II. Triển khai mô hình cân bằng tải đường WAN
2. Cài đặt, cấu hình pfsense
Tiến hành cài đặt pfsense bình thường, lưu ý một số vấn đề sau:
Bước gán các interface vào interface LAN, WAN, OPT1 (OPT1 là interface tùy chọn ngoài thêm, ở đây nó có nhiệm vụ làm interface WAN thứ 2), gán em0 là interface WAN (ứng với cad VMnet2), em1 là interface OPT1(ứng với VMnet3) và em2 là interface LAN (ứng với VMnet4). Nếu cài đặt pfSense trên máy ảo, chúng ta có thể xem địa chỉ MAC của các interface này và đối chiếu với địa chỉ MAC của các interface khi cài đặt pfSense bằng cách vào file có đuôi *.vmx trong thư mục cài đặt máy ảo pfSense để xem.
Hình 5-29Địa chỉ MAC của các interface
Ví dụ:
Sau khi khai báo LAN interface. Tiến hành gán IP cho card LAN bằng cách chọn số trên màn hình console, sau khi gán IP LAN xong, chúng ta có thể truy cập vào webconfiguration của pfsense bằng cách vào trình duyệt web https://$địa_chỉ_interface_LAN (https://192.168.10.1), đăng nhập bằng tài khoản mặc định(admin/ pfsense).
Lưu ý: Dùng một máy ảo XP, gán interface vào VMnet4 để làm máy client
trong LAN. Mọi thao tác cấu hình cũng như test kết nối sau này đều được thực hiện trên máy này.
Bây giờ, chúng ta sẽ dùng webConfiguration để khai báo IP tĩnh (static), Gateway.. cho interface WAN và OPT1 (menu Interface $Tên interface) và cấp phát DHCP cho các máy tính trong LAN qua interface LAN (Services
GVHD: Ngô Văn Công Page 100
Hình 5-30 Gán IP cho interface WAN
GVHD: Ngô Văn Công Page 101
Hình 5-32Đặt địa chỉ IP cho interface LAN
GVHD: Ngô Văn Công Page 102 Kiểm tra trạng thái của gateway bằng cách vào Status Gateways. Nếu trạng thái của 2 gateway này Online nghĩa là bình thường. Nếu có gateway Offline, nghĩa là pfSense ping các Monitor IP (mặc định cũng chính là địa chỉ gateway của mỗi interface) không thành công. Vì vậy, chúng ta phải xem lại cấu hình các thông số IP.
Hình 5-34Kiểm tra trạng thái Gateway
Để khai báo DNS cho pfsense từ menu System General Setup.
Hình 5-35 Khai báo DNS cho pfsense
3. Cấu hình cân bằng tải đƣờng WAN trên máy pfsense
Gồm 3 bước thực hiện chính:
Kiểm tra, chỉnh sửa Gateway. Thêm Gateway Group.
GVHD: Ngô Văn Công Page 103 Sử dụng Gateway Group trong rules firewall của interface LAN.
3.1 Kiểm tra, chỉnh sửa Gateway
Phải chắc chắn rằng các gateway và Monitor IP của mỗi interface đã được khai báo ở trong System Routing, tab Gateway. Thật ra, trong phiên bản pfSense2, các thông số này được tự động tạo ra khi chúng ta khai báo IP và gateway trong Interface Tên interface. Chúng ta có thể để mặc định hoặc sửa Monitor IP của từng gateway cho phù hợp.
Hình 5-36 Kiểm tra Gateway
Monitor IP:
pfsense mặc định lấy Gateway của interface làm monitor IP của interface đó. Vì vậy pfsense sẽ ping gateway của mỗi interface (các interface WAN) để xác định chất lượng mạng. Trong một số trường hợp, việc xác định chất lượng mạng bằng cách trên không chính xác.
Ví dụ: Nếu gateway của interface WAN thuộc phía người dùng đầu cuối,
không phải thuộc bên kia mạng của ISP. Khi kết nối này bị down ở phía nhà cung cấp dịch vụ (ISP), lúc này pfSense sẽ ping gateway thành công. Vì vậy, pfSense sẽ không phát hiện kết nối wan này bị down.
Chúng ta có thể tùy chỉnh Monitor IP để việc xác định chất lượng mạng WAN được tốt hơn. Có thể sử dụng IP một web server công cộng, DNS của google hoặc IP bất kỳ nào trên mạng Internet để pfSense ping (chú ý rằng IP này không bao giờ được down, nếu Monitor IP bị down, trong khi đó liên kết WAN vẫn hoạt động bình thường thì pfSense sẽ cho rằng liên kế WAN này bị down..).
GVHD: Ngô Văn Công Page 104 Bởi mặc định, tất cả các WAN trên cùng một tier(cụ thể tier là gì sẽ được trình bày ở mục tiếp theo) được coi là có độ ưu tiên bằng nhau khi thực hiện load balancing. Nếu các liên kết WAN có tốc độ khác nhau, khai báo tham số weight cho mỗi liên kết sẽ cho phép pfSense xác định các liên kết có tốc độ lớn hơn để tính toán ưu tiên cho các liên kết này khi load balancing.
Ví dụ: Nếu chúng ta có một kết nối WAN 50Mbit và một kết nối 10Mbit,
nếu không khai báo weight thì liên kết 50Mbit sẽ không bao giờ sử dụng hết và liên kết 10Mbit sẽ đi đến quá tải. Trong trường hợp này chúng ta có thể khai báo weight cho liên kết 50Mbit là 5 và liên kết 10Mbit là 1 (để tỉ lệ là 5:1 ~ 50:10 Mbit).
Loss/Latency Thresholds
Với các liên kết WAN khác nhau, có thể độ mất mát gói tin (loss) hoặc độ trễ (latency) khác nhau. Vì vậy chúng ta cũng có thể quy định các thông số này để pfSense thực hiện Load balancing được tốt hơn.
3.2 Thêm Gateway Group
Gateway Group chỉ việc nhóm các gateway lại để hoạt động một cách phối hợp. Có thể sử dụng để cân bằng tải hay dự phòng.
Cụ thể ở đây, cần thiết lập Gateway Group cho hai WAN (interface WAN và OPT1) cho một cấu hình multi-wan bao gồm một Gateway Group cho cân bằng tải, và hai gateway group cho dự phòng. Chúng ta phải cấu hình nhiều Gateway Group hơn khi số lượng liên kết WAN nhiều hơn.
Tiers
Trong một Gateway Group, chúng ta cần gán mỗi gateway cho mỗi tier. Các gateway có tier thấp hơn sẽ được ưu tiên hơn. Nếu có hai gateway được gán cùng một tier trong cùng một Gateway Group, pfSense sẽ thực cân bằng trên hai gateway này. Nếu hai gateway được gán tier khác nhau, pfSense sẽ thực hiện Failover cho gateway có tier thấp hơn. Nếu tier được thiết lập là Never, gateway được gán sẽ coi như không thuộc Gateway Group đó.
GVHD: Ngô Văn Công Page 105 Member Down: Kích hoạt chỉ khi các liên kế của interface thành viên bị down.
Packet Loss: Kích hoạt chỉ khi các gói tin đến gateway bị mất cao hơn ngưỡng xác định.
Packet Loss or High Latency: Kết hợp cả hai trường hợp trên, tùy chọn này được hay dùng nhất.
Thực hiện cân bằng tải:
Khi hai gateway có cùng một tier, chúng sẽ được load balancing. Có nghĩa là trên một kết nối, các lưu lượng ra ngoài mạng sẽ được định tuyến qua các WAN theo kiểu round-robin. Nếu một gateway trong số các gateway giống tier (trong cùng một gateway group) bị down, nó sẽ không được sử dụng và các gateway khác cùng tier sẽ vẫn hoạt động bình thường.
Tiến hành tạo 1 Gateway Group với tên Cân bằng tải, thiết lập cùng tier1 cho hai gateway để load balancing
Hình 5-37 Tạo Gateway Group Load Balancing
Thực hiện dự phòng
Khi hai gateway khác tier, gateway có tier thấp hơn sẽ được ưu tiên. Nếu gateway có tier thấp này bị down, gateway có tier lớn hơn sẽ được sử dụng.
GVHD: Ngô Văn Công Page 106 Tiến hành tạo 2 Gateway group, trong các gateway group này, chú ý thiết lập khác tier nhau cho mỗi gateway, cụ thể:
Hình 5-38 Tạo Gateways WANFailToOPT1
Hình 5-39 Tạo Gateways OPT1FailToWAN
Kết hợp cả hai
Nếu có nhiều hơn 2 WAN. Chúng ta có thể thực hiện load balancing và failover trên cùng một Gateway Group. Chẳng hạn chúng ta cho WAN1 và WAN2
GVHD: Ngô Văn Công Page 107 cùng tier để load balancing, WAN3 có tier lớn hơn để phòng khi 2 WAN kia bị down thì WAN3 sẽ thực hiện failover… Trong bài viết này không thực hiện việc kết hợp theo kiểu này.
3.3 Sử dụng Gateway Group trong rules firewall của interface LAN.
Xác định các Gateway Group chỉ là một phần của bài viết này. Chúng ta phải chỉnh định lưu lượng truy cập đến các gateway bằng cách thiết lập các rule trong firewall bằng cách vào Firewall Rules, chọn tab LAN.
Mặc định ở pfSense2 có 2 rule được tạo sẵn, 1 rule có Description là Anti- Lockout Rule để quy định cho phép các port được kết nối từ ngoài internet vào trong LAN (cho phép 20,80,443). Và rule có Decription là Default allow LAN to any rule, rule này để cho phép các máy trong LAN truy cập ra ngoài.
Tiến hành thêm 3 Rule sử dụng tương ứng 3 Gateway Group đã tạo khi trước.
Tạo rules cân bằng tải:
GVHD: Ngô Văn Công Page 108
Hình 5-41 Chọn Gateways Load Balancing
Tạo rules dự phòng: khi đường truyền WAN trục trặc, chuyển toàn bộ lưu lượng sang OPT1.
GVHD: Ngô Văn Công Page 109
Hình 5-43 Chọn Gateways WANFailToOPT1
Tạo rules dự phòng: khi đường truyền OPT1 trục trặc, chuyển toàn bộ lưu lượng sang WAN.
GVHD: Ngô Văn Công Page 110
Hình 5-45Chọn Gateways OPT1FailToWAN
Hoàn tất các thao tác trên là bạn đã hoàn tất thiết lập dịch vụ cân bằng tải trên hai đường WAN. Tuy nhiên, bạn sẽ gặp phải khó khăn sau và cần phải cấu hình lại chúng:
Bạn không thể truy cập giao diện quản lý WAN từ mạng LAN một cách trôi chảy được. Vì tất cả các yêu cầu từ mạng LAN đều được chuyển qua nhóm gateway cân bằng tải, vì vậy một số yêu cầu đến WAN (cụ thể là truy cập IP 192.168.2.2) sẽ được chuyển sang OPT1 (192.168.3.2). Mà 2 WAN này thực tế không kết nối trực tiếp với nhau. Bạn cần thiết lập thêm rules truy cập trong trường hợp đích đến là 192.168.2.2 thì chỉ truy cập qua gateway WAN: 192.168.2.1 như sau:
GVHD: Ngô Văn Công Page 111
Hình 5-46 Tạo rule LANtoWAN
GVHD: Ngô Văn Công Page 112
Thêm rules để quy định cách máy con truy cập đường WAN 2 (OPT1):
Hình 5-48 Tạo Rule LANtoOPT1
Hình 5-49 Chọn gateway LANtoOPT1
Nếu bạn đang dùng một đường WAN của VNPT và một đường của FPT, bạn cũng không thể truy cập các trang của riêng nhà cung cấp FPT một cách trôi chảy được. Vì vậy, cân thêm 1 rule truy cập để quy định cách máy con truy cập IP của server nhà cung cấp đó với:
Destination: “Netwwork”, “Địa chỉ IP của server”. Gateway: 192.168.2.1.
GVHD: Ngô Văn Công Page 113 Kết quả sau khi cấu hình:
Hình 5-50 Rule LAN
Các rule trên chỉ là các rule được khai báo đơn giản. Chúng ta có thể thêm các rule mới cho các lưu lượng truy cập tùy chọn khác nhau bằng cách thiết lập Protocol (giao thức) hoặc thiết lập trong Advanced features của mỗi rule. Lưu lý rằng các rule được xử lý từ trên xuống, và một khi rule được khớp (matched), nó sẽ đươc xử lý theo rule đó và bỏ qua các rule sau. Vì vậy cần sắp xếp lại thứ tự các rules sao cho đúng theo yêu cầu.
Vấn đề DNS
Nếu các máy client trong LAN sử dụng địa chỉ DNS server là địa chỉ gateway của LAN (trường hợp này là 192.168.10.1) thì chúng ta phải chắc chắn rằng đã khai báo DNS server cho pfSense (menu System General Setup), nếu không các máy client sẽ không phân giải tên miền được khi truy cập internet.
GVHD: Ngô Văn Công Page 114
4. Kiếm tra, đánh giá
Để kiểm tra cấu hình chúng ta phải thực hiện kiểm tra như sau: Kiểm tra cân bằng tải:
Ở máy client trong LAN, dùng phần mềm download nhanh IDM để download một file nào đó trên internet , miễn sao dung lượng đủ lớn để có thời gian quan sát. Khi thực hiện download, ta thấy IDM mở các line (ví dụ ở đây là 8 line).
Hình 5-52 Kiểm tra cân bằng tải
Tiến hành disable 1 interface bên Windows Server 2003. Quan sát sẽ thấy một số line sẽ bị đứng lại, không download dược. Điều này có thể chứng tỏ các line không download được này có lưu lượng đi theo hướng interface WAN mà chúng ta vừa disable.
GVHD: Ngô Văn Công Page 115
Hình 5-53 Cân bằng tải chuyển qua WAN 2
Nếu để khoảng 5 giây sau, các line này sẽ tự động download lại, chứng tỏ pfSense đã phát hiện 1 liên kết WAN bị down và chuyển hướng lưu lượng sang OPT1..
Kiểm tra khả năng dự phòng:
Việc tra khả năng dự phòng rất đơn giản, chỉ cần disable 1 interface bên Windows Server 2003 (hoặc rút nguồn của 1 modem/router nếu bạn có 2 WAN thật) rồi từ client thử truy cập một website nào đó. Rồi tiến hành enable lại interface, disable interface bên kia và thử truy cập website lại. Nếu cả hai trường hợp trên đều truy cập được website nghĩa là cấu hình dự phòng đã thành công. Nếu 1 hoặc cả 2 trường hợp kia truy cập website không thành công, nghĩa là chúng ta đã cấu hình dự phòng sai.
Mô hình cân bẳng tải đường WAN với pfSense hỗ trợ nhiều kết nối WAN. Tuy nhiên có một hạn chế với nó ở chỗ chỉ có thể thực hiện cân bằng lưu lượng phân phối giữa hai kết nối WAN và không thể chỉ định được lưu lượng cho qua một kết nối.
GVHD: Ngô Văn Công Page 116
III. Triển khai mô hình cân bằng tải firewall
1. Cài đặt, cấu hình primary firewall
Tiến hành cài đặt primary firewall như cài đặt firewall pfsense. Cấu hình IP address các interface như sau:
Interface WAN(interface ra internet): 192.168.2.2
Interface OPT2(Interface đồng bộ 2 firewall): 172.16.1.1
Interface LAN: (Interface giao tiếp với mạng nội bộ): 192.168.10.1
Tiếp theo chúng ta cấu hình Virtual IP address cho cả hai tường lửa sẽ sử dụng. Để làm điều này vào menu Firewall Virtual IPs" và chuyển sang tab "Virtual Ips".
Trước tiên là thiết lập virtual IP address cho mạng WAN: 192.168.2.200.
Nhấn nút để thêm mới IP ảo, chắc chắn rằng kiểu IP được set ở CARP. Tại mục Interface, chọn interface là WAN. Tại mục IP address(es), nhập vào địa chỉ IP WAN ảo. Địa chỉ WAN này sẽ được sử dụng trên toàn hệ thống của bạn bất kể primary firewall hay backup firewall được kích hoạt.
Tiếp theo tạo một mật khẩu trong hộp "Virtual IP Password", giữ nguyên giá trị 1 đối với "VHID Group" và giá trị 0 đối với "Advertising Frequency", thêm mô tả tại Description và nhấn Save để lưu lại.
GVHD: Ngô Văn Công Page 117 Tương tự như vậy, chúng ta cấu hình Virtual IP address cho mạng LAN trong mục Interface. Cấu hình tương tự interface WAN, riêng phần “VHID Group" thay vào giá trị là 3, đặt một mô tả khác rồi nhấn Save để lưu thay đổi.
Hình 5-55 Tạo IP LAN ảo
Sau khi cấu hình, ta sẽ thấy trong section "Firewall | Virtual IPs" xuất hiện danh sách hai IPs ảo theo kiểu CARP.
Hình 5-56 IP mạng ảo sau khi tạo
Sau khi hoàn thành việc tạo IP ảo, bây giờ chúng ta tiến hành cấu hình đồng bộ hóa CARP trên tường lửa chính.
GVHD: Ngô Văn Công Page 118 Trên primary firewall, vào menu Firewall Virtual Ips, chuyển sang tab "CARP Settings" và đánh dấu tích vào hộp "Synchronize States". Tại mục Synchronize Interface chọn "OPT2" làm mặc định, đánh dấu check vào các hộp dưới mục mà bạn muốn đồng bộ giữa hai firewall như "Synchronize Rules", "Synchronize NAT", "Synchronize Virtual IPs"…
Hình 5-57 Đồng bộ hóa CARP trên tường lửa chính
Sau đó nhập địa chỉ IP SYNC của Firewall Backup vào hộp "Synchronize to IP" và thiết lập mật khẩu tại hộp "Remote System Password".
Hình 5-58 Đồng bộ hóa CARP trên tường lửa chính
Đánh dấu chọn vào các dịch vụ muốn đồng bộ. Nhấn Save để lưu thay đổi.
GVHD: Ngô Văn Công Page 119
2. Cài đặt, cấu hình Backup firewall
Tương tự primary firewall, tiến hành cài đặt backup firewal. Cấu hình IP address các interface như sau:
Interface WAN(interface ra internet): 192.168.2.4
Interface OPT1(Interface đồng bộ 2 firewall): 172.16.1.2
Interface LAN: (Interface giao tiếp với mạng nội bộ): 192.168.10.2
Tiếp theo, cấu hình một firewall rule cho phép các firewall giao tiếp với nhau trên thẻ SYN.
Kích chuột vào "Firewall Rules”, chọn OPT1 tại mục Interface. Kích nút để thêm một mục firewall rule mới. Thiết lập "Protocol" cho "any", thêm một mô tả để có thể xác định quy tắc. Nhấn Save, sau đó nhấn Apply Changes.
Hình 5-59 Tạo một firewall rule mới
GVHD: Ngô Văn Công Page 120 Đăng nhập vào firewall backup, vào menu Firewall Virtual IPs" bạn sẽ thấyvirtual IPs đồng bộ với primary firewall.
3. Kiểm tra, đánh giá
Để kiểm tra trạng thái CARP, vào menu status CARP(failover):
Trạng thái CARP primary firewall khi 2 firewall hoạt động: