接口概述

威胁防御 设备包括可在不同模式下配置的数据接口,以及管理/诊断 接口。

管理/诊断接口

物理管理接口由诊断逻辑接口和管理逻辑接口共用。

管理接口

管理接口与设备上的其他接口分离。它用于设置设备并将其注册到管理中心。它使用自己的 IP 地址和静态路由。您可以在 CLI 中使用 configure network 命令配置其设置。如果在将 IP 地址添加到 管理中心后在 CLI 中更改该地址,则可以通过设备 (Devices) > 设备管理 (Device Management) > 设备 (Devices) > 管理 (Management) 区域在 Cisco Secure Firewall Management Center中匹配该 IP 地址。

您也可以使用数据接口而不是管理接口来管理 威胁防御

诊断接口

诊断逻辑接口可以连同其余数据接口一起在 设备 > 设备管理 > 接口屏幕上进行配置。可以选择是否使用诊断接口(请参阅方案的路由和透明模式部署)。诊断接口只允许管理流量,而不允许通过流量。它不支持 SSH;仅可以对数据接口或管理接口进行 SSH。诊断接口可帮助进行 SNMP 或系统日志监视。


虽然诊断接口和管理接口共享一个物理端口,但必须为同一网络上的每个接口分配不同的 IP 地址。

接口模式和类型

您可以在两种模式下部署 威胁防御 接口:常规防火墙模式和仅 IPS 模式。您可以在同一设备上同时配置防火墙和仅 IPS 接口。

常规防火墙模式

防火墙模式接口需要对流量执行防火墙功能,例如维持流量、跟踪 IP 和 TCP 层的流量状态、IP 分片重组和 TCP 规范化。另外,您还可以根据安全策略,选择为此流量配置 IPS 功能。

可以配置的防火墙接口类型取决于为设备设置的防火墙模式:路由或透明模式。有关详细信息,请参阅透明或路由防火墙模式

  • 路由模式接口(仅路由防火墙模式)- 要在其间路由的每个接口都在不同的子网中。

  • 网桥组接口(路由和透明防火墙模式)- 您可以将网络上的多个接口组合在一起,Firepower 威胁防御设备将使用桥接技术在接口之间传递流量。每个桥接组包括一个网桥虚拟接口 (BVI),供您为其分配一个网络 IP 地址。 在路由模式下,Firepower 威胁防御设备在 BVI 和常规路由接口之间路由。在透明模式下,每个网桥组都是独立的,相互之间无法通信。

仅 IPS 模式

仅 IPS 模式的接口将绕过许多防火墙检查,仅支持 IPS 安全策略。如果您有单独的防火墙来保护这些接口,并且不希望造成防火墙功能的开销,则可能需要实施仅限 IPS 的接口。

防火墙模式只影响常规的防火墙接口,而不影响仅 IPS 接口,如内联集或被动接口。仅 IPS 接口可以在两种防火墙模式下使用。

仅 IPS 接口可以部署为以下类型:

  • 内嵌集,带有可选分路模式 - 内嵌集的作用类似于导线上的凹凸,并将两个接口绑定在一起插入到现有网络中。此功能使 FTD 可以安装在任何网络环境中,而无需配置相邻网络设备。内联接口无条件接收所有流量,但是,除非已明确丢弃,否则这些接口上接收的所有流量将在内联集外重传。

    在分流模式下,FTD 会进行内联部署,但网络流量不受干扰。相反,FTD 会复制每个数据包,这样它就可以对数据包进行分析。请注意,这些类型的规则在触发时会生成入侵事件,而且入侵事件表视图显示了触发数据包会在内联部署中被丢弃。在已部署内联的 FTD 上使用分流模式有很多优点。例如,您可以设置 FTD 和网络之间的布线,就像 FTD 是内联,并分析 FTD 生成的多种入侵事件。根据结果,您可以修改入侵策略,并添加最好地保护您的网络却不影响有效性的丢弃规则。准备部署 FTD 内联时,您可以禁用分流模式,并开始丢弃可疑流量,而无需重新配置 FTD 和网络之间的走线。


    分流模式显著影响 FTD 性能,具体取决于流量。


    内嵌集可能是您所熟悉的“透明内联集”,但内联接口类型与透明防火墙模式或防火墙类型接口无关。

  • 被动或 ERSPAN 被动 - 被动接口使用交换机 SPAN 或镜像端口监控网络中流动的流量。SPAN 或镜像端口允许从交换机的其他端口复制流量。此功能可以提供网络内的系统可视性,而不会影响网络流量。如果在被动部署中配置 FTD,FTD 将无法执行某些操作,例如,阻止流量或流量整形。被动接口无条件接收所有流量,这些接口不会重传接收到的流量。封装远程交换端口分析器 (ERSPAN) 接口允许您监控分布于多个交换机的源端口流量,并使用 GRE 来封装流量。仅当 FTD 处于路由防火墙模式时,才允许 ERSPAN 接口。


    由于混杂模式限制,某些使用 SR-IOV 驱动程序的 Intel 网络适配器(例如 Intel X710 或 82599)不支持在 NGFWv 上将 SR-IOV 接口用作被动接口。在此情况下,请使用支持此功能的网络适配器。有关英特尔网络适配器的详细信息,请参阅英特尔以太网产品

安全区域和接口组

每个接口可以被分配给安全区域和/或接口组。然后,根据区域或组应用您的安全策略。例如,您可以把一个或多个设备上的“内部”接口分配到“内部”区域;而把“外部”接口分配到“外部”区域。然后,您可以配置访问控制策略,以便为使用相同区域的每台设备启用从内部区域到外部区域的流量。

要查看属于每个对象的接口,请选择对象 (Objects) > 对象管理 (Object Management),然后点击接口 (Interface)。此页面列出受管设备上配置的区域安全区域和接口组。您可以展开每个接口对象以查看每个接口对象中的接口类型。


适用于任何区域的策略(全局策略)也适用于区域中的接口以及未分配给区域的任何接口。


诊断/管理接口不属于区域或接口组

安全区域 vs. 接口组

有两种类型的接口对象:

  • 安全区域 - 接口只能属于一个安全区域。

  • 接口组 - 接口可属于多个接口组(和一个安全区域)。

    您可以在 NAT 策略、预过滤器策略和 QoS 策略中使用接口组,也可以使用直接指定接口名称的功能,例如系统日志服务器或 DNS 服务器。

某些策略仅支持安全区域,而其他策略则支持区域和组。除非您需要接口组提供的功能,否则应默认使用安全区域,因为所有功能都支持安全区域。

不能将现有安全区域更改为接口组(反之亦然);而必须创建新接口对象。

尽管隧道区域不是接口对象,但您可以在某些配置中使用它们代替安全区域;请参阅隧道区域与预过滤

接口对象类型

请参阅以下接口对象类型:

  • 被动 - 适用于仅 IPS 被动或 ERSPAN 接口。

  • 内联 - 适用于仅 IPS 内联集接口。

  • 已交换 - 适用于常规防火墙网桥组接口。

  • 已路由 - 适用于常规防火墙路由接口。

  • ASA -(仅安全区域)适用于传统 ASA FirePOWER 设备接口。

接口对象中的所有接口都必须为同一类型。创建接口对象后,不能更改其包含的接口类型。

接口名称

请注意,接口(或区域名称)本身不提供有关安全策略的任何默认行为。我们建议使用自描述的名称,以避免在未来的配置中出错。好的名称能表明逻辑网段或流量规范,例如:

  • 内部接口的名称 - InsideV110、InsideV160、InsideV195

  • DMZ 接口的名称 - DMZV11、DMZV12、DMZV-TEST

  • 外部接口的名称 - Outside-ASN78、Outside-ASN91

接口对象和多租户

在多域部署中,您可以在任何级别创建接口对象。在祖先域中创建的区域接口对象可以包含位于不同域中的设备上的接口。在此情况下,在对象管理器中查看祖先接口对象配置的子域用户只能看到其域中的接口。

除非受角色限制,否则子域用户可以查看 编辑祖先域中创建的接口对象。子域用户可以从这些接口对象添加和删除接口。但是,他们无法删除或重命名接口对象。您既不能查看也不能编辑后代域中创建的接口对象。

Auto-MDI/MDIX 功能

对于 RJ-45 接口,默认的自动协商设置还包括 Auto-MDI/MDIX 功能。Auto-MDI/MDIX 在自动协商阶段检测直通电缆时执行内部交叉,从而消除交叉布线的需要。如要启用接口的 Auto-MDI/MDIX,必须将速度或双工设置为自动协商。如果将速度和双工明确设置为固定值,从而禁用了两种设置的自动协商,则 Auto-MDI/MDIX 也将被禁用。对于千兆以太网,当速度和双工被设置为 1000 和全值时,接口始终会自动协商;因此,Auto-MDI/MDIX 始终会启用,且您无法禁用它。

接口默认设置

本部分列出接口的默认设置。

接口的默认状态

接口的默认状态取决于类型。

  • 物理接口 - 已禁用。对初始设置启用的管理接口是个例外。

  • 冗余接口 - 已启用。但是,要使流量通过冗余接口,还必须启用成员物理接口。

  • VLAN 子接口 - 已启用。但是,要使流量通过子接口,还必须启用物理接口。

  • EtherChannel port-channel 接口 (ISA 3000)- 已启用。但是,要使流量通过 EtherChannel 接口,还必须启用通道组物理接口。

  • EtherChannel 端口-通道接口(Firepower 和 Cisco Secure Firewall 型号)- 已禁用。


对于 Firepower 4100/9300,您可以出于管理需要同时启用和禁用机箱和 管理中心 上的接口。为使接口正常运行,必须同时在两个操作系统中启用该接口。由于接口状态可独立控制,因此机箱与 管理中心 之间可能出现不匹配的情况。

默认速度和双工

默认情况下,铜缆 (RJ-45) 接口的速度和双工设置为自动协商。

默认情况下,光纤 (SFP) 接口的速度和双工会被设为最大速度,同时启用自动协商。

对于 Cisco Secure Firewall 3100,速度设置为检测已安装的 SFP 速度。

创建安全区域和接口组对象

添加您可以为其分配设备接口的安全区域和接口组。


提示

可以创建空的接口对象并随后向其添加接口。要添加接口,该接口必须具有名称。您还可以配置接口时创建安全区域(但不是接口组)。

开始之前

了解每种类型的接口对象的使用要求和限制。请参阅安全区域和接口组

过程

步骤 1

选择对象 > 对象管理

步骤 2

从对象类型列表中选择接口

步骤 3

点击添加 (Add) > 安全区域 (Security Zone)添加 (Add) > 接口组 (Interface Group)

步骤 4

输入 Name

步骤 5

选择接口类型 (Interface Type)

步骤 6

(可选) 从设备 (Device) > 接口 (Interfaces) 下拉列表中,选择包含要添加的接口的设备。

您不需要在此屏幕上分配接口;您可以在配置接口时将接口分配给区域或组。

步骤 7

点击保存 (Save)

下一步做什么

  • 如果活动策略引用您的对象,请部署配置更改;请参阅部署配置更改

启用物理接口并配置以太网参数

本节介绍如何执行以下操作:

  • 启用物理接口。默认情况下,物理接口处于禁用状态(诊断接口除外)。

  • 设置特定的速度和复用。默认情况下,速度和复用设置为“自动”。

此过程仅涵盖一小部分接口设置。此时不能设置其他参数。例如,不能命名要用作 EtherChannel 或冗余接口一部分的接口。


对于 Firepower 4100/9300,可在 FXOS 中配置基本接口设置。有关详细信息,请参阅配置物理接口

有关 Firepower 1010 交换机端口,请参阅 配置 Firepower 1010 交换机端口

威胁防御 功能历史记录:

  • 7.2 - 对 Firepower 2100,Cisco Secure Firewall 3100 的 LLDP 支持。Cisco Secure Firewall 3100 的流量控制支持。

  • 7.1 - 支持 Cisco Secure Firewall 3100 的前向纠错

  • 7.1 - 支持基于 SFP 为 Cisco Secure Firewall 3100 设置速度

  • 7.1 -对 Firepower 1100 的 LLDP 支持

  • 7.1 - 接口自动协商现在独立于速度和复用设置,改进了接口同步

开始之前

如果在将设备添加到 管理中心后更改了设备上的物理接口,需要点击 接口左上角的 从设备同步接口 刷新接口列表。 对于支持热插拔的 Cisco Secure Firewall 3100,在更改设备上的接口之前,请参阅 管理 Cisco Secure Firewall 3100的网络模块

过程

步骤 1

依次选择设备 (Devices) > 设备管理 (Device Management),并点击 威胁防御 设备的 编辑编辑图标。系统默认选择接口 (Interfaces) 页面。

步骤 2

点击要编辑的接口的 编辑编辑图标

步骤 3

选中启用复选框以启用此接口。

步骤 4

(可选) 在说明字段中添加说明。

一行说明最多可包含 200 个字符(不包括回车符)。

步骤 5

(可选) 通过点击 硬件配置 > 速度,设置复用和速度。

  • 复用—选择 。SFP 接口仅支持 复用。

  • 速度-选择速度(因型号而异)。 (仅限 Cisco Secure Firewall 3100 )选择 检测 SFP 以检测已安装的 SFP 模块的速度并使用适当的速度。复用始终为全复用,并且始终启用自动协商。如果您稍后将网络模块更改为其他型号,并希望速度自动更新,则此选项非常有用。

  • 自动协商-设置接口以协商速度、链路状态和流量控制。

  • 前向纠错模式-(仅限 Cisco Secure Firewall 3100 )对于 25 Gbps 及更高的接口,请启用前向纠错 (FEC)。对于 EtherChannel 成员接口,必须先配置 FEC,然后才能将其添加到 EtherChannel。使用自动 (Auto) 时选择的设置取决于收发器类型,以及接口是固定接口(内置)还是在网络模块上。

    表 1. 用于自动设置的默认 FEC

    收发器类型

    固定端口默认 FEC(以太网 1/9 至 1/16)

    网络模块默认 FEC

    25G-SR

    Clause 74 FC-FEC

    Clause 108 RS-FEC

    25G-LR

    Clause 74 FC-FEC

    Clause 108 RS-FEC

    10/25G-CSR

    Clause 74 FC-FEC

    Clause 74 FC-FEC

    25G-AOCxM

    Clause 74 FC-FEC

    Clause 74 FC-FEC

    25G-CU2.5/3M

    自动协商

    自动协商

    25G-CU4/5M

    自动协商

    自动协商

步骤 6

(可选) (Firepower 11002100、 Cisco Secure Firewall 3100通过点击 硬件配置 > 网络连接启用链路层发现协议 (LLDP)。

  • 启用 LLDP 接收-启用防火墙以从其对等体接收 LLDP 数据包。

  • 启用 LLDP 传输-启用防火墙以将 LLDP 数据包发送到其对等体。

步骤 7

(可选) (Cisco Secure Firewall 3100)通过点击 硬件配置 > 网络连接,然后选中 流量控制发送来为流量控制启用暂停 (XOFF) 帧。

流量控制通过允许拥塞节点在另一端暂停链路操作,从而让连接的以太网端口能够在拥塞期间控制流量速率。如果威胁防御端口遇到拥塞(内部交换机上的排队资源耗尽)并且无法接收更多流量,则它会通过发送暂停帧来通知另一个端口停止发送,直到状况恢复正常为止。在收到暂停帧后,发送设备会停止发送任何数据包,从而防止在拥塞期间丢失任何数据包。

 

威胁防御 支持传输暂停帧,以便远程对等体可以对流量进行速率控制。

但是,不支持接收暂停帧。

内部交换机有一个包含 8000 个缓冲区的全局池,而每个缓冲区都有 250 个字节,并且交换机会为每个端口动态分配缓冲区。当缓冲区使用量超过全局高水位标记(2 MB [8000 个缓冲区])时,会在每个启用了流量控制的接口上发送暂停帧;当特定接口的缓冲区超过端口高水位标记(0.3125 MB [1250 个缓冲区])时,会从该接口发送暂停帧。在发送暂停后,如果缓冲区使用率降低至低水位标记之下(全局 1.25 MB [5000 个缓冲区];每个端口 0.25 MB [1000 buffers]),则可发送 XON 帧。链接伙伴可在收到 XON 帧之后恢复流量。

系统仅支持 802.3x 中定义的流量控制帧。系统不支持基于优先级的流量控制。

步骤 8

模式下拉列表中,选择以下选项之一:

  • - 为常规防火墙接口和内联集选择此设置。该模式将基于后续配置自动更改为路由、交换或内联。

  • 被动 - 为被动仅限 IPS 接口选择此设置。

  • Erspan - 为 ERSPAN 被动仅限 IPS 接口选择此设置。

步骤 9

优先级 字段中,输入一个介于 0 和 65535 之间的数字。

此值在策略型路由配置中使用。优先级用于确定如何跨多个出口接口分配流量。

步骤 10

点击确定 (OK)

步骤 11

点击保存 (Save)

此时,您可以转至部署 > 部署并将策略部署到所分配的设备。在部署更改之后,更改才生效。

步骤 12

继续配置接口。

管理中心同步接口更改

在设备上进行的接口配置更改可能导致 管理中心 和设备不同步。管理中心 可以通过以下方法之一检测到接口更改:

  • 设备发送的事件

  • 部署时同步 管理中心

    管理中心 尝试部署时检测到接口更改,部署将失败。必须先接受接口更改。

  • 手动同步

管理中心 外部执行的两种类型的接口更改需要同步:

  • 添加或删除物理接口-添加新接口或删除未使用接口对 威胁防御 配置的影响最小。但是,删除安全策略中使用的接口会影响配置。可以直接在 威胁防御 配置中的很多位置引用接口,包括访问规则、NAT、SSL、身份规则、VPN、DHCP 服务器等。删除接口将删除与该接口相关的任何配置。引用安全区域的策略不受影响。还可以编辑已分配的 EtherChannel 的成员关系,而不影响逻辑设备或要求在 管理中心上进行同步。

    管理中心 检测到更改时, “接口” 页面会在每个接口左侧显示状态(已删除、已更改或已添加)。

  • 管理中心 访问接口更改-如果使用 命令配置用于管理管理中心 FMC 的数据接口,则必须在管理中心 FMC 中手动进行匹配的配置更改,然后确认更改。configure network management-data-interface 这些接口更改无法自动进行。

本程序介绍在需要时如何手动同步设备以及如何确认检测到的更改。如果设备更改为临时性的,则不应在 管理中心 中保存更改;而应等待设备稳定后重新同步。

开始之前

  • 用户角色

    • 管理员

    • 访问管理员

    • 网络管理员

过程

步骤 1

依次选择设备 (Devices) > 设备管理 (Device Management),并点击 威胁防御 设备的 编辑编辑图标。系统默认选择接口 (Interfaces) 页面。

步骤 2

如果需要,请点击 接口左上方的 同步设备

步骤 3

检测到更改后,请参阅以下步骤。

添加或删除物理接口

  1. 您可以在 接口 上看到红色横幅,表明接口配置已发生更改。点击点击了解详情链接以查看接口更改。

  2. 单击验证更改 (Validate Changes) 以确保策略在接口更改后仍有效。

    如出现任何错误,则需要更改配置并重新运行验证。

  3. 单击保存

    此时,您可以转至部署 > 部署并将策略部署到所分配的设备。

FMC 访问接口更改

  1. 您将在 “设备” 页面的右上角看到一个黄色横幅,指示 管理中心 访问配置已更改。点击 查看详情 链接以查看接口更改。

    系统将打开 FMC 访问 - 配置详细信息 对话框。

  2. 记下所有突出显示的配置,尤其是粉红色突出显示的配置。您需要通过在 管理中心上手动配置来匹配 威胁防御 上的任何值。

    例如,下面的粉红色突出显示 威胁防御 上存在但尚不存在于 管理中心的配置。

    以下示例显示在 管理中心中配置接口后的此页面;接口设置匹配,并且已删除粉红色突出显示。

  3. 点击 确认

    我们建议您在完成 管理中心 配置并准备部署之前,不要点击 确认 。点击 确认 将删除部署阻止。下次部署时,管理中心 配置将覆盖 威胁防御 上任何剩余的冲突设置。在您重新部署之前,您有责任在 管理中心 中手动修复配置。

  4. 此时,您可以转至部署 > 部署并将策略部署到所分配的设备。

管理 Cisco Secure Firewall 3100的网络模块

如果在首次打开设备之前安装网络模块,则无需执行任何操作;网络模块已启用并可供使用。

要查看设备的物理接口详细信息并管理网络模块,请打开机箱操作 (Chassis Operations) 页面。从 设备 > 设备管理,点击机箱 列中的 管理 。对于集群或高可用性,此选项仅适用于控制节点/主用设备。系统将打开设备 机箱操作 页面。

图 1. 机箱操作
机箱操作

点击 刷新 以刷新接口状态。如果您在需要检测的设备上进行了硬件更改,请点击 同步模块

如果您需要在初始启动后更改网络模块安装,请参阅以下程序。

配置分支端口

您可以为每个 40GB 或更高的接口配置 10GB 分支端口。此程序介绍如何断开和重新加入端口。分支端口可以像任何其他物理以太网端口一样使用,包括添加到 EtherChannel。

更改会立即生效;您不需要部署到设备。在中断或重新加入后,您无法回滚到之前的接口状态。

开始之前

  • 您必须使用受支持的分支电缆。有关详细信息,请参阅硬件安装指南。

  • 在中断或重新加入之前,接口不能用于以下对象:

    • 故障切换链路

    • 集群控制链路

    • 拥有一个子接口

    • EtherChannel 成员

    • BVI 成员

    • 管理器访问接口

  • 中断或重新加入直接用于安全策略中的接口可能会影响配置;但是,操作不会被阻止。

过程

步骤 1

设备 > 设备管理,点击机箱 列中的 管理 。对于集群或高可用性,此选项仅适用于控制节点/主用设备;网络模块的更改会被复制到所有的节点。

图 2. 管理机箱
管理机箱

系统将打开设备的 机箱操作 页面。此页面会显示设备的物理接口详细信息。

步骤 2

从 40GB 或更高的接口分支出 10GB 端口。

  1. 点击接口右侧的 中断中断图标

    在确认对话框中点击是 (Yes)。如果接口正在使用,您将看到一条错误消息。您必须先解决任何使用案例,然后才能重试分支。

    例如,要拆分出 Ethernet2/1 40GB 接口,生成的子接口将被标识为 Ethernet2/1/1、Ethernet2/1/2、Ethernet2/1/3 和 Ethernet2/1/4。

    在接口图形上,断开的端口具有以下外观:

    图 3. 分支端口
    分支端口

  2. 点击屏幕顶部消息中的链接,转至接口 (Interfaces) 页面以保存接口更改。

    图 4. 转到接口页面
    转到接口页面

  3. 接口 (Interfaces) 页面顶部,点击点击了解更多信息 (Click to know more)。系统将打开接口更改 (Interface Changes) 对话框。

    图 5. 查看接口更改
    查看接口更改
    图 6. 接口更改
    接口更改

  4. 单击验证更改 (Validate Changes) 以确保策略在接口更改后仍有效。

    如出现任何错误,则需要更改配置并重新运行验证。

    但是,删除安全策略中使用的接口会对配置造成影响。可以直接在配置中的很多位置引用接口,包括访问规则、NAT、SSL、身份规则、VPN、DHCP 服务器等。删除接口将删除与该接口相关的任何配置。引用安全区域的策略不受影响。

  5. 点击关闭 (Close) 返回接口 (Interfaces) 页面。

  6. 点击保存 (Save),以便将接口更改保存到防火墙。

  7. 如果您必须更改任何配置,请转至部署 (Deploy) > 部署 (Deployment) 并部署策略。

    您无需部署即可保存分支端口更改。

步骤 3

重新加入分支端口。

您必须重新加入该接口的所有子端口。

  1. 点击接口右侧的 加入加入图标

    在确认对话框中点击是 (Yes)。如果有任何子端口正在使用,您将看到一条错误消息。您必须先解决任何使用案例,然后才能重试重新加入。

  2. 点击屏幕顶部消息中的链接,转至接口 (Interfaces) 页面以保存接口更改。

    图 7. 转到接口页面
    转到接口页面

  3. 接口 (Interfaces) 页面顶部,点击点击了解更多信息 (Click to know more)。系统将打开接口更改 (Interface Changes) 对话框。

    图 8. 查看接口更改
    查看接口更改
    图 9. 接口更改
    接口更改

  4. 单击验证更改 (Validate Changes) 以确保策略在接口更改后仍有效。

    如出现任何错误,则需要更改配置并重新运行验证。

    替换安全策略中使用的子接口可能会对配置造成影响。可以直接在配置中的很多位置引用接口,包括访问规则、NAT、SSL、身份规则、VPN、DHCP 服务器等。删除接口将删除与该接口相关的任何配置。引用安全区域的策略不受影响。

  5. 点击关闭 (Close) 返回接口 (Interfaces) 页面。

  6. 点击保存 (Save),以便将接口更改保存到防火墙。

  7. 如果您必须更改任何配置,请转至部署 (Deploy) > 部署 (Deployment) 并部署策略。

    您无需部署即可保存分支端口更改。

增加网络模块

要在初始启动后将网络模块添加到防火墙,请执行以下步骤。添加新模块需要重新启动。

过程

步骤 1

根据硬件安装指南安装网络模块。

对于集群或高可用性,请在所有节点上安装网络模块。

步骤 2

重新启动防火墙;请参阅关闭或重新启动设备

对于集群或高可用性,请首先重新启动数据节点/备用设备,然后等待它们重新启动。然后,您可以更改控制节点(请参阅更改控制节点)或主用设备(请参阅在 威胁防御 高可用性对中切换主用对等体,并重新启动之前的控制节点/主用设备。

步骤 3

设备 > 设备管理,点击机箱 列中的 管理 。对于集群或高可用性,此选项仅适用于控制节点/主用设备;网络模块的更改会被复制到所有的节点。

图 10. 管理机箱
管理机箱

系统将打开设备 机箱操作 页面。此页面会显示设备的物理接口详细信息。

步骤 4

点击同步模块 (Sync Modules) ,使用新的网络模块详细信息更新页面。

步骤 5

在接口图形上,点击滑块 滑块已禁用 以启用网络模块。

图 11. 启用网络模块
启用网络模块

步骤 6

系统将提示您确认是否要开启网络模块。点击 Yes

图 12. 确认启用
确认启用

步骤 7

您会在屏幕顶部看到一条消息;点击链接可转至接口 (Interfaces) 页面以保存接口更改。

图 13. 转到接口页面
转到接口页面

步骤 8

(可选) 在接口 (Interfaces) 页面顶部,您会看到接口配置已更改的消息。您可以点击点击了解更多 (Click to know more) 打开接口更改 (Interface Changes) 对话框以查看更改。

图 14. 查看接口更改
查看接口更改
图 15. 接口更改
验证更改

点击关闭 (Close) 返回接口 (Interfaces) 页面。(由于您要添加新模块,因此不应有任何配置影响,所以您无需点击验证更改 (Validate Changes)。)

步骤 9

点击保存 (Save),以便将接口更改保存到防火墙。

热插拔网络模块

您可以将网络模块热插拔为相同类型的新模块,而无需重新启动。但是,您必须关闭当前模块才能安全地将其删除。此程序介绍如何关闭旧模块、安装新模块以及如何启用它。

对于群集或高可用性,您只能在控制节点/主用设备上执行机箱操作。如果集群控制链路/故障转移链路在模块上,则不能禁用该模块。

开始之前

过程

步骤 1

对于集群或高可用性,请执行以下步骤。

  • 集群 (Clustering) - 确保要执行热插拔的设备是数据节点 (请参阅更改控制节点;然后中断节点,使其不再位于集群中。请参阅中断节点

    在执行热插拔后,您需要将节点添加回集群。或者,您可以在控制节点上执行所有操作,然后网络模块更改将同步到所有数据节点。但在热插拔期间,您将无法在所有节点上使用这些接口。

  • 高可用性 (High Availability) - 要在禁用网络模块时避免故障切换,请执行以下操作:

步骤 2

设备 > 设备管理,点击机箱 列中的 管理 。对于集群或高可用性,此选项仅适用于控制节点/主用设备;网络模块的更改会被复制到所有的节点。

图 16. 管理机箱
管理机箱

系统将打开设备 机箱操作 页面。此页面会显示设备的物理接口详细信息。

步骤 3

在接口图形上,点击滑块 滑块已启用 以禁用网络模块。

图 17. 禁用网络模块
禁用网络模块

不要在接口 (Interfaces) 页面上保存任何更改。由于您要更换网络模块,因此您不会希望中断任何现有配置。

步骤 4

系统将提示您确认是否要关闭网络模块。点击 Yes

图 18. 确认禁用
确认禁用

步骤 5

在设备上,根据硬件安装指南,取下旧的网络模块并更换为新的网络模块。

步骤 6

管理中心 中,通过点击滑块 滑块已禁用 来启用新模块。

图 19. 启用网络模块
启用网络模块

步骤 7

系统将提示您确认是否要开启网络模块。点击 Yes

图 20. 确认启用
确认启用

步骤 8

对于集群或高可用性,请执行以下步骤。

将网络模块更换为其他类型

如果您更换了其他类型的网络模块,则需要重新启动。如果新模块的接口少于旧模块,则必须手动删除与不再存在的接口相关的任何配置。

对于群集或高可用性,您只能在控制节点/主用设备上执行机箱操作。

开始之前

对于高可用性,如果故障切换链路在模块上,则不能禁用该网络模块。您必须中断高可用性(请参阅中断高可用性对),这意味着您会在重新启动主用设备时遇到停机。设备完成重新启动后,您可以重新设置高可用性。

过程

步骤 1

对于集群或高可用性,请执行以下步骤。

  • 群集 - 为避免停机,您可以一次中断每个节点,使其在执行网络模块更换时不再位于集群中。请参阅中断节点

    执行替换后,您需要将节点添加回集群。

  • 高可用性 - 要在更换网络模块时避免故障转移,请对网络模块上的接口禁用接口监控。请参阅配置备用 IP 地址和接口监控

步骤 2

设备 > 设备管理,点击机箱 列中的 管理 。对于集群或高可用性,此选项仅适用于控制节点/主用设备;网络模块的更改会被复制到所有的节点。

图 21. 管理机箱
管理机箱

系统将打开设备 机箱操作 页面。此页面会显示设备的物理接口详细信息。

步骤 3

在接口图形上,点击滑块 滑块已启用 以禁用网络模块。

图 22. 禁用网络模块
禁用网络模块

不要在接口 (Interfaces) 页面上保存任何更改。由于您要更换网络模块,因此您不会希望中断任何现有配置。

步骤 4

系统将提示您确认是否要关闭网络模块。点击 Yes

图 23. 确认禁用
确认禁用

步骤 5

在设备上,根据硬件安装指南,取下旧的网络模块并更换为新的网络模块。

步骤 6

重新启动防火墙;请参阅关闭或重新启动设备

对于集群或高可用性,请首先重新启动数据节点/备用设备,然后等待它们重新启动。然后,您可以更改控制节点(请参阅更改控制节点)或主用设备(请参阅在 威胁防御 高可用性对中切换主用对等体,并重新启动之前的控制节点/主用设备。

步骤 7

管理中心 中,点击同步模块 (Sync Modules) 以便使用新的网络模块详细信息来更新页面。

步骤 8

通过点击滑块启用新模块 滑块已禁用

图 24. 启用网络模块
启用网络模块

步骤 9

系统将提示您确认是否要开启网络模块。点击 Yes

图 25. 确认启用
确认启用

步骤 10

点击屏幕顶部消息中的链接,转至接口 (Interfaces) 页面以保存接口更改。

图 26. 转到接口页面
转到接口页面

步骤 11

如果网络模块的接口较少

  1. 接口 (Interfaces) 页面顶部,点击点击了解更多信息 (Click to know more)。系统将打开接口更改 (Interface Changes) 对话框。

    图 27. 查看接口更改
    查看接口更改
    图 28. 接口更改
    接口更改

  2. 单击验证更改 (Validate Changes) 以确保策略在接口更改后仍有效。

    如出现任何错误,则需要更改配置并重新运行验证。

    删除安全策略中使用的接口会影响配置。可以直接在配置中的很多位置引用接口,包括访问规则、NAT、SSL、身份规则、VPN、DHCP 服务器等。删除接口将删除与该接口相关的任何配置。引用安全区域的策略不受影响。

  3. 点击关闭 (Close) 返回接口 (Interfaces) 页面。

步骤 12

要更改接口速度,请参阅 启用物理接口并配置以太网参数

默认速度设置为“检测 SFP”,用于检测已安装的 SFP 的正确速度。仅当您手动将速度设置为特定值并且现在需要新的速度时,才需要修复速度。

步骤 13

点击保存 (Save),以便将接口更改保存到防火墙。

步骤 14

如果您必须更改任何配置,请转至部署 (Deploy) > 部署 (Deployment) 并部署策略。

无需部署即可保存网络模块更改。

步骤 15

对于集群或高可用性,请执行以下步骤。

拆卸网络模块

如果要永久删除网络模块,请执行以下步骤。拆卸网络模块需要重新启动。

对于群集或高可用性,您只能在控制节点/主用设备上执行机箱操作。

开始之前

对于集群或高可用性,请确保集群/故障转移链路不在网络模块上。

过程

步骤 1

设备 > 设备管理,点击机箱 列中的 管理 。对于集群或高可用性,此选项仅适用于控制节点/主用设备;网络模块的更改会被复制到所有的节点。

图 29. 管理机箱
管理机箱

系统将打开设备 机箱操作 页面。此页面会显示设备的物理接口详细信息。

步骤 2

在接口图形上,点击滑块 滑块已启用 以禁用网络模块。

图 30. 禁用网络模块
禁用网络模块

步骤 3

系统将提示您确认是否要关闭网络模块。点击 Yes

图 31. 确认禁用
确认禁用

步骤 4

您会在屏幕顶部看到一条消息;点击链接可转至接口 (Interfaces) 页面以保存接口更改。

图 32. 转到接口页面
转到接口页面

步骤 5

接口 (Interfaces) 页面顶部,您会看到接口配置已更改的消息。

图 33. 查看接口更改
查看接口更改

  1. 点击点击了解更多 (Click to know more) 打开接口更改 (Interface Changes) 对话框以查看更改。

    图 34. 接口更改
    接口更改

  2. 单击验证更改 (Validate Changes) 以确保策略在接口更改后仍有效。

    如出现任何错误,则需要更改配置并重新运行验证。

    删除安全策略中使用的接口会影响配置。可以直接在配置中的很多位置引用接口,包括访问规则、NAT、SSL、身份规则、VPN、DHCP 服务器等。删除接口将删除与该接口相关的任何配置。引用安全区域的策略不受影响。

  3. 点击关闭 (Close) 返回接口 (Interfaces) 页面。

步骤 6

点击保存 (Save),以便将接口更改保存到防火墙。

步骤 7

如果您必须更改任何配置,请转至部署 (Deploy) > 部署 (Deployment) 并部署策略。

步骤 8

重新启动防火墙;请参阅关闭或重新启动设备

对于集群或高可用性,请首先重新启动数据节点/备用设备,然后等待它们重新启动。然后,您可以更改控制节点(请参阅更改控制节点)或主用设备(请参阅在 威胁防御 高可用性对中切换主用对等体,并重新启动之前的控制节点/主用设备。

接口历史

功能

版本

详细信息

对 Firepower 2100,Cisco Secure Firewall 3100 的 LLDP 支持

7.2

您可以为 Firepower 2100 和 Cisco Secure Firewall 3100 接口启用链路层发现协议 (LLDP)。

新增/修改的屏幕:

设备 (Devices) > 设备管理 (Device Management) > 接口 (Interfaces) > 硬件配置 (Hardware Configuration) > 网络连接 (Network Connectivity)

新增/修改的命令:show lldp status, show lldp neighbors, show lldp statistics

支持的平台:Firepower 2100、Cisco Secure Firewall 3100

为 Cisco Secure Firewall 3100 暂停流量控制的帧

7.2

如果流量激增,数据包会在激增量超过 NIC 上的 FIFO 缓冲区的缓冲容量且接收环缓冲的情况下发生中断。启用暂停帧来进行流量控制可缓解此问题。

新增/修改的屏幕:设备 (Devices) > 设备管理 (Device Management) > 接口 (Interfaces) > 硬件配置 (Hardware Configuration) > 网络连接 (Network Connectivity)

支持的平台:Cisco Secure Firewall 3100

支持 Cisco Secure Firewall 3100 的前向纠错

7.1

Cisco Secure Firewall 3100 25 Gbps 接口支持前向纠错 (FEC)。FEC 默认为启用并会设为“自动”(Auto)。

新增/修改的屏幕: 设备 > 设备管理 > 接口 > 编辑物理接口 > 硬件配置

支持基于 SFP 为 Cisco Secure Firewall 3100 设置速度

7.1

Cisco Secure Firewall 3100 支持基于安装的 SFP 的接口速度检测。检测 SFP 默认为启用。如果您稍后将网络模块更改为其他型号,并希望速度自动更新,则此选项非常有用。

新增/修改的屏幕: 设备 > 设备管理 > 接口 > 编辑物理接口 > 硬件配置

对 Firepower 1100 的 LLDP 支持

7.1

您可以为 Firepower 1100 接口启用链路层发现协议 (LLDP)。

新增/修改的屏幕:设备 > 设备管理 > 接口 > 硬件配置 > LLDP

新增/修改的命令:show lldp status, show lldp neighbors, show lldp statistics

支持的平台:Firepower 1100

接口自动协商现在独立于速度和双工设置,改进了接口同步

7.1

接口自动协商现在独立于速度和双工设置此外,当您在 管理中心 中同步接口时,可以更有效地检测硬件更改。

新增/修改的屏幕:设备 > 设备管理 > 接口 > 硬件配置 > 速度

支持的平台:Firepower 1000、2100、Cisco Secure Firewall 3100

Firepower 1100 / 2100 系列光纤接口现在支持禁用自动协商

6.7

现在,您可以配置 Firepower 1100/2100 系列光纤接口以禁用流量控制和链路状态协商。

以前,在这些设备上设置光纤接口速度(1000 或 10000 Mbps)时,会自动启用流量控制和链路状态协商。您无法禁用它。

现在,您可以取消选择自动协商 (Auto-negotiation) 并将速度设置为 1000,以禁用流量控制和链路状态协商。您无法在 10000 Mbps 时禁用协商。

新增/修改的屏幕: 设备 > 设备管理 > 接口 > 硬件配置 > 速度

支持的平台:Firepower 1100、2100