Création des objets routeurs

L’utilisation d'objets routeurs permet d’assurer la notion de redondance entre les liens WAN. En effet, ces routeurs sont composés de différentes passerelles qui peuvent être définies comme actives ou de secours.

Les tests de disponibilité de ces passerelles consistent en une série de requêtes ICMP (Ping). Ils sont effectués à intervalle régulier (paramètre « frequency» - exprimé en secondes).

Après avoir émis une requête vers une passerelle, le firewall attend la réponse de celle-ci pendant un laps de temps défini (paramètre « wait » - exprimé en secondes). En cas d’absence de réponse, il émet de nouveau une requête, et ce jusqu’au nombre maximum d’essais infructueux déterminé (paramètre « tries »). Après avoir atteint ce nombre d'essais, et si aucune réponse n’a été reçue, le firewall considère alors la passerelle comme injoignable. Une ou plusieurs passerelles de secours deviennent alors passerelle(s) principale(s).

Les paramètres « frequency », « wait » et « tries » sont exclusivement paramétrables via une commande CLI :

CONFIG OBJECT ROUTER NEW name=<router name> [tries=<int>] [wait=<seconds>] [frequency=<seconds>] update=1.

Les valeurs recommandées pour ces paramètres sont les suivantes :

  • « frequency » : 15 (secondes),
  • « wait » : 2 (secondes),
  • « tries » : 3.

Dans la configuration présentée, il est nécessaire de créer trois objets routeurs :

  • Le premier (HTTPRouter dans l’exemple) est utilisé pour le transport des flux HTTP/FTP sur le lien WAN1, sans redondance,
  • Le second (ProductionRouter) permet de garantir la redondance des flux de production du lien WAN2 vers les deux autres liens WAN1 et WAN3,
  • Le troisième (VoIPRouter) assure le report des flux du lien WAN3 vers le lien WAN2.

IMPORTANT
Pour des configurations de tunnel IPsec routés, les routes définies au sein des règles de filtrage doivent impérativement utiliser des passerelles distantes. Les objets routeurs utilisés dans cet exemple seront donc basés sur les interfaces virtuelles IPsec distantes.

Dans le menu Configuration > Objets > Objets réseau, cliquez sur Ajouter puis sur l’icône Routeur du bandeau supérieur.

  • Renseignez le nom de l’objet (HTTPRouter dans l’exemple),
  • Dans la liste des passerelles utilisées, sélectionnez le routeur distant associé au lien WAN1 (objet RemoteTunWAN1 dans cet exemple),
  • Dans la Configuration avancée de l’objet, sélectionnez l’option Ne pas router pour le champ Si aucune passerelle n'est disponible. De cette manière, en cas de défaillance du lien WAN1, les flux HTTP/FTP ne seront pas pris en charge par les directives de routage définies par défaut. Ces flux seront alors simplement ignorés par le Firewall.

Fenêtre d'ajout d'un objet Routeur

Cliquez sur Créer et dupliquer afin de valider cette configuration.

  • Renseignez le nom de l’objet (ProductionRouter dans l’exemple),
  • Dans la liste des passerelles utilisées, sélectionnez l’interface IPsec distante associée au le lien WAN2, c’est à dire l’objet RemoteTunWAN2 dans cet exemple,
  • Dans la liste des passerelles de secours, ajoutez les deux interfaces IPsec distantes susceptibles de recevoir les flux de production en cas d’indisponibilité du lien WAN2, à savoir RemoteTunWAN1 et RemoteTunWAN3,
  • Dans la configuration avancée de l'objet, cochez la case Activer toutes les passerelles de secours en cas d'indisponibilité : les deux passerelles de secours RemoteTunWAN1 et RemoteTunWAN3 seront alors simultanément activées en cas d’indisponibilité du lien principal WAN2:

NOTE
Si un poids différent est affecté aux deux passerelles de secours, une répartition de charge des nouvelles connexions établies est appliquée en cas de défaillance de la passerelle principale.

EXEMPLE
Un poids de 50 est affecté à la passerelle RemoteTunWAN1.
Un poids de 10 est affecté à la passerelle RemoteTunWAN3.
Lorsque ces deux passerelles deviendront actives, la passerelle RemoteTunWAN1 supportera 50/(50+10)=83% des connexions. Les 17% restants des connexions seront prises en charge par la passerelle RemoteTunWAN3.

Dans le menu Configuration > Objets > Objets réseau, cliquez sur Ajouter puis sur l’icône Routeur du bandeau supérieur.

  • Renseignez le nom de l’objet (VoIPRouter dans l’exemple).
  • Dans la liste des passerelles utilisées, sélectionnez le routeur distant supportant le lien WAN3, (objet RemoteTunWAN3 dans l'exemple):
  • Dans la liste des passerelles de secours, ajoutez la passerelle susceptible de recevoir les flux de VoIP en cas d’indisponibilité du lien WAN3 (objet RemoteTunWAN2 dans l'exemple):