Firepower Management Centerから管理対象デバイスへのデータのダウンロードのガイドライン

概要

Firepowerの導入を維持するには、Firepower Management Centerから管理するデバイスに定期的にデータをダウンロードする必要があります。このドキュメントでは、Firepower Management Center(FMC)から管理対象デバイスにアップデートを正常に転送するために使用できる情報について説明します。

一般的なダウンロードガイドライン

Firepowerシステムの日常的な運用をサポートするために、シスコでは、外部インターフェイスと各管理対象デバイスの間で少なくとも256 kbpsの専用ネットワーク帯域幅を維持することを推奨しています。Firepower Management Center(FMC)と、管理対象デバイスとの通信に使用するスイッチの間に割り当てられた帯域幅が、デバイスごとに少なくとも256 kbpsをサポートするのに十分であることを確認してください。Firepower Management Center(FMC)から管理対象デバイスにソフトウェアアップデートをダウンロードする場合、または複数のポリシーまたはデータ更新を管理対象デバイスに同時にダウンロードする場合は、追加の帯域幅が必要になる場合があります。

注意：管理対象デバイスにアップデートをダウンロードすると、トラフィックの検査、トラフィックフロー、およびリンクの状態に影響が及ぶ可能性があります。ソフトウェアアップデートの場合、アップデートの進行中はData Correlatorが無効になります。したがって、メンテナンスウィンドウまたはアップデート中の管理対象デバイスの負荷が最小限で、中断が導入に与える影響が最も小さい時点でアップデートをダウンロードすることをお勧めします。

Firepower Management Center(FMC)から管理対象デバイスへの任意のタイプのデータのダウンロードに必要な時間は、データパッケージのサイズと2つのアプライアンス間の専用ネットワーク帯域幅によって異なります。管理対象デバイスへのデータのダウンロードは、指定されたタイムアウト期間内に完了しないと失敗します。Firepowerはダウンロードアクティビティを強制します。

注：このドキュメントで言及されている帯域幅要件では、アプライアンス間のロスレスリンクが前提となっています。ネットワークで高遅延または高レートのパケット損失が発生する場合、Firepowerが必要とするタイムアウト内でダウンロードを完了するには、追加の帯域幅が必要になります。

このドキュメントの情報を使用してネットワーク環境を調整した後、タイムアウト期間内にアップデートパッケージを管理対象デバイスにダウンロードできない場合は、Cisco TACにお問い合わせください。

ソフトウェアアップデートのダウンロード

ソフトウェアアップデートパッケージのサイズは大きく異なります。完全な更新プロセスとデータパッケージのサイズについては、ご使用のバージョンの『Firepowerシステムリリースノート』を参照してください。Firepowerは、ソフトウェアダウンロードに1時間のタイムアウトを適用します。次の表に、パッケージサイズとデバイス間で使用可能な専用帯域幅に応じて、ソフトウェアのダウンロードにかかる時間を概算する式を示します。

注意：アップデートプロセスはトラフィック検査、トラフィックフロー、およびリンク状態に影響を与える可能性があり、アップデートの進行中はData Correlatorが無効であるため、メンテナンスウィンドウまたは中断が導入に最も影響を与えない時間にソフトウェアを更新することを推奨します。

脆弱性データベースのアップデートのダウンロード

脆弱性データベースのアップデートのサイズは30 ～ 70 MBです。Firepower Management Centerから管理対象デバイスへのVDBアップデートのダウンロードが、1時間以内に完了しない場合に失敗します。専用のネットワーク帯域幅が与えられ、ダウンロードに使用できる帯域幅が2倍になると、ダウンロードの完了に必要な時間の約半分になります。たとえば、次の表は、65 MBのVDBパッケージの帯域幅とダウンロード時間を示しています。

VDB更新のダウンロードは非同期で行われます。

注意：VDBアップデートをインストールすると、設定変更を導入するときにSnortプロセスが再起動され、トラフィック検査が一時的に中断されます。この割り込み中にトラフィックがドロップするか、それ以上の検査を行わずに通過するかは、管理対象デバイスのモデルとトラフィックの処理方法によって異なります。詳細については、『Firepower Management Centerコンフィギュレーションガイド』を参照してください。

アクセスコントロールポリシーと侵入ルールの更新のダウンロード

アクセスコントロールポリシーと侵入ルールの更新のサイズは、更新のルール数、ルール内の条件、ルール参照の再利用可能なオブジェクトの数、ルール参照の侵入ポリシー変数セットの組み合わせの数など、さまざまな要因によって異なります。アクセス制御ポリシーおよび侵入ルールの更新に関するパッケージサイズを予測できる固定式はありませんが、次の表に、独自のパッケージサイズの見積りに使用できる例を示します。各サンプルパッケージについて、システムが適用する5分間のタイムアウト内にダウンロードを完了するために2つのアプライアンス間で必要な最小の専用ネットワーク帯域幅を表に示します。

次の表に、ポリシー更新のシナリオの例をいくつか示します。ファイルポリシーやシステムポリシーなどの追加のポリシーを含むポリシー更新パッケージは大きくなり、Firepowerシステムが適用するタイムアウト内にダウンロードするために追加の帯域幅が必要になります。

注意：アクセスコントロールと侵入ルールの更新を導入すると、リソースの要求が増加し、検査なしで少数のパケットが廃棄される可能性があります。また、一部の設定を展開すると、Snortプロセスが再起動され、トラフィックインスペクションが中断されます。この割り込み中にトラフィックがドロップするか、それ以上の検査を行わずに通過するかは、管理対象デバイスのモデルとトラフィックの処理方法によって異なります。詳細については、『Firepower Management Centerコンフィギュレーションガイド』を参照してください。

URLリストのダウンロード

メモリの制限により、一部のデバイスモデルでは、カテゴリとレピュテーションの小さく、より詳細なセットを使用して、ほとんどのURLフィルタリングを実行します。したがって、URLリストのダウンロードのサイズはデバイスモデルによって異なります。おおよそのサイズを次の表に示します。

メモリの低いデバイスには、7100ファミリと次のASAモデルがあります。ASA5506-X、ASA5506H-X、ASA5506W-X、ASA5508-X、ASA5512-X、ASA5515-X、ASA 5516-XおよびASA5525-X。(NGIPSvの場合、カテゴリおよびレピュテーションベースのURLフィルタリングを実行するために正しい量のメモリを割り当てる方法については、『Firepower System Virtual Installation Guide』をを参照してください)

10分（600秒）以内に完了しないと、1 ～ 100 MBのサイズのURLリストまたはURLリストの更新のダウンロードが失敗します。 1時間以内に完了しない場合（3600秒）は、100 MBから4 GBまでのサイズのURLリストまたはURLリスト更新のダウンロードが失敗します。

次の例に示すように、専用のネットワーク帯域幅が与えられ、ダウンロードに使用可能な帯域幅が2倍になると、ダウンロードの完了に必要な時間の約半分になります。 

URLリスト更新のダウンロードは非同期で行われます。