本文档在介绍域和多域部署时使用以下术语：

全局域

在多域部署中，是指顶级域。如果不配置多租户，则所有设备、配置和事件都属于全局域。全局域中的管理员可以管理整个 Firepower 系统部署。

子域

第二或第三级域。

第二级域

全局域的子级。第二级域可以是枝叶域，也可以具有子域。

第三级域

第二级域的子级。第三级域始终是枝叶域。

枝叶域

没有子域的域。每台设备都必须属于枝叶域。

后代域

从层次结构中的当前域下传的域。

子域

域的直接后代。

祖先域

当前域从其下传的域。

父域

域的直接祖先。

同级域

具有相同父级的域。

当前域

您现在登录的域。在 Web 界面的右上角，系统在您的用户名之前显示当前域的名称。除非您的用户角色受限，否则可以编辑当前域中的配置。

要修改域的属性，您必须在该域的父域中具有管理员访问权限。

名称和描述

每个域在层次结构中必须拥有唯一的名称。说明是可选的。

父域

第二和第三级域有父域。在创建域后，无法更改该域的父级。

设备

仅枝叶域可包含设备。换句话说，域可以包含子域或设备，但不能同时包含两者。不能保存由非枝叶域直接控制设备的部署。

在域编辑器中，Web 界面根据可用和所选设备在域层次结构中的当前位置来显示它们。

主机限制

管理中心 可以监控并因而存储在网络映射中的主机数，具体取决于其型号。在多域部署中，枝叶域共享受监控主机的可用池，但拥有单独的网络映射。

要确保每个枝叶域都可以填充其网络映射，可以在每个子域级别设置主机限制。如果将域的主机限制设置为 0，则域在通用池中共享。

设置主机限制对每个域级别有着不同的影响：

• 枝叶 - 对于枝叶域，主机限制仅是对枝叶域可以监控的主机数量进行简单限制。

• 第二级 - 对于用于管理第三级枝叶域的第二级域，主机限制表示枝叶域可以监控的主机总数。枝叶域共享可用主机池。

• 全局 - 对于全局域，主机限制等于 管理中心 可以监控的主机总数。您无法进行更改

子域的主机限制总和加起来可超过其父域的主机限制。例如，如果全局域主机限制为 150,000，则可以配置多个子域，每个子域的主机限制为 100,000。这些域中的任一个（但并非总共）可监控 100,000 台主机。

网络发现策略控制在您达到主机限制后检测到新主机时发生的情况；您可以丢弃新主机或替代非活动时间最长的主机。由于每个枝叶域具有各自的网络发现策略，因此在系统发现新主机时，每个枝叶域会监管各自的行为。

如果您降低某个域的主机限制，且其网络映射包含比新限制更多的主机，则系统会删除处于非活动状态时间最长的主机。