Entender a Alocação de Portas no PAT Dinâmico para o Cluster FTD 7.0

Opções de download

  • PDF     (1.0 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (884.9 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (766.8 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:10 de agosto de 2023
ID do documento:220720

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve como a distribuição baseada em bloco de porta opera no PAT dinâmico para o cluster de firewall após a versão 7.0 e posterior.

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Network Address Translation (NAT) no Cisco Secure Firewall

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • Firepower Management Center 7.3.0
    • Firepower Threat Defense 7.2.0

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Configurar

    Diagrama de Rede

    Logical TopologyTopologia lógica

    Configuração da interface

    • Configure o membro da interface Inside da Zona Interna.

    Por exemplo, configure uma interface com o endereço IP 192.168.10.254 e nomeie-a Inside. Essa interface interna é o Gateway para a rede interna 192.168.10.0/24.

    Configure Interface and Name it Inside.

    Edit Ether Channel Interface

    • Configure o membro da interface Externa da Zona Externa.

    Por exemplo, configure uma interface com o endereço IP 10.10.10.254 e nomeie-a como Outside. Essa interface externa está voltada para redes externas.

    Configure Interface and Name it Outside.

    Edit Ether Channel Interface

    Configuração de objeto de rede

    Embora o PAT do cluster possa trabalhar com a interface de saída ou mesmo com um único IP para mapear todo o tráfego, a prática recomendada é usar um pool de IPs com pelo menos o mesmo número de IPs que o número de unidades de FTD no cluster. 

    Por exemplo, os objetos de rede usados para endereços IP reais e mapeados são Inside-Network e Mapped-IPGroup, respectivamente.

    Inside-Network representa a rede interna 192.168.10.0/24. 

    New Network Object for Inside-Network

    Mapped-IPGroup (feito de Mapped-IP-1 10.10.10.100 e Mapped-IP-2 10.10.10.101), é usado para mapear todo o tráfego interno para a Zona Externa. 

    Edit Network Object – Mapped-IP-1

    Edit Network Object – Mapped-IP-2

    Edit Network Object

    Configuração de PAT dinâmico

    • Configure uma regra de NAT dinâmico para o tráfego de saída. Esta regra de NAT mapeia a sub-rede da rede interna para o pool de NAT externo.

    Por exemplo, o tráfego de Zona Interna para Zona Externa de Rede Interna é convertido em Pool Mapped-IPGroup.

    Add NAT Rule

    NAT configuration screen 2

    NAT configuration screen 3

    Auto NAT Rules

    Configuração final

    Final Lab SetupConfiguração Final do Laboratório.

    Verificar

    Use esta seção para confirmar se a sua configuração funciona corretamente.

    Verificar a interface IP e a configuração do NAT

    > show ip
    System IP Addresses:
    Interface Name IP address Subnet mask Method
    Port-channel1 Inside 192.168.10.254 255.255.255.0 manual
    Port-channel2 Outside 10.10.10.254 255.255.255.0 manual
    > show running-config nat
    !
    object network Inside-Network
    nat (Inside,Outside) dynamic pat-pool Mapped_IPGroup

    Verificar Alocação de Bloco de Porta

    Após o Firepower 7.0, a alocação de bloco de porta PAT aprimorada garante que a unidade de controle mantenha as portas na reserva para unir nós e recupere proativamente as portas não utilizadas. É assim que funciona a alocação de porta:

    • Em um cluster que acaba de ser criado, a unidade de controle possui inicialmente 50% das portas e o restante é reservado.
    • O número de blocos de porta possuídos por unidade é ajustado à medida que mais nós ingressam no cluster.
    • A unidade de controle reserva blocos de porta para nós (N+1) até que o cluster esteja cheio. O limite de membros do cluster é definido pelo comandocluster-member-limit  , configurado no nível de configuração do grupo de clusters.
    • Por padrão, cluster-member-limit é 16. 
      > show cluster info
      Cluster FTD-Cluster: On
      Interface mode: spanned
      Cluster Member Limit : 16
      [...]
    • Quando a quantidade de membros do cluster atinge o valor configurado com  cluster-member-limit, todos os blocos de porta são distribuídos entre os membros do cluster.

    Por exemplo, em um grupo de cluster composto de duas unidades (N=2) com um valor padrão de limite de membro de cluster de 16, observa-se que a alocação de porta é definida para membros N+1, neste caso, 3. Isso deixa algumas portas reservadas para a próxima unidade até que o limite máximo de cluster seja atingido.

    Some Ports Reserved for the Next Unit Until Maximum Cluster Limits is Reached - 1

    Some Ports Reserved for the Next Unit Until Maximum Cluster Limits is Reached – 2

    Reserve Code


    Além disso, é uma prática recomendada configurar o   cluster-member-limit  para corresponder ao número de unidades planejadas para a implantação do cluster. 

    Por exemplo, em um grupo de cluster composto de duas unidades (N=2) com o valor do limite de membro de cluster de 2, observa-se que a alocação de porta é distribuída uniformemente em todas as unidades de cluster. Nenhuma das portas reservadas foi deixada.

    None of the Reserved Ports are Left - 1

    None of the Reserved Ports are Left - 2

    Reserve Ports

    Verificar Recuperação de Bloco de Porta

    • Sempre que um novo nó ingressa ou sai de um cluster, as portas não utilizadas e os blocos de portas em excesso de todas as unidades devem ser liberados para a unidade de controle.
    • Se os blocos de portas já estiverem sendo usados, os menos usados serão marcados para recuperação.
    • Novas conexões não são permitidas em blocos de porta recuperados. Eles são liberados para a unidade de controle quando a última porta é limpa.

    Verify Port Block Reclamation

    Comandos para Troubleshooting

    Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

    • Verifique o valor de cluster-member-limit configurado:
    > show cluster info
    Cluster FTD-Cluster: On
    Interface mode: spanned
    Cluster Member Limit : 2 
    [...]

    > show running-config cluster
    cluster group FTD-Cluster
    key *****
    local-unit unit-2-1
    cluster-interface Port-channel48 ip 172.16.2.1 255.255.0.0
    cluster-member-limit 2 
    [...]
    • Exiba um resumo da distribuição dos blocos de porta entre as unidades no cluster:
    > show nat pool cluster summary

    Summary of the Port Blocks Distribution Among the Units in the Cluster

    • Exiba a atribuição atual de blocos de porta por endereço PAT para o proprietário e a unidade de backup:
    > show nat pool cluster
    IP Outside:Mapped_IPGroup 10.10.10.100
    [1024-1535], owner unit-1-1, backup unit-2-1
    [1536-2047], owner unit-1-1, backup unit-2-1
    [2048-2559], owner unit-1-1, backup unit-2-1
    [2560-3071], owner unit-1-1, backup unit-2-1
    [...]
    IP Outside:Mapped_IPGroup 10.10.10.101
    [1024-1535], owner unit-1-1, backup unit-2-1
    [1536-2047], owner unit-1-1, backup unit-2-1
    [2048-2559], owner unit-1-1, backup unit-2-1
    [2560-3071], owner unit-1-1, backup unit-2-1
    [...]
    • Exibir informações relacionadas à distribuição e ao uso de blocos de porta:
    > show nat pool detail
    TCP PAT pool Outside, address 10.10.10.100
            range 17408-17919, allocated 2 *
            range 27648-28159, allocated 2
    TCP PAT pool Outside, address 10.10.10.101
            range 17408-17919, allocated 1 *
            range 27648-28159, allocated 2
    [...]

    Informações Relacionadas

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    10-Aug-2023
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Benjamin Cabrera Romero
      Engenheiro de consultoria técnica da Cisco

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos