Lastverteilung und Failover bei Gateways konfigurieren

Konfigurieren Sie XG Firewall zur Lastverteilung und Failover über mehrere ISP-Uplinks basierend auf der Anzahl der auf der Appliance verfügbaren WAN-Ports.

Einleitung

Sie können mehrere ISP-Uplinks auf verfügbaren physischen Schnittstellen in Form von Gateways enden lassen.

Sie können ein Gateway als aktiv oder als Reserve konfigurieren.

  • Aktiv-Aktiv: Alle Gateways befinden sich im aktiven Zustand, und der Datenverkehr wird zwischen allen Gateways gleichmäßig verteilt. Standardmäßig fügt XG Firewall ein neues Gateway als aktives Gateway hinzu, sodass die Lastverteilung automatisch zwischen vorhandenen und neu hinzugefügten Uplinks aktiviert wird. XG Firewall verwendet einen gewichteten Round-Robin-Algorithmus für die Lastverteilung, dadurch wird eine maximale Nutzung der Kapazitäten über die verschiedenen Links erreicht.
  • Aktiv/Backup: Sie konfigurieren ein oder mehrere Gateways als Reserve (Backup). Mit dieser Aufstellung können Sie Gateway-Failover konfigurieren für den Fall, dass ein aktives Gateway ausfällt.

Lastverteilung und Failover werden sowohl für IPv4- als auch für IPv6-Datenverkehr unterstützt. Sie können zwei IPv4-Gateways oder zwei IPv6-Gateways verwenden.

Das Netzwerkdiagramm zeigt, dass eine ISP-Verbindung an Port B endet und Port D ein ungebundener Port ist. Die folgenden Anweisungen zeigen, wie ein weiterer ISP-Uplink auf Port D gelegt wird.


Beispiel für ein Netzwerkdiagramm, das die Lastverteilung der Gateways zeigt

Neues Gateway hinzufügen

Sie müssen einen ungebundenen physischen Port konfigurieren. In diesem Beispiel wird durchgehend PortD verwendet.

Um ein neues Gateway hinzuzufügen, gehen Sie folgendermaßen vor:

  1. Gehen Sie zu Netzwerk > Schnittstelle.
  2. Wählen Sie einen ungebundenen Port aus, und klicken Sie darauf, um dessen Einstellungen zu bearbeiten.

    Screenshot einer neuen Schnittstelle, die für einen ungebundenen physischen Port erstellt wird.
  3. Geben Sie die folgenden Informationen für Ihre neue Schnittstelle ein:
    • Netzwerkzone: Wählen Sie WAN aus.
    • IPv4-Konfiguration: Schalten Sie es ggf. ein.
    • IP-Zuweisung
    • IPv4/Netzwerkmaske
    • Gateway-Name
    • Gateway-ID
  4. Klicken Sie auf Speichern.

    Beispieleinstellungen für PortD:


    Screenshot mit Beispieleinstellungen für ein Gateway.
    Das Gateway wird der Gatewayliste hinzugefügt.

Lastverteilung konfigurieren

Sie müssen die Lastverteilung für Ihr neues Gateway konfigurieren.

XG Firewall fügt ein neues Gateway als aktives Gateway hinzu. Die Lastverteilung wird automatisch zwischen vorhandenen und neuen Verbindungen aktiviert.

XG Firewall verwendet einen gewichteten Round-Robin-Algorithmus für die Lastverteilung. Dieser weist einer Verknüpfung eine Gewichtung zu. XG Firewall verteilt den Datenverkehr auf die Links im Verhältnis zur zugewiesenen Gewichtung.

So weisen Sie einer Verknüpfung eine Gewichtung zu:

  1. Gehen Sie zu Netzwerk > WAN-Link-Manager.
  2. Bearbeiten Sie das Gateway.

    PortD-Gateway bearbeiten:


    Screenshot, der zeigt, wie ein Gateway bearbeitet wird.
  3. Geben Sie eine Gewichtung ein.

    Beispielgewicht für PortD:


    Screenshot, in dem gezeigt wird, wie eine Gewichtung für das Beispiel-Gateway hinzugefügt wird.

Gateway-Failover konfigurieren

Sie können Gateway-Failover sowohl in Aktiv-Aktiv- als auch in Aktiv-Backup-Konfigurationen bereitstellen.

Wenn in einer Aktiv-Aktiv-Umgebung eines der aktiven Gateways ausfällt, wird der Datenverkehr an das andere aktive Gateway umgeleitet. Sie können Failover-Bedingungen angeben, um anzugeben, wie das ausgefallene Gateway erkannt werden soll. Wenn Sie ein Gateway hinzufügen, fügt XG Firewall eine Standard-Failover-Regel hinzu: Wenn XG Firewall die kürzlich hinzugefügte Gateway-IP-Adresse nicht anpingen kann, wird das Gateway als ausgefallen betrachtet.


Screenshot mit der Standard-Failover-Regel.

Bei einem Verbindungsfehler überprüft XG Firewall regelmäßig den Zustand der Verbindung, damit die Verbindung schneller wiederhergestellt werden kann, wenn der Internetdienst wiederhergestellt wird. Wurde die Verbindung wiederhergestellt und das Gateway wieder aktiv ist, wird der Datenverkehr automatisch wieder über das aktive Gateway geleitet.

XG Firewall benachrichtigt Administratoren per E-Mail über alle Änderungen im Gateway-Status. Sie können dies auch in der Protokollansicht sehen.

Wenn in einer Aktiv-Backup-Umgebung ein aktives Gateway ausfällt, sollten Sie den Datenverkehr an ein Reserve-Gateway weiterleiten.

Um Gateway-Failover einzusetzen, wählen Sie aus, ob Failover-Bedingungen konfiguriert oder an ein Reserve-Gateway umgeleitet werden sollen.

  • Um Failover-Bedingungen zu konfigurieren, gehen Sie folgendermaßen vor:
    1. Klicken Sie aufHinzufügen, um eine neue Failover-Regel hinzuzufügen. Sie können auch eine vorhandene Regel bearbeiten.
    2. Geben Sie die Details für die Regel ein.

      Dieser Screenshot zeigt eine Beispielregel. Die Regel besagt, dass XG Firewall das Gateway als ausgefallen betrachtet, wenn sie die Gateway-IP 172.16.16.15 nicht anpingen kann oder keine TCP-Verbindung auf Port 80 zu 4.2.2.2 herstellen kann.


      Screenshot mit Beispieleinstellungen für Failover-Regeln.
  • Um den Datenverkehr an ein Reserve-Gateway umzuleiten, gehen Sie folgendermaßen vor:
    1. Gehen Sie zu Netzwerk > WAN-Link-Manager.
    2. Bearbeiten Sie das Gateway.

      Bearbeiten Sie das PortD-Gateway:


      Screenshot, der zeigt, wie ein Gateway bearbeitet wird.
    3. Wählen Sie Sicherung als Typ aus.
    4. Stellen Sie das Gateway so ein, dass es aktiviert wird, wenn ein aktives Gateway ausfällt.
    5. Legen Sie fest, dass die Gewichtung vom ausgefallenen Gateway übernommen wird.

      Beispiel für Backup-Einstellungen für PortD:


      Screenshot mit Reserve-Gateway-Einstellungen für PortD.
    6. Klicken Sie auf Speichern.
      Wenn ein aktives Gateway ausfällt, wird das Reserve-Gateway aktiviert und erbt die Gewichtung des ausgefallenen Gateways.