Rete WAN bilanciamento del carico su più firewall

Attualmente disponiamo di un firewall Cisco ISA570 che effettua il bilanciamento del carico di failover tra due collegamenti ISP.

Vorrei get un Sonicwall NSA6000 che dovrebbe essere primario e l'ISA570 come dispositivo di failover. Come devo ri-progettare la networking in modo tale che i collegamenti WAN e il traffico LAN ottengano correttamente il carico?

Gli ISP forniscono un solo IP Gateway.

Attualmente il traffico LAN viene attraversato da Cisco 2960s.

La networking dovrebbe essere in grado di passare da Sonicwall a ISA570 in caso di guasti a Sonicwall. I due firewall dovrebbero anche essere in grado di caricare l'equilibrio tra i due collegamenti ISP.

Si prega di suggerire eventuali disegni per eseguire lo stesso con l'attrezzatura supplementare necessaria.

Grazie,

One Solution collect form web for “Rete WAN bilanciamento del carico su più firewall”

La risposta alla domanda specifica su come impostare l'architettura di networking esistente per supportre il bilanciamento del carico tra i due firewall esistenti è impostare un router di bilanciamento del carico dietro i firewall e davanti alla LAN o due router in HA se è necessario un failover dall'hardware.

Ciò è realizzabile con un router Cisco che support SLA IP. Per esempio. lo abbiamo fatto con la serie Cisco 800 prima. Utilizzando più gateway, il router può indirizzare entrambe le connessioni (raggiungendo il requisito di bilanciamento del carico) e, se necessario, è ansible utilizzare l'instradamento basato su criteri per submit tutto il traffico tramite un collegamento specifico basato sull'ID di origine o di destinazione.

Il router può essere configurato per monitorare due indirizzi IP diversi, uno per each ISP e impostare per il traffico di traffico per quei IP solo i relativi collegamenti. Se uno di quei IP non è raggiungibile, la SLA IP può essere configurata per rimuovere il path attraverso tale ISP, quindi routing solo attraverso l'altro ISP che è ancora disponibile (soddisfacendo il requisito di failover). Una volta che l'ISP fallito torna in linea, il router può essere configurato per aggiungere automaticamente il path e i collegamenti sono di nuovo bilanciamento del carico. Questa è un'installazione relativamente complessa e un config di esempio dipende da vari fattori, tra cui la versione di IOS, i tipi di collegamenti, la latenza, l'affidabilità dei collegamenti, la topologia di networking, i requisiti di traffico in ingresso ecc.

Questa configuration richiede anche un bel po 'di test della logica di failover e failback nel caso di un guasto dell'ISP. Se il failover tra i collegamenti ISP è troppo sensibile, concludenetworking con routes di flapping e, se non sufficientemente sensibili, ci vorrà molto tempo per fallire e ci saranno interruzioni intermittenti del traffico in entrambi i casi. Si noti che questo metodo non utilizza alcun protocollo di routing fantasioso, è impostato con la logica "roll-your-own".

Diversamente dalla domanda specifica che viene posta, l'opzione migliore sarà quella di distriggersre uno o entrambi i firewall esistenti e sostituire con una soluzione firewall HA che support il bilanciamento del carico in output e il failover. È una soluzione più semplice e le tecnologie firewall differenti vengono tipicamente utilizzate in linea piuttosto che in parallelo, con la teoria che i firewall multi-vendor a doppio strato danno un ulteriore livello di sicurezza. Ci sono molti fornitori di firewall e tecnologie che supportno il bilanciamento del carico in output (ad esempio, PFSense, F5, molti altri) e determinare il meglio sarebbe meglio eseguito attraverso ulteriori indagini.

È ansible leggere qui su Cisco IP SLA e su Cisco Policy Based Routing.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.