Routeur

Les objets routeurs peuvent être utilisés :

  • Comme passerelle par défaut pour le firewall,
  • Comme passerelle dans des routes statiques (sauf pour les objets routeurs caractérisés par du partage de charge),
  • Pour spécifier du routage au sein des règles de filtrage (PBR : Policy Based Routing).

Un objet routeur est défini par un nom et au minimum une passerelle utilisée. Il peut comporter une ou plusieurs passerelles utilisées et passerelles de secours. Un mécanisme de test de disponibilité de ces passerelles permet alors une notion de redondance : en cas de défaut de réponse d’une ou plusieurs passerelles principales, une ou plusieurs passerelles de secours prennent alors le relai. Une fois la passerelle principale redevenue active, la bascule depuis la passerelle de secours vers la passerelle principale est automatique.

Sélectionnez un routeur pour visualiser ou éditer ses propriétés.

Propriétés

Nom de l’objet Nom donné à l’objet routeur lors de sa création.
Commentaire Description associée à l’objet routeur.

Supervision

Les champs du cadre Supervision permettent de définir la méthode et les paramètres à utiliser pour vérifier la disponibilité des passerelles de l'objet routeur.

Méthode de détection Deux méthodes de détection de l'état des passerelles peuvent être sélectionnées :
  • ICMP : la détection est basée sur l'envoi de requêtes ICMP (ping) et la réponse ou non des passerelles testées.
  • TCP Probe : la détection est basée sur la connexion à un service TCP hébergé par les passerelles composant l'objet routeur. Le choix de cette méthode provoque l'affichage d'un champ supplémentaire correspondant au port TCP du service à tester (HTTPS par défaut).
Port

Ce champ n'est affiché que si la méthode de détection TCP Probe a été choisie.

Sélectionnez le port TCP à tester sur les passerelles constituant l'objet routeur.
Le port https est proposé par défaut.

Délai d'expiration (s) Indiquez le délai (en secondes) au delà duquel une requête n'ayant pas obtenu de réponse est considérée comme un échec.
Intervalle de tests (s) Indiquez l'intervalle de temps (en secondes) entre deux requêtes.
Échecs avant dégradation Indiquez le nombre de requêtes devant être en échec avant de déclarer le lien comme dégradé ou la passerelle comme injoignable.

SLA SD-WAN (seuils)

Cochez cette case pour afficher les contraintes sur des métriques réseau (latence, gigue, perte de paquets...) que doivent respecter les passerelles composant l'objet routeur pour assurer l'engagement de SLA lié au routeur.
Le respect ou non de ces valeurs détermine le statut des passerelles composant l'objet routeur, et donc le statut de l'objet routeur lui même. Ces statuts sont affichés dans le tableau de bord, le module de supervision SD-WAN et le module de supervision des Connexions.

Latence (ms)

Cette métrique représente le temps nécessaire à un paquet de données pour passer de la source à la destination à travers un réseau. Par abus de langage, on parle du temps de latence lors du résultat en ms d'un ping vers la destination.

Indiquez la latence maximale acceptée (en millisecondes) pour les passerelles composant l'objet routeur.

Cette valeur doit être comprise entre 0 et 60000 millisecondes.

Gigue (ms)

Cette métrique représente l'évolution de la latence au fil du temps.

Indiquez la gigue maximale acceptée (en millisecondes) pour les passerelles composant l'objet routeur.

Cette valeur doit être comprise entre 0 et 30 millisecondes.

Taux de perte de paquets (%)

Cette métrique représente le pourcentage de perte que peut subir un message (envoi sans réponse).

Cette valeur doit être comprise entre 0 et 100.

Taux d'indisponibilité (%) Cette métrique représente le pourcentage de temps pendant lequel une passerelle a été hors-service ou inactive sur la période de mesure.
Ce paramètre existe principalement afin d'afficher des statistiques concernant la disponibilité des passerelles.

NOTE
Avant d'activer un basculement en cas de non respect d'un des seuils SLA, il est recommandé de vérifier au préalable que ces seuils ne déclencheront pas à tort un basculement. Pour le vérifier, créez un objet routeur avec les seuils SLA souhaités et ajoutez-le en fin de votre politique de sécurité dans une règle qui ne sera jamais utilisée. L'objet apparaîtra alors dans le module Supervision et vous pourrez ainsi vous assurer que les seuils SLA sont correctement choisis.
Nous recommandons d'autant plus cette vérification dans le cas où la gigue est utilisée comme seuil SLA du fait que sa mesure est sensible aux éventuels micro-changements.

Grilles des passerelles utilisées et des passerelles de secours

Présentation de la barre de boutons

Ajouter

Ajoute une passerelle.

Supprimer

Supprime la passerelle sélectionnée.

Déplacer dans la liste de secours / Déplacer dans la liste principale Permet de basculer une passerelle de la grille principale à la grille de secours ou de la grille de secours à la grille principale.

Les deux grilles comportent les colonnes ci-dessous :

Passerelle(Obligatoire) Un clic dans une ligne de cette colonne ouvre la base d'objets afin de sélectionner une machine  composant le routeur.
Poids Permet d’affecter une priorité entre les différentes passerelles pour le mécanisme de répartition de charge. Une passerelle ayant un poids supérieur sera ainsi utilisée plus souvent lors de la répartition de charge des flux.
Cible(s) des tests Machine ou groupe de machines à tester afin de définir la connectivité de la passerelle. La valeur sélectionnée peut être la passerelle elle-même (Tester directement la passerelle), une machine ou un groupe de machines tierces. Le test de disponibilité peut être désactivé pour la passerelle sélectionnée en choisissant la valeur Pas de test de disponibilité.

NOTE
Il est fortement recommandé d'utiliser un groupe de machine comme cible des tests.

NOTE
Si la valeur Pas de test de disponibilité est sélectionnée pour l’ensemble des passerelles, la fonction de bascule vers les passerelles de secours est alors désactivée.

Commentaire(Optionnel) Texte libre.

NOTE
Les paramètres définissant le délai entre deux tests de disponibilité (« frequency »), le délai d’attente maximum pour une réponse (« wait ») et le nombre de tests à réaliser avant de déclarer la passerelle injoignable (« tries ») sont exclusivement paramétrables via une commande CLI :
CONFIG OBJECT ROUTER NEW name=<router name> [tries=<int>] [wait=<seconds>] [frequency=<seconds>] update=1.
Les valeurs recommandées sont de 15 secondes pour le paramètre « frequency », de 2 secondes pour le paramètre « wait » et de 3 pour le paramètre « tries ».

Configuration avancée

Répartition de charge Le firewall permet d’effectuer un routage réparti entre les différentes passerelles utilisées selon plusieurs méthodes.
  • Aucune répartition : seule la première passerelle définie dans les grilles "Passerelles utilisées" et "Passerelles de secours" est utilisée pour le routage.
  • Par connexion : toutes les passerelles définies dans la grille "Passerelles utilisées" sont utilisées. L'algorithme de répartition de charge se base sur la source (adresse IP source, port source) et sur la destination (adresse IP destination, port destination) du trafic. Le taux d’utilisation des différentes passerelles sera lié à leur poids respectif.
  • Par adresse IP source : toutes les passerelles définies dans la grille "Passerelles utilisées" sont utilisées. Un algorithme permet de répartir le routage en fonction de la source qui est à l'origine du trafic routé. Le taux d’utilisation des différentes passerelles sera lié à leur poids respectif.
Activation des passerelles de secours
  • Lorsque toutes les passerelles sont injoignables : la ou les passerelles de secours ne sont activées que lorsque toutes les passerelles utilisées sont injoignables.
  • Lorsqu’au moins une passerelle est injoignable : la ou les passerelles de secours sont activées dès qu’une passerelle utilisée est injoignable. Cette option est grisée lorsqu’une seule passerelle est renseignée dans la grille des passerelles utilisées.
  • Lorsque le nombre de passerelles joignables est inférieur à : la ou les passerelles de secours sont activées dès que le nombre de passerelles utilisées joignables devient inférieur au nombre indiqué. Cette option est grisée lorsqu’une seule passerelle est renseignée dans la grille des passerelles utilisées.
Activer toutes les passerelles de secours en cas d’indisponibilité Lorsque cette case est cochée, toutes les passerelles de secours sont activées dès que la condition d’activation est remplie. Si elle est décochée, seule la première passerelle de secours listée sera activée.
Si aucune passerelle n’est disponible Sélectionnez le comportement que le firewall doit adopter si toutes les passerelles définies au sein de l’objet routeur sont injoignables :
  • Routage par défaut : les routes (statiques ou dynamiques) définies dans la table de routage du firewall sont appliquées.
  • Ne pas router : les paquets ne sont pas pris en charge par le firewall.
Appliquer Valide la configuration du routeur.
Copier Permet de créer par duplication un nouvel objet routeur reprenant les mêmes caractéristiques.
Annuler Annule la configuration du routeur.