Balanceamento de carga de rede WAN em vários firewalls

Question

Balanceamento de carga de rede WAN em vários firewalls

#1 resposta do (2 votos)

2

Atualmente, temos um firewall ISA570 da Cisco que faz o balanceamento de carga de failover entre dois links ISP.

Eu gostaria de obter um Sonicwall NSA6000 que deveria ser primário e o ISA570 como um dispositivo de failover. Como devo redesenhar a rede de modo que os links WAN, bem como o tráfego da LAN, sejam carregados corretamente?

Os ISPs fornecem apenas um IP de gateway.

Atualmente, o tráfego de LAN é fornecido pelo Cisco 2960s.

A rede deve ser capaz de alternar do Sonicwall para o ISA570 em caso de qualquer falha no Sonicwall. Os dois Firewalls também devem ser capazes de balancear a carga entre os dois links ISP.

Sugira projetos possíveis para realizar o mesmo com o equipamento extra necessário.

Obrigado,

networking load-balancing vrrp

por gokul varma nk 13.04.2015 / 10:23

1 resposta

Tags networking load-balancing vrrp

OpenVPN: restringe um cliente a determinados endereços IP O usuário do MySQL não pode conectar-se a partir do host remoto

score 2 · Accepted Answer

A resposta para a questão específica sobre configurar a arquitetura de rede existente para suportar balanceamento de carga entre os dois firewalls existentes é configurar um roteador de balanceamento de carga atrás dos firewalls e na frente de sua LAN, ou dois roteadores em HA se você precisa de failover de falha de hardware.

Isso é possível com um roteador Cisco que suporta SLAs IP. Por exemplo. nós fizemos isso com o Cisco série 800 antes. Usando vários gateways, o roteador pode distribuir as duas conexões (atingindo o requisito de balanceamento de carga) e, se necessário, pode usar roteamento baseado em diretivas para enviar todo o tráfego por meio de um link específico com base no IP de origem ou de destino.

O roteador pode ser configurado para monitorar dois endereços IP diferentes, um para cada ISP, e configurado para encaminhar o tráfego para esses IPs apenas para seus respectivos links. Se um desses IPs não puder ser acessado, o IP SLA poderá ser configurado para remover a rota por meio desse ISP, portanto, roteamento somente através do outro ISP que ainda estiver disponível (satisfazendo o requisito de failover). Quando o ISP com falha volta a ficar on-line, o roteador pode ser configurado para adicionar automaticamente a rota de volta e os links são balanceados de carga novamente. Esta é uma configuração relativamente complexa e uma configuração de amostra depende de vários fatores, incluindo a versão do IOS, os tipos de links, a latência, a confiabilidade dos links, a topologia da rede, os requisitos de tráfego de entrada, etc.

Essa configuração também requer um bom teste da lógica de failover e failback no caso de uma falha do provedor. Se o failover entre os links do ISP for muito sensível, você acabará com rotas agitadas e, se não for sensível o suficiente, levará muito tempo para fazer o failover e haverá interrupções de tráfego intermitentes nos dois casos. Note que este método não usa nenhum protocolo de roteamento sofisticado, é configurado com a lógica "roll-your-own".

Desviando-se da pergunta específica que está sendo feita, a melhor opção é desatribuir um ou ambos os firewalls existentes e substituí-lo por uma solução de firewall de alta disponibilidade que ofereça suporte a balanceamento de carga e failover de saída. É uma solução mais simples, e diferentes tecnologias de firewall são normalmente usadas em linha e não em paralelo, com a teoria de que os firewalls de vários fornecedores de camada dupla oferecem uma camada adicional de segurança. Há muitos fornecedores de firewall e tecnologias que suportam o balanceamento de carga de saída (por exemplo, PFSense, F5, muitos mais) e a determinação do melhor seria feita com mais investigação.

Você pode ler sobre Cisco IP SLAs aqui e sobre Rotinamento baseado em políticas do cisco aqui.