Palo Alto Networks : Hướng dẫn cách cấu hình cân bằng tải bằng ECMP

TÓM TẮT

1. Tổng quan

Equal Cost Multipath ( ECMP ) là một tính năng mới được trình làng trong PAN-OS 7.0. Tính năng này tương hỗ cho việc cân đối tải khi tất cả chúng ta có nhiều đường internet khác nhau. Tính năng này chỉ tương hỗ tối đa 4 đường truyền internet .
Nếu không có tính năng này, thiết bị tường lửa sẽ chọn 1 trong những đường internet hiện có để ship hàng cho nhu yếu truy vấn internet, những đường truyền internet còn lại sẽ không được sử dụng cho đến khi đường internet đang sử dụng xảy ra sự cố .
Cân bằng tải ECMP được thực thi ở cấp phiên, không phải ở cấp gói — thời gian mở màn một phiên mới là khi tường lửa ( ECMP ) chọn một đường truyền internet .

Bài viết này tập trung vào hướng dẫn cấu hình ECMP trên tường lửa Palo Alto.

2. Diagram

Sơ đồ mạng có những thành phần như sau :

  • Đường truyền internet ISP 1 với IP 10.0.0.1 được kết nối với thiết bị tường lửa Palo Alto tại cổng Ethernet 1/2 với địa chỉ IP 10.0.0.2.
  • Đường truyền ISP 2 với IP 172.16.31.1 được kết nối với thiết bị tường lửa Palo Alto tại cổng Ethernet 1/1 với địa chỉ IP 172.16.31.
  • Máy tính Computer01 với IP 172.16.16.100 được kết nối với thiêt bị tường lửa Palo Alto tại cổng Ethernet 1/3 với đia chỉ IP 172.16.16.1.

Bài viết này sẽ hướng dẫn cách thông số kỹ thuật cân đối tải bằng ECMP để lưu lượng truy vấn internet từ máy Computer01 sẽ được giàn trải trên 2 đường internet là ISP 1 và ISP 2 .

3. Các bước cần thực hiện

  • Cấu hình Zone.
  • Cấu hình interface.
  • Cấu hình Virtual Router.
  • Cấu hình NAT policy.
  • Cấu hình Security Policy.
  • Kiểm tra kết quả.

4. Cấu hình Zone

Chúng ta sẽ triển khai tạo 2 zone là LAN và WAN .
Để thông số kỹ thuật zone vào Network > Zone > Click Add > bàng Zone hiện ra và nhập vào những thông tin như sau :

  • Name : WAN
  • Type : Layer3


Chúng ta triển khai tạo zone LAN tương tự như như trên .

5. Cấu hình internet

Để thông số kỹ thuật cổng ethernet1 / 1, vào Network > Interface > ethernet1 / 1 > bảng Ethernet Interface hiện ra và nhập vào những thông tin như sau .
Ở tab Config :

  • Interface Type : Layer3
  • Security Zone : WAN


Ở tab IPv4 :

  • Type : static.
  • Click Add và thêm địa chỉ IP 172.16.31.2/24.


Chúng ta thực thi tương tự như với cổng Ethernet1 / 2 và Ethernet1 / 3 với những thông số kỹ thuật như hình sau .
Cấu hình cổng Ethernet1 / 2 :


Cấu hình cổng Ethernet1 / 3 :

6. Cấu hình Virtual Routers

Chúng ta cần tạo virtual routers để định tuyến những những traffic từ bên trong đi ra ngoài internet theo 2 đường mạng ISP 1 và ISP 2 và đồng thời thực thi thông số kỹ thuật cân đối tải .
Để tạo Virtual Routers vào Network > Virtual Routers > Click Add > Bảng Virtual Router hiện ra .
Ở tab Router Setting tất cả chúng ta điền vào những thông tin sau :

  • Name : VR1
  • Interface : Click Add và chọn 3 cổng ethernet1/1,ethernet1/2 và ethernet1/3.


Ở tab Static Routes tất cả chúng ta click Add và tạo 2 default-1 và default-2 với những thông số kỹ thuật như hình sau :

Quay trở lại tab Router Settings chúng ta chuyển qua ECMP để thực hiện cấu hình cân bằng tải với các thông số sau :

  • Tích chọn Enable để bật tính năng cân bằng tải.
  • Ở Method chúng ta sẽ có các phương thức cân bằng tải như IP Modulo, IP Hash, Weighted Round Robin, Balanced Round Robin.

Giải thích về 4 phương pháp load balancing :

  • Các thuật toán IP Modulo và IP Hash sử dụng các hàm băm dựa trên thông tin trong header của gói tin, chẳng hạn như địa chỉ nguồn và đích. Vì header của mỗi luồng trong một phiên nhất định chứa thông tin nguồn và đích giống nhau, nên các tùy chọn này ưu tiên độ liền mạch của các session. Nếu bạn chọn thuật toán IP Hash, hàm băm có thể dựa trên địa chỉ nguồn và địa chỉ đích hoặc hàm băm có thể chỉ dựa trên địa chỉ nguồn (trong PAN-OS 8.0.3 và các phiên bản mới hơn). Việc sử dụng thuật toán IP Hash chỉ dựa trên địa chỉ nguồn khiến tất cả các phiên thuộc cùng một địa chỉ IP nguồn luôn sử dụng cùng một đường dẫn từ nhiều đường dẫn có sẵn. Do đó, đường dẫn được coi là liền mạch và dễ khắc phục sự cố hơn nếu cần. Bạn có thể tùy chọn đặt giá trị Hash Seed để cân bằng tải ngẫu nhiên hơn nữa nếu bạn có một số lượng lớn các phiên đến cùng một đích và chúng không được phân phối đồng đều trên các liên kết ECMP.
  • Thuật toán Balanced Round Robin phân phối các phiên đến một cách đồng đều trên các liên kết, ưu tiên cân bằng tải hơn độ liền mạch của phiên. (Round robin cho biết trình tự trong đó mục ít được chọn gần đây nhất được chọn.) Ngoài ra, nếu các tuyến mới được thêm vào hoặc xóa khỏi một nhóm ECMP (ví dụ: nếu một đường dẫn trong nhóm bị hỏng), Virtual Routers sẽ cân bằng các phiên qua các liên kết trong nhóm. Ngoài ra, nếu các luồng trong một phiên phải chuyển tuyến do sự cố, khi tuyến ban đầu được liên kết với phiên trở lại khả dụng, các luồng trong phiên sẽ trở lại tuyến ban đầu khi Virtual Routers một lần nữa cân bằng lại tải trọng.
  • Thuật toán có trọng số ưu tiên dung lượng và / hoặc tốc độ liên kết — Là phần mở rộng cho tiêu chuẩn giao thức ECMP, việc triển khai Palo Alto Networks cung cấp tùy chọn cân bằng tải Weighted Round Robin có tính đến các dung lượng và tốc độ liên kết khác nhau trên các giao diện đầu ra của tường lửa. Với tùy chọn này, bạn có thể chỉ định trọng số ECMP (phạm vi là 1-255; mặc định là 100) cho các giao diện dựa trên hiệu suất liên kết bằng cách sử dụng các yếu tố như dung lượng liên kết, tốc độ và độ trễ để đảm bảo rằng tải được cân bằng để tận dụng hoàn toàn các liên kết có sẵn .

Ở bài hướng dẫn này tất cả chúng ta sẽ chọn Balanced Round Robin .

7. Cấu hình NAT policy

Chúng ta cần tạo 2 NAT policy cho 2 đường truyền internet ISP 1 và ISP 2 .
Để thông số kỹ thuật NAT policy vào Policies > NAT > click Add để tạo NAT policy cho ISP2 với những thông số kỹ thuật sau .



Tương tự tạo NAT policy cho ISP1 với những thông số kỹ thuật sau .


8. Cấu hình Security Policy

Muc đích thông số kỹ thuật Security Policy là để tường lửa được cho phép những lưu lượng truy vấn từ zone LAN ra zone WAN để truy vấn internet .
Để tạo Security Policy vào Policies > Security > Click Add và điền vào những thông số kỹ thuật như hình sau .



9. Kiểm tra kết quả

Dùng máy Computer01 truy vấn internet và bảo vệ rằng máy hoàn toàn có thể truy vấn internet .

Quay trở lại thiết bị tường lửa vào Monitor > Logs > Traffic và kiểm tra tác dụng .
Có thể thấy rằng lưu lượng của máy Computer01 với IP 172.16.16.100 đã được phân chia đều trên cà 2 cổng ethernet1 / 1 liên kết với ISP 2 và ethernet1 / 2 liên kết với ISP1 .

0
0
votes

Article Rating

ĐÁNH GIÁ post
Bài viết liên quan

Tư vấn miễn phí (24/7) 094 179 2255