Richtsnoeren voor het downloaden van gegevens van het FireSIGHT Management Center naar beheerde apparaten

Inleiding

Voor het onderhouden van een FirePOWER-toepassing moet u regelmatig gegevens downloaden van het FireSIGHT Management Center naar de apparaten die u beheert. Dit document bevat informatie die u kunt gebruiken om updates van het FireSIGHT Management Center naar beheerde apparaten met succes over te dragen.

Algemene richtsnoeren voor downloads

Om de dagelijkse werking van uw systeem van de Firepower te ondersteunen, adviseert Cisco om een specifieke netwerkbandbreedte van minstens 256 kbps tussen de externe interface en elk beheerd apparaat te behouden. Zorg ervoor dat de bandbreedte die is toegewezen tussen het FireSIGHT Management Center en de switch die wordt gebruikt om te communiceren met zijn beheerde apparaten, voldoende is om ten minste 256 kbps voor elk apparaat te ondersteunen. Aanvullende bandbreedte kan vereist zijn bij het downloaden van software updates van het FireSIGHT Management Center naar een beheerd apparaat of bij het tegelijkertijd downloaden van meerdere beleids- of gegevensupdates naar een beheerd apparaat.

Voorzichtig: Het downloaden van updates aan beheerde apparaten kan verkeersinspectie, verkeersstroom en verbindingsstaat beïnvloeden. In het geval van software updates, wordt de Data Correlator uitgeschakeld terwijl een update in uitvoering is. Daarom raadt Cisco u aan om updates in een onderhoudsvenster te downloaden of op een moment dat de lading op het beheerde apparaat dat wordt bijgewerkt minimaal is en een onderbreking de minste impact op uw plaatsing zal hebben.

De tijd die nodig is om elk type gegevensdownload van het FireSIGHT Management Center naar een beheerd apparaat uit te voeren, hangt af van de grootte van het gegevenspakket en de specifieke netwerkbandbreedte tussen de twee apparaten. Gegevensdownloads naar beheerde apparaten zullen mislukken als ze niet binnen de aangegeven tijdspanne kunnen voltooien. Firepower dwingt af bij downloadactiviteiten.

Opmerking: De in dit document genoemde bandbreedtevereisten veronderstellen lossless koppelingen tussen apparaten; Als uw netwerk hoge vertragingen of hoge tarieven van pakketverlies ervaart, zal extra bandbreedte nodig zijn om downloads binnen de tijd te voltooien Firepower vereist.

Als u uw netwerkomgeving hebt aangepast met behulp van de informatie in dit document, kunt u geen update van het pakket naar een beheerd apparaat binnen de tijdelijke periode downloaden, neem dan contact op met Cisco TAC.

Software-updates downloaden

Software update pakketgrootte verschilt enorm; Zie de Firepower System release Notes voor uw versie voor het volledige update proces en de grootte van het gegevenspakket. Firepower past een time-out van 1 uur toe op softwaredownloads. De volgende tabel bevat formules om de tijd te benaderen die een softwaredownload nodig heeft, afhankelijk van de pakketgrootte en de beschikbare specifieke bandbreedte tussen apparaten.

Verpakkingsgrootte	Tijd om te downloaden op 256 kbps	Tijd om te downloaden op 512 kbps	Tijd om te downloaden op 2 mbps	Tijd om te downloaden op 3 mbps
X MB	32 X seconden	16X seconden	4X seconden	3X seconden

Voorzichtig: Omdat het update proces verkeersinspectie, verkeersstroom en verbindingsstaat kan beïnvloeden, en omdat de Data Correlator wordt uitgeschakeld terwijl een update in uitvoering is, raadt Cisco u aan de softwareupdate in een onderhoudsvenster uit te voeren of op een moment dat de onderbreking de minste impact op uw plaatsing zal hebben.

Uploads van interoperabiliteitsdatabase downloaden

Kwetsbaarheid database updates variëren van 30 tot 70 MB. Het downloaden van een VDB-update van het FireSIGHT Management Center naar een beheerd apparaat mislukt als dit niet binnen een uur voltooid is. Gezien de specifieke netwerkbandbreedte, verdubbelt het verdubbelen van de bandbreedte die voor de download beschikbaar is ongeveer de hoeveelheid tijd die nodig is om de download te voltooien. De onderstaande tabel geeft bijvoorbeeld de bandbreedte en de tijd-to-download voor een VDB-pakket van 65 MB:

Verpakkingsgrootte	Tijd om te downloaden op 256 kbps	Tijd om te downloaden op 512 kbps	Tijd om te downloaden op 2 mbps	Tijd om te downloaden op 4 mbps
65 MB	2130 seconden	1065 seconden	273 seconden	136 seconden

VDB update downloads vindt asynchroon plaats.

Voorzichtig: Wanneer u een VDB-update installeert, start u het Snort-proces opnieuw wanneer u configuratiewijzigingen implementeert, waardoor u tijdelijk de verkeersinspectie onderbreekt. Of het verkeer tijdens deze onderbreking valt of niet verder wordt geïnspecteerd hangt af van het model van het beheerde apparaat en de manier waarop het het verkeer regelt. Zie de Firepower Management Center Configuration Guide voor meer informatie.

Uploads van toegangscontrolebeleid en inbraakregel

De omvang van een actualisering van toegangscontroleregels en inbraakregels varieert afhankelijk van een aantal factoren, waaronder het aantal regels in de update, de voorwaarden in de regels, het aantal herbruikbare objecten in de referentie van de regels en het aantal inbraakbeleid-variabele combinaties in de referentie van de regels. Hoewel geen vaste formule de pakketgrootte kan voorspellen voor het toegangsbeleid en de inbraakregelupdates, geeft de volgende tabel voorbeelden die u kunt gebruiken om uw eigen pakketgrootte te schatten. Voor elk voorbeeldpakket bevat de tabel de minimale bandbreedte voor het netwerk die tussen de twee apparaten vereist is om de download binnen de vijf minuten die het systeem afdwingt, te voltooien.

Beleidsbeschrijving	Geschatte verpakkingsgrootte	Minimale bandbreedte
4 Inbraakbeleid en 1K-beleid (Alle 4 standaardinstellingen en 1000 toegangscontroleregels)	7,8 MB	223 kbps
4 Inbraakbeleid en 5K-beleid (Alle 4 standaardinstellingen + 5000 toegangscontroleregels)	8,2 MB	256 kbps
4 Inbraakbeleid en 10K-beleid (Alle 4 standaardinstellingen en 10000 toegangscontroleregels)	9 MB	256 kbps

De tabel toont slechts een paar scenario's voor actualisering van het beleid. Beleids-update pakketten met extra beleid zoals bestand of systeembeleid zullen groter zijn en extra bandbreedte vereisen om binnen de tijd te downloaden het Firepower systeem afdwingt.

Voorzichtig: Het implementeren van toegangscontrole en inbraakregelupdates kan middelenvereisten verhogen en resulteren in een klein aantal pakketten die zonder inspectie vallen. Bovendien, het inzetten van sommige configuraties herstart het Snort proces, dat verkeersinspectie onderbreekt. Of het verkeer tijdens deze onderbreking valt of niet verder wordt geïnspecteerd hangt af van het model van het beheerde apparaat en de manier waarop het het verkeer regelt. Zie de Firepower Management Center Configuration Guide voor meer informatie.

URL-lijsten downloaden

Vanwege geheugenbeperkingen voeren sommige apparaatmodellen de meeste URL-filtering uit met een kleinere, minder granulaire, set categorieën en reputaties. Dientengevolge variëren de downloads van de URL in grootte afhankelijk van het apparaatmodel; in de volgende tabel worden de afmetingen voor benadering weergegeven :

Verpakkingsgrootte	Volledige URL-lijst	URL-lijstupdate
Apparaten met hoger geheugen	450 MB	40 - 80 MB
Lagere-geheugenapparaten	20 MB	20 MB

Lagere-geheugenapparaten omvatten de 7100 familie en de volgende ASA modellen: ASA 5506-X, ASA 5506H-X, ASA 5506W-X, ASA 5508-X, ASA 5512-X, ASA 5515-X, ASA 5516-X en ASA 5525-X. (Raadpleeg voor NGIPSv de Firepower System Virtual Installatie Guide voor informatie over de toewijzing van de juiste hoeveelheid geheugen voor het uitvoeren van categorie- en reputatieschade-gebaseerde URL-filtering.)

Het downloaden van een URL lijst of URL list update die zich in grootte van 1 tot 100 MB uitstrekt mislukt als dit niet binnen 10 minuten (600 seconden) wordt voltooid. Het downloaden van een URL-lijst of een URL-lijstupdate die varieert van 100 MB tot 4 GB mislukt als deze niet binnen 1 uur (3600 seconden) wordt voltooid.

Gezien de specifieke netwerkbandbreedte verdubbelt het verdubbelen van de bandbreedte die voor de download beschikbaar is ongeveer de hoeveelheid tijd die nodig is om de download te voltooien, zoals in de onderstaande voorbeelden wordt getoond: 

Verpakkingsgrootte	Tijd om te downloaden op 256 kbps	Tijd om te downloaden op 512 kbps	Tijd om te downloaden op 2 mbps	Tijd om te downloaden op 4 mbps
20 MB	640 seconden	320 seconden	80 seconden	42 seconden
450 MB	14745 seconden	7373 seconden	1887 seconden	944 seconden

Downloads van URL list updates komen asynchroon voor.