Multi-WAN

Использование нескольких External интерфейсов

Firebox предоставляет вам возможность обеспечить резервирование интерфейсов External. Компании часто используют эту опцию если им необходимо постоянное подключение к сети Интернет. Компонент multi-WAN позволяет вам настроить до 4 интерфейсов External, каждый в разной подсети. Это позволит вам подключить Firebox к нескольким ISP. При настройке второго интерфейса компонент multi-WAN автоматически включается.

Требования и условия использования Multi-WAN

Для использования этой опции вам необходимо второе подключение к сети Интернет. При использовании multi-WAN необходимо помнить следующее:

• Если у вас есть политика, настроенная для псевдонима отдельного интерфейса External, вам необходимо изменить псевдоним на “Any-External” или другой псевдоним, который вы настроите для интерфейсов External. Если вы не сделаете этого, то часть трафика может быть заблокирована политиками межсетевого экрана.

• Параметры Multi-WAN не применяются к входящему трафику. При настройке политики для входящего трафика вы можете игнорировать все параметры multi-WAN.

• Вы можете изменить параметры multi-WAN в любой политике. В закладке Policy политики включите опцию Use policy-based routing и укажите интерфейс External, который будет использоваться устройством Firebox.

• Присвойте FQDN (Fully Qualified Domain Name) имя вашей компании IP-адресу интерфейса External низшего порядка. Если вы хотите добавить multi-WAN Firebox к конфигурации вашего Сервера Управления, вам необходимо добавить Firebox, используя его интерфейс External низшего порядка, который будет использоваться для его идентификации.

• multi-WAN работает только в режиме смешанной маршрутизации. Эта функция не работает в режимах drop-in или моста.

• Для того чтобы использовать метод Interface Overflow, вам необходимо иметь Fireware XTM c обновлением Pro. Вам также понадобится лицензия Fireware Pro в случае если вы используете метод Round-robin и хотите настроить различные весовые коэффициенты для интерфейсов External устройства

Для управления сетевым трафиком вы можете использовать одну из четырех multi-WAN опций.

Multi-WAN и DNS

Убедитесь, что DNS сервер доступен из любой WAN. В противном случае вам необходимо сделать следующие изменения в вашей политики:

• Список From должен содержать Firebox.

• Выберите Use policy-based routing. Если DNS сервер доступен только из одной WAN, выберите интерфейс в соответствующем выпадающем списке. Если DNS сервер доступен из нескольких WAN, выберите любую из них, выберите Failover, выберите Configure и выберите все интерфейсы, которые имеют доступ к DNS серверу. Порядок не имеет значения.

Multi-WAN и FireCluster

Вы можете использовать multi-WAN переключение с FireCluster. При этом настройка каждого компонента осуществляется отдельно. Multi-WAN переключение, причиной которого стало обрыв связи, не запускает процедуру переключения FireCluster. Переключение FireCluster происходит только в случае выхода из строя физического интерфейса или в случае отсутствия ответа на запрос, отправленного на этот интерфейс. Переключение FireCluster является более приоритетным, чем multi-WAN переключение.

Для настройки маршрутизации на базе политик вам необходим Fireware XTM с обновлением Pro.

Опции multi-WAN

При настройке нескольких интерфейсов External у вас есть четыре опции, которые используются для управления интерфейсами для исходящих пакетов. Некоторые опции потребуют наличия установленного Fireware XTM  с обновлением Pro.

Multi-WAN в режиме Round-robin

При настройке multi-WAN с методом Round-robin устройство Firebox проверяет свою внутреннюю таблицу маршрутизации на наличие статического или динамического маршрута для каждого подключения. Если указанный маршрут не найден, Firebox распределяет трафик между всеми External интерфейсами.

Для распределения трафика между интерфейсами, которые вы указали в конфигурации Round-Robin, Firebox использует следующие величины: средний объем отправленного (TX) и принятого (RX) трафика. Если вы используете Fireware Pro вы можете присвоить каждому интерфейсу, указанному в конфигурации Round-Robin, весовой коэффициент. По умолчанию  для всех пользователей Fireware каждый интерфейс имеет весовой коэффициент 1.

Весовой коэффициент определяет часть трафика, которую Firebox передает через этот интерфейс. Если вы используете Fireware Pro и вы присвоили интерфейсу весовой коэффициент равный 2, то через этот интерфейс будет передаваться в два раза больше трафика, чем через интерфейс с весовым коэффициентом 1. Например если у вас есть три интерфейса External c пропускными способностями 6M, 1.5M и .075M соответственно и вы хотите сбалансировать трафик между тремя интерфейсами, вам необходимо использовать весовые коэффициенты 8, 2 и 1 соответственно.

Fireware попытается распределить трафик следующим образом: через три интерфейса будет проходить 8/11, 2/11 и 1/11 от общего трафика.

Переключение (Failover)

Если вы используете метод переключения для маршрутизации трафика через External интерфейсы устройства Firebox, то вам необходимо выбрать один из интерфейсов в качестве основного. Другие интерфейсы будут использоваться для резервирования. Вы можете выбрать в каком порядке Firebox будет использовать резервные интерфейсы. Firebox выполняет мониторинг основного External интерфейса. Если интерфейс выйдет из строя, Firebox перенаправит весь трафик на следующий External интерфейс, указанный в конфигурации.

В то время, как Firebox передает трафик по резервному интерфейсу, он продолжает выполнять мониторинг основного интерфейса. Как только основной интерфейс снова заработает, Firebox мгновенно перенаправит все новые соединения на него. Вы можете принять решение, что делать с существующими подключениями; эти подключения могут быть немедленно переключены на основной интерфейс или до самого завершения эти подключения будут работать через резервный интерфейс.

Переключения Multi-WAN и FireCluster настраиваются отдельно друг от друга. Multi-WAN Failover, причиной которого стал обрыв связи, не запускает процедуру переключения FireCluster

Переключение FireCluster происходит только когда физический интерфейс вышел из строя или не отвечает. Переключение FireCluster имеет более высокий приоритет по сравнению с переключением multi-WAN.

Метод Interface overflow (Переполнение интерфейса)

Если вы используете метод Interface Overflow,  то вам необходимо выбрать порядок использования интерфейсов устройством Firebox для передачи данных и для каждого интерфейса указать пороговую величину пропускной способности. Firebox начинает передавать трафик через первый в списке Interface Overflow интерфейс External. Когда трафик через этот интерфейс достигает пороговой величины Firebox начинает передавать данные по следующему по списку интерфейсу. Такой метод позволяет ограничить объем трафика, передаваемого через каждый интерфейс. Для того чтобы определить пропускную способность Firebox проверяет количество переданных (TX) и принятых (RX) пакетов данных и использует наибольшее число.

При настройке пороговой величины пропускной способности для каждого интерфейса, вам необходимо учитывать интенсивность использования этого интерфейса вашей сетью и устанавливать пороговую величину в зависимости от этого. Например, если ISP асимметричен и вы установили пороговую величину пропускной способности на основе большой скорости TX, то Interface Overflow не будет запущен большой скоростью RX. Если все интерфейсы WAN достигнут предела своей пропускной способности, Firebox для поиска оптимального пути будет использовать протокол ECMP (Equal Cost MultiPath Protocol). Для того чтобы использовать метод маршрутизации multi-WAN у вас должен быть установлен Fireware XTM с обновлением Pro.

Routing Table (Таблица маршрутизации)

Если вы выберете опцию Routing Table для вашей конфигурации multi-WAN, Firebox будет использовать маршруты своей внутренней таблицы маршрутизации или маршруты, которые он получил от динамических процессов маршрутизации, для передачи данных через корректный интерфейс External. Для проверки наличия маршрута для пакета данных Firebox просматривает свою таблицу маршрутизации. В закладке Status системы Firebox System Manager вы можете посмотреть список маршрутов.

Опция Routing Table является опцией multi_WAN по умолчанию. Если Firebox не может найти указанный маршрут, то он выбирает маршрут на базе хэша IP-адресов источника и назначения при помощи протокола ECMP (Equal Cost Multipath Protocol): http://www.ietf.org/rfc/rfc2992.txt

При помощи протокола ECMP, Firebox использует алгоритм для решения по какому маршрут отправлять пакет данных. Этот алгоритм не учитывает текущий объем трафика.

Serial модем (только для Firebox X Edge)

Если у вашей компании есть учетная запись для dial-up подключений, то вы можете к последовательному интерфейсу вашего Edge подключить внешний модем  и использовать это подключение в случае если все остальные вышли из строя.

Настройка опции Routing Table

Перед тем, как начать

• Для того чтобы использовать компонент multi-WAN у вас должно быть несколько настроенных интерфейсов External.

• Вам необходимо решить является ли метод Routing Table тем методом multi-WAN, который вам необходим. ”

• Убедитесь, что вы действительно понимаете принцип работы и требования к компоненту multi-WAN и выбранному вами методу.

Режим Routing Table и балансировка нагрузки

Важно помнить, что опция Routing Table не балансирует нагрузки для подключений к сети Интернет. Firebox считывает данные из внутренней таблицы маршрутизации сверху вниз. Статические и динамические маршруты имеют более высокий приоритет по сравнению с маршрутами по умолчанию. Поэтому они расположены в верхней части таблицы. (Маршрут по умолчанию – это маршрут с адресом назначения 0.0.0.0/0.)

Если для указанного места назначения маршрут не найден, трафик маршрутизируется между External интерфейсами при помощи алгоритма ECMP. Это может привести к распределению пакетов между несколькими External интерфейсами

Настройка интерфейсов

1. В Policy Manager выберите Network > Configuration

2. Выберите закладку Multi-WAN.

3. Из выпадающего списка выберите Routing table. По умолчанию IP-адрес всех интерфейсов External включены в конфигурацию

4. Если вы хотите удалить интерфейс из конфигурации, то нажмите Configure и отключите флаг рядом с интерфейсом, который вы хотите удалить. В конфигурации должен быть минимум один интерфейс External. Это может быть полезно если вы хотите для определенного трафика использовать маршрутизацию на базе политик и оставить только одну WAN для трафика по умолчанию.

5. Для того чтобы завершить процедуру конфигурации, вам необходимо добавить информацию о мониторинге подключения, как описано в “Состояние WAN интерфейса”.

Таблица маршрутизации Firebox

Если вы выберете опцию Routing Table, вам полезно будет знать внутреннюю структуру таблицы маршрутизации Firebox.

1. Откройте Firebox System Manager

2. Выберите закладку Status Report.

3. При помощи полосы прокрутки найдите таблицу Kernel IP routing table. Это внутренняя таблица маршрутизации Firebox. Под таблицей вы можете найти информацию о группе ECMP.

Таблица маршрутизации Firebox включает следующее:

• Динамические маршруты, созданные протоколами маршрутизации (RIP, OSPF, and BGP) (если вы включили динамическую маршрутизацию)

• Постоянные сетевые маршруты или маршруты хостов, добавленные вами в закладке Network > Routes утилиты Policy Manager.

• Маршруты, которые автоматически создаются Firebox при чтении информации о конфигурации сети (Network > Configuration).

• Если Firebox обнаруживает, что интерфейс External вышел из строя, он удаляет любые статические или динамические интерфейсы, которые используются этим интерфейсом. Это происходит тогда, когда хосты, указанные в закладке Link Monitor, не отвечают и если Ethernet подключение выходит из строя.

Когда использовать методы Multi-WAN и маршрутизацию

Если вы используете динамическую маршрутизацию, то вы можете использовать следующие режимы конфигурации multi-WAN - Routing Table или Round-Robin. Выбранный вами режим конфигурации не распространяется на маршруты, которые используют шлюз по умолчанию во внутренней сети (Optional или Trusted сетях).

В каких случаях выбрать режим Routing Table

Режим Routing Table рекомендуется использовать в следующих ситуациях:

• Вы используете динамическую маршрутизацию (RIP, OSPF или BGP) и маршрутизаторы во внешних сетях присылают на устройство Firebox информацию о маршрутах, таким образом позволяя устройству Firebox выбирать наиболее оптимальные машруты во внешние сети

• Вам необходимо получить доступ к внешнему сайту или внешней сети через определенный маршрут. Например:
  
  * У вас есть сегмент, который использует маршрутизатор Frame Relay во внешней сети.
  * Вы хотите, чтобы весь трафик, передаваемый во внешнюю сеть, проходил чеерез определенный интерфейс External.

Метод Routing Table – самый быстрый метод балансировки нескольких маршрутов в сеть Интернет. После того, как вы включите эту опцию, управления всеми соединениями будет выполнять алгоритм ECMP. Вам нет необходимости выполнять какие-либо дополнительные настройки на Firebox.

В каких случаях использовать метод Round-Robin

Балансировка нагрузки для подключений к сети Интернет при помощи алгоритма ECMP базируется на подключениях, а не на пропускной способности. Статические или динамические маршруты используются до применения алгоритма ECMP. Если у вас установлен Fireware XTM Pro, опция Round-Robin предоставляет вам возможность передавать большее количество через один интерфейс, чем через другой. В то же время алгоритм Round Robin распределяет трафик между External интерфейсами на базе пропускной способности, а не количества подключений. Это предоставляет вам возможность управлять количеством байт, переданных через определенный ISP.

Купить WatchGuard:   Firebox X Core e-Series - Надёжное UTM-решение для растущего бизнеса. Firebox X Edge e-Series- Решение для информационной безопасности малых сетей и удаленных офисов.  Firebox X Peak e-Series - Используется в сложных, разветвленных сетях.