Hướng dẫn cấu hình Load Balancing bằng SD-WAN trên Sophos Firewall

Bài viết này sẽ hướng dẫn cách cấu hình Load Balancing bằng tính năng SD-WAN cho hệ thống có nhiều đường truyền internet để khi một trong các đường truyền gặp sự cố thì kết nối sẽ không bị gián đoạn.

Sơ đồ mạng

Chi tiết sơ đồ mạng:

  • Có 2 đang đường đang kết nối vào tường lửa Sophos và chạy Load Balacing, đường truyền internet ISP 1 kết nối vào Port 2 của Sophos Firewall với IP 192.168.2.103 và Default gateway có IP là 192.168.2.1.
  • Đường truyền ISP 2 đang kết nối vào tường lửa Sophos tại Port 3 với IP 192.168.2.117 và Default gateway có IP 192.168.2.1.
  • Port 1 sẽ thuộc vùng LAN của tường lửa Sophos có IP 10.145.41.1/24 và đã được cấu hình DHCP để cấp phát IP.
  • Cuối cùng là Laptop 1 có IP 10.145.41.11/24.

Tình huống cấu hình

Chúng ta sẽ cấu hình Load balancing cho hai đường truyền internet là ISP 1 và ISP 2 với ISP 1 là đường Active và ISP 2 là đường Backup.

Khi đó các traffic đi internet sẽ đi theo đường ISP 1 để truy cập internet.

Sau đó chúng ta sẽ thực hiện tắt kết nối ISP 1 đi để kiểm tra xem thiết bị có chuyển đổi dự phòng kết nối internet sang đường ISP 2 backup giống như cấu hình load balancing mà chúng ta đã cấu hình hay không.

Các bước cấu hình

  • Kiểm tra các cổng internet.
  • Cấu hình kết nối ISP 1 là đường Active.
  • Cấu hình kết nối ISP 2 là đường Backup.
  • Kiểm tra kết quả.

Hướng dẫn cấu hình

B.1. Kiểm tra các cổng internet

Chúng ta sẽ vào Network > Interface và thấy được là hiện tại chúng ta có 2 đường truyền internet tại Port 2 và Port 3.

Tiếp theo chúng ta vào Network > WAN link manager và thấy rằng 2 đường truyền này đang chạy mode active và weight của chúng là 1 tức là mỗi đường chịu tải 50%.

B.2. Cấu hình ISP 1 là đường Active.

Nhấn vào icon bút chì tại đường ISP 1 để cấu hình.

Cấu hình với các thông số sau:

  • Type: Active.
  • Weight: 1.
  • Nhấn Add tại Failover rules để cấu hình điều kiện chuyển đổi dự phòng.

Chúng ta cấu hình Failover rule như sau:

  • Tại Not able to Connect dòng đầu tiên chọn PING – 192.168.2.1 – AND
  • Tại Not able to Connect dòng thứ 2 chọn PING – 8.8.8.8.
  • Nhấn Save để lưu.

Các thông số này có tác dụng là thiết bị sẽ thực hiện ping đến 2 IP 192.168.2.1 là default gateway của đường ISP 1 và 8.8.8.8 của google.

Nếu thiết bị ping thành công thì các traffic truy cập internet sẽ đi qua đường ISP 1.

Nếu thiết bị ping không thành công đến 2 traffic này thì nó sẽ thực hiện chuyển đổi dự phòng các traffic qua đường ISP 2.

Sau khi cấu hình thì thông số của ISP 1 sẽ hiển thị như sau.

Nhấn Save để lưu.

B.3. Cấu hình đường ISP 2 là đường backup.

Tượng tự như đường ISP 1 chúng ta cũng nhấn vào icon bút chì của ISP 2 để cấu hình.

Cấu hình với các thông số sau:

  • Type: chọn Backup.
  • Activate this gateway*: chọn ISP 1
  • Action on activation: chọn Inherit weight of the failed active gateway.
  • Serve new connections throught restored gateway.
  • Nhấn Save để lưu.

Các thông số mà chúng ta cấu hình cho ISP 2 có nghĩa là nếu đường ISP 1 bị rớt thì đường ISP 2 sẽ kế thừa thông số weight từ đường ISP 1 và các traffic mới đi internet sẽ được chuyển hướng sang đường ISP 2.

B.4. Kiểm tra kết quả.

Chúng ta sẽ dùng laptop 1 để truy cập internet.

Sau đó vào log viewer chúng ta sẽ thấy rằng các traffic đi internet hiện tại đang đi bằng Port 2 (ISP 1).

Sau đó chúng ta sẽ thực hiện tắt kết nối ISP 1 để kiểm tra chuyển đổi dự phòng.

Để tắt chúng ta nhấn vào admin ở góc trên bên phải màn hình chọn Console hoặc có thể truy cập console bằng Putty.

Sau khi nhấn Console một cửa sổ mới hiện ra nhấn Enter sau đó nhập password và nhấn Enter lần nữa để đăng nhập vào console của thiết bị.

Nhập 5 và nhấn enter để vào Device Management.

Nhập 3 và nhấn enter để vào Advanced Shell.

Nhập cấu lệnh “ifconfig Port2 down” để tắt port này đi.

Sau đó quay lại trang cấu hình của thiết bị Sophos Firewall, vào Network > WAN link manager chúng ta thấy được status của ISP 1 để chuyển sang màu đỏ tức đã tắt.

Sau đó chúng ta sẽ thực hiện truy cập internet bằng trình duyệt và kết quả là vẫn truy cập internet bình thường.

Điều này chứng minh rằng việc chuyển đổi dự phòng đã xảy ra khi đường ISP 1 bị tắt.

Để kiểm tra chúng ta vào lại Log Viewer và thấy được rằng các traffic internet hiện tại để đi theo Port3 tức ISP 2.

 

Trả lời

Email của bạn sẽ không được hiển thị công khai.