目前,我们有一个 Cisco ISA570 防火墙,它可以在两个 ISP 链路之间实现故障转移负载平衡。
我想购买一台 Sonicwall NSA6000 作为主设备,ISA570 作为故障转移设备。我应该如何重新设计网络,以便 WAN 链接和 LAN 流量能够正确实现负载平衡?
每个 ISP 仅提供一个网关 IP。
目前 LAN 流量通过 Cisco 2960s 传输。
如果 Sonicwall 出现任何故障,网络应该能够从 Sonicwall 切换到 ISA570。两个防火墙还应该能够在两个 ISP 链路之间进行负载平衡。
请建议可能的设计,以便使用所需的额外设备完成相同的工作。
谢谢,
答案1
关于设置现有网络架构以支持两个现有防火墙之间的负载平衡的具体问题的答案是在防火墙后面和 LAN 前面设置一个负载平衡路由器,或者如果需要从硬件故障中进行故障转移,则在 HA 中设置两个路由器。
这可以通过支持 IP SLA 的 Cisco 路由器实现。例如,我们之前曾使用 Cisco 800 系列实现过此操作。使用多个网关,路由器可以路由两个连接(实现负载平衡要求),如果需要,您可以使用基于策略的路由通过基于源或目标 IP 的特定链接发送所有流量。
路由器可以设置为监控两个不同的 IP 地址,每个 ISP 一个,并设置为仅将这些 IP 的流量路由到其各自的链路。如果其中一个 IP 无法访问,则可以配置 IP SLA 以删除通过该 ISP 的路由,因此仅通过仍然可用的其他 ISP 进行路由(满足故障转移要求)。一旦发生故障的 ISP 重新上线,就可以将路由器配置为自动添加路由,并且链路再次进行负载平衡。这是一个相对复杂的设置,示例配置取决于各种因素,包括 IOS 版本、链路类型、延迟、链路可靠性、网络拓扑、传入流量要求等。
此设置还需要对 ISP 发生故障时的故障转移和故障恢复逻辑进行大量测试。如果 ISP 链路之间的故障转移过于敏感,则最终会导致路由不稳定;如果不够敏感,则故障转移需要很长时间,并且在两种情况下都会出现间歇性流量中断。请注意,此方法不使用任何花哨的路由协议,而是使用“自行设置”的逻辑进行设置。
偏离所提出的具体问题,最好的选择可能是停用一个或两个现有防火墙,并用支持出站负载平衡和故障转移的 HA 防火墙解决方案替换。这是一个更简单的解决方案,不同的防火墙技术通常是串联使用而不是并行使用,其理论是双层多供应商防火墙可以提供额外的安全层。有许多防火墙供应商和技术支持出站负载平衡(例如 PFSense、F5 等),最好通过进一步调查来确定最佳方案。
您可以阅读Cisco IP SLA 点击此处,以及这里是基于思科策略的路由。