الحل المتكرر للدمج لمحول Secure Firewall و L3
المقدمة
يصف هذا المستند أفضل ممارسة للاتصالات المتكررة بين محولات Cisco Catalyst Switches وجدران الحماية الآمنة من Cisco على التوفر العالي.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- الدفاع الآمن عن تهديد جدار الحماية (FTD)
- مركز إدارة جدار الحماية الآمن (FMC)
- IOS® XE من Cisco
- نظام التحويل الظاهري (VSS)
- الإتاحة العالية (HA)
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- الدفاع ضد تهديد جدار الحماية الآمن، الإصدار 7.2.5.1
- Secure Firewall Manager Center، الإصدار 7.2.5.1
- Cisco IOS XE، الإصدار 16.12.08
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
التكوين
الرسم التخطيطي للشبكة
هناك مستعمل أن يصدق وحيد توصيل خطوة (ميناء قناة) بين واحد منطقي مادة حفازة مفتاح (VSS أو مكدس) نحو زوج من HA FTDs يكفي أن يتلقى حل كامل إحتياطي في حالة واحد وحدة أو خطوة يفشل. هذا فهم خاطئ شائع لأن إعداد محول مكدس أو VSS يعمل كجهاز منطقي واحد. وفي الوقت نفسه، يعمل إثنان من أجهزة FTD HA كجهازين منطقيين مختلفين أحدهما نشط والآخر كإستعداد.
المخطط التالي هو تصميم غير صالح يتم فيه تكوين قناة منفذ واحدة من المحول الذي تم إعداده نحو زوج FTD HA:
تصميم غير صالح
التكوين السابق غير صالح لأن هذه القناة الميناء تعمل كإرتباط واحد متصل بجهازين مختلفين، مما يتسبب في تصادم الشبكة، لذلك يمنع بروتوكول الشجرة المتفرعة (SPT) الاتصالات من أحد معرفات فئات المورد (FTD).
المخطط التالي هو تصميم صالح يتم فيه تكوين قناتين منفذ مختلفتين لكل عضو في المحول VSS أو المكدس.
تصميم صالح
التكوينات
تكوين المبدّل
الخطوة 1. قم بتكوين قنوات المنفذ باستخدام شبكة المنطقة المحلية الظاهرية (VLAN) الخاصة بها.
MXC.PS.A.06-3850-02#configure terminal
MXC.PS.A.06-3850-02(config)#interface GigabitEthernet 1/0/1
MXC.PS.A.06-3850-02(config-if)#shutdown
MXC.PS.A.06-3850-02(config-if)#switchport mode access
MXC.PS.A.06-3850-02(config-if)#switchport access vlan 300
% Access VLAN does not exist. Creating vlan 300
MXC.PS.A.06-3850-02(config-if)#channel-group 2 mode active
Creating a port-channel interface Port-channel 2
MXC.PS.A.06-3850-02(config-if)#no shutdown
MXC.PS.A.06-3850-02(config-if)#exit
!
MXC.PS.A.06-3850-02(config)#interface GigabitEthernet 2/0/1
MXC.PS.A.06-3850-02(config-if)#shutdown
MXC.PS.A.06-3850-02(config-if)#switchport mode access
MXC.PS.A.06-3850-02(config-if)#switchport access vlan 300
MXC.PS.A.06-3850-02(config-if)#channel-group 2 mode active
MXC.PS.A.06-3850-02(config-if)#exit
!
MXC.PS.A.06-3850-02(config)#interface GigabitEthernet 1/0/2
MXC.PS.A.06-3850-02(config-if)#shutdown
MXC.PS.A.06-3850-02(config-if)#switchport mode access
MXC.PS.A.06-3850-02(config-if)#switchport access vlan 300
MXC.PS.A.06-3850-02(config-if)#channel-group 3 mode active
Creating a port-channel interface Port-channel 3
MXC.PS.A.06-3850-02(config-if)#no shutdown
MXC.PS.A.06-3850-02(config-if)#exit
!
MXC.PS.A.06-3850-02(config)#interface GigabitEthernet 2/0/2
MXC.PS.A.06-3850-02(config-if)#shutdown
MXC.PS.A.06-3850-02(config-if)#switchport mode access
MXC.PS.A.06-3850-02(config-if)#switchport access vlan 300
MXC.PS.A.06-3850-02(config-if)#channel-group 3 mode activeالخطوة 2. شكلت يحول قارن فعلي (SVI) عنوان ل ال port-channel VLAN.
MXC.PS.A.06-3850-02(config-if)#exit
MXC.PS.A.06-3850-02(config)#interface VLAN 300
MXC.PS.A.06-3850-02(config-if)#ip address 10.8.4.31 255.255.255.0
MXC.PS.A.06-3850-02(config-if)#no shutdownتهيئة FTD HA
الخطوة 1. سجل الدخول إلى واجهة المستخدم الرسومية (GUI) الخاصة بوحدة التحكم FMC.
تسجيل الدخول إلى FMC
الخطوة 2. انتقل إلى الأجهزة > إدارة الأجهزة.
إدارة الأجهزة
الخطوة 3. حرر الجهاز HA المرغوب وتصفح إلى الواجهات > إضافة واجهات > واجهة قناة Ether Channel.
إنشاء Ether-Channel
الخطوة 4. أضفت قارن إسم، Ether قناة id، والعضو قارن.
اسم Ether-channel
الأعضاء ومعرف Ether-Channel
ملاحظة: لا يلزم أن يتطابق معرف Ether Channel على FTD مع معرف Port-Channel على المحول.
الخطوة 5. انتقل إلى علامة التبويب IPv4 وأضفت عنوان IP على الشبكة الفرعية نفسها الخاصة بشبكة VLAN 300 الخاصة بالمحول.
عنوان IP Ether-Channel
الخطوة 6. حفظ التغييرات والنشر.
حفظ ونشر
التحقق من الصحة
الخطوة 1. ضمنت ال VLAN وقناة ميناء قارن وضع up من المفتاح منظور.
MXC.PS.A.06-3850-02#show ip interface brief
Interface IP-Address OK? Method Status Protocol
***OUTPUT OMITTED FOR BREVITY***
Vlan300 10.8.4.31 YES manual up up
***OUTPUT OMITTED FOR BREVITY***
Port-channel2 unassigned YES unset up up
Port-channel3 unassigned YES unset up upالخطوة 2. تحقق من أن حالة قناة المنفذ قيد التشغيل على كلا وحدتي FTD عن طريق الوصول إلى واجهة سطر أوامر الجهاز.
> system support diagnostic-cli
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
firepower> en
Password:
firepower# show interface ip brief
***OUTPUT OMITTED FOR BREVITY***
Port-channel1 10.8.4.30 YES unset up up
***OUTPUT OMITTED FOR BREVITY***الخطوة 3. فحصت reachability بين المفتاح SVI وال FTD ميناء-channel عنوان.
MXC.PS.A.06-3850-02#ping 10.8.4.30 source vlan 300
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.8.4.34, timeout is 2 seconds:
Packet sent with a source address of 10.8.4.31
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/2 msمحفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
12-Feb-2024 |
الإصدار الأولي |
التعليقات