Comprendre l'allocation de ports sur la PAT dynamique pour le cluster FTD 7.0

Options de téléchargement

  • PDF     (1.0 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (885.5 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (768.0 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:10 août 2023
ID du document:220720

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit comment la distribution basée sur les blocs de ports fonctionne dans la PAT dynamique pour le cluster de pare-feu après la version 7.0 et ultérieure.

    Conditions préalables

    Exigences

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • Traduction d'adresses réseau (NAT) sur Cisco Secure Firewall

    Composants utilisés

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • Firepower Management Center 7.3.0
    • Défense contre les menaces Firepower 7.2.0

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Configurer

    Diagramme du réseau

    Logical TopologyTopologie logique

    Configuration de l’interface

    • Configurez le membre d'interface interne de la zone interne.

    Par exemple, configurez une interface avec l'adresse IP 192.168.10.254 et nommez-la Inside. Cette interface interne est la passerelle du réseau interne 192.168.10.0/24.

    Configure Interface and Name it Inside.

    Edit Ether Channel Interface

    • Configurez le membre d'interface externe de la zone externe.

    Par exemple, configurez une interface avec l'adresse IP 10.10.10.254 et nommez-la Outside. Cette interface externe fait face à des réseaux externes.

    Configure Interface and Name it Outside.

    Edit Ether Channel Interface

    Configuration des objets réseau

    Même si la PAT de cluster peut fonctionner avec l'interface de sortie ou même avec une seule adresse IP pour mapper tout le trafic, la meilleure pratique consiste à utiliser un pool d'adresses IP avec au moins le même nombre d'adresses IP que le nombre d'unités FTD dans le cluster. 

    Par exemple, les objets réseau utilisés pour les adresses IP réelles et mappées sont respectivement Inside-Network et Mapped-IPGroup.

    Réseau interne représente le réseau interne 192.168.10.0/24. 

    New Network Object for Inside-Network

    Mapped-IPGroup (composé de Mapped-IP-1 10.10.10.100 et Mapped-IP-2 10.10.10.101), est utilisé pour mapper tout le trafic interne vers la zone externe. 

    Edit Network Object – Mapped-IP-1

    Edit Network Object – Mapped-IP-2

    Edit Network Object

    Configuration PAT dynamique

    • Configurez une règle NAT dynamique pour le trafic sortant. Cette règle NAT mappe le sous-réseau du réseau interne au pool NAT externe.

    Par exemple, le trafic de la zone interne à la zone externe de Inside-Network est traduit en pool de groupes IP mappés.

    Add NAT Rule

    NAT configuration screen 2

    NAT configuration screen 3

    Auto NAT Rules

    Configuration finale

    Final Lab SetupConfiguration finale des travaux pratiques.

    Vérifier

    Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.

    Vérification de l’interface IP et de la configuration NAT

    > show ip
    System IP Addresses:
    Interface Name IP address Subnet mask Method
    Port-channel1 Inside 192.168.10.254 255.255.255.0 manual
    Port-channel2 Outside 10.10.10.254 255.255.255.0 manual
    > show running-config nat
    !
    object network Inside-Network
    nat (Inside,Outside) dynamic pat-pool Mapped_IPGroup

    Vérifier l'allocation des blocs de ports

    Après Firepower 7.0, l'allocation de blocs de ports PAT améliorée garantit que l'unité de contrôle conserve les ports en réserve pour joindre les noeuds et récupère de manière proactive les ports inutilisés. Voici comment fonctionne l'allocation de ports :

    • Sur un cluster qui vient d'être mis en place, l'unité de contrôle possède initialement 50 % des ports et les autres sont réservés.
    • Le nombre de blocs de ports détenus par unité est ajusté à mesure que d'autres noeuds rejoignent le cluster.
    • L'unité de contrôle réserve des blocs de ports pour les noeuds (N+1) jusqu'à ce que le cluster soit plein. La limite de membres de cluster est définie par la commande,cluster-member-limit  configurée sous le niveau de configuration du groupe de clusters.
    • Par défaut, cluster-member-limit est 16. 
      > show cluster info
      Cluster FTD-Cluster: On
      Interface mode: spanned
      Cluster Member Limit : 16
      [...]
    • Lorsque la quantité de membres du cluster atteint la valeur configurée avec  cluster-member-limit, tous les blocs de ports sont distribués entre les membres du cluster.

    Par exemple, dans un groupe de grappes constitué de deux unités (N=2) avec une valeur par défaut de limite de membre de grappe de 16, on observe que l'allocation de port est définie pour N+1 membres, en l'occurrence 3. Certains ports restent ainsi réservés à l'unité suivante jusqu'à ce que la limite maximale de cluster soit atteinte.

    Some Ports Reserved for the Next Unit Until Maximum Cluster Limits is Reached - 1

    Some Ports Reserved for the Next Unit Until Maximum Cluster Limits is Reached – 2

    Reserve Code


    En outre, il est recommandé de configurer le   cluster-member-limit  pour qu'il corresponde au nombre d'unités planifiées pour le déploiement du cluster. 

    Par exemple, dans un groupe de grappes constitué de deux unités (N=2) avec une valeur de limite de membre de grappe de 2, on observe que l'allocation de port est répartie uniformément sur toutes les unités de grappes. Aucun des ports réservés n'est conservé.

    None of the Reserved Ports are Left - 1

    None of the Reserved Ports are Left - 2

    Reserve Ports

    Vérification de la récupération des blocs de ports

    • Chaque fois qu'un nouveau noeud rejoint ou quitte une grappe, les ports inutilisés et les blocs de ports excédentaires de toutes les unités doivent être libérés vers l'unité de contrôle.
    • Si les blocs de ports sont déjà utilisés, les moins utilisés sont marqués pour la récupération.
    • Les nouvelles connexions ne sont pas autorisées sur les blocs de ports récupérés. Ils sont libérés vers l'unité de contrôle lorsque le dernier port est effacé.

    Verify Port Block Reclamation

    Dépannage des commandes

    Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

    • Vérifiez la valeur cluster-member-limit configurée :
    > show cluster info
    Cluster FTD-Cluster: On
    Interface mode: spanned
    Cluster Member Limit : 2 
    [...]

    > show running-config cluster
    cluster group FTD-Cluster
    key *****
    local-unit unit-2-1
    cluster-interface Port-channel48 ip 172.16.2.1 255.255.0.0
    cluster-member-limit 2 
    [...]
    • Affichez un résumé de la distribution des blocs de ports parmi les unités du cluster :
    > show nat pool cluster summary

    Summary of the Port Blocks Distribution Among the Units in the Cluster

    • Affichez l'attribution actuelle des blocs de ports par adresse PAT au propriétaire et à l'unité de sauvegarde :
    > show nat pool cluster
    IP Outside:Mapped_IPGroup 10.10.10.100
    [1024-1535], owner unit-1-1, backup unit-2-1
    [1536-2047], owner unit-1-1, backup unit-2-1
    [2048-2559], owner unit-1-1, backup unit-2-1
    [2560-3071], owner unit-1-1, backup unit-2-1
    [...]
    IP Outside:Mapped_IPGroup 10.10.10.101
    [1024-1535], owner unit-1-1, backup unit-2-1
    [1536-2047], owner unit-1-1, backup unit-2-1
    [2048-2559], owner unit-1-1, backup unit-2-1
    [2560-3071], owner unit-1-1, backup unit-2-1
    [...]
    • Afficher les informations relatives à la distribution et à l'utilisation des blocs de ports :
    > show nat pool detail
    TCP PAT pool Outside, address 10.10.10.100
            range 17408-17919, allocated 2 *
            range 27648-28159, allocated 2
    TCP PAT pool Outside, address 10.10.10.101
            range 17408-17919, allocated 1 *
            range 27648-28159, allocated 2
    [...]

    Informations connexes

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    10-Aug-2023
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Benjamin Cabrera Romero
      Ingénieur-conseil technique Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits