Cómo configurar ISP la redundancia y el equilibrio de carga

Cómo configurar ISP la redundancia y el equilibrio de carga

249368
Created On 09/25/18 17:19 PM - Last Modified 01/18/23 20:52 PM


Symptom


Definiciones

  • ISP Load Balancing se utiliza cuando más de un proveedor de Internet está conectado al firewall archivo . Policy -Reenvío basado ( PBF ) se utiliza para reenviar el tráfico en función de la subred de origen.
  • ISP La redundancia se utiliza cuando un proveedor de servicios está abajo y todo el tráfico debe enrutarse al proveedor de servicios restante.

Environment


  • Normalmente, el firewall utiliza la dirección de destino en un paquete para determinar la interfaz IP saliente.
  • El firewall utiliza la tabla de ruteo asociada con el router virtual al cual la interfaz está conectada para realizar la búsqueda de ruta.
  • Policy-Reenvío basado ( PBF ) permite al usuario invalidar la tabla de enrutamiento y especificar la interfaz saliente o de salida en función de parámetros específicos como la dirección de origen o de IP destino, o el tipo de tráfico.

Incluye la siguiente topología:

Dos subredes internas

  • Subnet1: 192.168.1.0/24
  • Subnet2: 172.16.1.0/24

Dos ISP puertas de enlace

  • ISP1: 10.30.6.254
  • ISP2: 10.30.1.254

doc-3579-001.png

Cause


Dos puntos importantes para recordar:

  • PBF Las reglas se aplican en el primer paquete () o en la primera respuesta al primer paquete (SYNSYN/ACK). No se recomiendan reglas específicas de la aplicación para su uso con PBF .
  • Las reglas de traducción de direcciones ( NAT ) no se aplican a menos que una regla de seguridad coincida con la conexión, razón por la cual las reglas de seguridad deben estar en vigor para que la traducción de direcciones funcione.

Resolution


    Configuración de redundancia

    Configuración ISP principal:

    1. Cree una PBF regla que reenvíe el tráfico a la puerta de enlace predeterminada.
    2. Conecte un túnel seguimiento perfil y definir la acción como «disable error.»

    pastedImage_20.png

    Perfil de monitoreo:
    doc-3579-02.jpg
    Esta configuración fuerza todo el tráfico que viene de la subred 192.168.1.0/24 a la salida fuera de Ethernet 1/3.

    A El perfil del monitor está configurado para supervisar una IP dirección. En la configuración de prueba, el perfil de monitor "isp múltiple" se utiliza para supervisar un público DNS 8.8.8.8.

    Cuando el monitor ya no puede alcanzar esta IP dirección, se produce la acción definida (conmutación por error). La PBF regla se inhabilita y el cae de nuevo a la static firewall ruta creada en el router virtual, tal y como se muestra abajo. P ath Monitoring verifica la conectividad a una IP dirección para que el can dirija el tráfico a través de una ruta firewall alternativa. El firewall uso hace ping como ICMP latidos para verificar que la dirección especificada IP es accesible.

    A IP Cuando la dirección supervisada IP no es accesible, el usuario puede deshabilitar la PBF regla o especificar una acción de conmutación por error o de recuperación de espera. Deshabilitar la PBF regla permite al router virtual tomar el control de las decisiones de ruteo.

    Configuración ISP secundaria

    • Crear una ruta estática con una métrica normal



    Configuración del

    ejemplo de uso compartido de carga 1: Equilibrio de carga sin copia de seguridad
    En este caso, PBF se utiliza para forzar el tráfico desde diversas subredes a través de las respectivas ISP .En este escenario, todo el tráfico de la subred 192.168.1.0/24 se remite fuera de Ethernet 1/3, y la subred 172.16.1.0/24 se fuerza fuera de Ethernet 1/4.

    Reglas:

    • Regla 1: Subred 192.168.1.0/24 va a 0.0.0.0/0 el salto siguiente es ISP 1
    • Regla 2: Subred 172.16.1.0/24 va a 0.0.0.0/0 el salto siguiente es ISP 2

    doc-3579-03.png

    Ejemplo 2: Equilibrio de carga y redundancia
    En este caso, PBF se utiliza para reenviar el tráfico fuera de una interfaz determinada basada en la

    A copia de seguridad de origen se configura si el va ISP abajo.

    Reglas:

    • Regla 1: Subred 192.168.0.0/24 va a 0.0.0.0/0 el salto siguiente es ISP 1
    • Regla 2: Subred 172.16.0.0/24 va a 0.0.0.0/0 el salto siguiente es ISP 2
    • Copia de seguridad para la Regla 1: Subred 192.168.0.0/24 va a 0.0.0.0/0 el salto siguiente es ISP 2
    • Copia de seguridad para la Regla 2: Subred 172.16.0.0/24 va a 0.0.0.0/0 el salto siguiente es ISP 1

    pastedImage_22.png

    La Regla 1 y la Regla 2 realizan la misma acción que el Ejemplo 1.
    Las reglas de copia de seguridad permiten que el tráfico pase por ISP el que tiene conectividad en caso de que se produzca un error.

    Si se configuran los VPN (IPSec GlobalProtect o), refiera a los documentos siguientes para la información sobre cómo configurar los VPN:

    Additional Information
    Other users also viewed:
    Actions
    • Print
    • Copy Link

      https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClElCAK&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

    Choose Language