如何配置ISP冗余和负载平衡
249304
Created On 09/25/18 17:19 PM - Last Modified 01/18/23 20:51 PM
Symptom
定义
- ISP 当多个 Internet 提供商连接到一个服务器时,将使用负载平衡firewall.Policy -基于转发(PBF ) 用于基于源子网转发流量。
- ISP 当一个服务提供商出现故障并且所有流量都需要路由到其余服务提供商时,将使用冗余。
Environment
- 通常情况下,firewall使用目的地IP数据包中的地址以确定传出接口。
- 这firewall使用与接口所连接的虚拟路由器关联的路由表来执行路由查找。
- Policy-基于转发(PBF ) 允许用户覆盖路由表,并根据源或目标等特定参数指定传出或传出接口IP地址或流量类型。
以下拓扑包括:
两个内部子网
- 子网 1:192.168.1.0/24
- 子网 2:172.16.1.0/24
二ISP网关
- ISP1:10.30.6.254
- ISP2:10.30.1.254
Cause
要记住的两个重要事项:
- PBF 规则应用于第一个数据包(SYN ) 或对第一个数据包的第一个响应 (SYN /ACK ). 不建议使用特定于应用程序的规则PBF.
- 地址翻译(NAT ) 除非安全规则与连接匹配,否则不会应用规则,这就是为什么需要适当的安全规则才能使地址转换工作。
Resolution
配置冗余
基本的ISP配置:
- 创建一个PBF将流量转发到默认网关的规则。
- 附加隧道监控配置文件并将操作设置为“失败时禁用”。
监控简介:
此配置强制来自 192.168.1.0/24 子网的所有流量从以太网 1/3 出口。
A 监视器配置文件设置为监视IP地址。 在测试配置中,监控配置文件“multiple isp”用于监控公共DNS8.8.8.8。
当显示器无法再到达时IP地址,定义的操作(故障转移)发生。 这PBF规则被禁用并且firewall回退到虚拟路由器中创建的静态路由,如下所示。P ath 监控验证连接到IP地址所以firewall可以通过备用路线引导交通。 这firewall使用ICMPping 作为心跳以验证指定的IP地址可达。
A监控配置文件允许指定心跳的阈值数量以确定是否IP地址可达。 当被监控IP地址无法访问,用户可以禁用PBF规则或指定故障转移或等待恢复操作。 禁用PBF规则允许虚拟路由器接管路由决策。
中学ISP配置
- 创建具有正常指标的静态路由
配置负载共享
示例 1:无备份的负载平衡
在这种情况下,PBF用于强制来自不同子网的流量通过各自的ISP.在这种情况下,来自子网 192.168.1.0/24 的所有流量都从以太网 1/3 转发出去,子网 172.16.1.0/24 被强制从以太网 1/4 出去。
规则:
- 规则 1:子网 192.168.1.0/24 去 0.0.0.0/0 下一跳是ISP1个
- 规则 2:子网 172.16.1.0/24 去 0.0.0.0/0 下一跳是ISP2个
示例 2:负载平衡和冗余
在这种情况下,PBF用于根据源将流量转发出特定接口
A如果配置了备份ISP下跌降落。
规则:
- 规则 1:子网 192.168.0.0/24 去 0.0.0.0/0 下一跳是ISP1个
- 规则 2:子网 172.16.0.0/24 去 0.0.0.0/0 下一跳是ISP2个
- 规则 1 的备份:子网 192.168.0.0/24 去 0.0.0.0/0 下一跃点是ISP2个
- 规则 2 的备份:子网 172.16.0.0/24 去 0.0.0.0/0 下一跃点是ISP1个
规则 1 和规则 2 执行与示例 1 相同的操作。
备份规则允许流量通过ISP具有连接性,以防万一发生故障。
如果配置了 VPN(IPSec 或GlobalProtect),请参阅以下文档以了解有关如何配置 VPN 的信息: