簡介
維護Firepower部署需要定期從Firepower管理中心將資料下載到其管理的裝置。本文檔提供可用於將更新從Firepower管理中心成功傳輸到受管裝置的資訊。
一般下載准則
為了支援Firepower系統的日常操作,思科建議在外部介面和每個受管裝置之間保持至少256 kbps的專用網路頻寬。確保Firepower管理中心與用於與其受管裝置通訊的交換機之間分配的頻寬足以支援每台裝置至少256 kbps。將軟體更新從Firepower管理中心下載到受管裝置時,或者將多個策略或資料更新同時下載到受管裝置時,可能需要額外的頻寬。
注意:將更新下載到受管裝置可能會影響流量檢查、流量和鏈路狀態。如果是軟體更新,則在更新過程中禁用Data Correlator。因此,思科建議您使用維護視窗下載更新,或者下載更新的受管裝置上的負載最小,並且中斷對部署的影響最小。
從Firepower管理中心向受管裝置下載任何型別的資料所需的時間取決於資料包的大小以及兩台裝置之間的專用網路頻寬。如果到受管裝置的資料下載無法在指定的超時期限內完成,則Firepower會強制執行下載活動。
附註:本文檔中提到的頻寬要求假定裝置之間的鏈路是無損的;如果您的網路遇到高延遲或高丟包率,則需要額外頻寬才能在Firepower要求的超時時間內完成下載。
如果在使用本文檔中的資訊調整網路環境後,無法在超時期限內將更新軟體包下載到受管裝置,請與Cisco TAC聯絡。
下載軟體更新
軟體更新軟體包大小差異很大;有關完整更新過程以及資料包大小,請參閱版本中的Firepower系統發行說明。Firepower將1小時的超時應用於軟體下載。下表提供了近似公式,根據軟體包大小和裝置之間的可用專用頻寬估算軟體下載所需的時間。
| 包大小 |
256 kbps下載時間 |
下載時間:512 kbps |
2 mbps下載時間 |
3 mbps下載時間 |
| X MB |
32秒 |
16秒 |
4X秒 |
3X秒 |
注意:由於更新過程可能影響流量檢測、流量和鏈路狀態,且更新過程中禁用了Data Correlator,因此Cisco建議您在維護視窗或中斷對部署影響最小的時機執行軟體更新。
正在下載漏洞資料庫更新
漏洞資料庫更新大小範圍為30至70 MB。如果VDB更新在1小時內未完成,則無法從Firepower管理中心將其下載到受管裝置。給定專用網路頻寬,將可用下載頻寬增加一倍大約可以縮短完成下載所需時間的一半。例如,下表顯示65 MB的VDB資料包的頻寬和下載時間:
| 包大小 |
256 kbps下載時間 |
下載時間:512 kbps |
2 mbps下載時間 |
4 mbps下載時間 |
| 65 MB |
2130秒 |
1065秒 |
273秒 |
136秒 |
VDB更新下載是非同步進行的。
注意:在部署配置更改時,安裝VDB更新會重新啟動Snort進程,從而暫時中斷流量檢查。流量在此中斷期間是丟棄還是未經進一步檢查就通過,取決於受管裝置的型號及其處理流量的方式。有關詳細資訊,請參閱Firepower管理中心配置指南。
下載訪問控制策略和入侵規則更新
訪問控制策略和入侵規則更新的大小取決於許多因素,包括更新中的規則數、規則內的條件、規則引用的可重用對象數以及規則引用的入侵策略變數集組合數。雖然沒有固定的公式可以預測訪問控制策略和入侵規則更新的包大小,但下表提供了一些示例,您可以使用它們來估計自己的包大小。對於每個示例包,該表提供系統強制實施的5分鐘超時內完成下載所需的兩台裝置之間最小專用網路頻寬。
| 策略描述 |
估計的包大小 |
最小頻寬 |
| 4個入侵策略和1000個策略(所有4個預設入侵和1000個訪問控制規則) |
7.8 MB |
223 kbps |
| 4個入侵策略和5000個策略(所有4個預設入侵和5000個訪問控制規則) |
8.2 MB |
256 kbps |
| 4個入侵策略和10000策略(所有4個預設入侵和10000入訪問控制規則) |
9 MB |
256 kbps |
該表只描述了幾個策略更新示例場景。包含其他策略(例如檔案或系統策略)的策略更新包將更大,並且需要在Firepower系統強制執行的超時內下載額外的頻寬。
注意:部署訪問控制和入侵規則更新可能會增加資源需求,並導致少量資料包未經檢查即被丟棄。此外,部署某些配置會重新啟動Snort進程,這會中斷流量檢測。流量在此中斷期間是丟棄還是未經進一步檢查就通過,取決於受管裝置的型號及其處理流量的方式。有關詳細資訊,請參閱Firepower管理中心配置指南。
下載URL清單
由於記憶體限制,某些裝置型號執行大部分URL過濾時所用的類別和信譽集較小、粒度較低。因此,URL清單下載的大小因裝置型號而異;下表顯示了近似大小:
| 包大小 |
完整URL清單下載 |
URL清單更新 |
| 記憶體較高的裝置 |
450 MB |
40 - 80 MB |
| 記憶體較低的裝置 |
20 MB |
20 MB |
記憶體較低的裝置包括7100系列和以下ASA型號:ASA5506-X、ASA5506H-X、ASA5506W-X、ASA5508-X、ASA5512-X、ASA5515-X、ASA5516-X和ASA5525-X。(有關NGIPSv的資訊,請參閱Firepower系統虛擬安裝指南執行類別和基於信譽的URL過濾所需的正確記憶體量。)
如果在10分鐘(600秒)內沒有完成,則下載1到100 MB大小的URL清單或URL清單更新失敗。 如果URL清單或URL清單更新在1小時(3600秒)內未完成,則下載大小從100 MB到4 GB的URL清單或URL清單更新失敗。
給定專用網路頻寬,將可供下載的頻寬翻倍大約將完成下載所需時間減半,如下例所示:
| 包大小 |
256 kbps下載時間 |
下載時間:512 kbps |
2 mbps下載時間 |
4 mbps下載時間 |
| 20 MB |
640秒 |
320秒 |
80秒 |
42秒 |
| 450 MB |
14745秒 |
7373秒 |
1887秒 |
944秒 |
URL清單更新的下載是非同步進行的。
意見