j'ai compris

Routage intelligent dans les pare-feu Huawei 2

publié il y a  2021-1-18 17:24:07 166 0 0 0 0

Jetons un coup d'œil à la situation dans laquelle je me suis moi-même retrouvé après avoir configuré l'accès à deux FAI. Nous avons merveilleusement défini qu'une partie du trafic devait aller dans un sens et d'autres dans une autre. Les utilisateurs peuvent regarder des chatons sur Internet, des vidéos, différents Facebook, etc. Mais ensuite, ils commencent à utiliser Internet pour le travail, et il s'avère que tout n'est pas si simple. Le premier problème que j'ai rencontré était que le service économique ne pouvait pas transférer mon salaire car la «banque cliente» ne fonctionnait pas. C'est un problème critique! Voyons ce qui l'a causé.

Pas collant


L'économiste a lancé l'application «banque-client» et a établi une connexion avec le serveur de la banque. Le pare-feu a choisi pour cette connexion, par exemple, le premier FAI (chemin vert). Le serveur de la banque s'est souvenu que le client s'était connecté à partir d'une adresse IP spécifique. Puis le «client-banque» a créé une autre connexion dans le cadre de son travail. Mais le pare-feu a décidé que dans le cadre de l'équilibrage de charge, il devait être envoyé via un autre FAI (le long du chemin orange). De son point de vue, tout est correct - il s'agit d'une nouvelle connexion, donc elle est équilibrée séparément. Mais le serveur de la banque pense complètement différemment, il décide qu'il s'agit d'une connexion du même client, mais pour une raison quelconque avec une adresse IP différente. Il pense que quelque chose ne va pas avec le client et cesse de travailler avec lui. Aussi décision absolument correcte et correcte. Mais, malgré le fait que tout le monde a raison, ils ne peuvent pas transférer mon salaire. Nous devons résoudre ce problème! Nous avons plusieurs façons de procéder:

  1. Désactivez complètement le deuxième fournisseur. Lorsque nous n'avons qu'un seul fournisseur, il n'y a pas du tout de tels problèmes.

  2. Changez le mode d'opération d'équilibrage de charge en équilibrage en fonction de la qualité de la liaison ou des poids de liaison. Mais ce n'est pas une panacée, car avec une forte charge sur Internet, des situations sont encore possibles avec un changement de FAI pour l'utilisateur.

  3. Utilisez la technologie de session collante. Il vous permet d'étendre la liaison de l'utilisateur au FAI. Je le décrirai plus en détail un peu plus tard.

  4. Utilisez le routage basé sur des règles pour identifier un fournisseur spécifique pour un type de trafic spécifique. Voir plus de détails ci-dessous.


Regardons de plus près les sessions persistantesCe mode est activé et configuré en conjonction avec l'équilibrage de charge ISP. Nous pouvons choisir un masque de bits pour déterminer avec précision les adresses du client et du serveur à coller avec un FAI. Après l'activation, le mécanisme de fonctionnement sera le suivant: lors de la création d'une nouvelle session, le pare-feu regardera sa table de sessions et y cherchera une entrée qui correspond aux paramètres des "sessions persistantes". S'il existe un tel enregistrement, la nouvelle session sera liée au même FAI que l'ancienne. S'il n'y a pas d'entrées correspondantes, sélectionnez le FAI à l'aide de l'algorithme d'équilibrage de charge. Dans les systèmes plus simples, vous ne pourrez pas choisir la précision de la détection de "session persistante" à l'aide de masques de bits. Dans ce cas, chaque utilisateur sera complètement collé à un seul FAI. Une telle liaison est mauvaise avec une forte différence dans les vitesses des FAI - certains utilisateurs peuvent être très malchanceux. Sur le pare-feu précédent, j'ai rencontré ce problème. Enfin, considérons un exemple concret de configuration d'un pare-feu Huawei. Pour commencer - l'ancienne version du firmware. Il n'y a pas beaucoup de paramètres - soit nous choisissons l'itinéraire par l'adresse source, soit par l'adresse de destination.

vieux collant


Tout peut être bien mieux configuré dans la nouvelle version. Nous pouvons définir la "précision" de la détermination des adresses source et de destination pour ne coller que les connexions à des serveurs spécifiques à un FAI spécifique. Les paramètres comme dans la capture d'écran (paramètres par défaut) nous permettent de travailler de manière stable, uniformément en utilisant deux fournisseurs.

nouveau collant


  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Accord utilisateur ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.