1. Mô hình thực tế
GVHD: Ngô Văn Công Page 80
2. Mô hình Lab
GVHD: Ngô Văn Công Page 81
II. Xây dựng mô hình cân bằng tải đƣờng WAN
Trong mô hình cân bằng tải đường WAN, server PfSense sẽ có 2 đường kết nối WAN và một đường đi vào LAN. Vì vậy, khi thực hiện bài lab này, chúng ta phải có ít nhất 2 kết nối wan để cung cấp 2 đường internet từ hai 2 ISP khác nhau. Nhưng khi thực hiện, do chỉ có một đường kết nối ra internet và không có server nên bài Lab được thực hiện trên WMware, sử dụng tính năng Routing and Remote Access trong máy ảo Windows Server 2003 để chia một đường kết nối thành 2 đường, server pfSense cũng thực hiện trên VMware.
1. Mô hình thực tế
GVHD: Ngô Văn Công Page 82
2. Mô hình Lab
Hình 4-4 Mô hình LAB cân bằng tải đường WAN
Mô hình được thực hiện trên máy ảo, cụ thể:
Máy ảo windows server 2003:
Có 3 network interface:
Interface đầu tiên(Interface mặc định) sẽ được bridge ra ngoài để kết nối internet. IP là 192.168.1.10/24, gateway 192.168.1.1.
Interface thứ hai là Adapter2 sẽ được nối với VMnet 2 có IP là 192.168.2.1/24.
GVHD: Ngô Văn Công Page 83 Interface thứ ba là Adapter3 sẽ được nối với VMnet3 có IP là 192.168.3.1/24.
Máy ảo pfsense:
Có 3 network interface, 2 interface nối với 2 interface của windows server 2003 để có 2 đường ra internet, 1 interface nối vào LAN.
Interface đầu tiên(Interface mặc định) sẽ nối vào VMnet2 với IP 192.168.2.2/24, gateway: 192.168.2.1.
Interface thứ 2 là Adapter2 sẽ được nối vào VMnet3 với IP là 192.168.3.2/24, gateway: 192.168.2.1.
Interface thứ 3 là Adapter3 sẽ nối vào VMnet4 (Interface LAN) với Ip là: 192.168.10.1/24.
III. Xây dựng mô hình cân bằng tải firewall
Hình 4-5 Mô hình cân bằng tải firewall
Trong mô hình này cần hai máy tính giống hệt nhau, với tối thiểu 3 card mạng và một subnet dành riêng cho đồng bộ hóa lưu lượng mạng (network traffic).
GVHD: Ngô Văn Công Page 84 Cấu hình mạng: Firewall 1 WAN IP: 192.168.2.2 SYNC IP: 172.16.1.1 LAN IP: 192.168.10.1 Firewall 2 WAN IP: 192.168.2.4 SYNC IP: 172.16.1.2 LAN IP: 192.168.10.2
Dùng hai địa chỉ IP ảo để chia sẻ giữa hai firewall.
IP mạng WAN ảo: 192.168.2.200
GVHD: Ngô Văn Công Page 85
Chƣơng 5: Triển khai và đánh giá hệ thống
I. Triển khai mô hình cân bằng tải cho các farm server
1. Cài đặt server Apache
Sau khi download Apache, bạn double click lên file .msi vừa download, một hộp thoại sẽ hiện ra như hình bên. Bạn click vào nút Next để tiếp tục.
Hình 5-1 Giao diện cài đặt Apache
Chọn phần "I accept the terms in the license agreement" và nhấn Next, tiếp tục nhấn Next .
GVHD: Ngô Văn Công Page 86 Điền localhost vào phần Network Domain và Server Name, điền
admin@localhost vào phần Aministrator's Email Address. Click Next để sang bước tiếp theo. .
Hình 5-3 Thiết lập thông tin cho Apache
Chọn Custom và nhấn Next để tiếp tục.
GVHD: Ngô Văn Công Page 87 Chọn thư mục để cài Apache (nhấn nút Change), mặc định là C:\Program Files\Apache Group. Nhấn Next, rồi nhấn Next lần nữa.
Hình 5-5 Chọn nơi lưu Appche
Chọn Install để bắt đầu cài đặt.
GVHD: Ngô Văn Công Page 88 Apache sẽ bắt đầu cài đặt các file vào đĩa cứng. Sau khi Apache đã cài đặt xong, khởi động lại máy trước khi tiếp tục.
Chạy thử Apache: sau khi khởi động, bạn chạy Apache từ Start Menu. Sau đó mở trình duyệt web và truy cập vào địa chỉ http://localhost, nếu nhận được màn hình “It works!” của Apache thì có nghĩa là bạn đã cài đặt thành công Apache.
Hình 5-7 Giao diện web localhost
Mặc định Apache sẽ đặt trang web của bạn ở C:\Program Files\Apache Group\htdocs, và nội dung trang web là It works!. Chỉnh sửa nội dung trang web lại là “Đây là Web server 1!” để phân biệt với webserver 2.
Tương tự, cài đặt và cấu hình server apache trên server 2 với nội dung là “Đây là Web server 2!”.
2. Triển khai mô hình
Sau khi cài đặt và cấu hình server Apache hoạt động ổn định, tiến hành cân bằng tải hai server Apache trên máy pfsense.
Từ máy pfsense, vào menu Services Load Balancers Monitor. Để thêm một bản ghi mới, nhấn nút , sau đó đặt tên trong phần Name và mô tả ngắn gọn trong Description, chuyển Type thành HTTP, và gán một địa chỉ IP bất kỳ không sử dụng vào phần Host (chúng ta sẽ khởi tạo địa chỉ IP của server ảo
GVHD: Ngô Văn Công Page 89 trong phần tiếp theo, và gán vào nhóm này), giữ nguyên HTTP Code là 200 OK. Sau đó nhấn Save để áp dụng các sự thay đổi.
Hình 5-8 Tạo Monitor
Monitor sau khi tạo.
Hình 5-9 Monitor sau khi tạo
Tiếp theo tạo mới các server pool. Chọn thẻ Pool và nhấn nút , đặt tên là ApacheSrvPool, thay đổi chế độ Mode thành Load Balance, thiết lập Port thành 80 (có thể thay đổi giá trị này để pfSenseáp dụng chế độ cân bằng tải với các ứng dụng khác trong hệ thống), cấu hình Monitor để giám sát, quản lý quá trình thiết lập đã được tạo trước đó, đặt địa chỉ IP của tất cả hệ thống web server cần thiết trong pool, và sau cùng là nhấn nút Save để lưu lại các sự thay đổi:
GVHD: Ngô Văn Công Page 90
Hình 5-10 Tạo Server Pool
Thêm tất cả hệ thống webserver vào pool.
Hình 5-11 Thêm webserver vào pool
Pool sau khi tạo.
Hình 5-12 Pool sau khi tạo
Tiếp theo, tạo server ảo để thực hiện cân bằng tải web server.Từ giao diện
Load Balancer, chọn thẻ Virtual Servers và nhấn nút để thêm mới 1 bản ghi. Sau đó, điền tiếp thông tin trong phần Name, Description, gán địa chỉ IPtrong phần IP Address bằng các giá trị đã chọn ở phía trên, thay đổi giá trị Port thành 80, đổi Virtual Server Pool thành poolđã khởi tạo trước đó. Sau cùng, nhấnSubmit để lưu thay đổi:
GVHD: Ngô Văn Công Page 91
Hình 5-13 Tạo virtual server
Server ảo sau khi tạo.
Hình 5-14 Server ảo sau khi tạo
3. Kiểm tra, đánh giá
Để kiểm tra trạng thái của webserver, vào meu Status Load Balancer. Hai server đều đang online (có nền màu xanh).
GVHD: Ngô Văn Công Page 92 Nếu một server apache ngừng hoạt đông, trạng thái của server sẽ chuyển sang offline (nền màu hồng).
Hình 5-16 Trạng thái khi có 1 server offline
Để kiểm tra tình trạng cân bằng tải webserver, từ máy client vào trình duyệt web gõ địa chỉ server ảo đã tạo http://192.168.0.100/ và refresh trình duyệt lại nhiều lần ta sẽ thấy trình duyệt nhận phản hồi từ cả hai sever apache.
GVHD: Ngô Văn Công Page 93
Hình 5-18 Client nhận phản hồi từ server apache 1
Để thay thế cho các sản phẩm thương mại chi phí xao như BigIP, LocalDirector Cisco... thì pfsense không phải là một giải pháp mạnh mẽ và linh hoạt. Nó không thích hợp cho việc triển khai những cấu hình yêu cầu giám sát và cân bằng tải linh hoạt. Đối với việc giám sát TCP, pfsense chỉ đơn kiểm tra các cổng cụ thể là mở. Với web server, máy chủ có thể không trả lời bất cứ yêu cầu HTTP nào, hoặc không có cách nào để xác định người dùng không hợp lệ. Với các như cầu cơ bản, các chức năng có sẵn, pfsense phù hợp một số trang wed rất tốt.
II. Triển khai mô hình cân bằng tải đƣờng WAN
1. Cấu hình Routing and remote access trên server 2003
Lưu ý: Mục đích làm bước này là để giả lập 2 kết nối internet (WAN). Nếu có 2 đường WAN rồi thì không cần thực hiện bước này mà kết nối trực tiếp 2 interface của máy pfsense vào 2 đường internet.
GVHD: Ngô Văn Công Page 94
Hình 5-19 Thiết lập card mạng cho máy ảo 2003
Thiết lập IP cho các interface:
GVHD: Ngô Văn Công Page 95
Hình 5-21 Thiết lập ip cho interfaces 3
Sau khi đã thêm interface và cấu hình IP, chúng ta bắt đầu cấu hình Rooting and remote access. Từ Start Administrator Rooting and ramote access. Chọn Configurate and Enable... để bật chức năng Rooting and remote access.
GVHD: Ngô Văn Công Page 96 Tiếp theo chọn Custom configuration.
Hình 5-23 Chọn customconfigution
Chọn NAT and basic firewall.
GVHD: Ngô Văn Công Page 97 Khi thực hiện xong, tiến hành R-click vào NAT/Bassic firewall chọn New interface để thêm interface.
Hình 5-25 Thêm interface cho NAT
Chọn interface (interface brigde ra internet) làm public interface (nhớ check vàoEnable NAT on this interface để bật tính năng NAT trên inerface này).
GVHD: Ngô Văn Công Page 98 Hai interface còn lại chọn làm Private.
Hình 5-27 Cấu hình 2 interface còn lại làm private interface
Kết quả sau khi cấu hình xong
GVHD: Ngô Văn Công Page 99
2. Cài đặt, cấu hình pfsense
Tiến hành cài đặt pfsense bình thường, lưu ý một số vấn đề sau:
Bước gán các interface vào interface LAN, WAN, OPT1 (OPT1 là interface tùy chọn ngoài thêm, ở đây nó có nhiệm vụ làm interface WAN thứ 2), gán em0 là interface WAN (ứng với cad VMnet2), em1 là interface OPT1(ứng với VMnet3) và em2 là interface LAN (ứng với VMnet4). Nếu cài đặt pfSense trên máy ảo, chúng ta có thể xem địa chỉ MAC của các interface này và đối chiếu với địa chỉ MAC của các interface khi cài đặt pfSense bằng cách vào file có đuôi *.vmx trong thư mục cài đặt máy ảo pfSense để xem.
Hình 5-29Địa chỉ MAC của các interface
Ví dụ:
Sau khi khai báo LAN interface. Tiến hành gán IP cho card LAN bằng cách chọn số trên màn hình console, sau khi gán IP LAN xong, chúng ta có thể truy cập vào webconfiguration của pfsense bằng cách vào trình duyệt web https://$địa_chỉ_interface_LAN (https://192.168.10.1), đăng nhập bằng tài khoản mặc định(admin/ pfsense).
Lưu ý: Dùng một máy ảo XP, gán interface vào VMnet4 để làm máy client
trong LAN. Mọi thao tác cấu hình cũng như test kết nối sau này đều được thực hiện trên máy này.
Bây giờ, chúng ta sẽ dùng webConfiguration để khai báo IP tĩnh (static), Gateway.. cho interface WAN và OPT1 (menu Interface $Tên interface) và cấp phát DHCP cho các máy tính trong LAN qua interface LAN (Services
GVHD: Ngô Văn Công Page 100
Hình 5-30 Gán IP cho interface WAN
GVHD: Ngô Văn Công Page 101
Hình 5-32Đặt địa chỉ IP cho interface LAN
GVHD: Ngô Văn Công Page 102 Kiểm tra trạng thái của gateway bằng cách vào Status Gateways. Nếu trạng thái của 2 gateway này Online nghĩa là bình thường. Nếu có gateway Offline, nghĩa là pfSense ping các Monitor IP (mặc định cũng chính là địa chỉ gateway của mỗi interface) không thành công. Vì vậy, chúng ta phải xem lại cấu hình các thông số IP.
Hình 5-34Kiểm tra trạng thái Gateway
Để khai báo DNS cho pfsense từ menu System General Setup.
Hình 5-35 Khai báo DNS cho pfsense
3. Cấu hình cân bằng tải đƣờng WAN trên máy pfsense
Gồm 3 bước thực hiện chính:
Kiểm tra, chỉnh sửa Gateway. Thêm Gateway Group.
GVHD: Ngô Văn Công Page 103 Sử dụng Gateway Group trong rules firewall của interface LAN.
3.1 Kiểm tra, chỉnh sửa Gateway
Phải chắc chắn rằng các gateway và Monitor IP của mỗi interface đã được khai báo ở trong System Routing, tab Gateway. Thật ra, trong phiên bản pfSense2, các thông số này được tự động tạo ra khi chúng ta khai báo IP và gateway trong Interface Tên interface. Chúng ta có thể để mặc định hoặc sửa Monitor IP của từng gateway cho phù hợp.
Hình 5-36 Kiểm tra Gateway
Monitor IP:
pfsense mặc định lấy Gateway của interface làm monitor IP của interface đó. Vì vậy pfsense sẽ ping gateway của mỗi interface (các interface WAN) để xác định chất lượng mạng. Trong một số trường hợp, việc xác định chất lượng mạng bằng cách trên không chính xác.
Ví dụ: Nếu gateway của interface WAN thuộc phía người dùng đầu cuối,
không phải thuộc bên kia mạng của ISP. Khi kết nối này bị down ở phía nhà cung cấp dịch vụ (ISP), lúc này pfSense sẽ ping gateway thành công. Vì vậy, pfSense sẽ không phát hiện kết nối wan này bị down.
Chúng ta có thể tùy chỉnh Monitor IP để việc xác định chất lượng mạng WAN được tốt hơn. Có thể sử dụng IP một web server công cộng, DNS của google hoặc IP bất kỳ nào trên mạng Internet để pfSense ping (chú ý rằng IP này không bao giờ được down, nếu Monitor IP bị down, trong khi đó liên kết WAN vẫn hoạt động bình thường thì pfSense sẽ cho rằng liên kế WAN này bị down..).
GVHD: Ngô Văn Công Page 104 Bởi mặc định, tất cả các WAN trên cùng một tier(cụ thể tier là gì sẽ được trình bày ở mục tiếp theo) được coi là có độ ưu tiên bằng nhau khi thực hiện load balancing. Nếu các liên kết WAN có tốc độ khác nhau, khai báo tham số weight cho mỗi liên kết sẽ cho phép pfSense xác định các liên kết có tốc độ lớn hơn để tính toán ưu tiên cho các liên kết này khi load balancing.
Ví dụ: Nếu chúng ta có một kết nối WAN 50Mbit và một kết nối 10Mbit,
nếu không khai báo weight thì liên kết 50Mbit sẽ không bao giờ sử dụng hết và liên kết 10Mbit sẽ đi đến quá tải. Trong trường hợp này chúng ta có thể khai báo weight cho liên kết 50Mbit là 5 và liên kết 10Mbit là 1 (để tỉ lệ là 5:1 ~ 50:10 Mbit).
Loss/Latency Thresholds
Với các liên kết WAN khác nhau, có thể độ mất mát gói tin (loss) hoặc độ trễ (latency) khác nhau. Vì vậy chúng ta cũng có thể quy định các thông số này để pfSense thực hiện Load balancing được tốt hơn.
3.2 Thêm Gateway Group
Gateway Group chỉ việc nhóm các gateway lại để hoạt động một cách phối hợp. Có thể sử dụng để cân bằng tải hay dự phòng.
Cụ thể ở đây, cần thiết lập Gateway Group cho hai WAN (interface WAN và OPT1) cho một cấu hình multi-wan bao gồm một Gateway Group cho cân bằng tải, và hai gateway group cho dự phòng. Chúng ta phải cấu hình nhiều Gateway Group hơn khi số lượng liên kết WAN nhiều hơn.
Tiers
Trong một Gateway Group, chúng ta cần gán mỗi gateway cho mỗi tier. Các gateway có tier thấp hơn sẽ được ưu tiên hơn. Nếu có hai gateway được gán cùng một tier trong cùng một Gateway Group, pfSense sẽ thực cân bằng trên hai gateway này. Nếu hai gateway được gán tier khác nhau, pfSense sẽ thực hiện Failover cho gateway có tier thấp hơn. Nếu tier được thiết lập là Never, gateway được gán sẽ coi như không thuộc Gateway Group đó.
GVHD: Ngô Văn Công Page 105 Member Down: Kích hoạt chỉ khi các liên kế của interface thành viên bị down.
Packet Loss: Kích hoạt chỉ khi các gói tin đến gateway bị mất cao hơn ngưỡng xác định.
Packet Loss or High Latency: Kết hợp cả hai trường hợp trên, tùy chọn này được hay dùng nhất.
Thực hiện cân bằng tải:
Khi hai gateway có cùng một tier, chúng sẽ được load balancing. Có nghĩa là trên một kết nối, các lưu lượng ra ngoài mạng sẽ được định tuyến qua các WAN theo kiểu round-robin. Nếu một gateway trong số các gateway giống tier (trong cùng một gateway group) bị down, nó sẽ không được sử dụng và các gateway khác cùng tier sẽ vẫn hoạt động bình thường.
Tiến hành tạo 1 Gateway Group với tên Cân bằng tải, thiết lập cùng tier1 cho hai gateway để load balancing
Hình 5-37 Tạo Gateway Group Load Balancing
Thực hiện dự phòng
Khi hai gateway khác tier, gateway có tier thấp hơn sẽ được ưu tiên. Nếu