Mô hình load balancing được thực hiện giữa 2 đường wan ISP . Users lớp mạng trong sẽ thực hiện kết nối internet trên cơ chếcân bằng tải giữa 2 kết nối ISP. Hơn thế nữa việc dùng 2 Wan sẽ cho bạn cơ chế dự phòng. Khi 1 trong 2 Wan đứt tín hiệu, hệ thống vẫn truy cập được internet thông qua wan còn lại.
WAN
Trước tiên ta sẽ bắt đầu với việc cấu hình 2 Wan. Trên Firewall Fortigate mặc định có các cổng Wan, ta cắm 2 dây cáp vào các wan tương ứng.
Cấu hình Wan 1
Ở System pane, Bung Network sau đó click vào Interfaces menu items.
Double-click vào wan1 interface.
Trong ví dụ này, mình thiết lập ip tĩnh cho wan1
IP : 10.10.10.10 , network mask: 255.255.255.0. Click OK.
Chúng ta thiết lập tương tự cho interface Wan2 : 10.20.10.10.
Một khi kết nối thành công chúng ta sẽ ping được đến gateway của IPS để ra internet.
Chú ý: Nếu tạo deafault route cho 2 Wan các bạn nên để distance là giống nhau. Thông thường chúng ta hay kết nối đến ISP thông qua quay số PPPoe thì con số distance này 2 Wan cũng phải giống y nhau. Thuật toán định tuyến sẽ chú ý đến thông số này để tính toán đường đi. Nếu 2 Wan cấu hình khác nhau việc định tuyến sẽ chọn Wan có đường đi tốt nhất để đi do đó không thể loadbalancing theo mong mốn.
Cấu Hình Policies cho ra NET
Vào phần: Policy – Create New thiết lập 2 rule lần lượt cho vùng internal ra mạng trên 2 Wan.
Cấu hình internal --- wan1
Cấu hình internal --- wan2
Policy sau khi được tạo 2 rule.
ECMP Routing
Fortigate loadbalancing dựa vào thuật toán ECMP Routing. Nó chia làm 3 phương thức cho việc load balancing của bạn.
• Source IP based : Hoạt động dựa trên địa chỉ nguồn trong vùng internal ra ngoài mạng (đại loại thuật toán round robin ). Tức là khi một địa chỉ lớp mạng trong truy cập net đến fortigate nó sẽ đi ra wan 1, như vậy khi một user có địa chỉ kế tiếp muốn ra ngoài mạng nó sẽ phải đi theo wan 2 . Ip nguồn kế tiếp sẽ lặp lại wan 1. Các wan sẽ luân phiên nhau như thế.
• Weighted Load Balance : Lưu lượng ra ngoài mạng được loadbalancing theo tỉ lệ Weighted mà bạn chỉ định . Ví dụ Wan1 có số Weighted là 10 và Wan 2 là 20 thì khi đó Wan 2 sẽ có số phiên xử lí nhiều hơn gấp đôi Wan 1.
• Spillover – Hoạt động theo ngưỡng băng thông . Chẳng hạn bạn thiết đặt spillover threshold trên Wan 1 là 5 Mbit như vậy lưu lượng truy cập mạng sẽ đi qua Wan 1 cho đến khi nào Wan 1 đạt mốc 5Mbit nó sẽ chuyển phiên làm việc tiếp theo cho Wan2. Một khi đến khi nào Wan 1 Giảm lưu lượng xuống dưới 5Mbit, lúc đó phiên kết nối lại tiếp tục được đi qua Wan 1.
Có 1 điều cần chú ý ở weighted and spillover load balancing có bao gồm cached routes. Khi user truy cập đến 1 địa chỉ đích . Đường đi từ mạng của bạn đến địa chỉ đích bên ngoài được lưu lại vào cached routes. Do đó khi các phiên làm việc quá ngưỡng có truy cập cùng 1 địa chỉ đích trước đó nó sẽ chọn Wan (hay đường đi cố định) đó để đi như vậy sẽ không còn tuân thủ theo phương thức định sẵn nửa.
Bây giờ chúng ta cùng xem qua cấu hình loadbalancing.
Source IP based
Chúng ta bắt đầu với Source IP based, các phương thức còn lại các bạn tham khảo làm tương tự.
. Chọn Source IP based.
Sau khi đã chọn phương thức ECMP , Chúng ta cần tạo Dead Gateway Detection. Việc này giúp cho fortigate có khả năng nhận biết tín hiệu đường truyền của các Wan là còn sống hay không.
Phần Dead Gateway Detection , click Create New. Wan1 Chúng ta tạo một ICMP Ping thám thính trên gateway internet 10.10.10.1; Nếu việc thám thính cho rằng Wan đã chết thì sẽ cho là cổng này không sử dụng được. Thiết lập Ping Interval and Failover Threshold là 5. Điều này có nghĩa là mỗi 5s gateway sẽ được kiểm tra , Nếu check thất bại 5 lần tuyến đường sẽ được xem như đã chết.
2 Dead Gateway Detection được tạo cho 2 wan
View policy bạn sẽ thấy bộ đếm packets trên 2 Wan thay đổi .
Bộ đếm trên 2 wan tăng lên. Tuy 2 Wan xử lí đồng nhau các ip nguồn nhưng con số bộ đếm khác nhau là tùy thuộc vào ip nguồn sử dụng dịch vụ gì ở địa chỉ đích.
Hy vọng qua bài viết sẽ giúp các bạn hiểu được phần nào cách thức hoạt động của loadbalancing trên OS fortigate .
https://thegioimang.vn/dien-dan/threads/c%E1%BA%A5u-h%C3%ACnh-load-balancing-tr%C3%AAn-firewall-fortigate.55/
Post a Comment