Configurer l'Équilibrage de Charge Côté Serveur

L'équilibrage de charge du serveur n'est pas pris en charge sur les modèles de Firebox T10 ou Firebox T15.

La fonctionnalité d'équilibrage de charge côté serveur est conçue pour augmenter l'évolutivité et les performances d'un réseau à fort trafic comportant plusieurs serveurs. Grâce à l'équilibrage de charge côté serveur, vous pouvez faire en sorte que le Firebox contrôle le nombre de sessions établies vers un maximum de 10 serveurs pour chaque stratégie de pare-feu que vous configurez. Le Firebox contrôle la charge en fonction du nombre de sessions utilisées sur chaque serveur. Aucune mesure ni comparaison de la bande passante utilisée par chaque serveur n'est effectuée par le Firebox.

Vous configurez l'équilibrage de charge côté serveur sous forme d'une action SNAT. Le Firebox peut équilibrer les connexions entre vos serveurs à l'aide de deux algorithmes différents.

Lors de la configuration de l'équilibrage de charge côté serveur, il est important de savoir que :

  • Vous pouvez configurer l'équilibrage de charge côté serveur pour toutes les stratégies auxquelles vous appliquez la traduction d'adresses réseau statique.
  • Si vous appliquez l'équilibrage de charge côté serveur à une stratégie, vous ne pouvez pas définir un routage basé sur SD-WAN, un routage basé sur stratégie ni d'autres règles NAT dans la même stratégie.
  • Si vous utilisez l'équilibrage de charge côté serveur dans une configuration FireCluster actif/passif, la synchronisation en temps réel ne s'effectue pas entre les membres du cluster lorsqu'un basculement se produit. Lorsque le maître du cluster passif devient le maître du cluster actif, il envoie des connexions à tous les serveurs de la liste d'équilibrage de charge côté serveur pour déterminer ceux qui sont disponibles. Il applique ensuite à tous les serveurs disponibles l'algorithme d'équilibrage de charge.
  • Si vous utilisez l'équilibrage de charge côté serveur pour des connexions à un groupe de serveurs RDP, vous devez configurer le pare-feu sur chacun des serveurs RDP pour autoriser les requêtes ICMP depuis le Firebox.
  • Vous pouvez configurez une action SNAT d'équilibrage de charge côté serveur pour le trafic envoyé à une interface facultative ou externe du Firebox.

Sondes de Serveur

Pour surveiller la disponibilité des serveurs configurés dans une action SNAT d'équilibrage de charge côté serveur, le Firebox envoie des paquets de sonde à chaque serveur toutes les 10 secondes. Pour une stratégie TCP, la sonde est un SYN. Pour une stratégie RDP ou UDP, la sonde est un paquet ICMP.

Si le Firebox reçoit une réponse à la sonde, le serveur qui a répondu est considéré comme actif (up) et disponible pour recevoir du trafic. Si aucune réponse n'est reçue, le Firebox patiente 10 secondes et transmet un autre paquet de sonde à ce serveur. Si le serveur ne répond pas à la deuxième sonde ou qu'il répond avec une réinitialisation TCP, le périphérique est considéré comme inactif (down). Le Firebox ne lui transmet donc pas de trafic à charge équilibrée. Si le serveur renvoie un paquet ACK au Firebox, ce dernier marque immédiatement le serveur comme actif.

Le Firebox continue à envoyer activement des paquets de sonde à tous les serveurs à charge équilibrée, que leur état soit actif ou inactif. Lorsque le Firebox reçoit du trafic géré par une stratégie configurée pour l'équilibrage de charge côté serveur, la stratégie transmet le trafic à l'un des serveurs à charge équilibrée actif.

Paramètres d'Équilibrage de Charge Côté Serveur

Méthode

Lorsque vous configurez l'équilibrage de charge côté serveur, vous devez choisir la méthode d'algorithme à utiliser.

Tourniquet

Si vous sélectionnez cette option, le Firebox distribue les sessions entrantes parmi les serveurs que vous spécifiez dans la stratégie, à tour de rôle. La première connexion est envoyée au premier serveur spécifié dans la stratégie. La connexion suivante est envoyée au serveur suivant dans la stratégie, et ainsi de suite.

Connexion Minimale

Si vous sélectionnez cette option, le Firebox envoie chaque nouvelle session au serveur de la liste présentant à ce moment-là le moins de connexions ouvertes au Firebox. Le Firebox ne peut pas déterminer le nombre de connexions ouvertes du serveur sur d'autres interfaces.

Adresse IP Source

Vous pouvez également configurer une adresse IP source dans une action d'équilibrage de charge côté serveur. Si vous ne configurez pas d'adresse IP source dans l'action d'équilibrage de charge côté serveur, le Firebox ne modifie pas l'expéditeur, ou adresse IP source, du trafic envoyé sur ces périphériques. Le trafic est envoyé directement depuis le Firebox, mais chaque périphérique faisant partie de votre configuration d'équilibrage de charge côté serveur voit l'adresse IP source d'origine du trafic réseau.

Lorsque vous ajoutez une action SNAT d'équilibrage de charge côté serveur, vous pouvez indiquer une adresse IP source dans l'action. Ensuite, lorsque le trafic correspondant aux paramètres de votre action SNAT d'équilibrage de charge côté serveur passe par les stratégies qui gèrent le trafic de votre Firebox, l'adresse IP source est remplacée par l'adresse IP que vous avez spécifiée. La même adresse IP source est utilisée pour tous les serveurs pour l'action d'équilibrage de charge côté serveur.

Connexion Persistante

Lorsque vous définissez les paramètres de l'action SNAT, les connexions persistantes sont toujours activées. Une connexion persistante est une connexion qui continue à utiliser le même serveur pendant un intervalle de temps défini. La persistance garantit que tous les paquets situés entre une paire d'adresses IP source et de destination sont envoyés au même serveur pendant la durée que vous spécifiez. Par défaut, le Firebox utilise le paramètre de connexion persistante de 8 heures. Vous pouvez définir un nombre d'heures différent. Lorsqu'une nouvelle connexion du même client est reçue, la durée d'expiration de la connexion est rallongée.

Pondération des Serveurs

Vous pouvez ajouter un nombre illimité de serveurs à une action d'équilibrage de charge côté serveur. Lorsque vous configurez les paramètres d'un membre d'équilibrage de charge, vous pouvez aussi ajouter une pondération à chaque serveur pour vous assurer que la charge la plus lourde est envoyée sur vos serveurs les plus puissants. La pondération désigne la proportion de charge que le Firebox envoie à un serveur. Par défaut, chaque serveur présente une pondération de 1. Si vous attribuez une pondération de 2 à un serveur, vous doublez le nombre de sessions que le Firebox envoie à ce serveur par rapport à un serveur doté d'une pondération de 1.

Traduction d'Adresses de Port

Lorsque vous configurez les paramètres d'un membre d'équilibrage de charge, vous pouvez activer la traduction d'adresses de port (PAT). Lorsque vous activez le routage PAT, vous pouvez modifier la destination du paquet afin de d'indiquer un hôte interne différent et un port différent.

Ajouter une Action SNAT d'Équilibrage de Charge côté Serveur

Dans Fireware Web UI, avant de pouvoir configurer une stratégie pour l'équilibrage de charge côté serveur, vous devez définir les paramètres d'équilibrage de charge côté serveur dans une action SNAT.

  1. Sélectionnez Pare-feu > SNAT.
    La page SNAT s'affiche.
  2. Cliquez sur Ajouter.
    La page Ajouter SNAT s'affiche.

Capture d'écran de la page Ajouter une traduction d'adresses réseau statique

  1. Dans la zone de texte Nom, entrez un nom pour cette action SNAT.
  2. (Facultatif) Dans la zone de texte Description, saisissez une description pour cette action SNAT.
  3. Sélectionnez Équilibrage de Charge Côté Serveur.
  4. Dans la liste déroulante Adresse IP externe, sélectionnez l'adresse IP externe ou l'alias à utiliser dans cette action d'équilibrage de charge côté serveur.

Par exemple, vous pouvez faire en sorte que le Firebox applique l'équilibrage de charge côté serveur à cette action pour les paquets reçus sur une seule adresse IP externe. Le Firebox peut également appliquer l'équilibrage de charge côté serveur pour les paquets reçus sur toutes les adresses IP externes, si vous sélectionnez l'alias Tout-Externe.

  1. Pour indiquer l'adresse IP source pour cette action d'équilibrage de charge côté serveur, cochez la case Définir l'IP source. Saisissez l'adresse IP source à utiliser dans la zone de texte adjacente.
  2. Dans la liste déroulante Méthode, sélectionnez l'algorithme à utiliser pour l'équilibrage de charge côté serveur : Mode Tourniquet ou Le Moins de Connexion.
  3. Cliquez sur Ajouter pour ajouter les adresses IP de vos serveurs internes pour cette action.
    La boîte de dialogue Ajouter un membre s'affiche.

Screen shot of the Add Member dialog box

  1. Dans la zone de texte Adresse IP interne, entrez l'adresse IP du serveur à ajouter.
  2. Dans la zone de texte Pondération, saisissez ou sélectionnez la pondération de ce serveur pour l'équilibrage de charge.
  3. Pour activer la traduction d'adresses de port (PAT), cochez la case Définir un autre port interne. Dans la zone de texte adjacente, tapez ou sélectionnez le numéro de port.

Si vous utilisez une action SNAT d'équilibrage de charge côté serveur dans une stratégie qui autorise du trafic dépourvu de ports (trafic autre que TCP ou UDP), le paramètre de port interne n'est pas utilisé pour ce trafic.

  1. Cliquez sur OK.
    Le serveur apparaît dans la liste des serveurs membres de l'équilibrage de charge côté serveur.

Capture d'écran de la page Ajouter une traduction d'adresses réseau statique

  1. Pour ajouter un autre serveur à cette action, cliquez sur Ajouter et répétez les étapes 10 à 14.
  2. Pour définir des connexions persistantes pour vos serveurs internes, cochez la case Activer la persistance de connexion. Dans la zone de texte et la liste déroulante Activer la persistance de connexion, définissez la durée d'une connexion persistante.
  3. Cliquez sur Enregistrer.

Dans Policy Manager, vous pouvez créer une action SNAT d'équilibrage de charge côté serveur puis l'ajouter à une stratégie ou vous pouvez créer l'action SNAT d'équilibrage de charge côté serveur depuis la configuration d'une stratégie.

  1. Sélectionnez Configuration > Actions > SNAT.

    La boîte de dialogue SNAT apparaît.
  2. Cliquez sur Ajouter.
    La boîte de dialogue Ajouter SNAT apparaît.

Capture d'écran de la boîte de dialogue Ajouter une SNAT

  1. Dans la zone de texte Nom SNAT, saisissez un nom pour cette action SNAT.
  2. (Facultatif) Dans la zone de texte Description, saisissez une description pour cette action SNAT.

  3. Sélectionnez Équilibrage de Charge Côté Serveur.

  4. Cliquez sur Ajouter.

    La boîte de dialogue Ajouter une action SNAT d'équilibrage de charge côté serveur apparaît.

Capture d'écran de la boîte de dialogue Ajouter une action SNAT d'équilibrage de charge côté serveur

  1. Dans la liste déroulante Adresse IP externe, sélectionnez l'adresse IP externe ou l'alias à utiliser dans cette action d'équilibrage de charge côté serveur.

Par exemple, vous pouvez faire en sorte que le Firebox applique l'équilibrage de charge côté serveur à cette action pour les paquets reçus sur une seule adresse IP externe. Le Firebox peut également appliquer l'équilibrage de charge côté serveur pour les paquets reçus sur toutes les adresses IP externes, si vous sélectionnez l'alias Tout-Externe.

  1. Pour indiquer l'adresse IP source pour cette action d'équilibrage de charge côté serveur, cochez la case Définir l'IP source. Saisissez l'adresse IP source à utiliser dans la zone de texte adjacente.
  2. Dans la liste déroulante Méthode, sélectionnez l'algorithme à utiliser pour l'équilibrage de charge côté serveur : Mode Tourniquet ou Le Moins de Connexion.
  3. Cliquez sur Ajouter pour ajouter les adresses IP de vos serveurs internes pour cette action.
    La boîte de dialogue Ajouter un Serveur s'affiche.

Capture d'écran de la boîte de dialogue Ajouter un serveur  

  1. Dans la zone de texte Adresse IP, tapez l'adresse IP du serveur à ajouter.
  2. Dans la zone de texte Pondération, saisissez ou sélectionnez la pondération de ce serveur pour l'équilibrage de charge.
  3. Pour activer la traduction d'adresses de port (PAT), cochez la case Définir un autre port interne. Dans la zone de texte adjacente, tapez ou sélectionnez le numéro de port.

Si vous utilisez une action SNAT d'équilibrage de charge côté serveur dans une stratégie qui autorise du trafic dépourvu de ports (trafic autre que TCP ou UDP), le paramètre de port interne n'est pas utilisé pour ce trafic.

  1. Cliquez sur OK.
    Le serveur est affiché dans la liste Serveurs.

Screen shot of the Add Server Load Balancing NAT dialog box

  1. Pour ajouter un autre serveur à cette action, cliquez sur Ajouter et répétez les étapes 10 à 14.
  2. Pour définir des connexions persistantes pour vos serveurs internes, cochez la case Activer la persistance de connexion. Dans la zone de texte et la liste déroulante Activer la persistance de connexion, définissez la durée d'une connexion persistante.
  3. Cliquez sur OK.

    Les serveurs sont ajoutés à la liste des membres SNAT pour cette action.

Capture d'écran de la boîte de dialogue Ajouter une SNAT

  1. Cliquez sur OK.

    L'action SNAT est ajoutée.
  2. Cliquez sur OK.

Ajouter une Action SNAT d'Équilibrage de Charge côté Serveur à une Stratégie

Après avoir défini une action SNAT d'équilibrage de charge côté serveur, vous pouvez l'utiliser dans une ou plusieurs stratégies.

  1. Sélectionnez Pare-Feu > Stratégies de Pare-Feu.
  2. Sélectionnez une stratégie
    Vous pouvez également ajouter une stratégie.
  3. Dans la liste déroulante Action, sélectionnez Modifier la Stratégie.
  4. Dans la section À, cliquez sur Ajouter.
    La boîte de dialogue Ajouter un membre s'affiche.
  5. Dans la liste déroulante Type de membre, sélectionnez Équilibrage de charge côté serveur.
    La liste des actions d'équilibrage de charge côté serveur apparaît.

Screen shot of the Add Member dialog box

  1. Sélectionnez une action d'équilibrage de charge côté serveur. Cliquez sur OK.
    L'action d'équilibrage de charge côté serveur est ajoutée à la section À de la stratégie.
  2. Cliquez sur Enregistrer.
  1. Double-cliquez sur une stratégie pour la modifier.
    Vous pouvez également ajouter une stratégie.
  2. Dans la section À, cliquez sur Ajouter.
    La boîte de dialogue Ajouter une adresse s'affiche.
  3. Cliquez sur Ajouter SNAT.
    La boîte de dialogue SNAT apparaît. Cette liste répertorie toutes les actions configurées de traduction d'adresses réseau statique et d'équilibrage de charge côté serveur.

Capture d'écran de la boîte de dialogue SNAT

  1. Sélectionnez une action configurée d'équilibrage de charge côté serveur. Cliquez sur OK.
    Sinon, pour définir une nouvelle action d'équilibrage de charge côté serveur, cliquez sur Ajouter et suivez les étapes de la procédure précédente.
    L'action d'équilibrage de charge côté serveur sélectionnée apparaît dans la boîte de dialogue Ajouter une adresse.

Capture d'écran de la boîte de dialogue Ajouter une adresse

  1. Cliquez sur OK pour fermer la boîte de dialogue Ajouter une adresse.
  2. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de la stratégie.

Modifier ou Supprimer une Action SNAT d'Équilibrage de Charge côté Serveur

Vous pouvez modifier une action SNAT de la liste des actions SNAT.

  1. Sélectionnez Pare-feu > SNAT.
    La page SNAT s'affiche.
  2. Sélectionnez une action SNAT.
  3. Cliquez sur Modifier.
    La page Modifier une action SNAT s'affiche.
  4. Modifiez l'action SNAT.
    Quand vous modifiez une action SNAT, tous les changements s'appliquent à l'ensemble des stratégies qui utilisent ladite action SNAT.
  5. Cliquez sur Enregistrer.
  1. Sélectionnez Configuration > Actions > SNAT.
    La boîte de dialogue SNAT apparaît.
  2. Sélectionnez une action SNAT.
  3. Cliquez sur Modifier.
    La page Modifier une action SNAT s'affiche.
  4. Modifiez l'action SNAT.
    Quand vous modifiez une action SNAT, tous les changements s'appliquent à l'ensemble des stratégies qui utilisent ladite action SNAT.
  5. Cliquez sur OK.

Dans Policy Manager, vous pouvez aussi modifier une action SNAT lorsque vous modifiez une stratégie.

  1. Double-cliquez sur une stratégie pour la modifier.
    La boîte de dialogue Modifier les propriétés de la stratégie apparaît avec l'onglet Stratégie sélectionné.
  2. Dans la section À, sélectionnez l'action SNAT que vous voulez modifier.
  3. Cliquez sur Modifier.
    La boîte de dialogue Modifier une action SNAT apparaît.
  4. Modifiez l'action SNAT.
    Quand vous modifiez une action SNAT dans une stratégie, les changements que vous apportez s'appliquent à l'ensemble des stratégies qui utilisent cette action SNAT.
  5. Cliquez sur OK.

Vous pouvez supprimer une action SNAT qui n'est pas utilisée par une stratégie.

  1. Sélectionnez Pare-feu > SNAT.
    La page SNAT s'affiche
  2. Sélectionnez une action SNAT.
  3. Cliquez sur Supprimer.
    Une boîte de dialogue de confirmation apparaît.
  4. Cliquez sur OK pour confirmer que vous voulez supprimer l'action SNAT.
  1. Sélectionnez Configuration > Actions > SNAT.
    La boîte de dialogue SNAT apparaît.
  2. Sélectionnez une action SNAT.
  3. Cliquez sur Supprimer.
    Une boîte de dialogue de confirmation apparaît.
  4. Cliquez sur Oui pour confirmer que vous voulez supprimer l'action SNAT.
  5. Cliquez sur OK.

Voir Également

Configurer la Traduction d'Adresses Réseau Statique (SNAT)