Comprender la asignación de puertos en PAT dinámica para FTD Cluster 7.0

Opciones de descarga

  • PDF     (1.0 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (885.4 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (767.6 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:10 de agosto de 2023
ID del documento:220720

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo funciona la distribución basada en bloques de puertos en PAT Dinámico para el Cluster de Firewall después de la versión 7.0 y posteriores.

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Traducción de direcciones de red (NAT) en Cisco Secure Firewall

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • Firepower Management Center 7.3.0
    • Firepower Threat Defense 7.2.0

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Configurar

    Diagrama de la red

    Logical TopologyTopología lógica

    Configuración de la Interfaz

    • Configuración del miembro de interfaz interno de la zona interna.

    Por ejemplo, configure una interfaz con la dirección IP 192.168.10.254 y denomínela Inside. Esta interfaz interna es la puerta de enlace para la red interna 192.168.10.0/24.

    Configure Interface and Name it Inside.

    Edit Ether Channel Interface

    • Configuración del miembro de la interfaz externa de la zona externa.

    Por ejemplo, configure una interfaz con la dirección IP 10.10.10.254 y asígnele el nombre Outside (Fuera). Esta interfaz externa se enfrenta a redes externas.

    Configure Interface and Name it Outside.

    Edit Ether Channel Interface

    Configuración de objetos de red

    Aunque la PAT del clúster puede funcionar con la interfaz de salida o incluso con una única IP para mapear todo el tráfico, la práctica recomendada es utilizar un conjunto de IP con al menos el mismo número de IP que el número de unidades FTD en el clúster. 

    Por ejemplo, los objetos de red utilizados para las direcciones IP reales y asignadas son Inside-Network y Mapped-IPGroup, respectivamente.

    Inside-Network representa la red interna 192.168.10.0/24. 

    New Network Object for Inside-Network

    Mapped-IPGroup (formado por Mapped-IP-1 10.10.10.100 y Mapped-IP-2 10.10.10.101), se utiliza para asignar todo el tráfico interno a Outside-Zone. 

    Edit Network Object – Mapped-IP-1

    Edit Network Object – Mapped-IP-2

    Edit Network Object

    Configuración de PAT dinámica

    • Configure una regla NAT dinámica para el tráfico saliente. Esta regla NAT asigna la subred de la red interna al conjunto NAT externo.

    Por ejemplo, el tráfico de la zona interna a la zona externa de la red interna se traduce al conjunto Mapped-IPGroup.

    Add NAT Rule

    NAT configuration screen 2

    NAT configuration screen 3

    Auto NAT Rules

    Configuración final

    Final Lab SetupConfiguración final del laboratorio.

    Verificación

    Use esta sección para confirmar que su configuración funciona correctamente.

    Verificar la interfaz IP y la configuración NAT

    > show ip
    System IP Addresses:
    Interface Name IP address Subnet mask Method
    Port-channel1 Inside 192.168.10.254 255.255.255.0 manual
    Port-channel2 Outside 10.10.10.254 255.255.255.0 manual
    > show running-config nat
    !
    object network Inside-Network
    nat (Inside,Outside) dynamic pat-pool Mapped_IPGroup

    Verificar asignación de bloque de puertos

    Después de Firepower 7.0, la asignación de bloques de puertos PAT mejorada garantiza que la unidad de control mantenga los puertos en reserva para unirse a los nodos y reclama de forma proactiva los puertos no utilizados. Así es como funciona la asignación de puertos:

    • En un clúster que se acaba de activar, la unidad de control posee inicialmente el 50% de los puertos y el resto está reservado.
    • El número de bloques de puertos propiedad de cada unidad se ajusta a medida que más nodos se unen al clúster.
    • La unidad de control reserva bloques de puertos para nodos (N+1) hasta que el clúster esté lleno. El límite de miembros del clúster se define mediante elcluster-member-limit  comando, configurado en el nivel de configuración del grupo de clústeres.
    • De forma predeterminada, cluster-member-limit es 16. 
      > show cluster info
      Cluster FTD-Cluster: On
      Interface mode: spanned
      Cluster Member Limit : 16
      [...]
    • Cuando la cantidad de miembros del clúster alcanza el valor configurado con  cluster-member-limit, todos los bloques de puerto se distribuyen entre los miembros del clúster.

    Por ejemplo, en un grupo de clústeres formado por dos unidades (N=2) con un valor predeterminado de límite de miembro de clúster de 16, se observa que la asignación de puertos se define para los miembros N+1, en este caso, 3. Esto deja algunos puertos reservados para la siguiente unidad hasta que se alcance el límite máximo de agrupamiento.

    Some Ports Reserved for the Next Unit Until Maximum Cluster Limits is Reached - 1

    Some Ports Reserved for the Next Unit Until Maximum Cluster Limits is Reached – 2

    Reserve Code


    Además, se recomienda configurar el para   cluster-member-limit  que coincida con el número de unidades planeado para la implementación del clúster. 

    Por ejemplo, en un grupo de clúster formado por dos unidades (N=2) con un valor de límite de miembro de clúster de 2, se observa que la asignación de puertos se distribuye uniformemente en todas las unidades de clúster. No queda ninguno de los puertos reservados.

    None of the Reserved Ports are Left - 1

    None of the Reserved Ports are Left - 2

    Reserve Ports

    Verificar recuperación del bloque de puertos

    • Siempre que un nuevo nodo se una o abandona un clúster, los puertos no utilizados y los bloques de puertos en exceso de todas las unidades deben liberarse a la unidad de control.
    • Si los bloques de puerto ya están siendo utilizados, los menos utilizados están marcados para recuperación.
    • No se permiten nuevas conexiones en los bloques de puertos reclamados. Se liberan en la unidad de control cuando se borra el último puerto.

    Verify Port Block Reclamation

    Comandos para resolución de problemas

    En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.

    • Verifique el valor de cluster-member-limit configurado:
    > show cluster info
    Cluster FTD-Cluster: On
    Interface mode: spanned
    Cluster Member Limit : 2 
    [...]

    > show running-config cluster
    cluster group FTD-Cluster
    key *****
    local-unit unit-2-1
    cluster-interface Port-channel48 ip 172.16.2.1 255.255.0.0
    cluster-member-limit 2 
    [...]
    • Muestra un resumen de la distribución de bloques de puertos entre las unidades del clúster:
    > show nat pool cluster summary

    Summary of the Port Blocks Distribution Among the Units in the Cluster

    • Muestra la asignación actual de bloques de puertos por dirección PAT al propietario y a la unidad de copia de seguridad:
    > show nat pool cluster
    IP Outside:Mapped_IPGroup 10.10.10.100
    [1024-1535], owner unit-1-1, backup unit-2-1
    [1536-2047], owner unit-1-1, backup unit-2-1
    [2048-2559], owner unit-1-1, backup unit-2-1
    [2560-3071], owner unit-1-1, backup unit-2-1
    [...]
    IP Outside:Mapped_IPGroup 10.10.10.101
    [1024-1535], owner unit-1-1, backup unit-2-1
    [1536-2047], owner unit-1-1, backup unit-2-1
    [2048-2559], owner unit-1-1, backup unit-2-1
    [2560-3071], owner unit-1-1, backup unit-2-1
    [...]
    • Mostrar información relacionada con la distribución y el uso de los bloques de puertos:
    > show nat pool detail
    TCP PAT pool Outside, address 10.10.10.100
            range 17408-17919, allocated 2 *
            range 27648-28159, allocated 2
    TCP PAT pool Outside, address 10.10.10.101
            range 17408-17919, allocated 1 *
            range 27648-28159, allocated 2
    [...]

    Información Relacionada

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    10-Aug-2023
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Benjamin Cabrera Romero
      Cisco Technical Consulting Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos