Konfigurieren von ISP Redundanz und Lastenausgleich

Konfigurieren von ISP Redundanz und Lastenausgleich

249306
Created On 09/25/18 17:19 PM - Last Modified 01/18/23 21:02 PM


Symptom


Definitionen

  • ISP Der Lastenausgleich wird verwendet, wenn mehr als ein Internetanbieter mit der verbunden firewall ist. Policy -Based Forwarding ( PBF ) wird verwendet, um Datenverkehr basierend auf dem Quellsubnetz weiterzuleiten.
  • ISP Redundanz wird verwendet, wenn ein Dienstanbieter ausfällt und der gesamte Datenverkehr an den verbleibenden Dienstanbieter weitergeleitet werden muss.

Environment


  • Normalerweise verwendet der firewall die IP Zieladresse in einem Paket, um die ausgehende Schnittstelle zu bestimmen.
  • Der firewall verwendet die Routingtabelle, die dem virtuellen Router zugeordnet ist, mit dem die Schnittstelle verbunden ist, um die Routensuche durchzuführen.
  • Policy-Based Forwarding ( PBF ) ermöglicht es dem Benutzer, die Routingtabelle zu überschreiben und die ausgehende oder ausgehende Schnittstelle basierend auf bestimmten Parametern wie Quell- oder IP Zieladresse oder Datenverkehrstyp anzugeben.

Die folgende Topologie enthält:

Zwei interne Subnetze

  • Subnet1: 192.168.1.0/24
  • Subnet2: 172.16.1.0/24

Zwei ISP Gateways

  • ISP1: 10.30.6.254
  • ISP2: 10.30.1.254

Doc-3579-001.png

Cause


Zwei wichtige Dinge zu erinnern:

  • PBF Regeln werden entweder auf das erste Paket () oder die erste Antwort auf das erste Paket (SYNSYN/ACK) angewendet. Für die Verwendung mit werden anwendungsspezifische Regeln nicht PBF empfohlen.
  • Adressübersetzungsregeln ( NAT ) werden nur angewendet, wenn eine Sicherheitsregel mit der Verbindung übereinstimmt, weshalb Sicherheitsregeln vorhanden sein müssen, damit die Adressübersetzung funktioniert.

Resolution


    Konfigurieren von Redundanz

    Primäre ISP Konfiguration:

    1. Erstellen Sie eine PBF Regel, die Datenverkehr an das Standardgateway weiterleitet.
    2. Befestigen Sie einen Tunnel Überwachung Profil und legen Sie die Aktion als "Fehler deaktivieren."

    pastedImage_20.png

    Überwachungsprofil:
    Doc-3579-02.jpg
    Diese Konfiguration zwingt den gesamten Datenverkehr aus dem Subnetz 192.168.1.0/24, aus Ethernet 1/3 herauszukommen.

    A Das Monitorprofil ist so eingerichtet, dass eine Adresse überwacht IP wird. In der Testkonfiguration wird das Monitorprofil "multiple isp" verwendet, um eine öffentliche DNS 8.8.8.8 zu überwachen.

    Wenn der Monitor diese Adresse nicht mehr erreichen IP kann, findet die definierte Aktion (Failover) statt. Die PBF Regel ist deaktiviert, und die zurück auf firewall die statische Route, die im virtuellen Router erstellt wurde, wie unten gezeigt. P ath monitoring überprüft die Verbindung zu einer IP Adresse, sodass der firewall Datenverkehr über eine alternative Route geleitet werden kann. Der firewall verwendet ICMP Pings als Takte, um zu überprüfen, ob die angegebene IP Adresse erreichbar ist.

    A Überwachungsprofil ermöglicht die Angabe der Schwellenwertzahl von Takten, um zu bestimmen, ob die IP Adresse erreichbar ist. Wenn die überwachte IP Adresse nicht erreichbar ist, kann der Benutzer die Regel entweder deaktivieren PBF oder eine Failover- oder Wartewiederherstellungsaktion angeben. Durch Deaktivieren der PBF Regel kann der virtuelle Router die Routingentscheidungen übernehmen.

    Sekundäre ISP Konfiguration

    • Erstellen Sie eine statische Route mit einer normalen Metrik



    Konfigurieren der Lastenfreigabe

    Beispiel 1: Lastenausgleich ohne Sicherung
    In diesem Fall PBF wird verwendet, um Datenverkehr aus verschiedenen Subnetzen durch die jeweilige zu ISP erzwingen.In diesem Szenario wird der gesamte Datenverkehr aus dem Subnetz 192.168.1.0/24 aus Ethernet 1/3 weitergeleitet, und Subnetz 172.16.1.0/24 wird aus Ethernet 1/4 erzwungen.

    Regeln:

    • Regel 1: Subnetz 192.168.1.0/24 geht zu 0.0.0.0/0 nächster Hop ist ISP 1
    • Regel 2: Subnetz 172.16.1.0/24 geht zu 0.0.0.0/0 nächster Hop ist ISP 2

    Doc-3579-03.png

    Beispiel 2: Lastenausgleich und Redundanz
    In diesem Fall PBF wird verwendet, um Datenverkehr aus einer bestimmten Schnittstelle weiterzuleiten, die auf der Quellsicherung basiert,

    A wenn die Sicherung ISP ausfällt.

    Regeln:

    • Regel 1: Subnetz 192.168.0.0/24 geht zu 0.0.0.0/0 nächster Hop ist ISP 1
    • Regel 2: Subnetz 172.16.0.0/24 geht zu 0.0.0.0/0 nächster Hop ist ISP 2
    • Backup für Regel 1: Subnetz 192.168.0.0/24 geht zu 0.0.0.0/0 nächster Hop ist ISP 2
    • Backup für Regel 2: Subnetz 172.16.0.0/24 geht zu 0.0.0.0/0 nächster Hop ist ISP 1

    pastedImage_22.png

    Regel 1 und Regel 2 führen die gleiche Aktion wie Beispiel 1 aus.
    Die Sicherungsregeln ermöglichen es Datenverkehr, die Konnektivität zu ISP durchlaufen, falls beide fehlerfehler.

    Wenn VPNs konfiguriert sind (IPSec oder GlobalProtect ), finden Sie in den folgenden Dokumenten Informationen zum Konfigurieren der VPNs:

    Additional Information
    Other users also viewed:
    Actions
    • Print
    • Copy Link

      https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClElCAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

    Choose Language