Mohammadreza Soleimani 240 روز پیش verl
بازدید 391 بدون دیدگاه

Load Balance در فایروال FortiGate

Load Balance در فایروال FortiGate، در این مقاله قصد داریم به مفهوم Load Balancing و نحوه پیکربندی آن در فایروال های FortiGate بپردازیم. در ابتدا به مروری بر مفهوم Load Balancing خواهیم پرداخت.

 

Load Balance در فایروال FortiGate

فهرست مطالب

  1. Load Balancing چیست
  2. پیکربندی Load Balance
  3. ایجاد Static Route
  4. ایجاد Policy

 

 

Load Balancing چیست

در شبکه های سازمانی با مقیاس بالا افزونگی یکی از اصول اجتناب ناپذیر محسوب می شود. ما باید در طراحی چنین شبکه هایی افزونگی (Redundancy) را در نظر داشته باشیم. یکی از این افزونگی ها نیز اینترنت می باشد. ممکن است جهت افزونگی اینترنت در این نوع از شبکه ها استفاده از دو ISP مجزا یک راهکار منطقی محسوب می شود. با داشتن افزونگی در اینترنت هنگامی که یک ISP با مشکل مواجه شود، کاربران قطعی اینترنت را تجربه نخواهند نمود. اما ایجاد افزونگی همواره با هزینه همراه می باشد و چنانچه برای استفاده بهینه از افزونگی نقشه ای نداشته باشیم نهایتا به هدر رفت منابع و انرژی و تحمیل هزینه به سازمان منجر خواهد شد.

در این سناریو چنانچه از دو ISP برای دریافت سرویس اینترنت استفاده می کنیم، چنانچه یکی از این سرویس ها را صرفا جهت پشتیبان و برای استفاده در مواقع قطعی سرویس اول در نظر بگیریم در واقع راهکار بهینه ای را انتخاب نکرده و هدر رفت منابع را تجربه خواهیم نمود. برای جلوگیری از اتلاف منابع باید از هر دو سرویس ها به صورت هم زمان استفاده نمود و با استفاده از مکانیزم متعادل نمودن بار ترافیکی (Load Balancing) می توان به این قابلیت دست یافت.

 

پیکربندی Load Balance در فایروال FortiGate

جهت پیکربندی Load Balance در فایروال فورتی گیت سناریو زیر را در نظر می گیریم.

توپولوژی

 

همانطور که در توپولوژی فوق مشاهده می نمایید، فایروال FortiGate به واسطه Port2 به شبکه داخلی و از طرف دیگر توسط دو پورت Port1 و Port3 به دو ISP مختلف متصل شده است. ISP اول با آدرس Gateway (192.168.1.1) و ISP دوم با آدرس Gateway (192.168.10.1) در دسترس می باشد. در اینجا قصد داریم بین دو اینترنتی که در اختیار داریم Load Balance برقرار کنیم تا به صورت بهینه از سرویس های اینترنت استفاده نماییم. در این سناریو از قبل تنظیمات مربوط به اینترفیس ها انجام شده است. باید هر سه اینترفیس به درستی پیکربندی شده باشد تا بتوان از قابلیت Load Balancing در فایروال فورتی گیت استفاده نمود. جهت آشنایی با تنظیمات اینترفیس ها می توانید مقاله (تنظیمات اینترفیس در فایروال FortiGate) را مطالعه نمایید.

قبل از انجام تنظیمات پیکربندی می بایست اگر Static Route را از قبل تعریف نموده ایم آن را حذف نماییم. جهت پیکربندی Load Balancing در فایروال FortiGate از منوی System گزینه Network را انتخاب و از زیر منوی آن WAN Link Load Balancing را انتخاب می کنیم. در پنجره باز شده می بایست اینترفیس های متصل به اینترنت را از طریق گزینه Create New اضافه نماییم. با کلیک بر روی Create New پنجره جدیدی باز خواهد شد. در این قسمت می بایست اولین اینترفیس متصل به اینترنت فایروال FortiGate را انتخاب نماییم. در قسمت Gateway می بایست آدرس Gateway اینترفیس مورد نظر را مقدار دهی کنیم که در این سناریو Gateway مربوط به Port1 آدرس 192.168.1.1 می باشد. چنانچه گزینه Health Check را فعال کنیم این امکان فراهم می شود تا وضعیت اتصال را مورد نظارت قرار دهیم. این نظارت می تواند بر پایه دو پروتکل HTTP و Ping انجام پذیرد.

در این سناریو قصد داریم از Ping استفاده کنیم. در قسمت Probe Server می توان آدرس IP سروری در اینترنت را وارد نماییم (به عنوان مثال 4.2.2.4 یا 8.8.8.8) تا معیار بررسی پینگ مبتنی بر آدرس IP سرور مورد نظر انجام گیرد. گزینه Probe Interval (s) در واقع فرکانس ارسال پینگ به سرور مورد نظر را مشخص می کند که به صورت پیش فرض هر 5 ثانیه یک Ping به سمت سرور ارسال می شود که در صورت نیاز می توان مقدار 5 ثانیه را تغییر داد. قسمت Failure Threshold نشان دهنده تعداد Request های بدون پاسخ خواهد بود که به صورت پیش فرض اگر 5 پینگ ارسالی بدون پاسخ باشد اتصال لینک قطع تلقی خواهد شد. پس چنانچه در 25 ثانیه هیچ پاسخی به پینگ از طریق سرور ارسال نشود اتصال این اینترنت در فایروال FortiGate قطع در نظر خواهد گرفته شد و دیگر ترافیکی به سمت این ISP ارسال نمی گردد. در قسمت Recovery Threshold نیز چنانچه پس از اتصال مجدد به 5 پینگ ارسال شده پاسخ از سمت سرور دریافت شود لینک مجدد فعال خواهد شد.

اضافه نمودن اینترفیس 1

 

 

مشاهده تنظیمات فوق را برای دومین اینترفیس متصل به اینترنت فایروال نیز به صورت زیر انجام خواهیم داد.

اضافه نمودن اینترفیس 2

 

اکنون در پنجره WAN Link Load Balancing اینترفیس های ایجاد شده را به صورت زیر مشاهده خواهیم نمود.

روش تعادل

 

ایجاد Static Route

همانطور که مشاهده می نمایید، در قسمت بالا چندین گزینه برای انواع مکانیزم های Load Balancing وجود دارد. گزینه Source IP based تعادل بار ترافیکی را بر اساس آدرس های IP مبدا انجام خواهد داد. به این معنی که هر آدرس IP در شبکه داخلی از یکی از اینترفیس های متصل به اینترنت استفاده می کند. با انتخاب گزینه Weighted Round Robin و در نظر گرفتن یک وزن برای آن به همان نسبت اقدام به ارسال بار ترافیکی به آن ها خواهد نمود. به عنوان مثال چنانچه برای Port1 وزن 60  و Port3 وزن 40 را در نظر بگیریم در واقع Load balancing با نسبت 60 به 40 انجام خواهد گرفت. گزینه Spill-over مبتنی بر آستانه عمل می کند که بر اساس کیلوبیت در ثانیه (Kbps) می باشد. در این حالت چنانچه ترافیک اینترفیس اول به آستانه مورد نظر برسد ترافیک های مازاد از طریق اینترفیس دوم به اینترنت ارسال خواهند شد. در گزینه Source-Destination IP based تعادل بار بر اساس آدرس IP مبدا و مقصد انجام خواهد گرفت. گزینه Measured-volume based نیز بر اساس وضعیت لینک تعادل بار ترافیکی را انجام خواهد داد.

در مرحله بعدی می بایست یک Static Route ایجاد نماییم و اینبار گزینه wan-load-balance را در قسمت Device مقدار دهی کنیم.

استاتیک روت

 

ایجاد Policy

اکنون جهت تست تنظیمات انجام شده یک Policy جهت اتصال به اینترنت وارد می نماییم. جهت ایجاد یک Policy جدید در منوی FortiGate بر روی Policy & Objects کلیک می کنیم و از زیر منوی آن IPv4 را انتخاب می نماییم. در قسمت بالای پنجره بر روی Create New کلیک می کنیم.

در پنجره باز شده در قسمت Incoming Interface اینترفیس شبکه داخلی را به عنوان ورودی ترافیک در نظر می گیریم. در قسمت Source Address با انتخاب گزینه Create می توان یک شبکه خاص یا حتی یک IP بخصوص را ایجاد نمود که در این سناریو قصد داریم شبکه 172.16.1.0/24 را که شبکه داخلی محسوب می شود در نظر بگیریم.

چنانچه قصد داشته باشیم بر اساس کاربر و یا نوع دستگاه مبدا سیاستی را اعمال کنیم از قسمت های Source User(s) و Source Device Type استفاده خواهیم نمود که در مقاله های آتی به کاربران و نحوه اجازه دسترسی به اینترنت از طریق کاربر خواهیم پرداخت. در قسمت Outgoing Interface می بایست wan-load-balance را انتخاب نماییم که ترافیک کلاینت قرار است از این طریق به سمت اینترنت ارسال شود. اگر قصد داشته باشیم Policy مورد نظر را به یک آدرس خاصی در اینترنت اعمال کنیم این کار را توسط Destination Address انجام خواهیم داد که در این سناریو ما قصد انجام چنین کاری را نخواهیم داشت. همچنین چنانچه قصد داشته باشیم سیاست مورد نظر در بازه زمانی خاصی اعمال شود در قسمت Schedule این تنظیمات را می توان اعمال نمود و حالت پیش فرض بر روی همیشه می باشد به این معنی که سیاست مورد نظر همیشه اعمال خواهد شد.

در قسمت Service می توان نوع پروتکل مورد نظر را انتخاب نمود. در مواقعی که قصد داریم یک سیاست (Policy) خاصی را بر روی یک پروتکل اعمال نماییم می توان از این گزینه استفاده نمود. برای مثال می توان بنا به دلایل امنیتی فقط اجازه دسترسی به پروتکل https را فراهم نمود. در نهایت در قسمت Action می توان اجازه دسترسی یا عدم اجازه دسترسی به واسطه Policy ایجاد شده را تعیین نمود. در این سناریو با انتخاب Accept اجازه دسترسی به کلاینت ها داده خواهد شد.

ایجاد Policy

 

با ایجاد Policy اکنون کلاینت هایی که در شبکه داخلی قرار دارند دسترسی به اینترنت پیدا خواهند نمود. جهت ارزیابی صحت عملکرد تنظیمات انجام شده در منوی System فایروال FortiGate گزینه Fortiview و از زیر منوی مربوطه گزینه All Sessions را انتخاب می نماییم. در اینجا Session های باز شده قابل مشاهده می باشد و در ستون Destination Interface پورت های خروجی مورد استفاده در دسترس خواهد بود.

 

نظرات کاربران

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Select the fields to be shown. Others will be hidden. Drag and drop to rearrange the order.
  • Image
  • SKU
  • Rating
  • Price
  • Stock
  • Availability
  • Add to cart
  • Description
  • Content
  • Weight
  • Dimensions
  • Additional information
Click outside to hide the comparison bar
Compare