Pautas para la descarga de datos de Firepower Management Center en dispositivos administrados

Introducción

El mantenimiento de una implementación de Firepower requiere que descargue periódicamente datos del Firepower Management Center en los dispositivos que gestiona. Este documento proporciona información que puede utilizar para transferir con éxito las actualizaciones de Firepower Management Center a los dispositivos administrados.

Pautas generales de descarga

Para admitir el funcionamiento diario de su sistema Firepower, Cisco recomienda mantener un ancho de banda de red dedicado de al menos 256 kbps entre la interfaz externa y cada dispositivo administrado. Asegúrese de que el ancho de banda asignado entre Firepower Management Center y el switch que utiliza para comunicarse con sus dispositivos administrados sea suficiente para admitir al menos 256 kbps para cada dispositivo. Es posible que se requiera ancho de banda adicional al descargar actualizaciones de software desde Firepower Management Center a un dispositivo administrado o al descargar simultáneamente varias actualizaciones de políticas o datos a un dispositivo administrado.

Precaución: La descarga de actualizaciones en dispositivos administrados puede afectar a la inspección del tráfico, el flujo de tráfico y el estado del link. En el caso de las actualizaciones de software, el Correlator de datos se inhabilita mientras hay una actualización en curso. Por lo tanto, Cisco recomienda descargar actualizaciones en una ventana de mantenimiento o en un momento en el que la carga del dispositivo administrado que se actualiza es mínima y una interrupción tendrá el menor impacto en su implementación.

El tiempo necesario para realizar cualquier tipo de descarga de datos desde Firepower Management Center a un dispositivo administrado depende del tamaño del paquete de datos y del ancho de banda de red dedicado entre los dos dispositivos. Las descargas de datos en dispositivos administrados fallarán si no pueden completarse dentro de los períodos de tiempo de espera designados. Firepower aplica en las actividades de descarga.

Nota: Los requisitos de ancho de banda citados en este documento presuponen links sin pérdidas entre dispositivos; si su red experimenta una latencia alta o altas tasas de pérdida de paquetes, se necesitará ancho de banda adicional para completar las descargas dentro de los tiempos de espera que requiere Firepower.

Si después de ajustar su entorno de red usando la información de este documento no puede descargar un paquete de actualización a un dispositivo administrado dentro del período de tiempo de espera, póngase en contacto con el TAC de Cisco.

Descarga de actualizaciones de software

Los tamaños de los paquetes de actualización de software varían considerablemente; consulte las notas de versión del sistema Firepower para su versión para ver el proceso de actualización completo así como el tamaño del paquete de datos. Firepower aplica un tiempo de espera de 1 hora a las descargas de software. La tabla siguiente proporciona fórmulas para aproximar la cantidad de tiempo que una descarga de software tomará dependiendo del tamaño del paquete y del ancho de banda dedicado disponible entre los dispositivos.

Precaución: Debido a que el proceso de actualización puede afectar a la inspección del tráfico, el flujo de tráfico y el estado de link, y debido a que el Data Correlator está inhabilitado mientras hay una actualización en curso, Cisco recomienda que realice la actualización del software en una ventana de mantenimiento o en un momento en el que la interrupción tenga el menor impacto en su implementación.

Descarga de actualizaciones de bases de datos de vulnerabilidades

Las actualizaciones de la base de datos de vulnerabilidades varían en tamaño de 30 a 70 MB. La descarga de una actualización de VDB desde Firepower Management Center a un dispositivo administrado falla si no se completa en 1 hora. Dado el ancho de banda de red dedicado, duplicar el ancho de banda disponible para la descarga aproximadamente reduce a la mitad el tiempo necesario para completar la descarga. Por ejemplo, la siguiente tabla presenta los anchos de banda y los tiempos de descarga para un paquete VDB de 65 MB:

Las descargas de actualización de VDB se producen de forma asincrónica.

Precaución: La instalación de una actualización de VDB reinicia el proceso Snort cuando se implementan cambios de configuración, interrumpiendo temporalmente la inspección del tráfico. El que el tráfico se interrumpa durante esta interrupción o se pase sin inspección adicional depende del modelo del dispositivo administrado y de cómo gestiona el tráfico. Consulte la Guía de Configuración de Firepower Management Center para obtener más información.

Descarga de actualizaciones de reglas de intrusión y políticas de control de acceso

El tamaño de una política de control de acceso y de una actualización de regla de intrusión varía en función de varios factores, incluidos el número de reglas en la actualización, las condiciones dentro de las reglas, el número de objetos reutilizables de la referencia de reglas y el número de conjuntos de variables de directiva de intrusiones que combinan la referencia de reglas. Aunque ninguna fórmula fija puede predecir el tamaño del paquete para las actualizaciones de las reglas de intrusión y las políticas de control de acceso, la tabla siguiente proporciona ejemplos que puede utilizar para calcular el tamaño de su propio paquete. Para cada paquete de ejemplo, la tabla proporciona el ancho de banda de red dedicado mínimo requerido entre los dos dispositivos para completar la descarga dentro del tiempo de espera de 5 minutos que el sistema aplica.

La tabla muestra sólo algunos ejemplos de situaciones de actualización de políticas. Los paquetes de actualización de políticas que incluyen políticas adicionales como políticas de sistemas o archivos serán mayores y requerirán ancho de banda adicional para descargar dentro del tiempo de espera que el sistema Firepower aplica.

Precaución: La implementación del control de acceso y las actualizaciones de reglas de intrusión puede aumentar la demanda de recursos y dar como resultado una pequeña cantidad de paquetes que se descartan sin inspección. Además, la implementación de algunas configuraciones reinicia el proceso Snort, lo que interrumpe la inspección del tráfico. El que el tráfico se interrumpa durante esta interrupción o se pase sin inspección adicional depende del modelo del dispositivo administrado y de cómo gestiona el tráfico. Consulte la Guía de Configuración de Firepower Management Center para obtener más información.

Descarga de listas de URL

Debido a las limitaciones de memoria, algunos modelos de dispositivos realizan la mayor parte del filtrado de URL con un conjunto de categorías y reputaciones más pequeño y menos granular. Por consiguiente, las descargas de la lista de URL varían en tamaño según el modelo de dispositivo; los tamaños aproximados se muestran en la siguiente tabla:

Entre los dispositivos de menor memoria se incluyen la familia 7100 y los siguientes modelos ASA: ASA5506-X, ASA5506H-X, ASA5506W-X, ASA5508-X, ASA5512-X, ASA5515-X, ASA5516-X y ASA5525-X. (Para NGIPSv, consulte la Guía de Instalación Virtual del Sistema Firepower para obtener información sobre la asignación de la cantidad correcta de memoria para realizar el filtrado URL basado en la categoría y la reputación.)

La descarga de una lista de URL o una actualización de la lista de URL de un tamaño de 1 a 100 MB falla si no se completa en 10 minutos (600 segundos). La descarga de una lista de URL o una actualización de la lista de URL de un tamaño de 100 MB a 4 GB falla si no se completa en 1 hora (3600 segundos).

Dado el ancho de banda de red dedicado, duplicar el ancho de banda disponible para la descarga aproximadamente reduce a la mitad el tiempo necesario para completar la descarga, como se muestra en los ejemplos siguientes: 

Las descargas de las actualizaciones de la lista de URL se producen de forma asincrónica.