فهم تخصيص المنفذ على تقنية PAT الديناميكية لمجموعة FTD 7.0

المقدمة

يوضح هذا المستند كيفية عمل التوزيع المستند إلى كتل المنافذ في تقنية PAT الديناميكية لنظام تجميع جدار الحماية بعد الإصدار 7.0 والإصدارات الأحدث.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• ترجمة عنوان الشبكة (NAT) على جدار الحماية الآمن من Cisco

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• مركز إدارة Firepower 7.3.0
• برنامج الدفاع ضد تهديد Firepower 7.2.0

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

التكوين

الرسم التخطيطي للشبكة

طوبولوجيا منطقية

تكوين الواجهة

• تكوين عضو الواجهة الداخلية للمنطقة الداخلية.

على سبيل المثال، قم بتكوين واجهة باستخدام عنوان IP 192.168.10.254 وقم بتسميتها داخل. هذه الواجهة الداخلية هي عبارة الشبكة الداخلية 192.168.10.0/24.

• تكوين عضو الواجهة الخارجية للمنطقة الخارجية.

على سبيل المثال، قم بتكوين واجهة باستخدام عنوان IP 10.10.10.254 وقم بتسميتها خارجيا. تواجه هذه الواجهة الخارجية شبكات خارجية.

تكوين كائن الشبكة

على الرغم من أنه يمكن لممارسات المجموعة العمل مع واجهة الخروج أو حتى IP واحد لتعيين كل حركة المرور، إلا أن أفضل ممارسة هي إستخدام تجمع IP مع نفس عدد عناوين IP على الأقل مثل عدد وحدات FTD في المجموعة. 

على سبيل المثال، كائنات الشبكة المستخدمة لعناوين IP الحقيقية والمرسمة هي داخل الشبكة ويخطط-IPGgroup على التوالي.

تمثل الشبكة الداخلية الشبكة الداخلية 192.168.10.0/24. 

يتم إستخدام IPGgroup (مصنوع من IP-1 10.10.10.100 و Mapped-IP-2 10.10.10.101)، لتعيين جميع حركة المرور الداخلية إلى المنطقة الخارجية. 

تشكيل PAT ديناميكي

• تكوين قاعدة NAT ديناميكية لحركة المرور الصادرة. تخطط قاعدة NAT هذه الشبكة الفرعية للشبكة الداخلية لتجمع NAT الخارجي.

على سبيل المثال، تتم ترجمة حركة مرور داخل المنطقة إلى خارج المنطقة من داخل الشبكة إلى تجمع IPG معين.

الترتيب النهائي

إعداد المختبر النهائي.

التحقق من الصحة

استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.

التحقق من واجهة IP وتكوين NAT

> show ip
System IP Addresses:
Interface Name IP address Subnet mask Method
Port-channel1 Inside 192.168.10.254 255.255.255.0 manual
Port-channel2 Outside 10.10.10.254 255.255.255.0 manual

> show running-config nat
!
object network Inside-Network
nat (Inside,Outside) dynamic pat-pool Mapped_IPGroup

التحقق من توزيع كتلة المنفذ

بعد FirePOWER 7.0، يضمن التوزيع المحسن لكتلة المنفذ أن تحافظ وحدة التحكم على المنافذ في وضع إحتياطي للانضمام إلى العقد، وتستعيد المنافذ غير المستخدمة بشكل استباقي. هذا هو كيف يعمل تخصيص المنفذ:

• وفي مجموعة يتم طرحها الآن، تمتلك وحدة التحكم في البداية 50٪ من المنافذ والبقية محجوزة.
• يتم تعديل عدد كتل المنافذ المملوكة لكل وحدة مع انضمام المزيد من العقد إلى نظام المجموعة.
• تحتفظ وحدة التحكم بقطاعات المنافذ لعقد (N+1) حتى يكتمل نظام المجموعة. يتم تحديد حد أعضاء نظام المجموعة بواسطةcluster-member-limit  الأمر، الذي تم تكوينه ضمن مستوى تكوين مجموعة نظام المجموعة.
• وبشكل افتراضي، يكون حد عضو نظام المجموعة هو 16.

  > show cluster info
  Cluster FTD-Cluster: On
  Interface mode: spanned
  Cluster Member Limit : 16
  [...]
• عندما تصل كمية أعضاء نظام المجموعة إلى القيمة التي تم تكوينها  cluster-member-limitبها، يتم توزيع جميع كتل المنافذ عبر أعضاء نظام المجموعة.

على سبيل المثال، في مجموعة نظام مجموعة مكونة من وحدتين (N=2) بقيمة افتراضية بحد أعضاء نظام المجموعة 16، يلاحظ أن تخصيص المنفذ محدد لأعضاء N+1، في هذه الحالة، 3. يؤدي ذلك إلى بقاء بعض المنافذ محجوزة للوحدة التالية حتى الوصول إلى الحد الأقصى المسموح به للمجموعات.

بالإضافة إلى ذلك، من أفضل الممارسات تكوين الوحدة   cluster-member-limit  لتطابق عدد الوحدات المخططة لنشر نظام المجموعة. 

فعلى سبيل المثال، في مجموعة مجموعات مكونة من وحدتين (N=2) مع قيمة الحد الأقصى لأعضاء المجموعة وقدره 2، يلاحظ أن توزيع المنفذ يوزع بالتساوي على جميع وحدات المجموعة. لم يتم ترك أي من المنافذ المحجوزة.

التحقق من إسترداد كتلة المنفذ

• كلما وصلت عقدة جديدة إلى مجموعة أو غادرت مجموعة، يجب إطلاق المنافذ غير المستخدمة وكتل المنافذ الزائدة من جميع الوحدات إلى وحدة التحكم.
• إذا كانت كتل المنافذ قيد الاستخدام بالفعل، فسيتم وضع علامة على الأقل إستخداما للاسترداد.
• غير مسموح بالاتصالات الجديدة على كتل المنافذ المستصلحة. يتم الإفراج عنها إلى وحدة التحكم عند مسح آخر منفذ.

أوامر استكشاف الأخطاء وإصلاحها

يوفر هذا القسم معلومات يمكنك استخدامها لاستكشاف أخطاء التكوين وإصلاحها.

• تحقق من قيمة حد عضو نظام المجموعة التي تم تكوينها:

> show cluster info
Cluster FTD-Cluster: On
Interface mode: spanned
Cluster Member Limit : 2 
[...]

> show running-config cluster
cluster group FTD-Cluster
key *****
local-unit unit-2-1
cluster-interface Port-channel48 ip 172.16.2.1 255.255.0.0
cluster-member-limit 2 
[...]

• عرض ملخص لتوزيع كتل المنافذ بين الوحدات في نظام المجموعة:

> show nat pool cluster summary

• عرض التعيين الحالي لكتل المنافذ لكل عنوان PAT إلى المالك ووحدة النسخ الاحتياطي:

> show nat pool cluster
IP Outside:Mapped_IPGroup 10.10.10.100
[1024-1535], owner unit-1-1, backup unit-2-1
[1536-2047], owner unit-1-1, backup unit-2-1
[2048-2559], owner unit-1-1, backup unit-2-1
[2560-3071], owner unit-1-1, backup unit-2-1
[...]
IP Outside:Mapped_IPGroup 10.10.10.101
[1024-1535], owner unit-1-1, backup unit-2-1
[1536-2047], owner unit-1-1, backup unit-2-1
[2048-2559], owner unit-1-1, backup unit-2-1
[2560-3071], owner unit-1-1, backup unit-2-1
[...]

• عرض المعلومات المتعلقة بتوزيع كتل المنافذ واستخدامها:

> show nat pool detail
TCP PAT pool Outside, address 10.10.10.100
        range 17408-17919, allocated 2 *
        range 27648-28159, allocated 2
TCP PAT pool Outside, address 10.10.10.101
        range 17408-17919, allocated 1 *
        range 27648-28159, allocated 2
[...]

معلومات ذات صلة

• الدعم الفني والتنزيلات من Cisco