Plan du site  
pixel
pixel

Articles - Étudiants SUPINFO

Load Balancing sur les firewalls Palo Alto

Par Brice MIRAM-MARTHE-ROSE Publié le 12/04/2020 à 23:20:46 Noter cet article:
(0 votes)
Avis favorable du comité de lecture

Objectif de l'article :

L’objectif de cet article est de présenter les différents types de load balancing possible et leurs fonctionnements sur les firewalls nouvelle génération de marque Palo Alto

Rappel de notions

En informatique , il y a une méthode de haute disponibilité d’un service qui s’appelle le load-balancing. Il existe 2 grandes familles de load balancing :

  • le load-balancing (actif/actif)

  • le load-balancing actif/passif communément appelé failover

    Un load balancing est dit actif/actif :

    Quand les 2 points d'accès opérateurs sont utilisés en même temps au sein du réseaux.

    l’idée de ce type d’architecture est souvent d'améliorer la qualité de la bande passante en répartissant les sessions entre les connections internet fournis.

    On a alors la possibilité de répartir les sessions grâce à plusieurs méthodes

    Un load balancing est dit actif/passif :

    Quand les 2 point d’accès sont branchés et configurés mais que le second est configuré pour prendre le relais quand le premier lien vient à tomber. C’est le failover.

    Palo Alto Next-Gen Firewall

    Sur les firewall de la marque Palo Alto il y a plusieurs fonctionnalités plus ou moins efficaces qui permette de mettre en place les rôles de failover et load-balancer.

Equal Cost Multi-Path Routing

ECMP : Equal Cost Multi-Path Routing

Supposons que la base d'informations de routage (RIB) du pare-feu ait plusieurs chemins à coût égal vers une seule destination.

Le nombre maximal de chemins à coût égal par défaut est de 2. ECMP choisit les deux meilleurs chemins à coût égal de la RIB à copier dans la base d'informations de transfert (FIB).

ECMP détermine ensuite, sur la base de la méthode d'équilibrage de charge, lequel des deux chemins d'accès dans le FIB que le pare-feu utilisera pour la destination pendant cette session.

L'équilibrage de charge ECMP se fait au niveau de la session, pas au niveau du paquet - le début d'une nouvelle session est lorsque le pare-feu (ECMP) choisit un chemin à coût égal.

Les chemins à coût égal vers une seule destination sont considérés comme des membres de chemin ECMP ou des membres de groupe ECMP. ECMP détermine lequel des multiples chemins d'accès à une destination dans la FIB est utilisé pour un flux ECMP, en fonction de l'algorithme d'équilibrage de charge que vous définissez.

Un routeur virtuel ne peut utiliser qu'un seul algorithme d'équilibrage de charge.

Exemple de configuration de l’ECMP

Network > Virtual Routers

Policies > NAT

Exemple de configuration avec le mode Balanced Round Robin ( Round Robin Équilibré )

Network > Virtual Routers

Symmetric Return : Cette option permet aux requêtes d’être reçu sur la même interface utilisée pour leurs émissions.

Strict Source Path : signifie pas d’ECMP. Il s'applique au trafic IKE / IPsec généré par le pare-feu. Le trafic sera envoyé via le tunnel en fonction du tunnel auquel appartient l'adresse source.

Vous vous en doutez peut-être, il y a plusieurs algorithmes d’ECMP , dans cette partie je vous présenterai les différents algorithmes au choix permettant de mettre en place le load balancing au sein de votre firewall.

IP Modulo : C’est le mode de base d’ECMP. Ce mode utilise le hash des adresses IP de sources et de destinations contenu dans les trames des paquets pour déterminer quelle route utiliser .

IP Hash : Ce mode propose 4 options de base

  • Hash des adresses de sources et destinations

  • Hash de l’adresse sources

  • Hash d'après les ports sources/ destinations et adresses sources et destinations

  • Valeur personnalisée pour que le calcul du hash soit plus aléatoire

Balanced Round Robin : cet algorithme réparti équitablement les sessions à travers l’ensemble des liens du groupe en favorisant le maintien persistant des sessions.

Weighted Round Robin : permet de répartir les sessions de manière pondérée à travers les liens en fonction du poids de chaque liens attribuer en fonction de la bande passante, de la latence et de la disponibilité de chaque liens.

Path Monitoring ( failover)

Quand on configure le failover ce qui se passe réellement est que l’équipement actif (firewall routeur) va vérifier en permanence notamment grâce à des “ping” si le next-hop en l'occurrence l’une de nos box de fournisseur internet venait à tomber. Il faut pour un failover que la box meurt pour que la bascule se fasse car tant que la box est accessible et ce même si le service internet n’est quant à lui pas accessible, la bascule ne se fera pas.

C’est là qu’intervient le Path-Monitoring le but est de surveiller une adresse ip publique ( les DNS de Google , Cloudflare,Quad9 etc... ) , et d’effectuer la bascule si l’un de ces indicateurs venaient à tomber Network > Virtual Routers

On configure le liens backup avec une Metric plus importante que le lien principal au cas où la connexion principale venait à tomber ( 1.1.1.1 injoignable ) la connexion basculerait sur le second lien en utilisant la route par défaut DR_4G

Network > Virtual Router

Les configurations NAT sont les suivantes.

Policies > NAT

Policy Based Forwarding

Le pare-feu utilise l'adresse IP de destination dans un paquet pour déterminer l'interface sortante.

Il utilise la table de routage associée au routeur virtuel auquel l'interface est connectée pour effectuer la recherche d'itinéraire. Les PBF (Policy-Based Forwarding) vous permettront de remplacer la table de routage et de spécifier l’interface de sortie basée sur des paramètres spécifiques tels que l'adresse IP source ou de destination, ou le type de trafic.

Afin de mettre en place notre première règle de policy based forwarding, il nous faudra ajouter la route par défaut du FAI (fournisseur d'accès internet) qui sera utiliser en backup.

Network > Virtual Routers

Nous allons maintenant créer la règle de policy based forwarding qui nous permettra d’orienter le trafic vers notre FAI principal.

Pour cela rendez-vous dans l’onglet Policies > Policy Based Forwarding

Dans l’onglet Source, nous allons sélectionner la ou les zones sources concernés par notre règles, pour moi ici la zone interne “ LAN”.

Sources address : vous pouvez laisser Any , mais moi j’ai précisé que ce sont que les adresses local de mon lan 192.168.5.0/24

Sources User : utile pour préciser les users ou groupes concernés, cette fonction nécessite la mise en place des fonctionnalités USER-ID et GROUP-ID.

( Optionnel ) Vous pouvez sélectionnez Negate , pour exclure les adresses IP ou les objets répertoriés ci-dessus de l'utilisation de cette règle

Rendez-vous dans l’onglet destination/application/service dans notre cas nous, voulons mettre en place un load balancing pour le service internet donc dans Destination Adresse nous allons laisser Any.

Dans application je laisserai Any mais vous avez la possibilité de sélectionner les applications(protocoles) que vous voulez faire passer par votre règle de policy based forwarding.

Même chose pour les services.

NB : tous les services et applications(protocoles) n’ont répertoriés dans les règles passeront par la route par défaut configuré dans le virtual routeur.

Dans onglet Forwarding nous devrons sélectionner l’action que fera notre règle.

Elle aura pour but de faire suivre les paquets vers notre Livebox branchée via l’interface internet 1/1 de notre firewall .

le Next Hop est ici notre Livebox en 192.168.1.1

Il nous faudra cocher l’option Monitor qui fonctionne comme le path monitoring .

Sélectionner le profil par défaut rajouté l’IP d’un serveur distant ou d’un dns public qui puisse être surveillé afin basculer si internet venait à être inaccessible via ce lien.

pour nous 1.1.1.1 ( Cloudflare DNS )

(Obligatoire si vous avez des itinéraires asymétriques) : sélectionnez Enforce Symmetric Return

Cette option permet aux requêtes d’être reçu sur la même interface utilisé pour leurs émissions.

Vous avez maintenant créé votre première règle de policy based forwarding.

Vérification du bon fonctionnement de PBF

Pour cela rendez-vous dans Monitor > Session Browser

Nous pouvons voir les requêtes passer sur le premier lien FAI ( la Livebox )

Via l’interface du Palo Alto 192.168.1.254

A propos de SUPINFO | Contacts & adresses | Enseigner à SUPINFO | Presse | Conditions d'utilisation & Copyright | Respect de la vie privée | Investir
Logo de la société Cisco, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société IBM, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Sun-Oracle, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Apple, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Sybase, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Novell, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Intel, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Accenture, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société SAP, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Prometric, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Toeic, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo du IT Academy Program par Microsoft, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management

SUPINFO International University
Ecole d'Informatique - IT School
École Supérieure d'Informatique de Paris, leader en France
La Grande Ecole de l'informatique, du numérique et du management
Fondée en 1965, reconnue par l'État. Titre Bac+5 certifié au niveau I.
SUPINFO International University is globally operated by EDUCINVEST Belgium - Avenue Louise, 534 - 1050 Brussels