المقدمة
تتطلب عملية نشر FirePOWER تنزيل البيانات بشكل دوري من مركز إدارة Firepower إلى الأجهزة التي يديرها. يوفر هذا المستند معلومات يمكنك إستخدامها لنقل التحديثات بنجاح من مركز إدارة Firepower إلى الأجهزة المدارة.
الإرشادات العامة للتنزيل
لدعم التشغيل اليومي لنظام FirePOWER، توصي Cisco بالاحتفاظ بنطاق ترددي مخصص للشبكة بسرعة 256 كيلوبت/ثانية على الأقل بين الواجهة الخارجية وكل جهاز مدار. تأكد من أن النطاق الترددي الموزع بين مركز إدارة Firepower والمحول الذي يستخدمه للاتصال بأجهزته المدارة كاف لدعم ما لا يقل عن 256 كيلوبت/ثانية لكل جهاز. قد يلزم توفر نطاق ترددي إضافي عند تنزيل تحديثات البرامج من مركز إدارة Firepower إلى جهاز مدار أو عند تنزيل تحديثات متعددة للسياسة أو البيانات في نفس الوقت إلى جهاز مدار.
تحذير: قد يؤثر تنزيل التحديثات على الأجهزة المدارة على فحص حركة المرور وتدفق حركة المرور وحالة الارتباط. في حالة تحديثات البرامج، يتم تعطيل Data Correlator أثناء وجود تحديث قيد التقدم. لذلك توصي Cisco بتنزيل التحديثات في نافذة صيانة أو في وقت يكون فيه الحمل على الجهاز المدار الذي يتم تحديثه أقل حد ويكون للانقطاع أقل تأثير على النشر الخاص بك.
يعتمد الوقت اللازم لإجراء أي نوع من تنزيل البيانات من مركز إدارة FirePOWER إلى جهاز مدار على حجم حزمة البيانات وعرض النطاق الترددي المخصص للشبكة بين الجهازين. ستفشل عمليات تنزيل البيانات إلى الأجهزة المدارة إذا تعذر إكمالها خلال فترات المهلة المحددة يفرض FirePOWER على أنشطة التنزيل.
ملاحظة: تفترض متطلبات النطاق الترددي المذكورة في هذا المستند وجود إرتباطات دون فقدان بين الأجهزة؛ وإذا كانت شبكتك تعاني من زمن وصول مرتفع أو معدلات فقدان عالية للحزم، فسيلزم توفر نطاق ترددي إضافي لإكمال التنزيلات ضمن الفترات الزمنية التي تتطلبها FirePower.
إن بعد تعديل شبكتك يستعمل المعلومة في هذا وثيقة يستطيع لا يجلب حزمة تحديث إلى أداة مدار ضمن المهلة، اتصل ب cisco TAC.
تنزيل تحديثات البرامج
تختلف أحجام حزم تحديث البرامج بشكل كبير، راجع ملاحظات إصدار نظام FirePOWER للإصدار الخاص بك لعملية التحديث الكامل بالإضافة إلى حجم حزمة البيانات. يطبق Firepower مهلة 1 ساعة على تنزيلات البرامج. يوفر الجدول التالي صيغ لتقدير مقدار الوقت الذي يستغرقه تنزيل البرامج وفقا لحجم الحزمة وعرض النطاق الترددي المخصص المتوفر بين الأجهزة.
حجم الحزمة |
وقت التنزيل الذي يبلغ 256 كيلوبت في الثانية |
وقت التنزيل الذي يبلغ 512 كيلوبت في الثانية |
وقت التنزيل عند سرعة 2 ميجابت في الثانية |
وقت التنزيل عند سرعة 3 ميجابت في الثانية |
X ميغابايت |
32x ثانية |
16X ثانية |
4X ثانية |
3X ثانية |
تحذير: نظرا لأن عملية التحديث قد تؤثر على فحص حركة المرور وتدفق حركة المرور وحالة الارتباط، ونظرا لتعطيل أداة ربط البيانات أثناء وجود تحديث قيد التقدم، توصي Cisco بتنفيذ تحديث البرنامج في نافذة صيانة أو في الوقت الذي سيكون فيه للمقاطعة أقل تأثير على النشر الخاص بك.
تنزيل تحديثات قاعدة بيانات الثغرات
تتراوح تحديثات قاعدة بيانات الثغرات الأمنية من 30 إلى 70 ميغابايت. يفشل تنزيل تحديث VDB من مركز إدارة Firepower إلى جهاز مدار في حالة عدم إكماله في غضون ساعة واحدة. ونظرا لأن النطاق الترددي للشبكة مخصص لهذا الغرض، فإن مضاعفة النطاق الترددي المتاح للتنزيل يعمل على تقليل الوقت المطلوب لإتمام عملية التنزيل إلى النصف تقريبا. على سبيل المثال، يوضح الجدول التالي عرض النطاق الترددي والأوقات التي يمكن تنزيلها لحزمة قاعدة بيانات ظاهرية (VDB) بسرعة 65 ميجابت:
حجم الحزمة |
وقت التنزيل الذي يبلغ 256 كيلوبت في الثانية |
وقت التنزيل الذي يبلغ 512 كيلوبت في الثانية |
وقت التنزيل عند سرعة 2 ميجابت في الثانية |
وقت التنزيل عند سرعة 4 ميجابت في الثانية |
65 ميجابايت |
2130 ثانية |
1065 ثانية |
273 ثانية |
136 ثانية |
تحدث تنزيلات تحديث VDB بشكل غير متزامن.
تحذير: يؤدي تثبيت تحديث VDB إلى إعادة تشغيل عملية النسخ عند نشر تغييرات التكوين، مما يؤدي إلى مقاطعة فحص حركة مرور البيانات بشكل مؤقت. يعتمد ما إذا كانت حركة المرور تسقط أثناء هذه المقاطعة أو تمر دون مزيد من الفحص على طراز الجهاز المدار وكيف يعالج حركة مرور البيانات. راجع دليل تكوين مركز إدارة Firepower للحصول على مزيد من المعلومات.
تنزيل تحديثات سياسة التحكم بالوصول وقواعد التطفل
يختلف حجم سياسة التحكم بالوصول وتحديث قاعدة التطفل باختلاف عدد العوامل، بما في ذلك عدد القواعد في التحديث، والشروط داخل القواعد، وعدد الكائنات القابلة لإعادة الاستخدام التي تشير إليها القواعد، وعدد مجموعات متغيرات سياسة التطفل التي تجمع بين مرجع القواعد. في حين لا يمكن لصيغة ثابتة التنبؤ بحجم الحزمة لتحديث سياسة التحكم بالوصول وقواعد التطفل، يقدم الجدول التالي أمثلة يمكنك إستخدامها لتقدير حجم الحزمة الخاصة بك. وبالنسبة لكل حزمة نموذجية، يوفر الجدول الحد الأدنى من عرض النطاق الترددي المخصص للشبكة المطلوب بين الجهازين لاستكمال التنزيل في غضون 5 دقائق من المهلة التي يفرضها النظام.
وصف السياسة |
حجم الحزمة المقدر |
الحد الأدنى للنطاق الترددي |
4 سياسات لمنع الاختراق وسياسة 1 كيلو (جميع قواعد الاختراق الافتراضي الأربعة وقواعد التحكم بالوصول 1000) |
7.8 ميجابايت |
223 كيلوبت في الثانية |
4 سياسات لمنع الاختراق وسياسة 5 آلاف لفة في الدقيقة (جميع قواعد الاختراق الافتراضي الأربعة + قواعد التحكم في الوصول الخاصة ب 5000) |
8.2 ميجابايت |
256 كيلوبت في الثانية |
4 سياسات لمنع الاختراق وسياسة 10 آلاف لفة في الدقيقة (جميع قواعد الاقتحام الافتراضية الأربعة وقواعد التحكم في الوصول الخاصة ب 10000) |
9 ميغابايت |
256 كيلوبت في الثانية |
يوضح الجدول بعض الأمثلة فقط على سيناريوهات تحديث النهج. سوف تكون حزم تحديث السياسة التي تتضمن سياسات إضافية مثل سياسات الملفات أو النظام أكبر حجما وتتطلب نطاقا تردديا إضافيا للتنزيل ضمن المهلة التي يتم فرضها بواسطة نظام FirePOWER.
تحذير: قد يؤدي نشر تحديثات قواعد التحكم في الوصول والتداخل إلى زيادة متطلبات الموارد والتسبب في إسقاط عدد قليل من الحزم دون فحص. بالإضافة إلى ذلك، يؤدي نشر بعض التكوينات إلى إعادة تشغيل عملية النمذجة، والتي تمنع فحص حركة المرور. يعتمد ما إذا كانت حركة المرور تسقط أثناء هذه المقاطعة أو تمر دون مزيد من الفحص على طراز الجهاز المدار وكيف يعالج حركة مرور البيانات. راجع دليل تكوين مركز إدارة Firepower للحصول على مزيد من المعلومات.
تنزيل قوائم URL
نظرا لقيود الذاكرة، تؤدي بعض نماذج الأجهزة معظم تصفية عنوان URL باستخدام مجموعة أصغر حجما وأقل دقة من الفئات والسمعة. بناء على ذلك فإن تنزيلات قائمة عنوان URL تختلف في الحجم بناء على طراز الجهاز، وتظهر الأحجام التقريبية في الجدول التالي:
حجم الحزمة |
تنزيل قائمة عنوان URL بالكامل |
تحديث قائمة URL |
أجهزة ذات ذاكرة أعلى |
450 ميغابايت |
40 - 80 ميغابايت |
أجهزة منخفضة الذاكرة |
20 ميغابايت |
20 ميغابايت |
تتضمن أجهزة الذاكرة الأقل مجموعة 7100 وطرز ASA التالية: ASA5506-X، ASA5506H-X، ASA5506W-X، ASA5508-X، ASA5512-X، ASA5515-X، ASA5516-X، ASA5525-X. (ل NGIPSv، راجع FirePower دليل التثبيت الظاهري للنظام للحصول على معلومات حول تخصيص المقدار الصحيح للذاكرة لإجراء تصفية عنوان URL المستند إلى السمعة والفئة.)
يفشل تنزيل قائمة URL أو تحديث قائمة URL يتراوح حجمها من 1 إلى 100 ميغابايت إذا لم يكتمل خلال 10 دقائق (600 ثانية). يفشل تنزيل قائمة عنوان URL أو تحديث قائمة عنوان URL يتراوح حجمها من 100 ميجابايت إلى 4 جيجابايت إذا لم يكتمل خلال ساعة واحدة (3600 ثانية).
ونظرا لأن النطاق الترددي للشبكة مخصص لهذا الغرض، فإن مضاعفة النطاق الترددي المتاح للتنزيل سيقلل بمقدار النصف تقريبا من الوقت اللازم لاستكمال التنزيل، كما هو موضح في الأمثلة التالية:
حجم الحزمة |
وقت التنزيل الذي يبلغ 256 كيلوبت في الثانية |
وقت التنزيل الذي يبلغ 512 كيلوبت في الثانية |
وقت التنزيل عند سرعة 2 ميجابت في الثانية |
وقت التنزيل عند سرعة 4 ميجابت في الثانية |
20 ميغابايت |
640 ثانية |
320 ثانية |
80 ثانية |
42 ثانية |
450 ميغابايت |
14745 ثانية |
7373 ثانية |
1887 ثانية |
944 ثانية |
تحدث عمليات تنزيل تحديثات قائمة URL بشكل غير متزامن.