Балансировка нагрузки в сети WAN через несколько брандмауэров
В настоящее время у нас есть межсетевой экран Cisco ISA570, который выполняет балансировку нагрузки при сбое между двумя ссылками ISP.
Я хотел бы получить Sonicwall NSA6000, который должен быть основным, а ISA570 в качестве устройства отработки отказа. Как я должен перепроектировать сеть так, чтобы соединения WAN, а также трафик локальной сети правильно балансировались?
Каждый провайдер предоставляет только один IP-адрес шлюза.
В настоящее время трафик локальной сети проходит через Cisco 2960.
Сеть должна иметь возможность переключения с Sonicwall на ISA570 в случае любого сбоя в Sonicwall. Два межсетевых экрана также должны иметь возможность балансировки нагрузки между двумя ссылками ISP.
Пожалуйста, предложите возможные варианты, чтобы выполнить то же самое с необходимым дополнительным оборудованием.
Спасибо,
1 ответ
Ответ на конкретный вопрос о настройке существующей сетевой архитектуры для поддержки балансировки нагрузки между двумя существующими брандмауэрами состоит в том, чтобы настроить маршрутизатор балансировки нагрузки за брандмауэрами и перед вашей локальной сетью, или два маршрутизатора в HA, если вам требуется аварийное переключение. от аппаратного сбоя.
Это достижимо с помощью маршрутизатора Cisco, поддерживающего IP SLA. Например. мы сделали это с Cisco серии 800 раньше. Используя несколько шлюзов, маршрутизатор может маршрутизировать оба соединения (в соответствии с требованием балансировки нагрузки), и при необходимости вы можете использовать маршрутизацию на основе политик для отправки всего трафика по определенной ссылке на основе IP-адреса источника или назначения.
Маршрутизатор можно настроить для мониторинга двух разных IP-адресов, по одному для каждого интернет-провайдера, и настроить маршрутизацию трафика для этих IP-адресов только по их соответствующим каналам. Если один из этих IP-адресов недоступен, SLA IP может быть настроен на удаление маршрута через этого ISP, следовательно, маршрутизацию только через другого ISP, который все еще доступен (удовлетворяя требованию аварийного переключения). Как только проваленный провайдер возвращается в оперативный режим, маршрутизатор может быть настроен на автоматическое добавление маршрута обратно, и ссылки снова будут распределены по нагрузке. Это довольно сложная настройка, и пример конфигурации зависит от различных факторов, включая версию IOS, типы ссылок, задержку, надежность ссылок, топологию сети, требования к входящему трафику и т. Д.
Эта настройка также требует небольшого тестирования логики аварийного переключения и восстановления в случае сбоя интернет-провайдера. Если аварийное переключение между ссылками ISP слишком чувствительно, вы в конечном итоге получите колеблющиеся маршруты, и если недостаточно чувствительное, для переключения потребуется много времени, и в обоих случаях будут прерывистые прерывания трафика. Обратите внимание, что в этом методе не используются какие-либо причудливые протоколы маршрутизации, он настроен с помощью логики "покатить самостоятельно".
В отличие от конкретного задаваемого вопроса, наилучшим вариантом, вероятно, будет вывод из эксплуатации одного или обоих существующих брандмауэров и их замена на решение брандмауэра HA, которое поддерживает балансировку исходящей нагрузки и отработку отказа. Это более простое решение, и различные технологии межсетевых экранов обычно используются в линии, а не параллельно, при этом теория заключается в том, что двухуровневые межсетевые экраны от нескольких поставщиков обеспечивают дополнительный уровень безопасности. Существует много поставщиков межсетевых экранов и технологий, которые поддерживают балансировку исходящей нагрузки (например, PFSense, F5, многие другие), и определение наилучшего было бы лучше всего сделать путем дальнейшего исследования.
Вы можете прочитать о SLA Cisco IP здесь и о маршрутизации на основе политик Cisco здесь.