Begrijp poorttoewijzing op Dynamic PAT voor FTD Cluster 7.0

Downloadopties

  • PDF     (1.0 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (884.2 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (765.5 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:10 augustus 2023
Document-id:220720

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt beschreven hoe op poortblokken gebaseerde distributie in Dynamic PAT for Firewall Cluster na versie 7.0 en hoger werkt.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Netwerkadresomzetting (NAT) op Cisco Secure Firewall

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • Firepower Management Center 7.3.0
    • Firepower Threat Defense 7.2.0

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Configureren

    Netwerkdiagram

    Logical TopologyLogische topologie

    Interface-configuratie

    • Configureer binnen interfacelid van Inside Zone.

    Configureer bijvoorbeeld een interface met IP-adres 192.168.10.254 en noem het binnen. Deze Inside interface is de Gateway voor intern netwerk 192.168.10.0/24.

    Configure Interface and Name it Inside.

    Edit Ether Channel Interface

    • Configureer de externe interface van Outside Zone.

    Configureer bijvoorbeeld een interface met IP-adres 10.10.10.254 en noem het buiten. Deze buiteninterface wordt geconfronteerd met externe netwerken.

    Configure Interface and Name it Outside.

    Edit Ether Channel Interface

    Configuratie van netwerkobjecten

    Hoewel cluster PAT kan werken met de uitgangsinterface of zelfs één IP om al het verkeer in kaart te brengen, is de beste praktijk om een IP-pool te gebruiken met ten minste hetzelfde aantal IP’s als het aantal FTD-eenheden in het cluster. 

    De netwerkobjecten die worden gebruikt voor Real- en toegewezen IP-adressen zijn respectievelijk Inside-Network en Mapped-IPG Group.

    Inside-Network vertegenwoordigt het interne netwerk 192.168.10.0/24. 

    New Network Object for Inside-Network

    In kaart gebracht-IPG (gemaakt van in kaart gebracht-IP-1 10.10.10.100 en in kaart gebracht-IP-2 10.10.10.10.101), wordt gebruikt om al het interne verkeer aan de Buiten-Zone in kaart te brengen. 

    Edit Network Object – Mapped-IP-1

    Edit Network Object – Mapped-IP-2

    Edit Network Object

    Dynamische PAT-configuratie

    • Configureer een dynamische NAT-regel voor uitgaand verkeer. Deze NAT-regel koppelt het interne netwerksubnet aan de externe NAT-pool.

    Bijvoorbeeld, binnen-zone naar buiten-zone verkeer van binnen-netwerk wordt vertaald aan in kaart gebracht-IProup Pool.

    Add NAT Rule

    NAT configuration screen 2

    NAT configuration screen 3

    Auto NAT Rules

    Laatste configuratie

    Final Lab SetupDefinitieve installatie van het lab.

    Verifiëren

    Gebruik deze sectie om te controleren of uw configuratie goed werkt.

    Controleer IP-interface en NAT-configuratie

    > show ip
    System IP Addresses:
    Interface Name IP address Subnet mask Method
    Port-channel1 Inside 192.168.10.254 255.255.255.0 manual
    Port-channel2 Outside 10.10.10.254 255.255.255.0 manual
    > show running-config nat
    !
    object network Inside-Network
    nat (Inside,Outside) dynamic pat-pool Mapped_IPGroup

    Controleer de toewijzing van poortblokken

    Na Firepower 7.0 zorgt de verbeterde PAT-poortbloktoewijzing ervoor dat de regeleenheid poorten in reserve houdt voor het aansluiten van knooppunten en proactief ongebruikte poorten terugwint. Zo werkt de haventoewijzing:

    • Op een cluster dat net wordt opgevoed, bezit de Control unit aanvankelijk 50 procent van de havens en de rest is gereserveerd.
    • Het aantal havenblokken per eenheid wordt aangepast aangezien meer knooppunten zich bij het cluster aansluiten.
    • Control unit reserveert poortblokken voor (N+1) knooppunten totdat het cluster vol is. cluster-member-limit  De limiet voor de clusterleden wordt gedefinieerd door de opdracht, die is geconfigureerd onder het configuratieniveau van de clustergroep.
    • Standaard is de clusterlid-limiet 16. 
      > show cluster info
      Cluster FTD-Cluster: On
      Interface mode: spanned
      Cluster Member Limit : 16
      [...]
    • Wanneer de hoeveelheid clusterleden de waarde bereikt waarmee  cluster-member-limitis geconfigureerd, worden alle poortblokken over clusterleden verdeeld.

    In een clustergroep van twee eenheden (N=2) met een standaardwaarde van de clusterlidlimiet van 16, wordt bijvoorbeeld opgemerkt dat de poorttoewijzing is gedefinieerd voor N+1-leden, in dit geval 3. Hierdoor blijven enkele poorten gereserveerd voor de volgende eenheid totdat de maximale clusterlimiet is bereikt.

    Some Ports Reserved for the Next Unit Until Maximum Cluster Limits is Reached - 1

    Some Ports Reserved for the Next Unit Until Maximum Cluster Limits is Reached – 2

    Reserve Code


    Bovendien is het een beste praktijk om het bestand zo te configureren   cluster-member-limit  dat het overeenkomt met het aantal eenheden dat voor de clusterimplementatie is gepland. 

    In een clustergroep van twee eenheden (N=2) met een waarde van de clusterlidlimiet van 2, wordt bijvoorbeeld opgemerkt dat de poorttoewijzing gelijkmatig over alle clustereenheden is verdeeld. Geen van de gereserveerde poorten blijft over.

    None of the Reserved Ports are Left - 1

    None of the Reserved Ports are Left - 2

    Reserve Ports

    Controleer of poortblokkering is hersteld

    • Wanneer een nieuw knooppunt zich aansluit bij of een cluster verlaat, moeten ongebruikte poorten en overtollige poortblokken van alle eenheden worden vrijgegeven aan de controle-eenheid.
    • Als de havenblokken reeds worden gebruikt, worden de minst gebruikte gemarkeerd voor regeneratie.
    • Nieuwe aansluitingen zijn niet toegestaan op geregenereerde havenblokken. Zij worden aan de controle-eenheid vrijgegeven wanneer de laatste haven wordt ontruimd.

    Verify Port Block Reclamation

    Opdrachten voor troubleshooting

    Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.

    • Controleer of de clusterlid-limiet ingesteld is:
    > show cluster info
    Cluster FTD-Cluster: On
    Interface mode: spanned
    Cluster Member Limit : 2 
    [...]

    > show running-config cluster
    cluster group FTD-Cluster
    key *****
    local-unit unit-2-1
    cluster-interface Port-channel48 ip 172.16.2.1 255.255.0.0
    cluster-member-limit 2 
    [...]
    • Geef een samenvatting van de verdeling van de poortblokken tussen de eenheden in het cluster weer:
    > show nat pool cluster summary

    Summary of the Port Blocks Distribution Among the Units in the Cluster

    • Geef de huidige toewijzing van poortblokken per PAT-adres aan de eigenaar en back-upeenheid weer:
    > show nat pool cluster
    IP Outside:Mapped_IPGroup 10.10.10.100
    [1024-1535], owner unit-1-1, backup unit-2-1
    [1536-2047], owner unit-1-1, backup unit-2-1
    [2048-2559], owner unit-1-1, backup unit-2-1
    [2560-3071], owner unit-1-1, backup unit-2-1
    [...]
    IP Outside:Mapped_IPGroup 10.10.10.101
    [1024-1535], owner unit-1-1, backup unit-2-1
    [1536-2047], owner unit-1-1, backup unit-2-1
    [2048-2559], owner unit-1-1, backup unit-2-1
    [2560-3071], owner unit-1-1, backup unit-2-1
    [...]
    • Informatie over de verspreiding en het gebruik van havenblokken weergeven:
    > show nat pool detail
    TCP PAT pool Outside, address 10.10.10.100
            range 17408-17919, allocated 2 *
            range 27648-28159, allocated 2
    TCP PAT pool Outside, address 10.10.10.101
            range 17408-17919, allocated 1 *
            range 27648-28159, allocated 2
    [...]

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    10-Aug-2023
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Benjamin Cabrera Romero
      Cisco Technical Consulting Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten