Configuration des adresses MAC virtuelles pour FTD HA

Introduction

Ce document décrit comment configurer des adresses MAC virtuelles sur une paire haute disponibilité (HA) FTD (Firewall Threat Defense).

Conditions préalables

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• Protection pare-feu contre les menaces (FTD)
• Centre de gestion du pare-feu sécurisé (FMC)

Composants utilisés

• FMC version virtuelle 7.2.8
• FTD version virtuelle 7.2.7

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Informations générales

La configuration d’adresses MAC virtuelles sur une paire FTD HA est bénéfique pour la disponibilité d’un réseau. Les adresses MAC virtuelles permettent au FTD principal et secondaire de maintenir des adresses MAC cohérentes, ce qui empêche certaines interruptions du trafic.

Si aucune adresse MAC virtuelle n'est configurée, chaque unité de la paire haute disponibilité démarre à l'aide de ses adresses MAC gravées. Dans le cas où l'unité secondaire démarre sans détecter l'unité principale, elle devient l'unité active et utilise ses adresses MAC gravées. Lorsque l'unité principale est mise en ligne, l'unité secondaire obtient les adresses MAC de l'unité principale, ce qui peut entraîner des interruptions du réseau. De nouvelles adresses MAC sont également utilisées si l'unité principale est remplacée par un nouveau matériel. La configuration d'adresses MAC virtuelles sur les périphériques vous protège contre cette interruption. En effet, l'unité secondaire connaît les adresses MAC des unités principales à tout moment et continue d'utiliser les adresses MAC correctes lorsqu'elle est le périphérique actif, même si elle se met en ligne avant l'unité principale.

Remarque : les termes adresse MAC virtuelle et adresse MAC d'interface peuvent être utilisés de manière interchangeable.

Pour plus d'informations sur les avantages de cette configuration, reportez-vous à ce guide.

Configuration

1. Dans l'interface utilisateur graphique de FMC, accédez à la page Devices et modifiez la paire HA en cliquant sur l'icône du crayon à l'extrême droite.

Paire FTD HA

2. Sous l'onglet Haute disponibilité, localisez la zone intitulée Adresses MAC d'interface. Cliquez sur l'icône + pour accéder à l'éditeur.

Boîte de dialogue Adresses MAC des interfaces

3. Dans l'éditeur, sélectionnez l'interface physique et configurez les adresses Mac de l'interface active/veille. Cliquez sur OK lorsque vous avez terminé.

Création d'adresse MAC d'interface

Remarque : lors de la configuration des adresses MAC virtuelles, il est utile de respecter une convention standard. Les adresses au sein des interfaces doivent être des adresses MAC valides, mais elles peuvent être de nature arbitraire. L’utilisation d’une convention standard facilite la gestion lors de la vérification des tables d’adresses MAC en amont ou en aval. Le formatage des adresses MAC nécessite 12 chiffres hexadécimaux avec des points séparant chaque ensemble de 4 chiffres.

4. Répétez le processus pour toutes les interfaces restantes nécessitant des configurations d’adresses Mac virtuelles.

5. Vérifiez que les configurations sont correctes.

Configuration des adresses Mac des interfaces

6. Enregistrez et déployez les configurations sur la paire FTD HA.

Vérification

À partir de chacun des périphériques exécutant des configurations, les adresses Mac virtuelles apparaissent maintenant.

DFT principal (actif) :

Afficher les résultats du basculement Exécuter

Afficher les résultats internes de l'interface

Afficher les résultats externes de l'interface

FTD secondaire (en veille) :

Afficher les résultats du basculement Exécuter

Afficher les résultats internes de l'interface

Afficher les résultats externes de l'interface

Cela confirme que la configuration a réussi.