À propos des Méthodes Multi-WAN
Lorsque vous configurez plusieurs interfaces externes, plusieurs options vous permettent de contrôler l'interface qu'un paquet sortant utilise.
Si vous utilisez le Routage Dynamique, vous pouvez utiliser la méthode multi-WAN de Table de Routage ou de Tourniquet. Pour plus d'informations sur le choix de la méthode à utiliser, consultez Méthodes Multi-WAN et Routage Dynamique..
Multi-WAN n'est pas pris en charge sur le Firebox T10. Le Multi-WAN est pris en charge sur les appareils T15 avec Fireware v12.3 et les versions ultérieures. Le basculement de modem est pris en charge pour les Fireboxes T10 et T15. Ceci reste vrai après une mise à niveau vers Fireware v12.1 ou version ultérieure qui convertit les modems en interfaces externes. Pour plus d'informations, consultez Configurer le Basculement de Modem.
Participation des Modems au Multi-WAN
Les modems peuvent également être configurés pour le basculement VPN. Pour plus d'informations, consultez Configurer le Basculement VPN.
Dans Fireware v12.0.2 et les versions antérieures, les modems ne sont pas des interfaces externes dédiées et ne figurent pas comme interfaces dans les paramètres multi-WAN. Cependant, vous pouvez configurer le basculement vers modem et le basculement vers modem VPN. Pour de plus amples informations concernant la configuration du basculement vers modem dans Fireware v12.0.2 et les versions antérieures, consultez la section Configurer le basculement vers modem dans Fireware v12.0.2 et les versions antérieures de la Base de Connaissances WatchGuard.
Basculement
Dans Fireware v12.5.4 ou les version ultérieures, le basculement est l'option multi-WAN par défaut.
Lorsque vous utilisez la méthode de basculement pour acheminer le trafic via les interfaces externes du Firebox, vous sélectionnez une seule interface externe qui sera l'interface externe principale. Les autres interfaces externes servent d'interfaces de secours et sont utilisées par le Firebox dans l'ordre que vous indiquez. Le Firebox analyse l'interface externe principale. Si elle devient inactive, le Firebox envoie l'ensemble du trafic à l'interface externe suivante définie dans sa configuration. Pendant que le Firebox envoie l'ensemble du trafic vers l'interface de secours, il continue d'analyser l'interface externe principale. Lorsque cette dernière redevient active, le Firebox recommence immédiatement à envoyer toutes les nouvelles connexions vers l'interface externe principale.
C'est vous qui définissez ce que le Firebox doit faire des connexions existantes. Elles peuvent être restaurées immédiatement, ou elles peuvent continuer à utiliser l'interface de secours jusqu'à ce que la connexion soit terminée. Les basculements multi-WAN et FireCluster sont configurés séparément. Un basculement multi-WAN dû à un échec de connexion à un hôte de contrôle des liaisons ne déclenche pas de basculement FireCluster. Le basculement FireCluster a lieu uniquement lorsque l'interface physique est inactive ou ne répond pas. Le basculement FireCluster est prioritaire sur le basculement multi-WAN.
Pour plus d'informations, consultez Configurer la Méthode Multi-WAN du Basculement.
Table de Routage
Utilisez la méthode de la Table de Routage lorsque vous souhaitez un moyen rapide et simple de répartir uniformément le trafic sortant entre plusieurs interfaces externes.
Lorsque vous configurez le mode multi-WAN avec l'option Table de Routage, le Firebox inspecte sa table de routage interne à la recherche d'informations de routage statique ou dynamique relatives à chaque connexion. La table de routage comprend des routes statiques que vous configurez sur le périphérique. Si vous utilisez le routage dynamique, la table de routage comprend des routes dynamiques.
Afin de savoir si une route spécifique existe pour une destination de paquets, le périphérique Firebox examine sa table de routage en parcourant la liste des routes de haut en bas. La liste est classée par métriques, du coût le plus bas au plus important. Vous pouvez voir la liste des routes figurant dans la table de routage de Firebox en accédant à l'onglet État de Firebox System Manager.
Si aucune route spécifique n'est trouvée, le Firebox sélectionne la meilleure route en fonction des valeurs de hachage IP de la source et de la destination du paquet, en appliquant l'algorithme ECMP (Equal Cost Multipath Protocol) spécifié dans RFC2992.
L'ECMP est un algorithme qui permet de router les paquets à destination quand il y a plusieurs chemins de saut de coût égal. La méthode multi-WAN de table de routage utilise l'ECMP pour répartir uniformément le trafic sortant à travers de multiples interfaces externes en fonction des adresses IP source et de destination et en fonction du nombre de connexions qui passent par chaque interface externe. L'algorithme ECMP ne tient pas compte de la charge de trafic actuelle.
Pour plus d'informations, consultez Configurer la Méthode Multi-WAN de Table de Routage.
Dans Fireware v12.5.3 ou les versions antérieures, la Table de Routage est l'option multi-WAN par défaut.
Tourniquet
La méthode Tourniquet répartit le trafic à chaque interface externe en fonction du nombre de connexions.
Pour les charges de trafic légères, le Tourniquet pondéré se comporte comme un Tourniquet basé sur les connexions, car les pondérations que vous utilisez tendent à déterminer le nombre de connexions via chaque interface externe. Lorsque la charge du trafic augmente, le Tourniquet pondéré se comporte davantage comme un Tourniquet basé sur la charge, car les pondérations que vous attribuez tendent à déterminer la charge via chaque interface externe.
L'algorithme de Tourniquet est appliqué uniquement si les routes, les connexions persistantes et le routage SD-WAN ne débouchent pas sur une décision de routage.
Les pondérations que vous attribuez sont des pondérations relatives. À titre d'exemple, supposons que l'interface 0 (eth0) est une interface externe et que vous lui attribuez une pondération de 3. L'interface 1 (eth1) est également une interface externe et vous lui octroyez une pondération de 2. Chaque fois que trois octets de trafic transitent via eth0, deux octets transitent via eth1. Le nombre d'octets envoyés par eth0 est une fois et demie supérieur à celui d'eth1.
Pour déterminer l'interface à utiliser pour une nouvelle connexion sortante, l'algorithme de Tourniquet pondéré calcule le rapport connexions:pondération (nombre de connexions actuel en proportion de la pondération attribuée) pour chaque interface externe et choisit l'interface présentant la valeur la plus faible pour la nouvelle connexion.
À titre d'exemple, configurez les Interfaces 0, 1 et 2 en tant qu'interfaces externes et octroyez-leur respectivement des pondérations de Tourniquet de 8, 2 et 1. Supposons que les nouvelles connexions se produisent l'une après l'autre, et que chaque nouvelle connexion accroît la charge sur une interface de manière égale. L'algorithme attribue les nouvelles connexions comme indiqué dans le tableau :
Rapport actuel {connexions:pondération} Interface 0 |
Rapport actuel {connexions:pondération} Interface 1 |
Rapport actuel {connexions:pondération} Interface 2 |
La nouvelle connexion utilise cette interface |
0:8 | 0:2 | 0:1 | 0 |
1:8 | 0:2 | 0:1 | 1 |
1:8 | 1:2 | 0:1 | 2 |
1:8 | 1:2 | 1:1 | 0 |
2:8 | 1:2 | 1:1 | 0 |
3:8 | 1:2 | 1:1 | 0 |
4:8 | 1:2 | 1:1 | 0 |
5:8 | 1:2 | 1:1 | 1 |
5:8 | 2:2 | 1:1 | 0 |
6:8 | 2:2 | 1:1 | 0 |
7:8 | 2:2 | 1:1 | 0 |
8:8 | 2:2 | 1:1 | Utiliser ECMP lorsque toutes les interfaces présentent une charge de trafic complète |
Calculer les Pondérations du Tourniquet
Vous ne pouvez utiliser que des nombres entiers pour les pondérations d'interface ; les fractions ou les décimales ne sont pas autorisées.
Afin d'assurer une répartition optimale des connexions, il est parfois utile d'effectuer un calcul afin de déterminer la pondération exprimée en nombre entier à attribuer à chaque interface. Utilisez un multiplicateur commun afin que les rapports de connexions de chaque interface externe soient résolus sous forme de nombres entiers.
Exemple
Vous possédez trois connexions Internet. Un fournisseur de Services Internet vous fournit 6 Mbits/s, un autre 1,5 Mbits/s et un troisième 768 Kbits/s. Convertissez les proportions en nombres entiers :
- Convertissez les 768 Kbits/s en Mbits/s afin d'utiliser la même unité de mesure pour les trois lignes. Elles représentent environ 0,75 Mbps. Vos trois lignes ont une pondération de 6, 1,5 et 0,75 Mbits/s.
- Multipliez chaque valeur par 100 pour supprimer les décimales. Proportionnellement, ils sont équivalents : {6 : 1.5 : .75} est le même rapport que {600 : 150 : 75}.
- Trouvez le plus grand diviseur commun pour ces trois nombres. Dans ce cas, 75 est le nombre le plus élevé qui divise de manière équitable les trois nombres 600, 150 et 75.
- Divisez chacun des nombres par le plus grand diviseur commun.
Les résultats obtenus sont 8, 2, et 1. On obtient ainsi les pondérations exprimées en nombre entier utilisées dans l'exemple.
Pour plus d'informations, consultez Configurer la Méthode Multi-WAN du Tourniquet.
Dépassement de capacité d'interface
Utilisez la méthode de Dépassement de Capacité d'Interface lorsque vous souhaitez limiter la bande passante maximale utilisée par chaque interface externe. Lorsque le seuil de bande passante est atteint pour une interface externe, les nouvelles connexions utilisent la prochaine interface externe de votre liste.
Lorsque vous utilisez la méthode de configuration multi-WAN de Dépassement de Capacité d'Interface, vous définissez l'ordre dans lequel le Firebox enverra le trafic via les interfaces externes et vous configurez chaque interface avec une valeur seuil de bande passante. Le Firebox commence à envoyer le trafic via la première interface externe définie dans sa liste de configuration de Dépassement de Capacité d'Interface. Lorsque le trafic acheminé via cette interface atteint le seuil de bande passante que vous avez défini pour cette dernière, le Firebox commence à envoyer le trafic à l'interface externe suivante dans la liste de configuration de Dépassement de Capacité d'Interface.
Cette option de configuration multi-WAN permet de limiter, à un certain seuil de bande passante, la quantité de trafic envoyé à chaque interface WAN. Pour déterminer la bande passante, le périphérique Firebox inspecte le nombre de paquets transmis (TX) et reçus (RX) puis il se base sur le plus grand nombre. Lorsque vous configurez le seuil de bande passante d'interface pour chaque interface, prenez en compte les besoins de votre réseau de chaque interface et définissez la valeur seuil, en fonction de ces besoins. Par exemple, si votre fournisseur de services Internet est asymétrique et que vous définissez le seuil de bande passante en fonction d'un taux d'émission (TX) important, le dépassement de capacité d'interface ne sera pas déclenché par un taux de réception (RX) important.
Si toutes les interfaces WAN ont atteint leur seuil de bande passante, le Firebox utilise l'algorithme de routage ECMP (Equal Cost Multi-Path Protocol) pour rechercher le meilleur chemin.
Pour plus d'informations, consultez Configurer la Méthode Multi-WAN du Dépassement de Capacité d'Interface.