Протоколы и функции, применяемые в межсетевых экранах и интернет-маршрутизаторах

Резервирование маршрутов (Route Failover)

При подключении корпоративной сети ко второму провайдеру рано или поздно возникает вопрос обеспечения рационального использования двух Интернет-каналов и возможность автоматического резервирования, чтобы работоспособность сети быстро восстанавливалась при возникновении проблем на одном из каналов.

Основные задачи, которые можно решить при использовании резервирования каналов в сеть Интернет:

• перенаправление трафика при обрыве одного из каналов;
• направление чувствительного к задержкам трафика в более "быстрый" канал, в то время как остальной трафик, не критичный к скорости доставки пакетов, заворачивать в "медленный", но более дешёвый канал;
• переключение на более дорогой канал только на время проблем с дешёвым каналом.

Для таких ситуаций в межсетевых экранах D-Link серии NetDefend предусмотрена возможность переключения маршрутов при отказе (Route Failover): в случае отказа одного из маршрутов трафик автоматически начинает передаваться по другому, резервному маршруту. Система NetDefendOS выявляет неудачные маршруты, используя при этом функцию мониторинга маршрутов Route Monitoring, и перенаправляет трафик на резервный маршрут.

увеличить изображение
Рис. 4.9. Резервирование каналов

Выполнение данной задачи с использованием межсетевых экранов NetDefend заключается в активировании опции Monitor for Route Failover:

увеличить изображение
Рис. 4.10. Использование функции мониторинга маршрутов (Route Monitoring) при резервировании каналов в межсетевых экранах NetDefend

В сценарии с основным (предпочтительным) и резервным маршрутами в основной маршрут добавляется Route Monitoring. В резервном маршруте данная опция не указывается, если не требуется переключения при отказе (failover). Когда Route Monitoring для маршрута включен, нужно выбрать один из следующих методов контроля:

• Monitor Interface Link Status – cистемой NetDefendOS контролируется состояние подключения интерфейса, определенного для маршрута. Маршрут считается активным, пока существует физическое подключение интерфейса. Этот метод обеспечивает самый быстрый анализ маршрута, так как сразу обнаруживаются любые изменения состояния соединений.
• Monitor Gateway using ARP – при мониторинге шлюза как следующего сегмента (или как еще называют – next-hop) маршрута его доступность определяется при помощи ARP-запросов. До тех пор, пока шлюз отвечает на эти запросы, маршрут функционирует нормально.

Следует заметить, что функцию Route Monitoring нельзя применять для автоматически созданных маршрутов, так как им присвоен специальный статус, и обращение к ним происходит по-другому. К таким маршрутам относятся маршруты, автоматически создаваемые для физических интерфейсов при запуске системы NetDefendOS. Если же данным маршрутам требуется активировать Route Monitoring, то их необходимо сначала удалить, а затем добавить вручную, как новые маршруты.

При определении маршрута необходимо установить метрику (metric) маршрута. Метрика – это целое положительное число, которое указывает на приоритет маршрута. При наличии двух маршрутов для одного и того же адреса назначения система NetDefendOS выберет маршрут с минимальным значением метрики.

ВНИМАНИЕ: приоритет основного подключения должен быть выше (т.е. значение метрики – меньше), чем у резервного подключения.

Дополнительная функция системы NetDefendOS Host Monitoring ( рис. 4.10) обеспечивает гибкий и легко конфигурируемый способ контроля целостности маршрута. Данный метод позволяет межсетевому экрану посылать запрос одному или нескольким внешним узлам о доступности конкретного маршрута.

Довольно часто встречаются ситуации, когда канал работоспособен и шлюз доступен, но соединений нет, т.к. проблема возникла дальше, за шлюзом. Чтобы произошло переключение с маршрута первого выбора на резервный, предусмотрен механизм ICMP- /TCP- /HTTP-мониторинга, позволяющий осуществлять контроль за работоспособностью определенных хостов ( рис. 4.11), которым назначена функция Host Monitoring. Межсетевые экраны NetDefend позволяют выбрать для конкретного маршрута один из методов мониторинга:

• ICMP – ICMP-запрос "ping". Для данного метода должен быть определен IP-адрес.
• TCP – TCP-соединение для хоста устанавливается и разъединяется. Для данного метода должен быть определен IP-адрес и порт.
• HTTP – запросы HTTP-сервера с использованием URL. Должны быть определены URL-адрес (во вкладке HTTP Parameters) и строковая переменная типа string, которая содержит начало или полный текст корректного ответа Web-сервера. Даже если такая величина не определена, любой ответ сервера будет считаться корректным.

увеличить изображение
Рис. 4.11. Назначение параметров при мониторинге хоста для резервирования маршрутов