設定方法ISP冗長性と負荷分散
249308
Created On 09/25/18 17:19 PM - Last Modified 01/18/23 21:00 PM
Symptom
定義
- ISP 負荷分散は、複数のインターネット プロバイダーがネットワークに接続されている場合に使用されます。firewall .Policy -ベースの転送 (PBF ) は、送信元サブネットに基づいてトラフィックを転送するために使用されます。
- ISP 冗長性は、1 つのサービス プロバイダーがダウンし、すべてのトラフィックを残りのサービス プロバイダーにルーティングする必要がある場合に使用されます。
Environment
- 通常、firewall宛先を使用しますIP発信インターフェイスを決定するためのパケット内のアドレス。
- のfirewallインターフェイスが接続されている仮想ルーターに関連付けられたルーティング テーブルを使用して、ルート ルックアップを実行します。
- Policy-ベースの転送 (PBF ) ユーザーは、ルーティング テーブルを上書きし、送信元や送信先などの特定のパラメーターに基づいて発信または出力インターフェイスを指定できます。IPアドレス、またはトラフィックのタイプ。
次のトポロジには次が含まれます。
2 つの内部サブネット
- サブネット 1: 192.168.1.0/24
- サブネット 2: 172.16.1.0/24
二ISPゲートウェイ
- ISP1: 10.30.6.254
- ISP2: 10.30.1.254
Cause
覚えておくべき 2 つの重要な項目:
- PBF ルールは、最初のパケット (SYN ) または最初のパケットに対する最初の応答 (SYN /ACK )。 アプリケーション固有のルールを使用することはお勧めしませんPBF.
- アドレス変換 (NAT ) ルールは、セキュリティ ルールが接続と一致しない限り適用されません。そのため、アドレス変換を機能させるにはセキュリティ ルールを設定する必要があります。
Resolution
冗長性の構成
主要なISP構成:
- 作成するPBFトラフィックをデフォルト ゲートウェイに転送するルール。
- トンネル モニタリング プロファイルをアタッチし、アクションを「失敗時に無効にする」に設定します。
監視プロファイル:
この設定により、192.168.1.0/24 サブネットからのすべてのトラフィックがイーサネット 1/3 から出力されます。
A 監視プロファイルは、監視するように設定されていますIP住所。 テスト構成では、監視プロファイル「multiple isp」を使用してパブリックを監視します。DNS 8.8.8.8.
モニターがこれに到達できなくなった場合IPアドレス、定義されたアクション (フェイルオーバー) が実行されます。 のPBFルールが無効になり、firewall以下に示すように、仮想ルーターで作成された静的ルートにフォールバックします。P th モニタリングは、への接続を検証します。IPアドレスはfirewallトラフィックを代替ルートに誘導できます。 のfirewall用途ICMPハートビートとして ping を実行して、指定されたIPアドレスは到達可能です。
Aモニタリング プロファイルを使用すると、ハートビートのしきい値数を指定して、IPアドレスは到達可能です。 監視されたときIPアドレスに到達できない場合、ユーザーはPBFルールを設定するか、フェールオーバーまたは待機回復アクションを指定します。 を無効にするPBFルールにより、仮想ルーターがルーティングの決定を引き継ぐことができます。
セカンダリISP構成
負荷分散の設定
例 1: バックアップなしの負荷分散
この場合、PBF異なるサブネットからのトラフィックをそれぞれのサブネットに強制するために使用されます。ISP .このシナリオでは、サブネット 192.168.1.0/24 からのすべてのトラフィックはイーサネット 1/3 から転送され、サブネット 172.16.1.0/24 はイーサネット 1/4 から強制的に転送されます。
ルール:
- ルール 1: サブネット 192.168.1.0/24 から 0.0.0.0/0 へのネクスト ホップはISP1
- ルール 2: サブネット 172.16.1.0/24 から 0.0.0.0/0 へのネクスト ホップはISP2
例 2: 負荷分散と冗長性
この場合、PBFソースに基づいて特定のインターフェイスからトラフィックを転送するために使用されます
Aバックアップが構成されている場合ISP低下する。
ルール:
- ルール 1: サブネット 192.168.0.0/24 から 0.0.0.0/0 へのネクスト ホップはISP1
- ルール 2: サブネット 172.16.0.0/24 から 0.0.0.0/0 へのネクスト ホップはISP2
- ルール 1 のバックアップ: サブネット 192.168.0.0/24 から 0.0.0.0/0 へのネクスト ホップはISP2
- ルール 2 のバックアップ: サブネット 172.16.0.0/24 から 0.0.0.0/0 へのネクスト ホップはISP1
ルール 1 とルール 2 は、例 1 と同じアクションを実行します。
バックアップ ルールにより、トラフィックはISPいずれかが失敗した場合に備えて、接続性があります。
VPN が構成されている場合 (IPSec またはGlobalProtect)、VPN の設定方法については、次のドキュメントを参照してください。
Additional Information