配置FTD HA的虚拟MAC地址
简介
本文档介绍如何在防火墙威胁防御(FTD)高可用性(HA)对上配置虚拟MAC地址。
先决条件
要求
Cisco 建议您了解以下主题:
- 安全防火墙威胁防御(FTD)
- 安全防火墙管理中心(FMC)
使用的组件
- FMC虚拟版本7.2.8
- FTD虚拟版本7.2.7
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
在FTD HA对上配置虚拟MAC地址有利于提高网络的可用性。虚拟MAC地址允许主FTD和辅助FTD保持一致的MAC地址,以防止某些流量中断。
如果未配置虚拟MAC地址,则HA对的每个单元都会使用其固化的MAC地址启动。如果辅助设备启动时未检测到主要设备,它将成为主用设备并使用其固化MAC地址。当主设备最终联机时,辅助设备会获取主设备的MAC地址,这可能会导致网络中断。如果用新硬件替换主设备,也会使用新的MAC地址。在设备上配置虚拟MAC地址可防止这种中断。这是因为辅助设备始终知道主设备的MAC地址,并且当它是活动设备时,它继续使用正确的MAC地址,即使它先于主设备联机。
注意:术语“虚拟MAC地址”和“接口MAC地址”可以互换使用。
有关此配置好处的更多信息,请参阅本指南。
配置
1. 在FMC GUI中,导航至设备页面并通过点击最右侧的铅笔图标编辑HA对。
FTD HA对
2. 在High Availability选项卡下,找到标记为Interface MAC Addresses的框。单击+图标可访问编辑器。
Interface MAC Addresses框
3. 在编辑器中,选择物理接口并配置主用/备用接口Mac地址。完成后单击OK。
接口Mac地址创建
注意:在配置虚拟MAC地址时,遵守标准约定会很有帮助。接口中的地址必须是有效的MAC地址,但可以是任意地址。使用标准约定可以在检查上游或下游MAC地址表时简化管理。MAC地址格式需要12个十六进制数字,每组4个数字之间用句点分隔。
4. 对需要虚拟Mac地址配置的所有其余接口重复此过程。
5. 确认配置正确。
接口Mac地址配置
6. 保存并部署配置到FTD HA对。
确认
从运行配置的每台设备中,虚拟Mac地址现在显示。
主(活动)FTD:
显示运行故障切换结果
Show Interface Inside结果
Show Interface Outside结果
辅助(备用)FTD:
显示运行故障切换结果
Show Interface Inside结果
Show Interface Outside结果
这确认配置成功。
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
29-Jul-2024 |
初始版本 |
反馈