将数据从Firepower管理中心下载到受管设备的准则

简介

维护Firepower部署需要您定期将数据从Firepower管理中心下载到其管理的设备。本文档提供了可用于成功将更新从Firepower管理中心传输到受管设备的信息。

一般下载指南

为支持Firepower系统的日常运行，思科建议在外部接口和每个受管设备之间保持至少256 kbps的专用网络带宽。确保在Firepower管理中心与其用于与其受管设备通信的交换机之间分配的带宽足以为每个设备至少支持256 kbps。当从Firepower管理中心将软件更新下载到受管设备，或同时将多个策略或数据更新下载到受管设备时，可能需要额外的带宽。

警告：将更新下载到受管设备可能会影响流量检查、流量传输和链路状态。在软件更新时，在更新过程中禁用数据相关器。因此，思科建议您在维护窗口中下载更新，或在要更新的受管设备上的负载最小且中断对部署的影响最小时下载更新。

从Firepower管理中心向受管设备执行任何类型的数据下载所需的时间取决于数据包的大小和两台设备之间的专用网络带宽。如果受管设备无法在指定的超时时间内完成数据下载，则Firepower将对下载活动实施。

注意：本文档中提到的带宽要求假定设备之间存在无损链路；如果您的网络出现高延迟或高丢包率，则需要额外的带宽才能在Firepower要求的超时时间内完成下载。

如果在使用本文档中的信息调整网络环境后，您无法在超时时间内将更新包下载到受管设备，请联系Cisco TAC。

下载软件更新

软件更新包大小差异很大；有关完整更新过程和数据包大小，请参阅您的版本的Firepower系统版本说明。Firepower对软件下载应用1小时的超时。下表提供了近似软件下载所需时间的公式，具体取决于软件包大小和设备之间的可用专用带宽。

警告：由于更新过程可能会影响流量检查、流量和链路状态，并且由于在更新过程中禁用了Data Correlator，因此Cisco建议您在维护窗口中或中断对部署影响最小的时间执行软件更新。

下载漏洞数据库更新

漏洞数据库更新的大小范围为30 MB到70 MB。如果VDB更新在1小时内未完成，则从Firepower管理中心下载到受管设备会失败。给定专用网络带宽，可下载带宽翻倍，大约减少了完成下载所需的时间。例如，下表显示了65 MB的VDB包的带宽和下载时间：

VDB更新下载以异步方式进行。

警告：安装VDB更新会在部署配置更改时重新启动Snort进程，并暂时中断流量检查。流量是在此中断期间丢弃，还是在不进行进一步检查的情况下通过取决于受管设备的型号及其处理流量的方式。有关详细信息，请参阅《Firepower管理中心配置指南》。

下载访问控制策略和入侵规则更新

访问控制策略和入侵规则更新的大小取决于许多因素，包括更新中的规则数、规则内的条件、规则引用的可重用对象数以及规则引用的入侵策略变量集组合数。虽然没有固定公式可以预测访问控制策略和入侵规则更新的包大小，但下表提供了可用于估算自己的包大小的示例。对于每个示例软件包，该表提供两台设备之间在系统实施的5分钟超时内完成下载所需的最低专用网络带宽。

下表仅描述了几个策略更新方案示例。包含文件或系统策略等额外策略的策略更新包将会更大，并且需要额外带宽才能在Firepower系统实施的超时内下载。

警告：部署访问控制和入侵规则更新可能会增加资源需求，并导致少量数据包丢弃而不进行检查。此外，部署某些配置会重新启动Snort进程，这会中断流量检查。流量是在此中断期间丢弃，还是在不进行进一步检查的情况下通过取决于受管设备的型号及其处理流量的方式。有关详细信息，请参阅《Firepower管理中心配置指南》。

下载URL列表

由于内存限制，某些设备型号使用更小、更细粒度的类别和信誉集执行大多数URL过滤。因此，URL列表下载的大小因设备型号而异；下表显示了近似大小：

低内存设备包括7100系列和以下ASA型号：ASA5506-X、ASA5506H-X、ASA5506W-X、ASA5508-X、ASA5512-X、ASA5515-X、ASA5516-X和ASA5525-X。(对于NGIPSv，请参阅Firepower系统虚拟安装指南，了解有关分配正确内存量以执行基于类别和信誉的URL过滤的信息。)

如果在10分钟（600秒）内未完成URL列表或URL列表更新，则下载大小为1至100 MB的URL列表或URL列表更新失败。 如果在1小时（3600秒）内未完成URL列表或URL列表更新，则下载大小从100 MB到4 GB的URL列表或URL列表更新失败。

给定专用网络带宽，可下载的带宽翻倍，大约减少了完成下载所需的时间，如下例所示： 

URL列表更新的下载是异步进行的。