Configuración de direcciones MAC virtuales para FTD HA

Introducción

Este documento describe cómo configurar direcciones MAC virtuales en un par de alta disponibilidad (HA) de Firewall Threat Defence (FTD).

Prerequisites

Requirements

Cisco recomienda que tenga conocimiento sobre estos temas:

• Protección frente a amenazas de firewall (FTD)
• Centro de gestión de firewall seguro (FMC)

Componentes Utilizados

• FMC virtual versión 7.2.8
• FTD versión virtual 7.2.7

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Antecedentes

La configuración de direcciones MAC virtuales en un par FTD HA es beneficiosa para la disponibilidad de una red. Las direcciones MAC virtuales permiten que el FTD principal y secundario mantenga direcciones MAC consistentes, lo que evita ciertas interrupciones del tráfico.

Sin las direcciones MAC virtuales configuradas, cada unidad del par HA arranca usando sus direcciones MAC grabadas. En el caso de que la unidad secundaria se inicie sin detectar la unidad primaria, se convierte en la unidad activa y utiliza sus direcciones MAC quemadas. Cuando la unidad primaria finalmente se pone en línea, la unidad secundaria obtiene las direcciones MAC de la unidad primaria que pueden causar interrupciones de la red. Las nuevas direcciones MAC también se utilizan si la unidad principal se sustituye por nuevo hardware. Tener direcciones MAC virtuales configuradas en los dispositivos protege contra esta interrupción. Esto se debe a que la unidad secundaria conoce las direcciones MAC de las unidades primarias en todo momento y continúa utilizando las direcciones MAC correctas cuando es el dispositivo activo, incluso si se conecta antes que la unidad primaria.

Nota: Los términos dirección MAC virtual y dirección MAC de interfaz se pueden utilizar indistintamente.

Para obtener información adicional sobre las ventajas de esta configuración, consulte esta guía.

Configuración

1. Desde la GUI de FMC, navegue hasta la página Devices y edite el par HA haciendo clic en el icono de lápiz en el extremo derecho.

Par FTD HA

2. En la pestaña Alta Disponibilidad, localice la casilla denominada Direcciones MAC de Interfaz. Haga clic en el icono + para acceder al editor.

Cuadro Direcciones MAC de Interfaz

3. En el editor, seleccione la interfaz física y configure las direcciones MAC de la interfaz activa/en espera. Haga clic en Aceptar cuando haya terminado.

Creación de direcciones MAC de interfaz

Nota: Al configurar las direcciones MAC virtuales, resulta útil adherirse a una convención estándar. Las direcciones dentro de las interfaces deben ser direcciones MAC válidas, pero pueden ser arbitrarias por naturaleza. El uso de una convención estándar facilita la gestión al comprobar las tablas de direcciones MAC de flujo ascendente o descendente. El formato de direcciones MAC requiere 12 dígitos hexadecimales con puntos que separan cada conjunto de 4 dígitos.

4. Repita el proceso para cualquier interfaz restante que necesite configuraciones de direcciones MAC virtuales.

5. Confirme que las configuraciones sean correctas.

Configuraciones de dirección MAC de interfaz

6. Guarde e implemente las configuraciones en el par FTD HA.

Verificación

Ahora aparecen las direcciones Mac virtuales de cada uno de los dispositivos que ejecutan configuraciones.

FTD principal (activo):

Mostrar resultados de la falla de ejecución

Mostrar resultados internos de la interfaz

Mostrar resultados externos de la interfaz

FTD secundario (en espera):

Mostrar resultados de la falla de ejecución

Mostrar resultados internos de la interfaz

Mostrar resultados externos de la interfaz

Esto confirma que la configuración se ha realizado correctamente.