S'applique à : Fireboxes Gérés sur le Cloud
Cette rubrique explique les méthodes SD-WAN prises en charge par WatchGuard Cloud :
- Basculement
- Tourniquet (nécessite le microprogramme v12.8 ou une version ultérieure)
Pour configurer le SD-WAN dans WatchGuard Cloud, consultez la section Configurer SD-WAN.
Basculement
Vous pouvez configurer une action SD-WAN de manière à utiliser la méthode Basculement. Le Firebox bascule les connexions vers une autre interface dans les cas suivants :
- L'interface actuelle est inactive (indisponible).
- L'interface actuelle dépasse les valeurs de mesure que vous avez spécifiées.
Par exemple, si vous sélectionnez Utiliser le Basculement Basé sur Mesures et conservez les valeurs par défaut, la valeur de latence est de 400 ms, la valeur du taux de perte est de 5 % et la valeur d'instabilité est de 100 ms. Si le Firebox détecte que la latence atteint 401 ms, l'interface bascule, même si le taux de perte et l'instabilité ne dépassent pas les valeurs spécifiées.
Si vous ne sélectionnez pas l'option Utiliser le Basculement Basé sur Mesures, les connexions basculent uniquement si l'interface est inactive (indisponible). Le Firebox considère l'interface comme inactive en raison d'une déconnexion physique ou d'un échec des sondes de surveillance de liaison.
Restauration Automatique
Si une interface bascule puis revient à la normale, vous pouvez choisir si les connexions actives et nouvelles reviennent sur l'interface d'origine, et si elles y reviennent immédiatement ou progressivement. Vous pouvez spécifier les options suivantes :
- Restauration immédiate — Les connexions actives et nouvelles utilisent l'interface de restauration automatique (d'origine). Cela est le paramètre par défaut.
- Restauration progressive — Les connexions actives continuent à utiliser l'interface de basculement . Les nouvelles connexions actives utilisent l'interface (d'origine) de restauration automatique.
- Pas de restauration automatique — Les connexions actives et nouvelles continuent à utiliser l'interface de basculement. Vous pouvez sélectionner cette option si vous souhaitez confirmer qu'un problème est résolu avant de rebasculer vers la connexion WAN d'origine.
Exemple
Dans cet exemple, l'action SD-WAN utilise la méthode Basculement et le basculement basé sur mesures.
Tourniquet
Vous pouvez configurer une action SD-WAN de manière à utiliser la méthode Tourniquet. Tourniquet est une méthode d'équilibrage de charge qui divise le trafic sortant entre différentes interfaces en fonction de la pondération et d'autres facteurs.
Vous pouvez utiliser le SD-WAN de Tourniquet pour :
- Partager la charge de trafic entre différents Fournisseurs de services Internet ou liaisons.
- Tirer le meilleur parti de toutes les connexions des Fournisseurs de services Internet auxquels votre entreprise est abonnée. Par exemple, vous pouvez utiliser une connexion secondaire à d'autres fins qu'une simple redondance.
Pour le trafic correspondant à l'action SD-WAN, le Firebox prend en compte les facteurs suivants pour déterminer l'interface sortante :
- Pondération — Une valeur de pondération que vous assignez à chaque interface dans une action SD-WAN
- 3-uplet — Adresse IP source, adresse IP de destination et protocole des paquets traités par une action SD-WAN
- Mesures — Taux de perte, latence et instabilité pour chaque interface d'une action SD-WAN
Pour déployer une configuration comprenant une ou plusieurs actions Tourniquet SD-WAN, votre périphérique doit exécuter le microprogramme v12.8 ou une version ultérieure. Si votre périphérique exécute une version de microprogramme antérieure, vous devez effectuer l'une des opérations suivantes avant de déployer la configuration : Mettez à niveau le microprogramme du périphérique vers v12.8 ou une version ultérieure, modifiez toutes les actions SD-WAN de manière à utiliser la méthode Basculement, ou supprimez toutes les actions SD-WAN utilisant la méthode Tourniquet. Si le modèle de votre périphérique ne prend pas en charge le microprogramme v12.8 ou une version ultérieure, modifiez toutes les actions SD-WAN de manière à utiliser la méthode Basculement ou supprimez toutes les actions SD-WAN utilisant la méthode Tourniquet.
Coefficient
Dans une action SD-WAN, vous pouvez modifier la valeur de pondération de chaque interface. La pondération renvoie à la proportion de charge de trafic envoyée via une interface par le Firebox. Si vous configurez une action SD-WAN comprenant deux connexions WAN de capacité inégale, vous pouvez opter pour spécifier des pondérations d'interface proportionnelles à leur capacité. L'interface présentant la pondération la plus élevée gère le plus de trafic. La pondération d'interface par défaut est de 1.
Par exemple, vous configurez une action SD-WAN comprenant deux réseaux, Externe-1 et Externe-2. La connexion Externe-1 présente une capacité supérieure à Externe-2. Dans les paramètres de l'action SD-WAN, vous attribuez une pondération de 6 à Externe-1 et une pondération de 4 à Externe-2. Si 10 connexions correspondent à l'action SD-WAN, Externe-1 traite 6 de ces connexions. Externe-2 gère 4 connexions.
Sur la page État en Direct > Réseaux, sélectionnez l'onglet SD-WAN pour consulter le pourcentage de connexions gérées par chaque réseau ou VPN de l'action SD-WAN. Lorsqu'une action SD-WAN gère un grand nombre de connexions (des centaines ou des milliers), le pourcentage d'équilibrage de charge correspond plus précisément au rapport de pondération que vous avez spécifié.
Pour une action SD-WAN sans trafic, la valeur d'utilisation est de 0 % pour chaque interface. Le pourcentage est réinitialisé suite à un changement quelconque d'état de l'interface.
Pour de plus amples informations concernant la surveillance SD-WAN, consultez les sections Surveiller les Réseaux sur les Fireboxes et FireClusters et Détails du SD-WAN.
Calculer les Pondérations
Vous ne pouvez utiliser que des nombres entiers pour les pondérations d'interface ; les fractions ou les décimales ne sont pas autorisées. Pour un équilibrage de charge optimal, il se pourrait que vous deviez faire un calcul pour connaître la pondération en nombre entier à affecter à chaque interface. Utilisez un multiplicateur commun afin que la proportion relative de la bande passante donnée par chaque connexion externe soit résolue en nombres entiers.
Par exemple, supposons que vous ayez trois connexions Internet. Un fournisseur de services Internet vous fournit 6 Mbits/s, un autre 1,5 Mbits/s et un troisième 768 Kbits/s. Convertissez les proportions en nombres entiers :
- Convertissez d'abord les 768 Kbits/s en 0,75 Mbits/s environ afin d'utiliser la même unité de mesure pour les trois lignes. Vos trois lignes ont une pondération de 6, 1,5 et 0,75 Mbits/s.
- Multipliez chaque valeur par 100 pour supprimer les décimales. Proportionnellement, ils sont équivalents : [6 : 1.5 : .75] est le même rapport que [600 : 150 : 75]
- Trouvez le plus grand diviseur commun pour ces trois nombres. Dans ce cas, 75 est le nombre le plus élevé qui divise de manière équitable les trois nombres 600, 150 et 75.
- Divisez chacun des nombres par le plus grand diviseur commun.
Les résultats obtenus sont 8, 2, et 1. Vous pouvez utiliser ces chiffres en tant que pondérations dans une action Tourniquet SD-WAN.
3-Uplet
Outre la pondération, le Tourniquet SD-WAN emploie un calcul de hachage à 3-uplet de manière à déterminer l'interface de sortie des paquets. Un 3-uplet est une liste de trois éléments issus de l'en-tête du paquet : l'adresse IP source, l'adresse IP destination et le protocole. Les connexions sont persistantes. En d'autres termes, le trafic issu de la même source et transmis à la même destination via le même protocole est toujours routé via la même interface.
Mesures
Vous pouvez éventuellement configurer les mesures du taux de perte, de latence et d'instabilité s'appliquant à toutes les interfaces de l'action SD-WAN. Ces mesures déterminent si une interface est autorisée à participer à la sélection du chemin d'accès. Pour être qualifiée, une interface doit présenter un taux de perte, une latence et une instabilité égaux ou inférieurs aux valeurs que vous avez spécifiées.
Si une interface cesse de dépasser les valeurs de perte, latence et instabilité spécifiées, elle devient qualifiée et disponible pour la sélection du Tourniquet.
Étant donné les différences de chaque réseau et la sensibilité des certaines applications aux problèmes de performance, vous devez choisir des valeurs de perte, de latence et d'instabilité adaptées à votre réseau. Nous vous recommandons d'établir d'abord des valeurs de référence pour vos connexions WAN. Nous vous recommandons d'adopter la meilleure pratique consistant à évaluer les valeurs moyennes des dernières 24 heures.
Interfaces Inactives et Non Qualifiées
Le Firebox supprime une interface de la sélection du chemin d'accès du Tourniquet dans les cas suivants :
- Interface inactive (indisponible) — Le Firebox considère l'interface comme inactive (indisponible) en raison d'une déconnexion physique ou d'un échec des sondes de surveillance de liaison. Pour de plus amples informations concernant la surveillance de liaison, consultez Configurer la Surveillance de Liaison Réseau d'un Firebox.
- Interface non qualifiée — Une interface dépasse les valeurs que vous avez spécifiées en termes de taux de perte, de latence ou d'instabilité.
Le Firebox répartit le trafic entre les interfaces qualifiées restantes.
Si aucune interface n'est qualifiée, le Firebox route le trafic vers la première interface active (disponible), à savoir la première interface active figurant dans la configuration de l'action SD-WAN. Si aucune interface n'est active, le Firebox abandonne les paquets correspondant à l'action SD-WAN. Si une interface redevient active ou qualifiée, elle devient automatiquement disponible pour la sélection du Tourniquet.
Exemple
Dans cet exemple, l'action SD-WAN utilise la méthode Tourniquet et la participation basée sur mesures.
