1. Tổng quan
Equal Cost Multipath (ECMP) là một tính năng mới được giới thiệu trong PAN-OS 7.0. Tính năng này hỗ trợ cho việc cân bằng tải khi chúng ta có nhiều đường internet khác nhau. Tính năng này chỉ hỗ trợ tối đa 4 đường truyền internet.
Nếu không có tính năng này, thiết bị tường lửa sẽ chọn 1 trong các đường internet hiện có để phục vụ cho nhu cầu truy cập internet, các đường truyền internet còn lại sẽ không được sử dụng cho đến khi đường internet đang sử dụng xảy ra sự cố.
Cân bằng tải ECMP được thực hiện ở cấp phiên, không phải ở cấp gói — thời điểm bắt đầu một phiên mới là khi tường lửa (ECMP) chọn một đường truyền internet.
Bài viết này tập trung vào hướng dẫn cấu hình ECMP trên tường lửa Palo Alto.
2. Diagram
Sơ đồ mạng có các thành phần như sau :
- Đường truyền internet ISP 1 với IP 10.0.0.1 được kết nối với thiết bị tường lửa Palo Alto tại cổng Ethernet 1/2 với địa chỉ IP 10.0.0.2.
- Đường truyền ISP 2 với IP 172.16.31.1 được kết nối với thiết bị tường lửa Palo Alto tại cổng Ethernet 1/1 với địa chỉ IP 172.16.31.
- Máy tính Computer01 với IP 172.16.16.100 được kết nối với thiêt bị tường lửa Palo Alto tại cổng Ethernet 1/3 với đia chỉ IP 172.16.16.1.
Bài viết này sẽ hướng dẫn cách cấu hình cân bằng tải bằng ECMP để lưu lượng truy cập internet từ máy Computer01 sẽ được dàn trải trên 2 đường internet là ISP 1 và ISP 2.
3. Các bước cần thực hiện
- Cấu hình Zone.
- Cấu hình interface.
- Cấu hình Virtual Router.
- Cấu hình NAT policy.
- Cấu hình Security Policy.
- Kiểm tra kết quả.
4. Cấu hình Zone
Chúng ta sẽ thực hiện tạo 2 zone là LAN và WAN.
Để cấu hình zone vào Network > Zone > Click Add > bàng Zone hiện ra và nhập vào các thông tin như sau :
- Name : WAN
- Type : Layer3
Chúng ta thực hiện tạo zone LAN tương tự như trên.
5. Cấu hình internet
Để cấu hình cổng ethernet1/1, vào Network > Interface > ethernet1/1 > bảng Ethernet Interface hiện ra và nhập vào các thông tin như sau.
Ở tab Config :
- Interface Type : Layer3
- Security Zone : WAN
Ở tab IPv4 :
- Type : static.
- Click Add và thêm địa chỉ IP 172.16.31.2/24.
Chúng ta thực hiện tương tự với cổng Ethernet1/2 và Ethernet1/3 với các thông số như hình sau.
Cấu hình cổng Ethernet1/2 :
Cấu hình cổng Ethernet1/3 :
6. Cấu hình Virtual Routers
Chúng ta cần tạo virtual routers để định tuyến các các traffic từ bên trong đi ra ngoài internet theo 2 đường mạng ISP 1 và ISP 2 và đồng thời thực hiện cấu hình cân bằng tải.
Để tạo Virtual Routers vào Network > Virtual Routers > Click Add > Bảng Virtual Router hiện ra.
Ở tab Router Setting chúng ta điền vào các thông tin sau :
- Name : VR1
- Interface : Click Add và chọn 3 cổng ethernet1/1,ethernet1/2 và ethernet1/3.
Ở tab Static Routes chúng ta click Add và tạo 2 default-1 và default-2 với các thông số như hình sau :
Quay trở lại tab Router Settings chúng ta chuyển qua ECMP để thực hiện cấu hình cân bằng tải với các thông số sau :
- Tích chọn Enable để bật tính năng cân bằng tải.
- Ở Method chúng ta sẽ có các phương thức cân bằng tải như IP Modulo, IP Hash, Weighted Round Robin, Balanced Round Robin.
Giải thích về 4 phương thức load balancing :
- Các thuật toán IP Modulo và IP Hash sử dụng các hàm băm dựa trên thông tin trong header của gói tin, chẳng hạn như địa chỉ nguồn và đích. Vì header của mỗi luồng trong một phiên nhất định chứa thông tin nguồn và đích giống nhau, nên các tùy chọn này ưu tiên độ liền mạch của các session. Nếu bạn chọn thuật toán IP Hash, hàm băm có thể dựa trên địa chỉ nguồn và địa chỉ đích hoặc hàm băm có thể chỉ dựa trên địa chỉ nguồn (trong PAN-OS 8.0.3 và các phiên bản mới hơn). Việc sử dụng thuật toán IP Hash chỉ dựa trên địa chỉ nguồn khiến tất cả các phiên thuộc cùng một địa chỉ IP nguồn luôn sử dụng cùng một đường dẫn từ nhiều đường dẫn có sẵn. Do đó, đường dẫn được coi là liền mạch và dễ khắc phục sự cố hơn nếu cần. Bạn có thể tùy chọn đặt giá trị Hash Seed để cân bằng tải ngẫu nhiên hơn nữa nếu bạn có một số lượng lớn các phiên đến cùng một đích và chúng không được phân phối đồng đều trên các liên kết ECMP.
- Thuật toán Balanced Round Robin phân phối các phiên đến một cách đồng đều trên các liên kết, ưu tiên cân bằng tải hơn độ liền mạch của phiên. (Round robin cho biết trình tự trong đó mục ít được chọn gần đây nhất được chọn.) Ngoài ra, nếu các tuyến mới được thêm vào hoặc xóa khỏi một nhóm ECMP (ví dụ: nếu một đường dẫn trong nhóm bị hỏng), Virtual Routers sẽ cân bằng các phiên qua các liên kết trong nhóm. Ngoài ra, nếu các luồng trong một phiên phải chuyển tuyến do sự cố, khi tuyến ban đầu được liên kết với phiên trở lại khả dụng, các luồng trong phiên sẽ trở lại tuyến ban đầu khi Virtual Routers một lần nữa cân bằng lại tải trọng.
- Thuật toán có trọng số ưu tiên dung lượng và / hoặc tốc độ liên kết — Là phần mở rộng cho tiêu chuẩn giao thức ECMP, việc triển khai Palo Alto Networks cung cấp tùy chọn cân bằng tải Weighted Round Robin có tính đến các dung lượng và tốc độ liên kết khác nhau trên các giao diện đầu ra của tường lửa . Với tùy chọn này, bạn có thể chỉ định trọng số ECMP (phạm vi là 1-255; mặc định là 100) cho các giao diện dựa trên hiệu suất liên kết bằng cách sử dụng các yếu tố như dung lượng liên kết, tốc độ và độ trễ để đảm bảo rằng tải được cân bằng để tận dụng hoàn toàn các liên kết có sẵn .
Ở bài hướng dẫn này chúng ta sẽ chọn Balanced Round Robin.
7. Cấu hình NAT policy
Chúng ta cần tạo 2 NAT policy cho 2 đường truyền internet ISP 1 và ISP 2.
Để cấu hình NAT policy vào Policies > NAT > click Add để tạo NAT policy cho ISP2 với các thông số sau.
Tương tự tạo NAT policy cho ISP1 với các thông số sau.
8. Cấu hình Security Policy
Muc đích cấu hình Security Policy là để tường lửa cho phép các lưu lượng truy cập từ zone LAN ra zone WAN để truy cập internet.
Để tạo Security Policy vào Policies > Security > Click Add và điền vào các thông số như hình sau.
9. Kiểm tra kết quả
Dùng máy Computer01 truy cập internet và đảm bảo rằng máy có thể truy cập internet.
Quay trở lại thiết bị tường lửa vào Monitor > Logs > Traffic và kiểm tra kết quả.
Có thể thấy rằng lưu lượng của máy Computer01 với IP 172.16.16.100 đã được phân bổ đều trên cà 2 cổng ethernet1/1 kết nối với ISP 2 và ethernet1/2 kết nối với ISP1.