Comment configurer ISP la redondance et l’équilibrage de charge

Comment configurer ISP la redondance et l’équilibrage de charge

249352
Created On 09/25/18 17:19 PM - Last Modified 01/18/23 20:59 PM


Symptom


Définitions

  • ISP Load Balancing est utilisé lorsque plus d’un fournisseur d’accès Internet est connecté à la firewall . Policy -L’adage basé PBF ( ) est utilisé pour faire avancer le trafic en fonction du sous-réseau source.
  • ISP La redondance est utilisée lorsqu’un fournisseur de services est en panne et que tout le trafic doit être acheminé vers le fournisseur de services restant.

Environment


  • Normalement, firewall l’utilise l’adresse de destination IP dans un paquet pour déterminer l’interface sortante.
  • firewallL’utilise la table de routage associée au routeur virtuel auquel l’interface est connectée pour effectuer la recherche d’itinéraire.
  • Policy-Forwarding basé ( PBF ) permet à l’utilisateur de passer outre à la table de routage, et de spécifier l’interface sortante ou d’évacuation en fonction de paramètres spécifiques tels que la source ou IP l’adresse de destination, ou le type de trafic.

La topologie suivante comprend :

Deux sous-réseaux internes

  • Subnet1 : 192.168.1.0/24
  • Subnet2 : 172.16.1.0/24

Deux ISP passerelles

  • ISP1 : 10.30.6.254
  • ISP2 : 10.30.1.254

doc-3579-001.png

Cause


Deux points importants à retenir :

  • PBF Les règles sont appliquées soit au premier paquet (), soit à la première réponse au premier paquet (SYNSYN/ACK). Les règles spécifiques à l’application ne sont pas recommandées pour une utilisation avec PBF .
  • Les règles de traduction NAT d’adresses () ne sont pas appliquées à moins qu’une règle de sécurité ne corresponde à la connexion, c’est pourquoi des règles de sécurité doivent être en place pour que la traduction de l’adresse fonctionne.

Resolution


    Configuration de redondance

    Configuration ISP primaire :

    1. Créez une règle PBF qui fait avancer le trafic vers la passerelle par défaut.
    2. Attacher un tunnel suivi de profil et définissez l’action comme « désactiver en cas d’échec ».

    pastedImage_20.png

    Profil de surveillance
    doc-3579-02.jpg
    : Cette configuration oblige tout le trafic provenant du sous-réseau 192.168.1.0/24 à sortir d’Ethernet 1/3.

    A Profil de moniteur est mis en place pour surveiller une IP adresse. Dans le config d’essai, le profil de moniteur « isp multiple » est employé pour surveiller un public DNS 8.8.8.8.

    Lorsque le moniteur ne peut plus atteindre cette IP adresse, l’action définie (fail-over) a lieu. La PBF règle est désactivée et le firewall retombe à l’itinéraire statique créé dans le routeur virtuel, comme indiqué ci-dessous. P ath surveillance vérifie la connectivité à une adresse IP afin que le peut diriger le trafic par un itinéraire firewall alternatif. Les utilisateurs pings comme battements de cœur pour vérifier que firewall l’adresse ICMP IP spécifiée

    A est accessible. profil de surveillance permet de spécifier le nombre seuil de battements cardiaques pour déterminer si IP l’adresse est accessible. Lorsque IP l’adresse surveillée est inaccessible, l’utilisateur peut désactiver la règle ou PBF spécifier une action d’échec ou de récupération d’attente. La désactivation PBF de la règle permet au routeur virtuel de prendre en charge les décisions de routage.

    Configuration ISP secondaire

    • Créer un itinéraire statique avec une métrique normale



    Configuration du partage de

    charge Exemple 1 : Équilibrage de charge sans sauvegarde
    Dans ce cas, PBF est utilisé pour forcer le trafic de différents sous-réseaux à travers les respectifs ISP .Dans ce scénario, tout le trafic du sous-réseau 192.168.1.0/24 est transmis hors d’Ethernet 1/3, et le sous-réseau 172.16.1.0/24 est forcé de quitter Ethernet 1/4.

    Règles:

    • Règle 1: Subnet 192.168.1.0/24 allant à 0.0.0.0/0 saut suivant est ISP 1
    • Règle 2: Subnet 172.16.1.0/24 allant à 0.0.0.0.0/0 saut suivant est ISP 2

    doc-3579-03.png

    Exemple 2 : Équilibrage et redondance de la charge
    Dans ce cas, PBF est utilisé pour faire avancer le trafic à partir d’une interface particulière basée sur la sauvegarde source

    A est configuré si le ISP descend.

    Règles:

    • Règle 1: Subnet 192.168.0.0/24 allant à 0.0.0.0/0 saut suivant est ISP 1
    • Règle 2: Subnet 172.16.0.0/24 allant à 0.0.0.0.0/0 saut suivant est ISP 2
    • Sauvegarde pour la règle 1: Subnet 192.168.0.0/24 allant à 0.0.0.0/0 saut suivant est ISP 2
    • Sauvegarde pour la règle 2: Subnet 172.16.0.0/24 allant à 0.0.0.0/0 saut suivant est ISP 1

    pastedImage_22.png

    Les règles 1 et 2 exécutent la même action que l’exemple 1.
    Les règles de sauvegarde permettent au trafic de passer par le ISP qui a la connectivité au cas où l’un ou l’autre devaient échouer.

    Si les VPN sont configurés (IPSec ou GlobalProtect ), consultez les documents suivants pour obtenir des informations sur la façon de configurer les VPN :

    Additional Information
    Other users also viewed:
    Actions
    • Print
    • Copy Link

      https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClElCAK&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

    Choose Language