Informazioni sull'allocazione delle porte in Dynamic PAT per il cluster FTD 7.0

Opzioni per il download

  • PDF     (1.0 MB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (885.4 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (767.8 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:10 agosto 2023
ID documento:220720

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritto come funziona la distribuzione basata su blocchi di porte in Dynamic PAT for Firewall Cluster dopo la versione 7.0 e successive.

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • Network Address Translation (NAT) su Cisco Secure Firewall

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

    • Firepower Management Center 7.3.0
    • Firepower Threat Defense 7.2.0

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Configurazione

    Esempio di rete

    Logical TopologyTopologia logica

    Configurazione dell'interfaccia

    • Configurare il membro di interfaccia Inside della zona interna.

    Ad esempio, configurare un'interfaccia con indirizzo IP 192.168.10.254 e denominarla Inside. Questa interfaccia interna è il gateway per la rete interna 192.168.10.0/24.

    Configure Interface and Name it Inside.

    Edit Ether Channel Interface

    • Configurare il membro dell'interfaccia esterna di Zona esterna.

    Ad esempio, configurare un'interfaccia con indirizzo IP 10.10.10.254 e denominarla Esterna. L'interfaccia esterna è collegata a reti esterne.

    Configure Interface and Name it Outside.

    Edit Ether Channel Interface

    Configurazione dell'oggetto di rete

    Anche se il PAT del cluster può funzionare con l'interfaccia in uscita o anche con un singolo IP per mappare tutto il traffico, la procedura ottimale consiste nell'utilizzare un pool IP con un numero di IP almeno uguale al numero di unità FTD nel cluster. 

    Ad esempio, gli oggetti di rete utilizzati per Real e gli indirizzi IP mappati sono rispettivamente Inside-Network e Mapped-IPGroup.

    Inside-Network rappresenta la rete interna 192.168.10.0/24. 

    New Network Object for Inside-Network

    Mapped-IProup (costituito da Mapped-IP-1 10.10.10.100 e Mapped-IP-2 10.10.10.101), è utilizzato per mappare tutto il traffico interno alla zona esterna. 

    Edit Network Object – Mapped-IP-1

    Edit Network Object – Mapped-IP-2

    Edit Network Object

    Configurazione PAT dinamico

    • Configurare una regola NAT dinamica per il traffico in uscita. Questa regola NAT mappa la subnet della rete interna al pool NAT esterno.

    Ad esempio, il traffico da zona interna a zona esterna dalla rete interna viene convertito in pool Mapped-IPGroup.

    Add NAT Rule

    NAT configuration screen 2

    NAT configuration screen 3

    Auto NAT Rules

    Configurazione finale

    Final Lab SetupConfigurazione finale di Lab.

    Verifica

    Per verificare che la configurazione funzioni correttamente, consultare questa sezione.

    Verifica dell'interfaccia IP e della configurazione NAT

    > show ip
    System IP Addresses:
    Interface Name IP address Subnet mask Method
    Port-channel1 Inside 192.168.10.254 255.255.255.0 manual
    Port-channel2 Outside 10.10.10.254 255.255.255.0 manual
    > show running-config nat
    !
    object network Inside-Network
    nat (Inside,Outside) dynamic pat-pool Mapped_IPGroup

    Verifica allocazione blocchi porte

    Dopo Firepower 7.0, la migliorata allocazione dei blocchi di porte PAT garantisce che l'unità di controllo mantenga le porte in riserva per unire i nodi e recuperi proattivamente le porte inutilizzate. L'allocazione della porta funziona in questo modo:

    • In un cluster appena avviato, l'unità di controllo inizialmente possiede il 50% delle porte e le altre sono riservate.
    • Il numero di blocchi di porte di proprietà per unità viene modificato quando più nodi si uniscono al cluster.
    • L'unità di controllo riserva i blocchi di porte per i nodi (N+1) finché il cluster non è pieno. Il limite di membri del cluster è definito dalcluster-member-limit  comando configurato nel livello di configurazione del gruppo di cluster.
    • Per impostazione predefinita, il limite di membri del cluster è 16. 
      > show cluster info
      Cluster FTD-Cluster: On
      Interface mode: spanned
      Cluster Member Limit : 16
      [...]
    • Quando la quantità di membri del cluster raggiunge il valore configurato con  cluster-member-limit, tutti i blocchi di porte vengono distribuiti tra i membri del cluster.

    Ad esempio, in un gruppo di cluster composto da due unità (N=2) con un valore predefinito di limite di membri del cluster pari a 16, si osserva che l'allocazione delle porte è definita per i membri N+1, in questo caso 3. In questo modo alcune porte rimangono riservate per l'unità successiva fino al raggiungimento del limite massimo di cluster.

    Some Ports Reserved for the Next Unit Until Maximum Cluster Limits is Reached - 1

    Some Ports Reserved for the Next Unit Until Maximum Cluster Limits is Reached – 2

    Reserve Code


    È inoltre consigliabile configurare il server in modo che corrisponda   cluster-member-limit  al numero di unità pianificate per la distribuzione del cluster. 

    Ad esempio, in un gruppo di cluster composto da due unità (N=2) con il valore del limite di membri del cluster pari a 2, l'allocazione delle porte viene distribuita in modo uniforme tra tutte le unità del cluster. Nessuna delle porte riservate è rimasta.

    None of the Reserved Ports are Left - 1

    None of the Reserved Ports are Left - 2

    Reserve Ports

    Verifica del recupero dei blocchi delle porte

    • Quando un nuovo nodo si unisce o esce da un cluster, le porte inutilizzate e i blocchi di porte in eccesso di tutte le unità devono essere rilasciati all'unità di controllo.
    • Se i blocchi della porta sono già in uso, quelli meno utilizzati vengono contrassegnati per il recupero.
    • Nuove connessioni non consentite su blocchi di porte recuperati. e vengono rilasciate all'unità di controllo quando l'ultima porta viene azzerata.

    Verify Port Block Reclamation

    Comandi per la risoluzione dei problemi

    In questa sezione vengono fornite informazioni utili per risolvere i problemi di configurazione.

    • Verificare il valore di limite dei membri del cluster configurato:
    > show cluster info
    Cluster FTD-Cluster: On
    Interface mode: spanned
    Cluster Member Limit : 2 
    [...]

    > show running-config cluster
    cluster group FTD-Cluster
    key *****
    local-unit unit-2-1
    cluster-interface Port-channel48 ip 172.16.2.1 255.255.0.0
    cluster-member-limit 2 
    [...]
    • Visualizzare un riepilogo della distribuzione dei blocchi di porte tra le unità nel cluster:
    > show nat pool cluster summary

    Summary of the Port Blocks Distribution Among the Units in the Cluster

    • Visualizzare l'assegnazione corrente dei blocchi di porte per indirizzo PAT al proprietario e all'unità di backup:
    > show nat pool cluster
    IP Outside:Mapped_IPGroup 10.10.10.100
    [1024-1535], owner unit-1-1, backup unit-2-1
    [1536-2047], owner unit-1-1, backup unit-2-1
    [2048-2559], owner unit-1-1, backup unit-2-1
    [2560-3071], owner unit-1-1, backup unit-2-1
    [...]
    IP Outside:Mapped_IPGroup 10.10.10.101
    [1024-1535], owner unit-1-1, backup unit-2-1
    [1536-2047], owner unit-1-1, backup unit-2-1
    [2048-2559], owner unit-1-1, backup unit-2-1
    [2560-3071], owner unit-1-1, backup unit-2-1
    [...]
    • Visualizza informazioni correlate alla distribuzione e all'utilizzo dei blocchi di porte:
    > show nat pool detail
    TCP PAT pool Outside, address 10.10.10.100
            range 17408-17919, allocated 2 *
            range 27648-28159, allocated 2
    TCP PAT pool Outside, address 10.10.10.101
            range 17408-17919, allocated 1 *
            range 27648-28159, allocated 2
    [...]

    Informazioni correlate

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    10-Aug-2023
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Benjamin Cabrera Romero
      Tecnico di consulenza Cisco

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti