多個防火牆上的網路 WAN 負載平衡
目前我們有一個 Cisco ISA570 防火牆,它在兩個 ISP 鏈路之間進行故障轉移負載平衡。
我想要一個 Sonicwall NSA6000,它應該是主要的,而 ISA570 作為故障轉移設備。我應該如何重新設計網路,以使 WAN 連結和 LAN 流量得到正確的負載平衡?
每個 ISP 只提供一個網關 IP。
目前 LAN 流量通過 Cisco 2960s 來。
如果 Sonicwall 出現任何故障,網路應該能夠從 Sonicwall 切換到 ISA570。兩個防火牆還應該能夠在兩個 ISP 鏈路之間進行負載平衡。
請提出可能的設計,以通過所需的額外設備完成相同的任務。
謝謝,
關於設置現有網路架構以支持兩個現有防火牆之間的負載平衡的具體問題的答案是在防火牆後面和 LAN 前面設置一個負載平衡路由器,或者如果您需要故障轉移,則在 HA 中設置兩個路由器從硬體故障。
這可以通過支持 IP SLA 的 Cisco 路由器實現。例如。我們之前在 Cisco 800 系列上已經做到了這一點。使用多個網關,路由器可以路由兩個連接(實現負載平衡要求),如果需要,您可以使用基於策略的路由通過基於源或目標 IP 的特定連結發送所有流量。
路由器可以設置為監控兩個不同的 IP 地址,一個用於每個 ISP,並設置為僅將這些 IP 的流量路由到它們各自的鏈路之外。如果其中一個 IP 無法訪問,則可以將 IP SLA 配置為刪除通過該 ISP 的路由,因此僅通過仍然可用的另一個 ISP 進行路由(滿足故障轉移要求)。一旦出現故障的 ISP 重新上線,路由器可以配置為自動重新添加路由,並且鏈路再次進行負載平衡。這是一個相對複雜的設置,範例配置取決於各種因素,包括 IOS 版本、連結類型、延遲、連結可靠性、網路拓撲、傳入流量要求等。
在 ISP 發生故障的情況下,此設置還需要對故障轉移和故障回复邏輯進行大量測試。如果 ISP 鏈路之間的故障轉移過於敏感,您最終會出現路由抖動,如果不夠敏感,故障轉移將需要很長時間,並且在這兩種情況下都會出現間歇性流量中斷。請注意,此方法不使用任何花哨的路由協議,它是使用“roll-your-own”邏輯設置的。
偏離所提出的具體問題,最佳選擇可能是停用現有防火牆中的一個或兩個,並替換為支持出站負載平衡和故障轉移的 HA 防火牆解決方案。這是一個更簡單的解決方案,不同的防火牆技術通常串聯使用而不是並行使用,其理論是雙層多供應商防火牆提供了額外的安全層。有許多防火牆供應商和技術支持出站負載平衡(例如 PFSense、F5 等等),最好通過進一步調查來確定最好的一種。
您可以在此處閱讀有關Cisco IP SLA 的資訊,並在此處閱讀有關 Cisco基於策略的路由的資訊。