j'ai compris

Le routage intelligent dans les pare-feu Huawei

publié il y a  2021-1-18 17:22:31 117 0 0 0 0

Aujourd'hui, nous allons aborder le sujet intéressant suivant: comment travailler avec un pare-feu connecté à plusieurs fournisseurs. Ce n'est un secret pour personne qu'il est possible d'augmenter la fiabilité de la communication en ajoutant un certain nombre de façons différentes d'accéder à Internet. On peut même connecter un pare-feu relativement simple à deux fournisseurs, par exemple, via un câble à paire torsadée et un modem 4G. En conséquence, nous obtenons un merveilleux système redondant. Mais cela conduira à la nécessité de résoudre les problèmes suivants:

 

1. La présence de deux fournisseurs ne signifie pas que vous pouvez les utiliser simultanément. Nous avons besoin des fonctions d'équilibrage de la charge sur les canaux. Dans ce cas, la vitesse, le coût et la charge du canal doivent être pris en compte.

2. Il est nécessaire de pouvoir attacher des utilisateurs (et des types de trafic) à leur fournisseur prioritaire.

3. Il est nécessaire de surveiller les performances de chaque fournisseur séparément afin de savoir par qui vous pouvez envoyer du trafic et par qui vous ne pouvez pas.

4. Si nous nous connectons à un appareil dans le réseau de l'un de nos fournisseurs, il sera très probablement plus rapide et plus fiable via ce fournisseur lui-même, et non via son concurrent.

 

L'équilibrage de charge

Imaginons que nous ayons deux fournisseurs. L'un avec une vitesse de 100 Mbit / s, et le second est également de 100 Mbit / s. Il est logique de les utiliser en simulation. Autrement dit, envoyez la moitié du trafic via un fournisseur, l'autre moitié via un autre. Si la vitesse de l'un des fournisseurs augmente à 200 Mbps, vous devez envoyer deux fois plus de trafic via celui-ci que via un autre fournisseur. Nous pouvons personnaliser cela des manières suivantes:

1. Configurez l'équilibrage de charge en fonction de la vitesse prédéfinie des liens des fournisseurs.

2. Mettre en place un équilibrage par des liens «poids».

3. Mettre en place un équilibrage en évaluant la qualité des liens des prestataires.

4. Définissez les priorités des prestataires.

 

L'équilibrage de charge par bande passante de liaison est l' un des plus compréhensibles. Le pare-feu essaiera de charger tous les liens avec le même pourcentage de charge. Ainsi, nous obtiendrons l'utilisation la plus «salie» des fournisseurs.

LAN ß à                

Pare-feu

ß 50 Mb / s à                

ISP1 (50%) ß à                

ß à Internet                

ß 30 Mb / s à                

ISP2 (30%) ß à                

ß 20 Mb / s à                

ISP3 (20%) ß à                

 

Lorsque l'équilibrage de charge par poids de liaison est utilisé au lieu de la vitesse de liaison, nous définissons son «poids». Et ce poids déterminant le trafic qui sera envoyé via ce fournisseur. Plus le "poids" est élevé, plus le fournisseur recevra de trafic. Nous pouvons modifier manuellement ces pondérations pour modifier les priorités de sélection des fournisseurs. Par exemple, si nous voulons que l'un des fournisseurs soit moins utilisé, bien que la vitesse de ses liens soit élevée, nous fixons son "poids" plus bas.

 

LAN ß à                

Pare-feu

ß 5 à                

ISP1 (50%) ß à                

ß à Internet                

ß 3 à                

ISP2 (30%) ß à                

ß 2 à                

ISP3 (20%) ß à                

 

Dans l' équilibrage de charge par qualité de lien, notre pare-feu commencera à montrer des choses absolument magiques. Il vérifiera lui-même la qualité des liens de chaque fournisseur et se souviendra: combien de paquets ont été perdus, quel est le délai de réponse et quelle est la différence entre les retards de paquets (gigue, qui détermine la stabilité du canal). À la suite d'un tel exercice, le pare-feu trouve le meilleur fournisseur et lui envoie tout le trafic, car il remplit ses fonctions mieux que les autres.

LAN ß à                

Pare-feu

ß 0 из 5 à                

ISP1 (100%) ß à                

ß à Internet                

ß 1 из 5 à                

FAI2 (0%)

ß 5 из 5 à                

FAI3 (0%)




Taux de perte de paquets


 

Nous pouvons également Keep It Simple (Stupid) - configurer les liens actifs / veille . Dans ce cas, nous aurons un fournisseur principal, un fournisseur de sauvegarde, une sauvegarde du fournisseur de sauvegarde, et ainsi de suite. Dans ce mode, nous choisissons nous-mêmes le "meilleur combattant" et le chargeons au maximum. Les autres se reposent.

LAN ß à                

Pare-feu

ß Actif à                

ISP1 (100%) ß à                

ß à Internet                

ß Sauvegarde à                

FAI2 (0%)

ß Sauvegarde à                

FAI3 (0%)

 

Très probablement, sur les deux derniers points, vous avez déjà posé la question: «comment est-ce? Nous avons de nombreux fournisseurs, mais nous n'en utilisons qu'un - en quelque sorte, c'est faux! "Et vous avez raison! Ce n'est pas juste! Je n'ai pas encore dit que pour chaque fournisseur, nous pouvons spécifier sa vitesse (quel que soit le mode d'équilibrage) et le" degré de protection contre les surcharges "- le pourcentage d'occupation du lien, après que le fournisseur donné est considéré comme complètement chargé et qu'aucun nouveau trafic ne lui est donné. Jetons un coup d'œil au comportement d'un pare-feu en gardant ces deux paramètres à l'esprit.

LAN ß à                

Pare-feu

ß 50 Mb / s 90% à                

ISP1 ß à 45 Mb / s                

ß à Internet                

ß 30 Mb / s 90% à                

ISP2 ß à 20 Mb / s                

ß 20 Mb / s 90% à                

ISP3 ß à 10 Mb / s                

 

Lorsque l'équilibrage de charge par bande passante de liaison est utilisé, le pare-feu essaie de tout équilibrer en termes de vitesse des liens, mais en même temps, il n'essaiera pas d'ajouter du nouveau trafic au lien «encombré» s'il y a «non encombré» ”Ceux. Faisons une clarification très importante. Le pare-feu choisit un fournisseur de trafic uniquement pour le premier paquet de la chaîne de paquets associés, le reste des paquets suit le même chemin que le premier. Autrement dit, si un lien du fournisseur pour lequel nous avons réglé la protection contre les surcharges à 90% se révèle être "surchargé", alors seul le nouveau trafic n'y entrera pas et l'ancien peut augmenter de 10% supplémentaires.

LAN ß à                

Pare-feu

ß 5 50 Mb / s 90% à                

ISP1 ß à 45 Mb / s                

ß à Internet                

ß 3 30 Mb / s 90% à                

ISP2 ß à 28 Mb / s                

ß 2 20 Mb / s 90% à                

ISP3 ß à 15 Mb / s                

 

Lorsque l'équilibrage de charge par poids de lien est utilisé, la protection contre la «congestion» peut supprimer certains fournisseurs de la liste des liens qui peuvent être utilisés pour sélectionner une route. C'est-à-dire que la liaison de priorité la plus élevée peut "se déconnecter" pendant un certain temps jusqu'à ce que sa charge diminue. Et si du nouveau trafic arrive, nous choisissons un fournisseur parmi les autres avec leurs priorités restantes.

L'équilibrage de charge par qualité de lien agit de la même manière.

LAN ß à                

Pare-feu

ß 50 Mb / s 90% à                

ISP1 ß à 45 Mb / s                

ß à Internet                

ß 30 Mb / s 90% à                

ISP2 ß à 20 Mb / s                

ß 20 Mb / s 90% à                

ISP3                

 

Dans le cas des liaisons actives / en veille, tout est identique. Mais je tiens à noter que le canal de sauvegarde commence à fonctionner non pas lorsque le canal principal a complètement échoué, mais lorsqu'il devient «surchargé».


  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Accord utilisateur ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.