ネットワークWAN複数のファイアウォールでの負荷分散

2つの既存のファイアウォール間の負荷分散をサポートするために既存のネットワークアーキテクチャを設定することに関する特定の質問に対する答えは、ファイアウォールの背後とLANの前に負荷分散ルーターを設定するか、フェイルオーバーが必要な場合はHAに2つのルーターを設定することです。ハードウェア障害から。

これは、IPSLAをサポートするCiscoルータで実現できます。例えば。これは、以前にCisco800シリーズで行ったことがあります。複数のゲートウェイを使用して、ルーターは両方の接続をルーティングでき（負荷分散要件を達成）、必要に応じて、ポリシーベースのルーティングを使用して、送信元または宛先IPに基づく特定のリンクを介してすべてのトラフィックを送信できます。

ルーターは、ISPごとに1つずつ、2つの異なるIPアドレスを監視するように設定でき、それらのIPのトラフィックをそれぞれのリンクからのみルーティングするように設定できます。これらのIPの1つに到達できない場合、IP SLAは、そのISPを介したルートを削除するように構成できるため、まだ使用可能な他のISPを介してのみルーティングされます（フェイルオーバー要件を満たします）。障害が発生したISPがオンラインに戻ると、ルーターはルートを自動的に追加し直し、リンクは再び負荷分散されるように構成できます。これは比較的複雑なセットアップであり、構成例はIOSのバージョン、タイプなどのさまざまな要因によって異なります。リンク、遅延、リンクの信頼性、ネットワークトポロジ、着信トラフィック要件など。

このセットアップでは、ISPに障害が発生した場合に、フェイルオーバーとフェイルバックのロジックをかなりテストする必要もあります。 ISPリンク間のフェイルオーバーの感度が高すぎると、ルートがフラッピングすることになります。感度が不十分な場合、フェイルオーバーに時間がかかり、どちらの場合も断続的なトラフィックの中断が発生します。このメソッドは、派手なルーティングプロトコルを使用せず、「独自のロール」ロジックで設定されていることに注意してください。

尋ねられている特定の質問から逸脱して、最善のオプションは、既存のファイアウォールの一方または両方を廃止し、アウトバウンドロードバランシングとフェイルオーバーをサポートするHAファイアウォールソリューションに置き換えることです。これはより単純なソリューションであり、通常、さまざまなファイアウォールテクノロジーが並列ではなくインラインで使用されます。理論では、デュアルレイヤーマルチベンダーファイアウォールはセキュリティの追加レイヤーを提供します。アウトバウンドロードバランシングをサポートするファイアウォールベンダーやテクノロジーは数多くあり（PFSense、F5など）、最適なものを決定するには、さらに調査を行うのが最善です。

Cisco IP SLAはこちら 、および Cisco Policy Based Routingはこちら について読むことができます。