目前我们有一个 Cisco ISA570 防火墙,它在两个 ISP 链路之间进行故障转移负载平衡。
我想要一个 Sonicwall NSA6000,它应该是主要的,而 ISA570 作为故障转移设备。我应该如何重新设计网络,以使 WAN 链接和 LAN 流量得到正确的负载平衡?
每个 ISP 只提供一个网关 IP。
目前 LAN 流量通过 Cisco 2960s 来。
如果 Sonicwall 出现任何故障,网络应该能够从 Sonicwall 切换到 ISA570。两个防火墙还应该能够在两个 ISP 链路之间进行负载平衡。
请提出可能的设计,以通过所需的额外设备完成相同的任务。
谢谢,
关于设置现有网络架构以支持两个现有防火墙之间的负载平衡的具体问题的答案是在防火墙后面和 LAN 前面设置一个负载平衡路由器,或者如果您需要故障转移,则在 HA 中设置两个路由器从硬件故障。
这可以通过支持 IP SLA 的 Cisco 路由器实现。例如。我们之前在 Cisco 800 系列上已经做到了这一点。使用多个网关,路由器可以路由两个连接(实现负载平衡要求),如果需要,您可以使用基于策略的路由通过基于源或目标 IP 的特定链接发送所有流量。
路由器可以设置为监视两个不同的 IP 地址,一个用于每个 ISP,并设置为仅将这些 IP 的流量路由到它们各自的链路之外。如果其中一个 IP 无法访问,则可以将 IP SLA 配置为删除通过该 ISP 的路由,因此仅通过仍然可用的另一个 ISP 进行路由(满足故障转移要求)。一旦出现故障的 ISP 重新上线,路由器可以配置为自动重新添加路由,并且链路再次进行负载平衡。这是一个相对复杂的设置,示例配置取决于各种因素,包括 IOS 版本、链接类型、延迟、链接可靠性、网络拓扑、传入流量要求等。
在 ISP 发生故障的情况下,此设置还需要对故障转移和故障回复逻辑进行大量测试。如果 ISP 链路之间的故障转移过于敏感,您最终会出现路由抖动,如果不够敏感,故障转移将需要很长时间,并且在这两种情况下都会出现间歇性流量中断。请注意,此方法不使用任何花哨的路由协议,它是使用“roll-your-own”逻辑设置的。
偏离所提出的具体问题,最佳选择可能是停用现有防火墙中的一个或两个,并用支持出站负载平衡和故障转移的 HA 防火墙解决方案替换。这是一个更简单的解决方案,不同的防火墙技术通常串联使用而不是并行使用,其理论是双层多供应商防火墙提供了额外的安全层。有许多防火墙供应商和技术支持出站负载平衡(例如 PFSense、F5 等等),最好通过进一步调查来确定最好的一种。
您可以在此处阅读有关Cisco IP SLA 的信息,并在此处阅读有关 Cisco基于策略的路由的信息。