目前我们有一个Cisco ISA570防火墙,它在两个ISP链路之间进行故障转移负载平衡。
我想获得应该是主要的Sonicwall NSA6000和作为故障转移设备的ISA570。 我应该如何重新devisenetworking,使WAN链路以及LANstream量得到正确的负载平衡?
ISP只提供一个网关IP。
目前LANstream量通过思科2960s。
如果Sonicwall发生故障,networking应该能够从Sonicwall切换到ISA570。 两个防火墙也应该能够在两个ISP链路之间进行负载平衡。
请build议可能的devise,以完成所需的额外设备相同。
谢谢,
为了支持现有的两个防火墙之间的负载平衡,build立现有networking体系结构的具体问题的答案是在防火墙之后和LAN之前build立一个负载均衡路由器,或者如果需要故障转移,则在HA中设置两个路由器从硬件故障。
这可以通过支持IP SLA的Cisco路由器来实现。 例如。 我们之前已经用Cisco 800系列完成了这个工作。 使用多个网关,路由器可以路由出两个连接(实现负载平衡要求),并且如果需要,您可以使用基于策略的路由通过基于源IP或目标IP的特定链路发送所有stream量。
路由器可以设置为监视两个不同的IP地址,每个ISP一个,并设置路由stream量这些IP只出自其各自的链接。 如果其中一个IP不可达,则可以将IP SLAconfiguration为删除通过该ISP的路由,因此只能通过仍然可用的其他ISP路由(满足故障切换要求)。 一旦失败的ISP重新联机,路由器可以被configuration为自动添加路由,并且链路再次进行负载平衡。 这是一个相对复杂的设置,一个示例configuration取决于各种因素,包括IOS的版本,链接的types,延迟,链接的可靠性,networking拓扑结构,传入的stream量要求等。
在ISP故障的情况下,这种设置还需要对故障转移和故障恢复逻辑进行相当多的testing。 如果ISP链路之间的故障切换过于敏感,则最终会出现振荡路由,如果不够敏感,则需要很长时间才能进行故障切换,并且在这两种情况下都会出现间歇性的stream量中断。 请注意,此方法不使用任何花哨的路由协议,它使用“roll-your-own”逻辑进行设置。
不同于被问到的具体问题,最好的select可能是淘汰一个或两个现有的防火墙,并replace支持出站负载平衡和故障转移的高可用性防火墙解决scheme。 这是一个更简单的解决scheme,不同的防火墙技术通常使用内联而不是并行,理论上说双层多供应商防火墙提供了额外的安全层。 有许多防火墙供应商和技术支持出站负载平衡(例如PFSense,F5,还有更多),通过进一步的调查确定最好的防火墙供应商和技术是最好的。
您可以在这里阅读有关思科IP SLA的信息 ,以及有关思科策略路由的信息。