有关 Firepower 威胁防御虚拟 支持的虚拟机管理程序的最新信息,请参阅思科 Firepower 兼容性指南。
根据所需部署的实例数量和使用要求,FTDv部署所使用的具体硬件可能会有所不同。每个 FTDv 实例都需要服务器保证最小的资源配置,这包括内存数量、CPU 和磁盘空间。
运行 VMware vCenter 服务器和 ESXi 实例的系统必须满足特定的硬件和操作系统要求。有关支持平台的列表,请参阅 VMware 在线兼容性指南。
表 2. Firepower Threat Defense Virtual 设备资源
设置
|
值
|
核心和内存数
|
6.4 及更高版本
FTDv 具有可调的 vCPU 和内存资源。支持的 vCPU/内存对值有三种:
-
4vCPU/8GB(默认)
-
8vCPU/16GB
-
12vCPU/24GB
可以配置其他 vCPU/内存值;不过,仅支持上述三种组合。
注
|
要更改 vCPU/内存值,必须先断开 FTDv 设备的电源。
|
|
6.3 及更低版本
FTDv 具有固定的 vCPU 和内存资源。支持的 vCPU/内存对值只有一个:
可以配置其他 vCPU/内存值;不过,仅支持上述三种组合。
|
存储
|
取决于所选磁盘格式。
|
vNIC
|
FTDv 支持以下虚拟网络适配器:
-
VMXNET3 - 在 VMware 上,如果创建虚拟设备,FTDv 现默认为 vmxnet3 接口。先前,默认值为 e1000。vmxnet3 驱动程序使用两个管理接口。前两个以太网适配器必须配置为管理接口:一个用于设备管理/注册,一个用于诊断。
-
IXGBE - ixgbe 驱动程序使用两个管理接口。前两个 PCI 设备必须配置为管理接口:一个用于设备管理/注册,一个用于诊断。驱动程序不支持 FTDv 的故障转移 (HA) 部署。
-
E1000 - 使用 e1000 接口时,e1000 驱动程序的 FTDv 管理接口 (br1) 是具有两个 MAC 地址的桥接接口:一个用于管理,一个用于诊断。
重要
|
对于 6.4 之前的 Firepower 版本,在 VMware 上,e1000 是 FTDv 的默认接口。从 6.4 版开始,VMware 上的 FTDv 默认值为 vmxnet3 接口。如果您的虚拟设备当前使用的是 e1000 接口,强烈建议您更改接口 vmxnet3。有关详细信息,请参阅配置 VMXNET3 接口。
|
-
IXGBE-VF - ixgbe-vf (10 Gbit/s) 驱动程序支持只能在支持 SR-IOV 的内核上激活的虚拟功能设备。SR-IOV 需要正确的平台和操作系统支持;有关详细信息,请参阅“对 SR-IOV 的支持”。
|
对 SR-IOV 的支持
SR-IOV 虚拟功能需要特定的系统资源。除支持 SR-IOV 功能的 PCIe 适配器之外,还需要支持 SR-IOV 的服务器。您必须了解以下硬件注意事项:
-
不同供应商和设备的 SR-IOV NIC 功能有所不同,包括可用的 VF 数量。支持以下 NIC:
-
并非所有 PCIe 插槽都支持 SR-IOV。
-
支持 SR-IOV 的 PCIe 插槽可能具有不同的功能。
-
x86_64 多核 CPU - Intel 沙桥或更高版本(推荐)。
注 |
我们在 Intel 的 Broadwell CPU (E5-2699-v4) 上以 2.3Ghz 的频率对 FTDv 进行了测试。
|
-
核心
-
每个 CPU 插槽至少 8 个物理核心
-
8 个核心必须位于一个插槽中。
注 |
|
请查阅制造商的文档,以了解系统对 SR-IOV 的支持情况。可以搜索 VMware 联机兼容性指南,了解包含 SR-IOV 支持的系统建议。
对 SSSE3 的支持
-
Firepower Threat Defense Virtual 要求您的系统支持英特尔命名的 Supplemental Streaming SIMD Extensions 3(SSSE3 或 SSE3S),这是一种单指令流多数据流 (SIMD)
指令集。
-
您的系统应配备支持 SSSE3 的 CPU,例如 Intel Core 2 Duo、Intel Core i7/i5/i3、Intel Atom、AMD Bulldozer、AMD Bobcat 和更高版本的处理器。
-
请参阅此参考页面,进一步了解 SSSE3 指令集和支持 SSSE3 的 CPU。
验证 CPU 支持
您可以使用 Linux 命令行获取 CPU 硬件的相关信息。例如,/proc/cpuinfo 文件包含每个 CPU 核心的详细信息。运行 less 或 cat 命令,可输出其中的内容。
您可以前往“flags”部分查看以下值:
-
vmx - Intel VT 扩展
-
svm - AMD-V 扩展
-
ssse3 - SSSE3 扩展
要快速查看文件中是否包含这些值,请使用 grep 运行以下命令:
egrep “vmx|svm|ssse3” /proc/cpuinfo
如果您的系统支持 VT 或 SSSE3,您会在“flags”列表中看到 vmx、svm 或 ssse3。以下示例显示了含有两种 CPU 的系统的输出:
flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat
pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm syscall nx lm constant_tsc pni monitor
ds_cpl vmx est tm2 ssse3 cx16 xtpr lahf_lm
flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat
pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm syscall nx lm constant_tsc pni monitor
ds_cpl vmx est tm2 ssse3 cx16 xtpr lahf_lm