В настоящее время у нас есть межсетевой экран Cisco ISA570, который выполняет аварийную балансировку нагрузки между двумя ссылками ISP.
Я хотел бы получить Sonicwall NSA6000, который должен быть основным, и ISA570 в качестве устройства аварийного переключения. Как мне изменить дизайн сети так, чтобы каналы WAN, а также трафик LAN правильно балансировали нагрузку?
Интернет-провайдеры предоставляют только один IP-адрес шлюза.
В настоящее время трафик локальной сети проходит через Cisco 2960.
Сеть должна иметь возможность переключаться с Sonicwall на ISA570 в случае сбоя в Sonicwall. Два брандмауэра также должны иметь возможность балансировать нагрузку между двумя ссылками на ISP.
Пожалуйста, предложите возможные варианты конструкции, которые позволят добиться того же с помощью дополнительного оборудования.
Спасибо,
Ответ на конкретный вопрос о настройке существующей сетевой архитектуры для поддержки балансировки нагрузки между двумя существующими межсетевыми экранами состоит в том, чтобы настроить маршрутизатор балансировки нагрузки за межсетевыми экранами и перед вашей локальной сетью или два маршрутизатора в HA, если вам требуется аварийное переключение. от аппаратного сбоя.
Это достижимо с маршрутизатором Cisco, который поддерживает IP SLA. Например. мы уже делали это с Cisco серии 800 раньше. Используя несколько шлюзов, маршрутизатор может маршрутизировать оба соединения (достигая требования балансировки нагрузки), и при необходимости вы можете использовать маршрутизацию на основе политик для отправки всего трафика по определенному каналу на основе IP-адреса источника или назначения.
Маршрутизатор можно настроить для мониторинга двух разных IP-адресов, по одному для каждого провайдера, и настроить маршрутизацию трафика для этих IP-адресов только по соответствующим каналам. Если один из этих IP-адресов недоступен, можно настроить IP SLA для удаления маршрута через этого поставщика услуг Интернета, следовательно, маршрутизацию только через другого поставщика услуг Интернета, который все еще доступен (удовлетворяющий требованиям переключения при отказе). Как только провалившийся провайдер снова подключится к сети, маршрутизатор может быть настроен на автоматическое добавление маршрута обратно, и ссылки снова будут балансировать нагрузку. Это относительно сложная настройка, и образец конфигурации зависит от различных факторов, включая версию IOS, типы ссылок, задержку, надежность ссылок, топологию сети, требования к входящему трафику и т. Д.
Эта настройка также требует небольшого тестирования логики аварийного переключения и аварийного восстановления в случае сбоя провайдера. Если аварийное переключение между ссылками ISP слишком чувствительно, вы столкнетесь с нестабильными маршрутами, а если они недостаточно чувствительны, переключение после сбоя займет много времени, и в обоих случаях будут прерывистые перебои трафика. Обратите внимание, что в этом методе не используются какие-либо причудливые протоколы маршрутизации, он настроен с использованием логики «свернуть свою собственную».
Отклоняясь от конкретного задаваемого вопроса, лучшим вариантом, вероятно, будет вывод из эксплуатации одного или обоих существующих межсетевых экранов и их замена на решение межсетевого экрана высокой доступности, которое поддерживает балансировку исходящей нагрузки и переключение при отказе. Это более простое решение, и различные технологии межсетевых экранов обычно используются последовательно, а не параллельно, при этом теория состоит в том, что двухуровневые межсетевые экраны от разных поставщиков обеспечивают дополнительный уровень безопасности. Существует множество поставщиков межсетевых экранов и технологий, которые поддерживают балансировку исходящей нагрузки (например, PFSense, F5 и многие другие), и определение лучшего из них будет лучше всего выполнено путем дальнейшего исследования.
Вы можете прочитать о Cisco IP SLA здесь, и о Маршрутизация на основе политик Cisco здесь.