L'état de l'interface est utilisé par le multi-WAN et le SD-WAN sur le Firebox :
- Pour un multi-WAN en mode basculement, si l'interface principale est inactive, le trafic bascule vers une autre interface.
- Pour tous les autres modes multi-WAN, si l'interface principale est inactive, cette interface n'est plus disponible en tant qu'interface multi-WAN.
- Dans une configuration SD-WAN comprenant plusieurs interfaces, si l'interface préférée est inactive, le trafic bascule vers une autre interface.
Dans Fireware v12.2.1 et les versions antérieures, les paramètres du Contrôle des Liaisons figurent dans la configuration du multi-WAN et vous devez activer le multi-WAN pour configurer les cibles du Contrôle des Liaisons. Vous pouvez configurer jusqu'à deux cibles par interface. Pour configurer des cibles de Contrôle des Liaisons dans Fireware v12.2.1 et les versions antérieures, consultez Configurer le Contrôle des Liaisons dans Fireware v12.1 à v12.2.1 et Configurer le Basculement de Modem et le Contrôle des Liaisons dans Fireware v12.0.2 et les versions antérieures de la Base de Connaissances WatchGuard.
Interfaces Prises en Charge
Vous pouvez ajouter les types d'interface suivants au Contrôle des Liaisons :
Interfaces externes
Dans Fireware v12.4 et les versions ultérieures, pour surveiller une interface externe, vous devez l'ajouter manuellement au Contrôle des Liaisons. Lorsque vous ajoutez une interface externe au Contrôle des Liaisons, la cible est la passerelle par défaut, à savoir le saut suivant après le Firebox. Pour obtenir des données opérationnelles significatives, nous vous recommandons de remplacer la cible de la passerelle par défaut par une autre cible du Contrôle des Liaisons qui se trouve plus en amont. Pour obtenir des informations concernant la sélection d'une cible pour le Contrôle des Liaisons, consultez Recommandations relatives aux Cibles.
Pour configurer le routage SD-WAN basé sur métrique pour les interfaces externes, vous devez configurer des cibles de Contrôle des Liaisons pour ces interfaces.
Si votre Firebox possède une seule interface externe, vous pouvez ajouter celle-ci au Contrôle des Liaisons dans Fireware v12.3 et les versions ultérieures (Web UI) ou Fireware v12.4 et les versions ultérieures (Policy Manager et Web UI). Dans Fireware v12.2.1 et les versions antérieures, il est impossible d'activer le Contrôle des Liaisons pour une seule interface.
Si une interface externe est un membre d'une configuration FireCluster, un basculement multi-WAN dû à un échec de connexion à un hôte de contrôle des liaisons ne déclenche pas de basculement FireCluster. Le basculement FireCluster a lieu uniquement lorsque l'interface physique est inactive ou ne répond pas.
Les interfaces externes englobent les modems.
Interface internes (Fireware v12.4 et versions ultérieures)
Une interface interne est une interface Approuvée, Facultative ou Personnalisée. Pour surveiller une interface interne, vous devez l'ajouter manuellement au Contrôle des Liaisons.
Lorsque vous ajoutez une interface interne au Contrôle des Liaisons, vous devez ajouter une adresse IP de saut suivant ou une cible personnalisée avant de pouvoir utiliser l'interface dans une action SD-WAN. Nous vous recommandons de spécifier une adresse IP de saut suivant. L'adresse IP de saut suivant indique au Firebox comment acheminer le trafic du Contrôle des Liaisons et le trafic SD-WAN de l'interface. Si vous ne spécifiez pas d'adresse IP de saut suivant, la table de routage du Firebox est utilisée pour router le trafic.
Si vous ajoutez une adresse IP de saut suivant, une cible ping vers l'adresse IP de saut suivant est automatiquement ajoutée. Vous pouvez conserver cette cible ou ajouter une cible personnalisée ping, TCP ou DNS vers un autre hôte.
Si vous ajoutez une interface interne au Contrôle des Liaisons sans spécifier d'adresse IP de saut suivant ni de cible personnalisée, il est impossible d'ajouter l'interface à une action SD-WAN.
Interfaces virtuelles BOVPN (Fireware v12.4 et versions ultérieures)
Pour ajouter une interface virtuelle BOVPN au Contrôle des Liaisons, vous devez d'abord configurer une adresse IP de pair virtuelle dans les paramètres de l'interface virtuelle BOVPN. Vous devez saisir une adresse IP et non un masque de réseau. Vous devez ensuite ajouter manuellement l'interface au Contrôle des Liaisons.
Lorsque vous ajoutez une interface virtuelle BOVPN au Contrôle des Liaisons, le Firebox ajoute automatiquement une cible de ping à l'adresse IP du pair. Il est impossible de modifier ou supprimer cette cible.
Cibles Prises en Charge
Le Contrôle des Liaisons prend en charge les types de cibles suivants :
- Ping — Envoie un ping à une adresse IP ou un nom de domaine
- TCP — Envoie des requêtes TCP à une adresse IP ou un nom de domaine avec un numéro de port
- DNS — Interroge l'adresse IP d'un serveur DNS pour le nom de domaine spécifié (Fireware v12.3 et versions ultérieures)
Dans Fireware v12.3 et les versions ultérieures, vous pouvez configurer jusqu'à trois cibles de Contrôle des Liaisons par interface. Les cibles peuvent être du même type ou de types différents. À titre d'exemple, vous pouvez configurer trois cibles ping pour une interface. Vous pouvez également configurer une cible ping, une cible TCP et une cible DNS pour une interface.
Recommandations relatives aux Cibles
Pour vous assurer que le trafic bascule vers une autre interface en cas de problème réseau, nous vous recommandons de :
- Configurer au moins deux cibles de Contrôle des Liaisons pour chaque interface externe.
- Sélectionner une cible de Contrôle des Liaisons efficace. Dans la plupart des cas, nous vous recommandons de sélectionner une cible de Contrôle des Liaisons différente de la passerelle par défaut.
- Sélectionnez des cibles dont le temps d'activité est fort, tels que les serveurs hébergés par votre fournisseur de services Internet.
- Spécifiez un hôte de Contrôle des Liaisons différent pour chaque interface externe.
Si vous activez le Contrôle des Liaisons sur une interface sans configurer de cible personnalisée, le Firebox envoie une requête ping à la passerelle par défaut de l'interface afin de déterminer l'état de cette dernière. La passerelle par défaut est généralement le modem ou le routeur du Fournisseur de Services Internet (ISP). La passerelle par défaut ne constitue pas une cible fiable pour les raisons suivantes :
- Si l'équipement du Fournisseur de Services Internet situé après le modem ne parvient pas à se connecter à Internet bien que la passerelle par défaut réponde correctement à une requête ping, le Firebox ne détecte pas que l'interface est inactive. Cette situation survient car la passerelle est le seul test de connectivité. Dans certains modes Multi-WAN, cela peut causer une perte de trafic, car le Firebox continue d'envoyer des paquets via une interface inactive figurant comme active, car le modem ou routeur connecté répond aux requêtes ping.
- Certains équipements de Fournisseurs de Services Internet peuvent être configurés de manière à ne pas répondre au ping.
Recommandations relatives aux cibles ping
- Pour trouver une cible de Contrôle des Liaisons convenable, vous pouvez exécuter la commande traceroute (tracert sous Windows) vers une adresse IP externe. Nous vous recommandons d'employer une cible ping située sur le réseau du Fournisseur de Services Internet, deux ou trois sauts après le modem ou le routeur. Les serveurs DNS que vous a fourni votre fournisseur de services internet peuvent être utiles.
- Si un site distant est indispensable à vos opérations commerciales, tel qu'un site de traitement de cartes de crédit ou un partenaire commercial, demandez à l'administrateur du site la permission de surveiller un périphérique de ce site afin de vérifier sa connectivité.
- Faites une requête ping pour une adresse IP, non pas un nom de domaine. Un DNS est nécessaire pour une requête ping sur un nom de domaine. Un problème de serveur DNS peut provoquer une fausse erreur de défaillance d'interface.
- Spécifiez un hôte de Contrôle des Liaisons différent pour chaque interface externe. Si vous spécifiez la même adresse IP ou le même nom de domaine pour toutes les interfaces externes, une défaillance de cet hôte distant provoquera la défaillance de toutes vos interfaces externes.
Recommandations relatives aux cibles TCP
- Ne spécifiez pas une cible de Contrôle des Liaisons TCP si l'entreprise qui héberge la cible ne donne pas son accord. Si vous spécifiez le protocole TCP pour contrôler une liaison avec un hôte distant, l'entreprise qui gère ce dernier peut bloquer le trafic du Firebox. Cette situation peut survenir si cette entreprise considère les connexions TCP inactives comme d'éventuelles analyses ou attaques.
Si vous spécifiez un nom de domaine pour un ping ou une cible de Contrôle des Liaisons TCP et que l'interface externe est configurée avec une adresse IP statique, vous devez configurer un serveur DNS. Le serveur DNS résout le nom de domaine de votre cible de Contrôle des Liaisons. Vous n'avez pas besoin de configurer un serveur DNS si les interfaces externes sont configurées pour DHCP ou PPPoE. Pour plus d'informations, consultez Configurer les Serveurs DNS et WINS.
Recommandations pour les Cibles DNS
- Certains serveurs DNS et équipements FAI bloquent les pings qui continuent pendant des durées prolongées. Pour éviter ce problème, vous pouvez configurer une cible DNS au lieu d'une cible ping.
Paramètres d'Intervalle d'Exploration
Lors de l'ajout de cibles de Contrôle des Liaisons, vous devez spécifier la fréquence à laquelle le Firebox tente de les interroger. Le Firebox utilise le résultat de ces tentatives d'exploration pour déterminer si l'interface est active ou inactive. Si vous choisissez de mesurer les pertes, la latence et l'instabilité, le Firebox utilise les résultats d'exploration pour calculer ces métriques.
Dans le Contrôle des Liaisons, vous configurez les paramètres suivants pour chaque interface :
- Intervalle d'Exploration — Nombre de secondes entre chaque tentative d'exploration ping, TCP ou DNS. La valeur par défaut est 5.
- Désactiver Après — Nombre d'explorations consécutives échouées nécessaires pour considérer une interface comme inactive. La valeur par défaut est 3.
- Réactiver Après — Nombre d'explorations consécutives réussies nécessaires pour considérer une interface comme active. La valeur par défaut est 3.
Ces paramètres s'appliquent à toutes les cibles de Contrôle des Liaisons configurées pour une interface. À titre d'exemple, si vous configurez une cible ping et une cible TCP puis spécifiez un intervalle d'exploration de 5 secondes, les deux cibles utilisent un intervalle d'exploration de 5 secondes.
Dans certains cas, le Firebox ignore les paramètres Intervalle d'Exploration, Désactiver Après et Réactiver Après :
- Déconnexion ou reconnexion de la liaison physique — Si le câble de l'interface est débranché, par exemple, le Firebox considère immédiatement l'interface comme inactive. Si le câble est rebranché, le Firebox considère l'interface comme active après une exploration réussie.
- Modification de la configuration du Contrôle des Liaisons — Si vous modifiez par exemple l'adresse IP d'une cible de Contrôle des Liaisons, le Firebox interroge immédiatement la cible et met à jour l'état de l'interface (active ou inactive).
Dans Fireware v12.2 et les versions antérieures, lors de la déconnexion ou de la reconnexion d'une liaison physique ou en cas de modification de la configuration du Contrôle des Liaisons, le Firebox met à jour l'état de l'interface uniquement après le nombre spécifié d'explorations échouées ou réussies.
Mises à Jour de la Table de Routage des Interfaces Externes
Pour les interfaces externes, le Firebox met à jour sa table de routage en cas de changement de disponibilité de l'interface. Seules les métriques de routage des interfaces externes sont mises à jour. Les métriques de routage des interfaces internes (Approuvées, Facultatives et Personnalisées) ainsi que les interfaces virtuelles BOVPN ne sont pas mises à jour.
À titre d'exemple, en cas de dysfonctionnement d'une liaison logique, si la cible de Contrôle des Liaisons ne répond pas après le nombre d'explorations consécutives échouées spécifié, le Firebox :
- Considère l'interface comme inactive.
- Met à jour la métrique de routage de cette interface à 100 dans la table de routage.
- Continue à envoyer des explorations de Contrôle des Liaisons à la cible.
Si cette même cible recommence à répondre, le Firebox :
- Considère l'interface active après le nombre d'explorations consécutives réussies spécifié.
- Met à jour les métriques de routage de la table de routage en appliquant la métrique d'origine.
Si le Firebox détecte la déconnexion d'une interface physique, le processus de mise à jour est bien plus rapide :
- Le Firebox considère immédiatement l'interface comme inactive.
- Le Firebox met immédiatement à jour les métriques de routage dans la table de routage.
- Si le Firebox détecte que la connexion Ethernet a été rétablie, il considère immédiatement l'interface comme active et met à jour la table de routage.
Pour une interface externe qui ne participe pas à un multi-WAN, la métrique d'origine est 20. Pour une interface externe qui participe à un multi-WAN, la métrique d'origine dépend de la configuration du multi-WAN.
| Méthode Multi-WAN | Métriques d'Origine |
|---|---|
| Table de Routage |
5 |
| Tourniquet | 5 |
| Dépassement de capacité d'interface | 5 |
| Basculement |
10 |
| Basculement (interface externe secondaire) | 11 |
Pour chaque interface externe secondaire supplémentaire, ajoutez 1 à la valeur de la métrique. Par exemple, si vous disposez de trois interfaces externes secondaires, les métriques sont 11, 12 et 13.
Pour obtenir plus d'informations sur la table de routage, consultez Lire les Tables de Routage de Firebox.
Interfaces Multi-WAN et SD-WAN Sans Contrôle des Liaisons
Si vous n'ajoutez pas d'interfaces multi-WAN et SD-WAN au Contrôle des Liaisons, le Firebox ne peut pas détecter les dysfonctionnements des liaisons logiques de ces interfaces. En l'absence de cibles de Contrôle des Liaisons, le basculement survient uniquement lors d'une déconnexion physique ou si aucune adresse IP valide n'est assignée à l'interface (si l'interface est dynamique). Cette situation peut entrainer une panne réseau dans certains cas.
À titre d'exemple, si vous déconnectez le câble de l'interface externe préférée, les connexions basculent vers une autre interface externe. Cette situation survient car le Firebox a détecté une déconnexion physique.
Cependant, si l'interface préférée devient indisponible en raison de problèmes situés hors de votre réseau, le basculement n'a pas lieu car le Firebox n'a pas détecté de dysfonctionnement de liaison logique. Le Firebox nécessite des cibles de Contrôle des Liaisons pour détecter les dysfonctionnements des liaisons logiques. Dans ce cas, une panne réseau peut avoir lieu car le Firebox continue d'envoyer du trafic vers une interface pour laquelle il n'y a pas de disponibilité WAN.
FireCluster
Si vous disposez d'un FireCluster Actif/Actif, les deux membres du cluster envoient des explorations de Contrôle des Liaisons.
Si vous disposez d'un FireCluster Actif/Passif, seul le maitre du cluster envoie des explorations de Contrôle des Liaisons. En cas de basculement, l'ancien maitre du cluster cesse d'envoyer des explorations de Contrôle des Liaisons. C'est le nouveau maitre du cluster qui envoie désormais les explorations de Contrôle des Liaisons.
Si une interface externe est un membre d'une configuration FireCluster, un basculement multi-WAN dû à un échec de connexion à un hôte de contrôle des liaisons ne déclenche pas de basculement FireCluster. Le basculement FireCluster a lieu uniquement lorsque l'interface physique est inactive ou ne répond pas.