Cấu hình cân bằng tải trên Cisco Firewall Threat Defense (FTD)

Thảo luận trong 'Firewall Cisco' bắt đầu bởi hainguyen, 20/8/24.

  1. hainguyen

    hainguyen Member

    Thiết bị Firewall Cisco Secure Firewall (FTD) hỗ trợ định tuyến bằng Equal Cost Multi-Path (ECMP) sử dụng các zone (vùng) traffic tới các nhóm cổng (giao diện) để cân bằng lưu lượng.
    • ECMP hỗ trợ định tuyến không đối xứng và cân bằng tải.
    • Lên đến 8 interface có thể được nhóm lại bên trong một zone.
    • Những ECMP traffic zone chỉ được hỗ trợ trong chế độ "Routed mode".
    • Được hỗ trợ từ bản FTD 6.5 trở lên.
    • FMC 7.1 cho phép cấu hình ECMP từ GUI, phiên bản cũ hơn cần phải sử dụng FlexConfig.
    Mô Hình:
    - Hình bên dưới thể hiện mô hình kết nối được sử dụng trong ví dụ này, nơi 2 interface "Cloud-1" và "Cloud-2" sẽ được cấu hình trong một Traffic Zone gọi là "Cloud-Zone" để đảm bảo giá trị định định tuyến ngang nhau tới các ISP router.
    [​IMG]
    Cấu Hình:
    - Ở bài viết này, chúng ta đã cấu hình các interface cơ bản và routing từ trước:
    • Chuyển hướng tới Devices > Device Management > "Tên_FTD" > Routing > ECMP.
    • Click Add
    • Name : nhập tên cho profile này.
    • Chọn thêm các interface từ danh sách Available Interfaces. Click Add để đưa interface đó sang Selected Interfaces.
    [​IMG]
    • Khi đã xong click OK.
    [​IMG]
    • Click Static Route
    • Thêm một Static Route qua cả hai interface, đảm bảo "Metric" giống hệt nhau.
    [​IMG]
    LƯU Ý – nếu bạn tạo 2 hoặc nhiều static route với cùng metric và không cấu hình ECMP, bạn sẽ nhận một lỗi “Invalid IPv4 Route Configured.” như hình dưới. Để sử dụng định tuyến tĩnh ECMP bạn phải đảm bảo bạn tạo Zone và thêm các interface cần thiết vào Zone.
    [​IMG]
    • Click Save
    • Tiếp tục click Deploy.
    Xem Lại Cấu Hình:
    - Khi có các thay đổi về cấu hình đã được deploy cho FTD, login vào CLI.
    • Chạy lệnh ”show zone" để xem lại cấu hình zone và các interface bên trong zone.
    [​IMG]
    - Để quan sát cấu hình traffic zone với CLI show running-config zone

    > show running-config zone
    zone Cloud-Zone ecmp

    - Để quan sát cấu hình interface với CLI show running-config interface gigabitethernet x/y

    Mã:
    > show running-config interface GigabitEthernet 0/0
   !
   interface GigabitEthernet0/0
   nameif Cloud-1
   cts manual
   propagate sgt preserve-untag
   policy static sgt disabled trusted
   security-level 0
   zone-member Cloud-Zone
      ip address 192.0.2.1 255.255.255.248
   ospf authentication null
   !
    Mã:
    > show running-config interface GigabitEthernet 0/1
   !
   interface GigabitEthernet0/1
   nameif Cloud-2
   cts manual
   propagate sgt preserve-untag
   policy static sgt disabled trusted
   security-level 0
   zone-member Cloud-Zone
      ip address 192.0.2.9 255.255.255.248
   ospf authentication null
   !

    - Để xác định các static route đã cấu hình sử dụng ECMP, chạy show route static. Từ kết quả trên màn hình chúng ta có thể xác định có 2 static route với cùng metric tới subnet 172.16.0.0 thông qua cả 2 interface Cloud-1Cloud-2.
    [​IMG]
    Kiểm Tra:
    - Để kiểm tra chúng ta ping địa IP 172.16.0.1 của server ở phía bên ngoài của FTD, traffic sẽ được định tuyến qua cả hai interface. Để dễ dàng xác định interface mà traffic đi qua, chúng ta thực hiện bắt gói tin trên cả 2 interface, lọc theo địa chỉ IP của Server đích.

    - Từ Firewall Cisco FTD cấu hình bắt gói tin trên 2 interface:

    capture Cloud-1 interface Cloud-1 match ip any host 172.16.0.1

    capture Cloud-2 interface Cloud-2 match ip any host 172.16.0.1

    - Với việc cho phép bắt gói tin, chúng ta tạo một số traffic bằng cách ping tới địa chỉ IP đích.

    - Chạy lệnh show capture, những bytes tăng trên cả hai interface xác định traffic đang được capture.

    [​IMG]
    - Chạy show capture Cloud-1 sẽ xác định được traffic được gửi và nhận.

    [​IMG]

    ------- Cảm ơn các bạn đã xem bài viết, hẹn gặp lại -------
     
    hainguyen, 20/8/24
    #1

trang này