(每个实例 5 个专用子接口)

  • 55(每个实例 5 个专用子接口)

30:

  • 10

  • 10

  • 10

33:

  • 实例 1 至实例 11

  • 实例 12 至实例 22

  • 实例 23 至实例 33

102%

禁止使用
Firepower 9300(设有一个 SM-44)

下表适用于仅使用物理接口或 Etherchannel 的 Firepower 9300(设一个 SM-44)。在未设子接口的情况下,接口的最大数量受限。此外,与共享多个子接口相比,共享多个物理接口所使用的转发表资源更多。

Firepower Firepower 9300(设有一个 SM-44)最多可支持 14 个实例。

表 3. Firepower 9300(设有一个 SM-44)上的物理/EtherChannel 接口和实例

专用接口

共享接口

实例数

转发表使用百分比

32:

  • 8

  • 8

  • 8

  • 8

0

4:

  • 实例 1

  • 实例 2

  • 实例 3

  • 实例 4

16%

30:

  • 15

  • 15

0

2:

  • 实例 1

  • 实例 2

14%

14:

  • 14(每个实例 1 个专用子接口)

1

14:

  • 实例 1 至实例 14

46%

14:

  • 7(每个实例 1 个专用子接口)

  • 7(每个实例 1 个专用子接口)

2:

  • 1

  • 1

14:

  • 实例 1 至实例 7

  • 实例 8 至实例 14

37%

32:

  • 8

  • 8

  • 8

  • 8

1

4:

  • 实例 1

  • 实例 2

  • 实例 3

  • 实例 4

21%

32:

  • 16(每个实例 8 个专用接口)

  • 16(每个实例 8 个专用接口)

2

4:

  • 实例 1 至实例 2

  • 实例 3 至实例 4

20%

32:

  • 8

  • 8

  • 8

  • 8

2

4:

  • 实例 1

  • 实例 2

  • 实例 3

  • 实例 4

25%

32:

  • 16(每个实例 8 个专用接口)

  • 16(每个实例 8 个专用接口)

4:

  • 2

  • 2

4:

  • 实例 1 至实例 2

  • 实例 3 至实例 4

24%

24:

  • 8

  • 8

  • 8

8

3:

  • 实例 1

  • 实例 2

  • 实例 3

37%

10:

  • 10(每个实例 2 个专用接口)

10

5:

  • 实例 1 至实例 5

69%

10:

  • 6(每个实例 2 个专用接口)

  • 4(每个实例 2 个专用接口)

20:

  • 10

  • 10

5:

  • 实例 1 至实例 3

  • 实例 4 至实例 5

59%

14:

  • 12(每个实例 2 个专用接口)

10

7:

  • 实例 1 至实例 7

109%

禁止使用

下表适用于使用单父项物理接口上子接口的 Firepower 9300(设有一个 SM-44)。例如,创建一个大型 EtherChannel 以将所有类似接口捆绑在一起,然后共享该 EtherChannel 的子接口。与共享多个子接口相比,共享多个物理接口所使用的转发表资源更多。

Firepower 9300(设有一个 SM-44)最多可支持 14 个实例。

表 4. Firepower 9300(设有一个 SM-44)上的一个父接口的子接口和实例

专用子接口

共享子接口

实例数

转发表使用百分比

112:

  • 112(每个实例 8 个专用子接口)

0

14:

  • 实例 1 至实例 14

17%

224:

  • 224(每个实例 16 个专用子接口)

0

14:

  • 实例 1 至实例 14

17%

14:

  • 14(每个实例 1 个专用子接口)

1

14:

  • 实例 1 至实例 14

46%

14:

  • 7(每个实例 1 个专用子接口)

  • 7(每个实例 1 个专用子接口)

2:

  • 1

  • 1

14:

  • 实例 1 至实例 7

  • 实例 8 至实例 14

37%

112:

  • 112(每个实例 8 个专用子接口)

1

14:

  • 实例 1 至实例 14

46%

112:

  • 56(每个实例 8 个专用子接口)

  • 56(每个实例 8 个专用子接口)

2:

  • 1

  • 1

14:

  • 实例 1 至实例 7

  • 实例 8 至实例 14

37%

112:

  • 112(每个实例 8 个专用子接口)

2

14:

  • 实例 1 至实例 14

46%

112:

  • 56(每个实例 8 个专用子接口)

  • 56(每个实例 8 个专用子接口)

4:

  • 2

  • 2

14:

  • 实例 1 至实例 7

  • 实例 8 至实例 14

37%

140:

  • 140(每个实例 10 个专用子接口)

10

14:

  • 实例 1 至实例 14

46%

140:

  • 70(每个实例 10 个专用子接口)

  • 70(每个实例 10 个专用子接口)

20:

  • 10

  • 10

14:

  • 实例 1 至实例 7

  • 实例 8 至实例 14

37%

查看共享接口资源

要查看转发表和 VLAN 组使用情况,请在scope fabric-interconnect 项下输入 show detail 命令。例如: 


Firepower# scope fabric-interconnect
DFirepower /fabric-interconnect # show detail

Fabric Interconnect:
    ID: A
    Product Name: Cisco FPR9K-SUP
    PID: FPR9K-SUP
    VID: V02
    Vendor: Cisco Systems, Inc.
    Serial (SN): JAD104807YN
    HW Revision: 0
    Total Memory (MB): 16185
    OOB IP Addr: 10.10.5.14
    OOB Gateway: 10.10.5.1
    OOB Netmask: 255.255.255.0
    OOB IPv6 Address: ::
    OOB IPv6 Gateway: ::
    Prefix: 64
    Operability: Operable
    Thermal Status: Ok
    Ingress VLAN Group Entry Count (Current/Max): 0/500
    Switch Forwarding Path Entry Count (Current/Max): 16/1021
    Current Task 1:
    Current Task 2:
    Current Task 3:

机箱如何将数据包分类

必须对进入机箱的每个数据包进行分类,以便机箱能够确定将数据包发送到哪个实例。

  • 唯一接口 - 如果仅有一个实例与传入接口相关联,则机箱会将数据包分类至该实例。对于桥接组成员接口(在透明模式或路由模式下)、内联集或被动接口,此方法用于始终与数据包进行分类。

  • 唯一 MAC 地址 - 机箱将自动生成包括共享接口在内的所有接口的唯一 MAC 地址。如果多个实例共享一个接口,则分类器在每个实例中使用分配给该接口的唯一 MAC 地址。上游路由器无法直接路由至不具有唯一 MAC 地址的实例。在应用内配置每个接口时,您也可以手动设置 MAC 地址。


如果目的 MAC 地址为组播或广播 MAC 地址,则数据包会复制并传递到每个实例。

分类示例

下图显示共享外部接口的多个实例。因为实例 C 包含路由器将数据包发送到的 MAC 地址,因此分类器会将该数据包分配至实例 C。

图 1. 使用 MAC 地址通过共享接口进行数据包分类

请注意,必须对所有新的传入流量加以分类,即使其来自内部网络。下图展示了实例 C 内部网络上的主机访问互联网。由于传入接口是分配至实例 C 的以太网接口 1/2.3,因此分类器会将数据包分配至实例 C。

图 2. 来自内部网络的传入流量

对于透明防火墙,您必须使用唯一接口。下图展示了来自互联网并以实例 C 内部网络上的主机为目标的数据包。由于传入接口是分配至实例 C 的以太网接口 1/2.3,因此分类器会将数据包分配至实例 C。

图 3. 透明防火墙实例

对于内联集,必须使用唯一接口,并且这些接口必须为物理接口或 Etherchannel 接口。下图展示了来自互联网并以实例 C 内部网络上的主机为目标的数据包。由于传入接口是分配至实例 C 的以太网接口 1/5,因此分类器会将数据包分配至实例 C。

图 4. FTD 的内联集

级联容器实例

直接在一个容器实例前面放置另一个实例的行为称为级联容器实例;一个实例的外部接口与另一个实例的内部接口完全相同。如果您希望通过在顶级实例中配置共享参数,从而简化某些实例的配置,则可能要使用级联实例。

下图显示了在网关后有两个实例的网关实例。

图 5. 级联容器实例

典型多实例部署

以下示例包括路由防火墙模式下的三个容器实例。这三个容器实例包括以下接口:

  • 管理 - 所有实例都使用端口通道 1 接口(管理类型)。此 EtherChannel 包括两个万兆以太网接口。在每个应用内,该接口都使用同一管理网络上的唯一 IP 地址。

  • 内部 - 每个实例使用端口通道 2 上的子接口(数据类型)。此 EtherChannel 包括两个万兆以太网接口。每个子接口位于独立的网络中。

  • 外部 - 所有实例都使用端口通道 3 接口(数据共享类型)。此 EtherChannel 包括两个万兆以太网接口。在每个应用内,该接口都使用同一管理网络上的唯一 IP 地址。

  • 故障切换 - 每个实例都使用端口通道 4 上的子接口(数据类型)。此 EtherChannel 包括两个万兆以太网接口。每个子接口位于独立的网络中。

典型多实例部署

容器实例接口的自动 MAC 地址

FXOS 机箱会自动为容器实例接口自动生成 MAC 地址,以确保各个实例中的共享接口使用唯一 MAC 地址。

如果您手动为应用中的共享接口分配了一个 MAC 地址,则使用手动分配的 MAC 地址。如果您随后删除了手动 MAC 地址,则会使用自动生成的地址。在极少数情况下,生成的 MAC 地址会与网络中的其他专用 MAC 地址冲突,我们建议您在应用中为接口手动设置 MAC 地址。

由于自动生成的地址以 A2 开头,因此您不应该分配以 A2 开头的手动 MAC 地址,以避免出现地址重叠。

FXOS 机箱使用以下格式生成 MAC 地址:

A2xx.yyzz.zzzz

其中, xx.yy 是用户定义的前缀或系统定义的前缀,zz.zzzz 是由机箱生成的内部计数器。系统定义的前缀与已在 IDPROM 中编程的烧录 MAC 地址池中的第一个 MAC 地址的 2 个低位字节相匹配。使用 connect fxos ,然后通过 show module 查看 MAC 地址池。例如,如果显示的适用于模块 1 的 MAC 地址范围为 b0aa.772f.f0b0 至 b0aa.772f.f0bf,则系统前缀将是 f0b0。

用户定义的前缀是转换为十六进制的整数。如何使用用户定义前缀的示例如下:如果将前缀设置为 77,则机箱会将 77 转换为十六进制值 004D (yyxx)。在 MAC 地址中使用时,该前缀会反转 (xxyy),以便与机箱的本地形式匹配:

A24D.00zz.zzzz

对于前缀 1009 (03F1),MAC 地址为:

A2F1.03zz.zzzz

容器实例资源管理

要指定每个容器实例的资源使用情况,请在 FXOS 中创建一个或多个资源配置文件。部署逻辑设备/应用实例时,请指定想要使用的资源配置文件。资源配置文件会设置 CPU 核心数量;系统会根据核心数量动态分配 RAM,并将每个实例的磁盘空间设为 40 GB。要查看每个型号的可用资源,请参阅容器实例的要求和必备条件。要添加资源配置文件,请参阅为容器实例添加资源配置文件

多实例功能的性能扩展因素

计算平台的最大连接数是为了得出本地实例的内存和 CPU 使用情况(此值显示在 show resource usage 中)。但是,当使用多实例功能时,可用的最大连接数将小于单个本地实例(大约 70% 至 80%),但根据您的网络,扩展可能更好或更差。例如,请参阅以下比较结果:

  • Firepower 9300 SM-24

  • 本地实例最大并发连接数:30,000,000

  • 多实例最大并发连接数(如果使用单个实例):大约 21,000,000 至 24,000,000

如果使用多个实例,则需要根据分配给实例的 CPU 核心百分比来计算吞吐量。有关计算实例吞吐量的详细说明,请参阅https://www.cisco.com/c/en/us/products/collateral/security/firepower-ngfw/white-paper-c11-742018.html

容器实例与高可用性

您可以在 2 个独立机箱上使用容器实例来实现高可用性;例如,如果您有 2 个机箱,每个机箱设 10 个实例,您可以创建 10 个高可用性对。请注意,不得在 FXOS 中配置高可用性;在应用管理器中配置每个高可用性对。

有关详细要求,请参阅高可用性的要求和前提条件添加高可用性对

不支持群集。

端到端程序

此程序配置多实例环境的所有必要元素。

过程

步骤 1

为容器实例添加资源配置文件

机箱包括一个命名为 "Default-Small" 的默认资源配置文件,此文件包括最小核心数。如果您不想仅使用此配置文件,则需要在添加容器实例之前添加配置文件。
步骤 2

(可选) 为容器实例接口添加 MAC 池前缀,并查看其 MAC 地址

FXOS 机箱会自动为容器实例接口自动生成 MAC 地址,以确保各个实例中的共享接口使用唯一的 MAC 地址。您可以选择性地定义生成中使用的前缀。
步骤 3

配置接口

您可以像对待本地实例一样对容器实例使用接口。但是,VLAN 子接口和数据共享接口仅可用于容器实例,并为部署提供可扩展性和灵活性。请务必阅读本指南中有关共享接口的限制。
步骤 4

为 FMC 添加独立的 Firepower 威胁防御

容器实例仅支持作为独立设备或故障转移对部署的 FTD;不支持集群。

步骤 5

添加高可用性对

如果要部署高可用性对,请参阅本节中的要求。

容器实例的要求和必备条件

受支持应用类型

  • 使用 FMC 的 Firepower 威胁防御

FTD:每个型号的最大容器实例数和资源容量

对于每个容器实例,您可以指定要分配至实例的 CPU 核心数量。系统会根据核心数量动态分配 RAM,并将每个实例的磁盘空间设为 40 GB。

表 5. 每个型号的最大容器实例数和资源容量

型号

最大容器实例数

可用 CPU 核心

可用 RAM

可用磁盘空间

Firepower 4110

3

22

53 GB

125.6 GB

Firepower 4115

7

46

162 GB

308 GB

Firepower 4120

3

46

101 GB

125.6 GB

Firepower 4125

10

62

162 GB

644 GB

Firepower 4140

7

70

222 GB

311.8 GB

Firepower 4145

14

86

344 GB

608 GB

Firepower 4150

7

86

222 GB

311.8 GB

Firepower 9300 SM-24 安全模块

7

46

226 GB

656.4 GB

Firepower 9300 SM-36 安全模块

11

70

222 GB

640.4 GB

Firepower 9300 SM-40 安全模块

13

78

334 GB

1359 GB

Firepower 9300 SM-44 安全模块

14

86

218 GB

628.4 GB

Firepower 9300 SM-48 安全模块

15

94

334 GB

1341 GB

Firepower 9300 SM-56 安全模块

18

110

334 GB

1314 GB

高可用性的要求和前提条件

  • 高可用性故障切换配置中的两个设备必须:

    • 位于单独的机箱上;不建议为 Firepower 9300 配置机箱内高可用性,而且可能不支持此功能。

    • 型号相同。

    • 将同一接口分配至高可用性逻辑设备。

    • 拥有相同数量和类型的接口。启用高可用性之前,所有接口必须在 FXOS 中进行相同的预配置。

  • 仅 Firepower 9300 上同种类型模块之间支持高可用性;但是两个机箱可以包含混合模块。例如,每个机箱都设有 SM-36、SM-40 和 SM-44。可以在 SM-36 模块之间、SM-40 模块之间和 SM-44 模块之间创建高可用性对。

  • 对于容器实例,每个单元必须使用相同的资源配置文件属性。如果要更改资源配置文件,您需要取消 FMC 中的高可用性,然后重新添加该对。

  • 有关其他高可用性系统要求,请参阅“高可用性”的应用配置指南一章。

规定和限制

一般准则

  • 包含容器实例的多实例功能仅适用于 FTD

  • 对于 FTD 容器实例,单个 Firepower 管理中心必须管理安全模块/引擎上的所有实例。

  • 对于 FTD 容器实例,不支持以下功能:

    • 群集

    • Radware DefensePro 链路修饰器

    • FMC 备份和恢复

    • FMC UCAPL/CC 模式


    SSL HW 加速仅支持用于模块/安全引擎上的一个容器实例。SSL 硬件加速禁用于其他容器实例。有关详细信息,请参阅 Firepower 管理中心配置指南。

VLAN 子接口

  • 您可以使用最多 500 个 VLAN ID 为每个机箱创建 250 至 500 个子接口,具体取决于网络部署。

  • 仅支持在数据或数据共享型接口上创建子接口。

  • 子接口(和父接口)仅可分配至容器实例。

    如果将父接口分配至容器实例,该接口将仅传递未标记(非 VLAN)流量。除非您想要传递未标记流量,否则不予分配父接口。

  • 请参阅逻辑设备应用中的以下限制;规划接口分配时,请谨记这些限制。

    • 不得将子接口用于 FTD 内联集或用作被动接口。

    • 如果将子接口用于故障切换链路,则该父接口及其上的所有子接口仅限于用作故障切换链路。不得将某些子接口用作故障切换链路,而将某些用作常规数据接口。

数据共享接口

  • 每个共享接口最多 14 个实例。例如,您可以将以太网接口 1/1 分配至实例 1 至实例 14。

  • 每个实例最多 10 个共享接口。例如,您可以将以太网接口 1/1.1 至以太网接口 1/1.10 分配至实例 1。

  • 不得结合使用数据共享接口和本地实例。

  • 请参阅逻辑设备应用中的以下限制;规划接口分配时,请谨记这些限制。

    • 不得结合使用数据共享接口和透明防火墙模式设备。

    • 不得结合数据共享接口和 FTD 内联集或被动接口。

    • 不得将数据共享接口用于故障切换链路。

默认 MAC 地址

所有接口的 MAC 地址均取自一个 MAC 地址池。请参阅容器实例接口的自动 MAC 地址

为容器实例添加资源配置文件

要指定每个容器实例的资源使用情况,请创建一个或多个资源配置文件。部署逻辑设备/应用实例时,请指定想要使用的资源配置文件。资源配置文件会设置 CPU 核心数量;系统会根据核心数量动态分配 RAM,并将每个实例的磁盘空间设为 40 GB。

  • 最小核心数量为 6。

  • 由于内部架构原因,无法指定 8 个核心。

  • 您可以分配偶数(6、10、12、14 等)个核心,乃至最大值。

  • 最大可用核心数取决于安全模块/机箱型号,请参阅容器实例的要求和必备条件

机箱包括一个命名为 "Default-Small" 的默认资源配置文件,此文件包括最小核心数。您可以更改此配置文件定义,甚至可在未使用情况下将其删除。请注意,此配置文件在机箱重新加载且系统上不存在任何其他配置文件时创建而成。

如果当前正在使用,则无法更改资源配置文件设置。必须禁用使用此文件的任何实例,然后更改资源配置文件,最后重新启用该实例。如果调整已建立高可用性对中实例的大小,稍后应尽可能快地确保所有成员大小一致。

如果在将 FTD 实例添加到 FMC 后更改资源配置文件设置,稍后应在设备 > 设备管理 > 设备 > 系统 > 库存对话框上更新每个设备的库存。

过程

步骤 1

选择平台设置 > 资源配置文件,然后点击添加

系统将显示添加资源配置文件对话框。

步骤 2

设置以下参数。

  • Name - 设置介于 1 和 64 个字符之间的配置文件名称。请注意,此配置文件名称添加后无法更改。

  • Description - 设置最多 510 个字符的配置文件说明。

  • Number of Cores - 设置介于 6 和最大值之间的配置文件核心数(偶数),具体取决于机箱。无法指定 8 个核心。

步骤 3

点击确定

为容器实例接口添加 MAC 池前缀,并查看其 MAC 地址

FXOS 机箱会自动为容器实例接口自动生成 MAC 地址,以确保各个实例中的共享接口使用唯一的 MAC 地址。FXOS 机箱使用以下格式生成 MAC 地址:

A2xx.yyzz.zzzz

其中, xx.yy 是用户定义的前缀或系统定义的前缀,zz.zzzz 是由机箱生成的内部计数器。系统定义的前缀与已在 IDPROM 中编程的烧录 MAC 地址池中的第一个 MAC 地址的 2 个低位字节相匹配。使用 connect fxos ,然后通过 show module 查看 MAC 地址池。例如,如果显示的适用于模块 1 的 MAC 地址范围为 b0aa.772f.f0b0 至 b0aa.772f.f0bf,则系统前缀将是 f0b0。

有关详细信息,请参阅容器实例接口的自动 MAC 地址

此程序介绍如何查看 MAC 地址,以及如何选择性地定义生成所使用的前缀。

如果您在部署逻辑设备后更改了 MAC 地址前缀,则可能会遇到流量中断现象。

过程

步骤 1

选择平台设置 > MAC 池

此页面显示以及容器实例和使用 MAC 地址的接口生成的 MAC 地址。
步骤 2

(可选) 添加生成 MAC 地址时所使用的 MAC 地址前缀。

  1. 单击添加前缀

    系统将显示设置 MAC 池前缀对话框。

  1. 输入一个介于 1 和 65535 之间的十进制值。此前缀会转换为一个四位数的十六进制数字,并用作 MAC 地址的一部分。

    如何使用前缀的示例如下:如果将前缀设置为 77,则机箱会将 77 转换为十六进制值 004D (yyxx)。在 MAC 地址中使用时,该前缀会反转 (xxyy),以便与机箱的本地形式匹配:

    A24D.00zz.zzzz

    对于前缀 1009 (03F1),MAC 地址为:

    A2F1.03zz.zzzz

  2. 单击确定

    系统会生成并分配使用该前缀的新 MAC 地址。当前前缀和生成的十六进制值则显示在表格上方。

配置接口

默认情况下,物理接口处于禁用状态。可以启用接口,添加 Etherchannel,添加 VLAN 子接口,编辑接口属性,配置分支端口

如果在 FXOS 中删除一个接口(例如,如果您移除网络模块,移除 EtherChannel,或将某个接口重新分配到 EtherChannel),则 ASA 配置会保留原始命令,以便您可以进行任何必要的调整;从配置中删除接口会产生广泛的影响。您可以在 ASA OS 中手动移除旧的接口配置。

配置物理接口

您可以通过物理方式启用和禁用接口,并设置接口速度和双工。要使用某一接口,必须在 FXOS 中以物理方式启用它,并在应用中以逻辑方式启用它。

开始之前

  • 不能单独修改已经是 EtherChannel 成员的接口。务必在将接口添加到 EtherChannel 之前为其配置设置。

过程

步骤 1

选择接口打开接口页面。

所有接口页面顶部显示当前已安装的接口的直观展示图,在下表中提供已安装接口列表。

步骤 2

在您要编辑的接口所对应的行中点击编辑,可打开编辑接口对话框。

步骤 3

要启用接口,请选中启用复选框。要禁用接口,请取消选中启用复选框。

步骤 4

选择接口类型数据数据共享管理Firepower 事件群集

请勿选择群集类型;默认情况下,系统会自动在端口通道 48 上创建群集控制链路。

步骤 5

(可选) 从速度下拉列表中选择接口的速度。

步骤 6

(可选) 如果您的接口支持自动协商,请点击单选按钮。

步骤 7

(可选) 从双工下拉列表中选择接口双工。

步骤 8

(可选) 选择先前配置的网络控制策略
步骤 9

点击确定

添加 EtherChannel(端口通道)

EtherChannel(也称为端口通道)最多可以包含 16 个同一类型的成员接口。链路汇聚控制协议 (LACP) 将在两个网络设备之间交换链路汇聚控制协议数据单元 (LACPDU),进而汇聚接口。

您可以将 EtherChannel 中的每个物理数据或数据共享接口配置为:

  • 活动 - 发送和接收 LACP 更新。主用 EtherChannel 可以与主用或备用 EtherChannel 建立连接。除非您需要最大限度地减少 LACP 流量,否则应使用主用模式。

  • 开启 - EtherChannel 始终开启,并且不使用 LACP。“开启”的 EtherChannel 只能与另一个“开启”的 EtherChannel 建立连接。

如果将其模式从打开更改为主用或从主用更改为打开状态,则可能需要多达三分钟的时间才能使 EtherChannel 进入运行状态。

非数据接口仅支持主用模式。

LACP 将协调自动添加和删除指向 EtherChannel 的链接,而无需用户干预。LACP 还会处理配置错误,并检查成员接口的两端是否连接到正确的通道组。 如果接口发生故障且未检查连接和配置,“开启”模式将不能使用通道组中的备用接口。

Firepower 4100/9300 机箱创建 EtherChannel 时,EtherChannel 将处于挂起状态(对于主动 LACP 模式)或关闭状态(对于打开 LACP 模式),直到将其分配给逻辑设备,即使物理链路是连通的。EtherChannel 在以下情况下将退出挂起 (Suspended) 状态:

  • 将 EtherChannel 添加为独立逻辑设备的数据或管理端口

  • 将 EtherChannel 添加为属于群集一部分的逻辑设备的管理接口或群集控制链路

  • 将 EtherChannel 添加为属于群集一部分的逻辑设备的数据端口,并且至少有一个单元已加入该群集

请注意,EtherChannel 在您将它分配到逻辑设备前不会正常工作。如果从逻辑设备移除 EtherChannel 或删除逻辑设备,EtherChannel 将恢复为挂起关闭状态。

过程

步骤 1

选择接口打开接口页面。

所有接口页面顶部显示当前已安装的接口的直观展示图,在下表中提供已安装接口列表。

步骤 2

点击接口表上方的添加端口通道,可打开添加端口通道对话框。

步骤 3

端口通道 ID 字段中输入端口通道 ID。有效值介于 1 与 47 之间。

部署群集逻辑设备时,端口通道 48 为群集控制链路预留。如果不想将端口通道 48 用于群集控制链路,您可以为 EtherChannel 配置不同的 ID,为接口选择“群集”类型。对于机箱内群集,请不要将任何接口分配给群集 EtherChannel。

步骤 4

要启用端口通道,请选中启用复选框。要禁用端口通道,请取消选中启用复选框。

步骤 5

选择接口类型数据数据共享管理Firepower 事件群集

请勿选择群集类型,除非要将此端口通道用作群集控制链路,而不是默认设置。

步骤 6

从下拉列表设置成员接口的管理速度
步骤 7

对于数据或数据共享接口,选择 LACP 端口通道模式主用保持

对于非数据或数据共享接口,模式始终是主用模式。

步骤 8

设置管理双工全双工半双工
步骤 9

要将接口添加到端口通道,请在可用接口列表中选择该接口,点击添加接口,将接口移动至“成员 ID”列表。您最多可以添加 16 个同一类型和速度的接口。

提示 

一次可添加多个接口。要选择多个独立接口,请点击所需的接口,同时按住 Ctrl 键。要选择一个接口范围,请选择范围中的第一个接口,然后,在按住 Shift 键的同时,点击选择范围中的最后一个接口。

步骤 10

要从端口通道删除接口,请点击“成员 ID”列表中接口右侧的删除按钮。

步骤 11

点击确定

为容器实例添加 VLAN 子接口

您最多可以将 500 个子接口连接到您的机箱。

每个接口的 VLAN ID 都必须具有唯一性,并且在容器实例内,VLAN ID 在所有已分配接口上也必须具有唯一性。只要系统将 VLAN ID 分配至不同的容器实例,您就可以在单独接口上重新使用它们。然而,即使每个子接口使用相同的 ID,这些子接口仍将计入限值。

对于本地实例,您仅可在应用内创建 VLAN 子接口。对于容器实例,您还可以在不含所定义 FXOS VLAN 子接口的接口上的应用内创建 VLAN 子接口,这些子接口不受 FXOS 限值限制。选择在哪个操作系统创建子接口取决于网络部署和个人偏好。例如,要共享子接口,必须在 FXOS 中创建子接口。偏好 FXOS 子接口的另一种场景包含将单个接口上的单独子接口组分配至多个实例。例如,您想要结合使用端口通道 1 与实例 A 上的 VLAN 2-11、实例 B 上的 VLAN 12-21 和实例 C 上的 VLAN 22-31。如果您在应用内创建这些子接口,则必须在 FXOS 中共享父接口,但这可能并不合适。有关可以用于实现这种场景的三种方法,请参阅下图:

VLAN 子接口场景

过程

步骤 1

选择接口打开所有接口选项卡。

页面顶部的所有接口选项卡显示当前已安装的接口的直观展示图,并在下表中提供已安装接口列表。

步骤 2

单击添加新 > 子接口打开添加子接口对话框。

步骤 3

选择接口类型数据数据共享

仅支持在数据或数据共享型接口上创建子接口。此类型独立于父接口类型;例如,您可以设数据共享父接口和数据子接口。
步骤 4

从下拉列表选择父接口

不得将子接口添加到当前已分配至逻辑设备的物理接口。如果系统已分配父接口的其他子接口,只要未分配此父接口,您就可以添加新的子接口。
步骤 5

输入一个介于 1 和 4294967295 之间的子接口 ID

此 ID 将附加到父接口 ID,作为 interface_id.subinterface_id。例如,如果您将子接口添加到 ID 为 100 的以太网接口 1/1,则子接口 ID 将为:以太网接口 1/1.100。尽管可以出于方便目的将此 ID 和 VLAN ID 设置为相互匹配,但两者始终不同。

步骤 6

设置介于 1 和 4095 之间的 VLAN ID
步骤 7

点击确定

展开父接口查看其项下所有子接口。

为 FMC 添加独立的 Firepower 威胁防御

独立逻辑设备可单独使用,也可在高可用性对中使用。在具有多个安全模块的 Firepower 9300 上,可以配置群集或独立设备。群集必须使用所有模块,因此无法将双模块群集和独立设备进行混用和搭配。

可以在某些模块上使用本地实例,在其他模块上使用容器实例。

开始之前

  • 从 Cisco.com 下载要用于逻辑设备的应用映像(请参阅从 Cisco.com 下载映像,然后将映像上传Firepower 4100/9300 机箱(请参阅将映像上传到 Firepower 安全设备

    对于 Firepower 9300,可以在机箱中的独立模块上安装不同类型的应用(ASA 和 FTD)。还可以在独立模块上运行一种应用实例的不同版本。

  • 配置逻辑设备要使用的管理接口。管理接口是必需的。请注意,此管理接口不同于仅用于机箱管理的机箱管理端口 (并且在接口选项卡的顶部显示为 MGMT

  • 您还必须至少配置一个数据类型的接口。或者,您也可以创建 Firepower 事件接口,传输所有事件流量(例如 Web 事件)。有关详细信息,请参阅接口类型

  • 对于容器实例,如果您不想使用默认配置文件,则请根据为容器实例添加资源配置文件添加资源配置文件。

  • 对于容器实例,在首次安装容器实例之前,必须重新初始化安全模块/引擎,以保证磁盘具有正确的格式。选择安全模块安全引擎,然后点击重新初始化图标(重新初始化图标首先删除现有逻辑设备,然后将其重新安装为新设备,这会丢失任何本地应用配置。如果要使用容器实例替换本地实例,则在任何情况下都需要删除本地实例。无法自动将本地实例迁移到容器实例。

  • 收集以下信息:

    • 此设备的接口 ID

    • 管理接口 IP 地址和网络掩码

    • 网关 IP 地址

    • FMC 您选择的 IP 地址和/或 NAT ID

    • DNS 服务器 IP 地址

    • FTD 主机名和域名

过程

步骤 1

选择逻辑设备
步骤 2

点击添加 > 独立设备,并设置以下参数:

  1. 提供设备名称

    此名称由机箱管理引擎用于配置管理设置和分配接口;它不是在应用配置中使用的设备名称。

  2. 对于模板 (Template),请选择思科 Firepower 威胁防御 (Cisco Firepower Threat Defense)

  3. 选择映像版本

  4. 选择实例类型容器本地

    本地实例使用安全模块/引擎的所有资源(CPU、RAM 和磁盘空间),因此仅可安装一个本地实例。容器实例使用部分安全模块/引擎资源,因此可以安装多个容器实例。

  5. 点击确定

    屏幕会显示调配 - 设备名称 (Provisioning - device name) 窗口。

步骤 3

展开数据端口区域,然后点击要分配给设备的每个接口。

您仅可分配先前在接口页面上启用的数据和数据共享接口。稍后您需要在 FMC 中启用和配置这些接口,包括设置 IP 地址。

仅可向一个容器实例分配最多 10 个数据共享接口。此外,可以将每个数据共享接口分配至最多 14 个容器实例。数据共享接口以共享图标(共享图标 表示。

具有硬件绕行功能的端口使用以下图标显示:。对于某些接口模块,仅可启用用于内联集接口的硬件旁路功能(请参阅 FMC 配置指南)。硬件绕行确保流量在断电期间继续在接口对之间流动。在软件或硬件发生故障时,此功能可用于维持网络连接性。如果您未同时分配一个硬件绕行对中的两个接口,则会收到一条警告消息,确认您是故意这样分配。您不需要使用硬件绕行功能,因此如果您愿意,可以分配单个接口。

步骤 4

点击屏幕中心的设备图标。

系统将显示对话框,可以在该对话框中配置初始引导程序设置。这些设置仅用于仅初始部署或灾难恢复。为了实现正常运行,稍后可以更改应用 CLI 配置中的大多数值。
步骤 5

一般信息页面上,完成下列操作:

  1. (对于 Firepower 9300)在安全模块选择下,点击您想用于此逻辑设备的安全模块。

  2. 对于容器实例,指定资源配置文件

    如果您稍后分配一个不同的资源配置文件,则实例将重新加载,这可能需要大约 5 分钟的时间。请注意,对于已建立的高可用性对,如果分配不同大小的资源配置文件,请务必尽快确保所有成员大小一致。

  3. 选择管理接口

    此接口用于管理逻辑设备。此接口独立于机箱管理端口。

  4. 选择管理接口地址类型仅 IPv4仅 IPv6 IPv4 和 IPv6

  5. 配置管理 IP 地址。

    设置用于此接口的唯一 IP 地址。

  6. 输入网络掩码前缀长度

  7. 输入网络网关地址。

步骤 6

设置选项卡上,完成下列操作:

  1. 对于本地实例,在应用实例的管理类型下拉列表中,选择 FMC

    本地实例还支持 FDM 作为管理器。部署逻辑设备后,无法更改管理器类型。

  2. 输入管理 FMCFirepower 管理中心 IP如果您不知道 FMC IP 地址,请将此字段留空,并在 Firepower 管理中心 NAT ID 字段中输入口令。

  3. 对于容器实例,选择是否允许 FTD SSH 会话专家模式。专家模式提供 FTD shell 访问权限以确保实现高级故障排除。

    对于此选项,如果您选择,拥有直接从 SSH 会话访问容器实例的权限的用户可以输入专家模式。如果您选择,只有拥有从 FXOS CLI 访问容器实例的权限的用户可以输入专家模式。我们建议选择以加强实例之间的隔离。

    仅当书面程序指出必须使用或思科技术支持中心要求使用专家模式时,才使用专家模式。要进入此模式下,请在 FTD CLI 中使用 expert 命令。

  4. 输入逗号分隔列表形式的搜索域

  5. 选择防火墙模式透明路由式

    在路由模式中,FTD被视为网络中的路由器跃点。要在其间路由的每个接口都位于不同的子网上。另一方面,透明防火墙是一个第 2 层防火墙,充当“线缆中的块”或“隐蔽的防火墙”,不被视为是到所连接设备的路由器跃点。

    系统仅在初始部署时设置防火墙模式。如果您重新应用引导程序设置,则不会使用此设置。

  6. 输入逗号分隔列表形式的 DNS 服务器

    例如,如果指定 FMC 主机名,则 FTD 使用 DNS。

  7. 输入 FTD完全限定主机名

  8. 输入注册期间要在 FMC 和设备之间共享的注册密钥

    可以为此密钥选择介于 1 至 37 个字符之间的任何文本字符串;添加 FTD 时,需要在 FMC 上输入相同的密钥。

  9. 输入供FTD管理员用户用于 CLI 访问的密码

  10. 选择应该发送 Firepower 事件的事件接口。如果未指定,系统将使用管理接口。

    此接口必须定义为 Firepower 事件接口。

  11. 对于容器实例,请将硬件加密设置为已启用已禁用

    此设置在硬件中启用 TLS 加密加速,并提高某些类型流量的性能。默认情况下启用此功能。您最多可以为每个安全模块的 16 个实例启用 TLS 加密加速。本地实例不支持此功能。要查看分配给该实例的硬件加密资源百分比,请输入 show hw-crypto 命令。
步骤 7

协议选项卡上,阅读并接受最终用户许可协议 (EULA)。

步骤 8

点击确定关闭配置对话框。

步骤 9

点击保存

机箱通过下载指定软件版本,并将引导程序配置和管理接口设置推送至应用实例来部署逻辑设备。在逻辑设备页面中,查看新逻辑设备的状态。当逻辑设备将其状态显示为在线时,可以开始在应用中配置安全策略。

步骤 10

请参阅 FMC 配置指南,将 FTD 添加为受管设备,并开始配置安全策略。

添加高可用性对

ASA 高可用性(也称为故障切换)是在应用中配置,而不是在 FXOS 中配置。但为了让您的机箱做好配置高可用性的准备,请参阅以下步骤。

开始之前

请参阅高可用性的要求和前提条件

过程

步骤 1

将相同的接口分配给各个逻辑设备。
步骤 2

为故障切换和状态链路分配 1 个或 2 个数据接口。

这些接口用于交换 2 个机箱之间的高可用性流量。我们建议您将一个 10 GB 数据接口用于组合的故障切换和状态链路。如果您有可用的接口,可以使用单独的故障切换和状态链路;状态链路需要的带宽最多。不能将管理类型的接口用于故障切换或状态链路。我们建议您在机箱之间使用一个交换机,并且不将同一网段中的其他任何设备作为故障切换接口。

对于容器实例,故障切换链路不支持数据共享接口。我们建议您在父接口或 EtherChannel 上创建子接口,并为每个实例分配子接口以用作故障切换链路。请注意,您必须将同一父接口上的所有子接口用作故障切换链路。不得将一个子接口用作故障切换链路,然后将其他子接口(或父接口)用作常规数据接口。
步骤 3

在逻辑设备上启用高可用性。
步骤 4

如果您在启用高可用性后需要更改接口,请先在备用设备上执行更改,然后再在主用设备上执行更改。

 

对于 ASA,如果在 FXOS 中移除一个接口(例如,如果您移除网络模块,移除 EtherChannel,或将某个接口重新分配到 EtherChannel),则 ASA 配置会保留原始命令,以便您可以进行任何必要的调整;从配置中移除接口会产生广泛的影响。您可以在 ASA OS 中手动移除旧的接口配置。

排除接口故障

错误:交换机转发路径条目数为 1076,超出限值 1024。如果要添加接口,请减少分配至逻辑设计的共享接口的数量,减少共享接口的逻辑设备的数量或改为使用非共享子接口。如果要删除子接口,您将看到此消息,因为系统不再优化剩余配置以适应交换机转发路径表。有关使用案例删除的故障排除信息,请参阅 FXOS 配置指南。使用“交换矩阵互联”项下的“显示详细信息”查看当前交换机转发路径条目计数。

如果在尝试从逻辑设备删除共享子接口时看到此错误,则是因为新配置未遵循此准则中有关共享子接口的相关规定:结合使用相同集合的子接口和同组逻辑设备。如果从一个逻辑设备删除共享子接口,则最终可能生成更多 VLAN 组,并因此降低转发表的使用效率。要解决此问题,需要使用 CLI 同时添加和删除共享子接口,以便维护同组逻辑设备的相同集合的子接口。

有关详细信息,请参阅以下场景。这些场景从以下接口和逻辑设备开始:

  • 同一父接口上设置的共享子接口:端口通道 1.100 (VLAN 100)、端口通道 1.200 (VLAN 200)、端口通道 1.300 (VLAN 300)

  • 逻辑设备组:LD1、LD2、LD3 和 LD4

场景 1:从一个逻辑设备上删除子接口,但将其分配至其他逻辑设备

不删除子接口。相反,只需在应用配置中禁用此子接口即可。如果必须删除子接口,一般情况下需要减少共享接口的数量,以继续适应转发表。

场景 2:从一个逻辑设备上删除集合中的所有子接口

从 CLI 上的逻辑设备上删除集合中的所有子接口,然后保存配置以同步删除信息。

  1. 查看 VLAN 组(供参考)。在以下输出中,组 1 包括 VLAN 100、200 和 300,表示 3 个共享子接口。

    
firepower# connect fxos
[...]
firepower(fxos)# show ingress-vlan-groups
ID   Class ID  Status         INTF         Vlan Status
1    1         configured
                                           100  present
                                           200  present
                                           300  present
2048 512       configured
                                           0    present
2049 511       configured
                                           0    present
firepower(fxos)# exit
firepower#

  2. 查看分配至要更改的逻辑设备的共享子接口。

    
firepower# scope ssa
firepower /ssa # scope logical-device LD1
firepower /ssa/logical-device # show external-port-link

External-Port Link:
    Name                           Port or Port Channel Name Port Type          App Name   Description
    ------------------------------ ------------------------- ------------------ ---------- -----------
    Ethernet14_ftd                 Ethernet1/4               Mgmt               ftd
    PC1.100_ftd                    Port-channel1.100         Data Sharing       ftd
    PC1.200_ftd                    Port-channel1.200         Data Sharing       ftd
    PC1.300_ftd                    Port-channel1.300         Data Sharing       ftd

  3. 从逻辑设备上删除子接口,然后保存配置。

    
firepower /ssa/logical-device # delete external-port-link PC1.100_ftd
firepower /ssa/logical-device* # delete external-port-link PC1.200_ftd
firepower /ssa/logical-device* # delete external-port-link PC1.300_ftd
firepower /ssa/logical-device* # commit-buffer
firepower /ssa/logical-device #

    如果您在操作过程中提交了配置,则最终将生成 2 个 VLAN 组,这可能产生交换机转发路径错误并阻止您保存配置。

场景 3:从组中的所有逻辑设备上删除子接口

从 CLI 上组中的所有逻辑设备上删除子接口,然后保存配置以同步删除信息。例如:

  1. 查看 VLAN 组(供参考)。在以下输出中,组 1 包括 VLAN 100、200 和 300,表示 3 个共享子接口。

    
firepower# connect fxos
[...]
firepower(fxos)# show ingress-vlan-groups
ID   Class ID  Status         INTF         Vlan Status
1    1         configured
                                           100  present
                                           200  present
                                           300  present
2048 512       configured
                                           0    present
2049 511       configured
                                           0    present

  2. 查看分配至每个逻辑设备的接口,并注意通用共享子接口。如果这些子接口在同一父接口上,则它们属于一个 VLAN 组,并应与 show ingress-vlan-groups 列表相匹配。在 Firepower 机箱管理器中,您可以将鼠标悬停在每个共享子接口上,以查看这些子接口分配至哪些实例。

    图 6. 每个共享接口的实例数
    每个共享接口的实例数

    在 CLI 上,可以查看所有逻辑设备的特征,包括已分配的接口。

    
firepower# scope ssa
firepower /ssa # show logical-device expand

Logical Device:
    Name: LD1
    Description:
    Slot ID: 1
    Mode: Standalone
    Oper State: Ok
    Template Name: ftd

    External-Port Link:
        Name: Ethernet14_ftd
        Port or Port Channel Name: Ethernet1/4
        Port Type: Mgmt
        App Name: ftd
        Description:

        Name: PC1.100_ftd
        Port or Port Channel Name: Port-channel1.100
        Port Type: Data Sharing
        App Name: ftd
        Description:

        Name: PC1.200_ftd
        Port or Port Channel Name: Port-channel1.200
        Port Type: Data Sharing
        App Name: ftd
        Description:

        System MAC address:
            Mac Address
            -----------
            A2:F0:B0:00:00:25

        Name: PC1.300_ftd
        Port or Port Channel Name: Port-channel1.300
        Port Type: Data Sharing
        App Name: ftd
        Description:

[...]

    Name: LD2
    Description:
    Slot ID: 1
    Mode: Standalone
    Oper State: Ok
    Template Name: ftd

    External-Port Link:
        Name: Ethernet14_ftd
        Port or Port Channel Name: Ethernet1/4
        Port Type: Mgmt
        App Name: ftd
        Description:

        Name: PC1.100_ftd
        Port or Port Channel Name: Port-channel1.100
        Port Type: Data Sharing
        App Name: ftd
        Description:

        Name: PC1.200_ftd
        Port or Port Channel Name: Port-channel1.200
        Port Type: Data Sharing
        App Name: ftd
        Description:

        System MAC address:
            Mac Address
            -----------
            A2:F0:B0:00:00:28

        Name: PC1.300_ftd
        Port or Port Channel Name: Port-channel1.300
        Port Type: Data Sharing
        App Name: ftd
        Description:

[...]

    Name: LD3
    Description:
    Slot ID: 1
    Mode: Standalone
    Oper State: Ok
    Template Name: ftd

    External-Port Link:
        Name: Ethernet14_ftd
        Port or Port Channel Name: Ethernet1/4
        Port Type: Mgmt
        App Name: ftd
        Description:

        Name: PC1.100_ftd
        Port or Port Channel Name: Port-channel1.100
        Port Type: Data Sharing
        App Name: ftd
        Description:

        Name: PC1.200_ftd
        Port or Port Channel Name: Port-channel1.200
        Port Type: Data Sharing
        App Name: ftd
        Description:

        System MAC address:
            Mac Address
            -----------
            A2:F0:B0:00:00:2B

        Name: PC1.300_ftd
        Port or Port Channel Name: Port-channel1.300
        Port Type: Data Sharing
        App Name: ftd
        Description:

[...]

    Name: LD4
    Description:
    Slot ID: 1
    Mode: Standalone
    Oper State: Ok
    Template Name: ftd

    External-Port Link:
        Name: Ethernet14_ftd
        Port or Port Channel Name: Ethernet1/4
        Port Type: Mgmt
        App Name: ftd
        Description:

        Name: PC1.100_ftd
        Port or Port Channel Name: Port-channel1.100
        Port Type: Data Sharing
        App Name: ftd
        Description:

        Name: PC1.200_ftd
        Port or Port Channel Name: Port-channel1.200
        Port Type: Data Sharing
        App Name: ftd
        Description:

        System MAC address:
            Mac Address
            -----------
            A2:F0:B0:00:00:2E

        Name: PC1.300_ftd
        Port or Port Channel Name: Port-channel1.300
        Port Type: Data Sharing
        App Name: ftd
        Description:

[...]

  3. 从每个逻辑设备上删除子接口,然后保存配置。

    
firepower /ssa # scope logical device LD1
firepower /ssa/logical-device # delete external-port-link PC1.300_ftd
firepower /ssa/logical-device* # exit
firepower /ssa* # scope logical-device LD2
firepower /ssa/logical-device* # delete external-port-link PC1.300_ftd
firepower /ssa/logical-device* # exit
firepower /ssa* # scope logical-device LD3
firepower /ssa/logical-device* # delete external-port-link PC1.300_ftd
firepower /ssa/logical-device* # exit
firepower /ssa* # scope logical-device LD4
firepower /ssa/logical-device* # delete external-port-link PC1.300_ftd
firepower /ssa/logical-device* # commit-buffer
firepower /ssa/logical-device #

如果您在操作过程中提交了配置,则最终将生成 2 个 VLAN 组,这可能产生交换机转发路径错误并阻止您保存配置。

场景 4:将子接口添加至一个或多个逻辑设备

在 CLI 中将子接口添加至组中的所有 逻辑设备,然后保存配置以同步添加信息。

  1. 将子接口添加至每个逻辑设备,然后保存配置。

    
firepower# scope ssa
firepower /ssa # scope logical-device LD1
firepower /ssa/logical-device # create external-port-link PC1.400_ftd Port-channel1.400 ftd
firepower /ssa/logical-device/external-port-link* # exit
firepower /ssa/logical-device* # exit
firepower /ssa # scope logical-device LD2
firepower /ssa/logical-device # create external-port-link PC1.400_ftd Port-channel1.400 ftd
firepower /ssa/logical-device/external-port-link* # exit
firepower /ssa/logical-device* # exit
firepower /ssa # scope logical-device LD3
firepower /ssa/logical-device # create external-port-link PC1.400_ftd Port-channel1.400 ftd
firepower /ssa/logical-device/external-port-link* # exit
firepower /ssa/logical-device* # exit
firepower /ssa # scope logical-device LD4
firepower /ssa/logical-device # create external-port-link PC1.400_ftd Port-channel1.400 ftd
firepower /ssa/logical-device/external-port-link* # commit-buffer
firepower /ssa/logical-device/external-port-link #

    如果您在操作过程中提交了配置,则最终将生成 2 个 VLAN 组,这可能产生交换机转发路径错误并阻止您保存配置。

  2. 您可以检查端口通道 1.400 VLAN ID 已添加至 VLAN 组 1。

    
firepower /ssa/logical-device/external-port-link # connect fxos
[...]
firepower(fxos)# show ingress-vlan-groups
ID   Class ID  Status         INTF         Vlan Status
1    1         configured
                                           200  present
                                           100  present
                                           300  present
                                           400  present
2048 512       configured
                                           0    present
2049 511       configured
                                           0    present
firepower(fxos)# exit
firepower /ssa/logical-device/external-port-link #

多实例功能的历史记录

功能名称

平台版本

功能信息

Firepower 4115、4125 和 4145

2.6.1

我们推出了 Firepower 4115、4125 和 4145。

 

要求使用 ASA 9.12(1) 和 Firepower 6.4.0。

未修改任何菜单项。

支持在同一个 Firepower 9300 上使用独立的 ASA 和 FTD 模块

2.6.1

您现在可以在同一个 Firepower 9300 上同时部署 ASA 和 FTD 逻辑设备。

 

要求使用 ASA 9.12(1) 和 Firepower 6.4.0。

未修改任何菜单项。

对于 FTD 引导程序配置,您现在可以在 Firepower 机箱管理器中设置 FMC 的 NAT ID

2.6.1

您现在可以在 Firepower 机箱管理器中设置 FMC NAT ID。以前,您只能在 FXOS CLI 或 FTD CLI 内设置 NAT ID。通常,无论是出于路由目的还是为了进行身份验证,都需要两个 IP 地址(连同一个注册密钥):FMC 指定设备 IP 地址,设备指定 FMC IP 地址。但是,如果您只知道其中一个 IP 地址(这是实现路由目的的最低要求),您还必须在连接的两端指定唯一的 NAT ID,以建立对初始通信的信任,并查找正确的注册密钥。FMC 和设备使用注册密钥和 NAT ID(而不是 IP 地址)对初始注册进行身份验证和授权。

新增/修改的屏幕:

逻辑设备 > 添加设备 > 设置 > Firepower 管理中心 NAT ID字段

支持将 SSL 硬件加速用于模块/安全引擎上的一个 FTD 容器实例

2.6.1

您现在可以启用用于模块/安全引擎上的一个容器实例的 SSL 硬件加速。SSL 硬件加速禁用于其他容器实例,但启用于本地实例。有关详细信息,请参阅 Firepower 管理中心配置指南。

新增/修改的命令:config hwCrypto enableshow hwCrypto

未修改任何菜单项。

Firepower 威胁防御的多实例功能

2.4.1

您现在可以在单个安全引擎/模块上部署多个逻辑设备,每台逻辑设备都设 Firepower 威胁防御容器实例。以前,您仅可部署单个本地应用实例。此外,仍支持本地实例。对于 Firepower 9300,可以在某些模块上使用本地实例,在其他模块上使用容器实例。

要确保灵活使用物理接口,可以在 FXOS 中创建 VLAN 子接口,还可以在多个实例之间共享接口。部署容器实例时,必须指定分配的 CPU 核心数量;系统会根据核心数量动态分配 RAM,并将每个实例的磁盘空间设为 40 GB。此资源管理允许您自定义每个实例的性能。

您可以在 2 个独立机箱上使用容器实例来实现高可用性;例如,如果您有 2 个机箱,每个机箱设 10 个实例,您可以创建 10 个高可用性对。不支持群集。

 

尽管实现方式不同,但多实例功能与 ASA 多情景模式类似。多情景模式下区分了单个应用实例,而多实例功能允许独立容器实例。容器实例允许硬资源分离、单独配置管理、单独重新加载、单独软件更新和完全 Firepower 威胁防御功能支持。由于共享资源,多情景模式支持给定平台上的更多情景。Firepower 威胁防御不支持多情景模式。

 

要求使用 6.3 或更高版本的 FTD

新增/修改的 Firepower 机箱管理器菜单项:

概述 > 设备

接口 > 所有接口 > 添加新下拉菜单 > 子接口

接口 > 所有接口 > 类型

逻辑设备 > 添加设备

平台设置 > Mac 池

平台设置 > 资源配置文件

新增/修改的 Firepower 管理中心菜单项:

设备 > 设备管理 > 编辑图标> 接口选项卡