ECMP

Ce chapitre décrit la procédure de configuration du routage ECMP (Equal Cost Multi-path) que les protocoles de routage utilisent pour équilibrer la charge du trafic réseau.

À propos d’ECMP

L’appareil Firepower Threat Defense prend en charge le routage à chemins multiples à coûts égaux (ECMP). Vous pouvez configurer les zones de trafic par routeur virtuel pour contenir un groupe d’interfaces. Vous pouvez avoir jusqu’à 8 routes statiques ou dynamiques de coût égal sur 8 interfaces au maximum de chaque zone. Par exemple, vous pouvez configurer plusieurs routes par défaut sur trois interfaces dans la zone : 


route for 0.0.0.0 0.0.0.0 through outside1 to 10.1.1.2
route for 0.0.0.0 0.0.0.0 through outside2 to 10.2.1.2
route for 0.0.0.0 0.0.0.0 through outside3 to 10.3.1.2

Lignes directrices et limites d'ECMP

Directives sur le mode pare-feu

Les zones ECMP sont prises en charge en mode de pare-feu routé uniquement.

Directives relatives aux périphériques

  • Les périphériques défense contre les menaces 6.5 ou version ultérieure prennent en charge la configuration des zones de trafic ECMP dans le centre de gestion :

    • Les périphériques défense contre les menaces des versions 6.6 ou ultérieures prennent en charge ECMP par routeur virtuel.

    • Les périphériques défense contre les menaces dans la version 6.5 ou dans une version antérieure ne prennent pas en charge le routage virtuel, vous pouvez associer les interfaces globales à ECMP.

  • Un périphérique peut avoir un maximum de 256 zones ECMP.

Directives relatives à l'interface

  • Les zones ECMP peuvent être créées dans le routeur virtuel global et les routeurs virtuels définis par l’utilisateur.

  • Seules les interfaces routées peuvent être associées à une zone ECMP.

  • Seules les interfaces avec des noms logiques peuvent être associées à une zone ECMP.

  • Les interfaces doivent appartenir au routeur virtuel dans lequel ECMP est créé.

  • Vous ne pouvez associer que 8 interfaces par zone ECMP.

  • Une interface ne peut être membre que d’une seule zone ECMP.

  • Vous ne pouvez pas supprimer une interface associée à une voie de routage statique à coût égal de la zone ECMP.

  • Vous ne pouvez pas supprimer une zone ECMP si des routes statiques de coût égal sont associées à son interface.

  • Pour les versions Défense contre les menaces antérieures à la 7.1, les interfaces sVTI ne peuvent pas être utilisées dans la zone ECMP.

  • Dans les versions Défense contre les menaces antérieures à la 7.1, les interfaces membres de zone ECMP ne sont pas prises en charge dans le VPN de site à site ou dans le VPN d’accès à distance IPsec-IKEv2.

  • Les interfaces suivantes ne peuvent pas être associées à une zone ECMP :

    • Interface des BVI

    • Interfaces membres dans un EtherChannel.

    • Interface de basculement ou de liaison d’état.

    • Interfaces d’accès de gestion uniquement ou de gestion.

    • interface de liaison de commande de la grappe.

    • Membres des Interfaces redondantes.

    • VNI

    • Interfaces VLAN.

    • Interfaces dans la configuration de VPN d'accès à distance avec SSL activé.

Directives de mise à niveau

Lorsque vous effectuez une mise à niveau à partir de centre de gestion 7.0 ou de versions antérieures, FlexConfig pour ECMP existant n’est pas déployé sur le périphérique. Par conséquent, pour un déploiement réussi, vous devez migrer manuellement les zones de trafic FlexConfig vers ECMP dans l’interface utilisateur.

Vous pouvez créer ECMP à partir de l’interface utilisateur centre de gestion pour tous les périphériques routés dans les versions 6.5 et ultérieures.

Directives supplémentaires

  • Relais DHCP : n’active pas le relais DHCP sur une interface associée à une zone ECMP.

  • Déploiement de défense contre les menaces doubles FAI/WAN : Créer une zone ECMP unique pour les interfaces de données principale et secondaire. Cette configuration permet la création de routes statiques pour les deux interfaces avec les mêmes valeurs de métrique.

  • La défense contre les menaces ne prend pas en charge ECMP avec NAT dans les sessions IPsec : un tunnel de réseau privé virtuel (VPN) IPsec standard ne fonctionne pas avec les points NAT dans le chemin de livraison des paquets IPsec.

Gérer la page ECMP

Lorsque vous cliquez sur ECMP dans le volet Routing (Routage), la page ECMP correspondant au routeur virtuel s’affiche. Cette page affiche les zones ECMP existantes avec les interfaces associées du routeur virtuel. Cette page vous permet d’ajouter une zone ECMP au routeur virtuel. Vous pouvez également ajouter ECMP à Edit (edit icon) et Supprimer (icône supprimer).

Vous pouvez effectuer ce qui suit :

Créer une zone ECMP

Les zones ECMP sont créées par routeur virtuel. Ainsi, seules les interfaces du routeur virtuel où l’ECMP est créé peuvent être associées à l’ECMP.

Procédure

Étape 1

Sélectionnez Devices (périphériques) > Device Management (gestion des périphériques), et modifiez le périphérique défense contre les menaces .

Étape 2

Cliquez sur Routing (Routage).

Étape 3

Dans la liste déroulante du routeur virtuel, sélectionnez le routeur virtuel dans lequel vous souhaitez créer la zone ECMP.

Vous pouvez créer des zones ECMP dans un routeur virtuel global et des routeurs virtuels définis par l’utilisateur. Pour en savoir plus sur la création de routeurs virtuels, consultez Créer un routeur virtuel.

Étape 4

Cliquez sur ECMP.

Étape 5

Cliquez sur Add (ajouter).

Étape 6

Dans la zone Add ECMP (Ajouter ECMP), saisissez un nom pour la zone ECMP.

Remarque

 

Le nom ECMP doit être unique pour le périphérique routé.

Étape 7

Pour associer des interfaces, sélectionnez-les dans la zone Interfaces disponibles, puis cliquez sur Ajouter.

N’oubliez pas les éléments suivants :

  • Seules les interfaces appartenant au routeur virtuel peuvent être attribuées.

  • Seules les interfaces avec un nom logique sont répertoriées dans la zone Interfaces disponibles. Vous pouvez modifier l’interface et fournir un nom logique dans Interfaces. N’oubliez pas d’enregistrer les modifications pour que les paramètres prennent effet.

Étape 8

Cliquez sur OK.

La page ECMP affiche maintenant le nouveau ECMP.

Étape 9

Cliquez su Save (Enregistrer) et Deploy (Déployer) la configuration.

Vous pouvez associer les interfaces de zone ECMP à une route statique à coût égal en les définissant avec la même destination et la même valeur de métrique, mais avec une passerelle différente.

Prochaine étape

Configurer un routage statique à coût égal

Licence Smart Licence traditionnelle Périphériques pris en charge Domaines pris en charge

Accès

N’importe lequel

S. O.

défense contre les menaces et défense contre les menaces virtuelles

N’importe lequel

Administrateur/Administrateur réseau/Approbateur de sécurité

Vous pouvez affecter des interfaces d’un routeur virtuel, à la fois globale et définie par l’utilisateur, à une zone ECMP pour le périphérique.

Avant de commencer

  • Pour configurer une voie de routage statique à coût égal pour une interface, assurez-vous de l’associer à une zone ECMP. Consultez Créer une zone ECMP.

  • Tous les paramètres de configuration de routage d’un périphérique non compatible avec VRF sont également disponibles pour un routeur virtuel global.

  • Vous ne pouvez pas définir de voie de routage statique pour les interfaces avec la même destination et la même métrique sans associer les interfaces à une zone ECMP.

Procédure

Étape 1

Dans la page Devices > Device Management (Périphériques > Gestion des périphériques), modifiez le périphérique défense contre les menaces . Cliquez sur l'onglet Routage.

Étape 2

Dans la liste déroulante, sélectionnez le routeur virtuel dont les interfaces sont associées à une zone ECMP.

Étape 3

Pour configurer la voie de routage statique à coût égal pour les interfaces, cliquez sur Static Route (Routage statique).

Étape 4

Cliquez sur Add Route (Ajouter un routage) pour ajouter une nouvelle route ou cliquez sur Edit (edit icon) pour une route existante.

Étape 5

Dans la liste déroulante Interface, sélectionnez l’interface appartenant au routeur virtuel et à une zone ECMP.

Étape 6

Sélectionnez le réseau de destination dans la zone des réseaux disponibles et cliquez sur Add (Ajouter).

Étape 7

Saisissez une passerelle pour le réseau.

Étape 8

Saisissez une valeur de mesure. Il peut s’agir d’un nombre compris entre 1 et 254.

Étape 9

Pour enregistrer les paramètres, cliquez sur Enregistrer.

Étape 10

Pour configurer le routage statique à coût égal, répétez les étapes de configuration de la voie de routage statique pour une autre interface dans la même zone ECMP avec le même réseau de destination et la même valeur de métrique. N’oubliez pas de fournir une passerelle différente.

Prochaine étape

Modifier une zone ECMP

Procédure

Étape 1

Sélectionnez Devices (périphériques) > Device Management (gestion des périphériques), et modifiez le périphérique FTD.

Étape 2

Cliquez sur Routing (Routage).

Étape 3

Cliquez sur ECMP.

Les zones ECMP et leurs interfaces associées sont affichées dans la page ECMP.

Étape 4

Pour modifier un ECMP, cliquez sur Edit (edit icon) à côté de l’ECMP souhaité. Dans la zone Edit ECMP (modifier ECMP), vous pouvez effectuer ce qui suit :

  • ECMP Name (nom de l’ECMP) : assurez-vous que le nom modifié est unique pour le périphérique.

  • Interfaces : vous pouvez ajouter ou supprimer des interfaces. Vous ne pouvez pas inclure une interface déjà associée à un autre ECMP. En outre, vous ne pouvez pas supprimer l'interface associée à une voie de routage statique à coût égal.

Étape 5

Cliquez sur OK.

Étape 6

Cliquez sur Save (Enregistrer) pour enregistrer vos modifications.

Prochaine étape

Supprimer une zone ECMP

Procédure

Étape 1

Sélectionnez Devices (périphériques) > Device Management (gestion des périphériques), et modifiez le périphérique FTD.

Étape 2

Cliquez sur Routing (Routage).

Étape 3

Cliquez sur ECMP.

Les zones ECMP et leurs interfaces associées sont affichées dans la page ECMP.

Étape 4

Pour supprimer une zone ECMP, cliquez sur Supprimer (icône supprimer) à côté de la zone ECMP.

Vous ne pouvez pas supprimer la zone ECMP si l’une de ses interfaces est associée à une voie de routage statique de coût égal.

Étape 5

Cliquez sur Delete (supprimer) dans le message de confirmation.

Étape 6

Cliquez sur Save (Enregistrer) pour enregistrer vos modifications.

Exemple de configuration pour ECMP

Cet exemple montre comment utiliser centre de gestion pour configurer les zones ECMP sur défense contre les menaces de sorte que le trafic circulant dans le périphérique soit géré efficacement. Avec ECMP configuré, défense contre les menaces conserve la table de routage par zone et permet donc de réacheminer les paquets selon les meilleures routes possibles. Ainsi, ECMP prend en charge le routage symétrique, l’équilibrage de la charge et gère de manière transparente le trafic perdu. Dans cet exemple, R4 enregistre les deux chemins pour atteindre le serveur de fichiers externe.

Illustration 1. Exemple de configuration pour ECMP
Exemple de configuration pour ecmp

Procédure

Étape 1

Créez un routeur virtuel R4 avec les interfaces Inside1, Outside1et Outside2 :

Illustration 2. Configuration du routeur virtuel R4
Configuration du routeur virtuel R4

Étape 2

Créer des zones ECMP :

  1. Dans l’onglet Routing (Routage), choisissez R4 User Defined Virtual Router, (Routeur virtuel R4 défini par l'utilisateur) puis cliquez sur ECMP.

  2. Cliquez sur Add (ajouter).

  3. Saisissez le nom ECMP et dans la liste des interfaces disponibles, choisissez Outside1 et Outside2 :

    Illustration 3. Création d’une zone ECMP
    Création d’une zone ECMP

  4. Cliquez sur OK, puis sur Save(Enregistrer).

Étape 3

Créez des routes statiques pour les interfaces de zone :

  1. Dans l’onglet Routing (Routage), cliquez sur Static Route.

  2. Dans la liste déroulante Interface, sélectionnez Outside1.

  3. Sous Available Network (réseau disponible), choisissez any-ipv4 et cliquez sur Add (Ajouter).

  4. Précisez l’adresse du prochain saut dans le champ Gateway (Passerelle), 10.1.1.2 :

    Illustration 4. Configuration des routes statiques pour Ouside1
    Routage statique pour Outside1

  5. Configurez le routage statique pour Outside2, en répétant l’étape 3b à l’étape 3d.

Assurez-vous de spécifier la même métrique, mais des passerelles différentes pour les routes statiques :

Illustration 5. Routes statiques configurées des interfaces de zone ECMP
Routes statiques des interfaces de zone ECMP

Étape 4

Enregistrez et déployez.

Les paquets réseau pour atteindre leur destination, R3, suivront R4> R1> R3 ou R4> R2> R3, en fonction de l’algorithme ECMP. Si la route R1> R3 est perdue, le trafic traverse R2 sans aucune perte de paquets. De même, la réponse de R3 peut être reçue par Outside2 bien que le paquet ait été envoyé par Outside1. De plus, lorsque le trafic du réseau est dense, R4 le répartit entre les deux routes et équilibre ainsi la charge.