Cấu hình Load Balancing trên Firewall Fortigate

Mô hình load balancing được thực hiện giữa 2 đường WAN của Firewall FortiGate kết nối đến 2 ISP (ISP1 và ISP2). Users lớp mạng trong sẽ thực hiện kết nối internet trên cơ chếcân bằng tải giữa 2 kết nối ISP. Hơn thế nữa việc dùng 2 Wan sẽ cho bạn cơ chế dự phòng. Khi 1 trong 2 cổng WAN đứt tín hiệu, hệ thống vẫn truy cập được internet thông qua WAN còn lại.


Trước tiên ta sẽ bắt đầu với việc cấu hình 2 cổng WAN. Trên Firewall Fortigate mặc định có các cổng Wan, ta cắm 2 dây cáp vào các wan tương ứng.
Cấu hình Wan
Vào System, Chọn Network sau đó click vào Interfaces menu items.


Double-click vào Wan1 interface.
Trong ví dụ này, mình thiết lập ip tĩnh cho wan1
IP : 10.10.10.10 , network mask: 255.255.255.0. Click OK.

Chúng ta thiết lập tương tự cho interface Wan2 : 10.20.10.10.


Một khi kết nối thành công chúng ta sẽ ping được đến gateway của IPS để ra internet.

Chú ý: Nếu tạo default route cho 2 Wan các bạn nên để distance là giống nhau. Thông thường chúng ta hay kết nối đến ISP thông qua quay số PPPoe thì con số distance này 2 Wan cũng phải giống y nhau. Thuật toán định tuyến sẽ chú ý đến thông số này để tính toán đường đi. Nếu 2 Wan cấu hình khác nhau việc định tuyến sẽ chọn Wan có đường đi tốt nhất để đi do đó không thể load balancing theo mong muốn.


Cấu Hình Policies cho ra NET


Vào phần: Policy – Create New thiết lập 2 rule lần lượt cho vùng internal ra mạng trên 2 Wan.
Cấu hình internal --- Wan1

Cấu hình internal --- Wan2

Policy sau khi được tạo 2 rule.

ECMP Routing

Firewall Fortigate load balancing dựa vào thuật toán ECMP Routing. Nó chia làm 3 phương thức cho việc load balancing của bạn.
• Source IP based : Hoạt động dựa trên địa chỉ nguồn trong vùng internal ra ngoài mạng (đại loại thuật toán round robin). Tức là khi một địa chỉ lớp mạng trong truy cập net đến fortigate nó sẽ đi ra wan 1, như vậy khi một user có địa chỉ kế tiếp muốn ra ngoài mạng nó sẽ phải đi theo wan 2 . Ip nguồn kế tiếp sẽ lặp lại wan 1. Các wan sẽ luân phiên nhau như thế.
• Weighted Load Balance : Lưu lượng ra ngoài mạng được load balancing theo tỉ lệ Weighted mà bạn chỉ định . Ví dụ Wan1 có số Weighted là 10 và Wan 2 là 20 thì khi đó Wan 2 sẽ có số phiên xử lí nhiều hơn gấp đôi Wan 1.
• Spillover : Hoạt động theo ngưỡng băng thông . Chẳng hạn bạn thiết đặt spillover threshold trên Wan 1 là 5 Mbit như vậy lưu lượng truy cập mạng sẽ đi qua Wan 1 cho đến khi nào Wan 1 đạt mốc 5Mbit nó sẽ chuyển phiên làm việc tiếp theo cho Wan2. Một khi đến khi nào Wan 1 Giảm lưu lượng xuống dưới 5Mbit, lúc đó phiên kết nối lại tiếp tục được đi qua Wan 1.

Có 1 điều cần chú ý ở weighted and spillover load balancing có bao gồm cached routes. Khi user truy cập đến 1 địa chỉ đích . Đường đi từ mạng của bạn đến địa chỉ đích bên ngoài được lưu lại vào cached routes. Do đó khi các phiên làm việc quá ngưỡng có truy cập cùng 1 địa chỉ đích trước đó nó sẽ chọn Wan (hay đường đi cố định) đó để đi như vậy sẽ không còn tuân thủ theo phương thức định sẵn nửa.

Bây giờ chúng ta cùng xem qua cấu hình load balancing với Source IP based
Chúng ta bắt đầu với Source IP based, các phương thức còn lại các bạn tham khảo làm tương tự.
. Chọn Source IP based.

Sau khi đã chọn phương thức ECMP , Chúng ta cần tạo Dead Gateway Detection. Việc này giúp cho fortigate có khả năng nhận biết tín hiệu đường truyền của các Wan là còn sống hay không.
Phần Dead Gateway Detection , click Create New. Wan1 Chúng ta tạo một ICMP Ping thám thính trên gateway internet 10.10.10.1; Nếu việc thám thính cho rằng Wan đã chết thì sẽ cho là cổng này không sử dụng được. Thiết lập Ping Interval and Failover Threshold là 5. Điều này có nghĩa là mỗi 5s gateway sẽ được kiểm tra , Nếu check thất bại 5 lần tuyến đường sẽ được xem như đã chết.
2 Dead Gateway Detection được tạo cho 2 wan

View policy bạn sẽ thấy bộ đếm packets trên 2 Wan thay đổi .

Bộ đếm trên 2 wan tăng lên. Tuy 2 Wan xử lí đồng nhau các ip nguồn nhưng con số bộ đếm khác nhau là tùy thuộc vào ip nguồn sử dụng dịch vụ gì ở địa chỉ đích.

Hy vọng qua bài viết sẽ giúp các bạn hiểu được phần nào cách thức hoạt động của load balancing trên Firewall Fortigate .

Chúc các bạn thành công!

 

CẤU HÌNH LOAD BALANCING FIREWALL FORTIGATE VER 5.4
Ngày nay với các ISP phổ biến thì các công ty thường có thuê ít nhất mạng của 2 nhà ISP để dự phòng sự cố mất mạng. Trong bài viết này mình sẽ hướng dẩn các bạn cấu hình dự phòng 2 đường WAN trên Firewall Fortigate.

Mô hình



Cấu hình

1. Cắm 2 đường internet vào Firewall Fortigate



2. Xóa Policy mặc định và static route

Xóa Policy : Policy & objects > Ipv4 Policy



Xóa Static route : Network > Static route



3. Tạo một WAN load balancing.

Network > WAN LLB (WAN Link Load Balancing).



Thêm 2 đường WAN



Load Balancing Algorithm > chọn Volume > cấu hình như bên dưới



WAN Links Usage



4. Tạo default route cho đường WAN load balancing được tạo

Network > Static routes



5. Tạo Policy cho LAN > WAN

Policy & Objects > Ipv4



Chọn Logging Options như hình dưới



6. Kết quả

Fortiview > All Sessions



Disable WAN 1 : Network > Interfaces và disable wan1.



Vào Fortiview > All Sessions sẽ tự động chuyển sang chạy WAN 2



Configuration Redundant Internet (5.4)


Bài viết cấu hình load balancing trên Firewall FortiGate với OS V5.4 đến đây hoàn tất.

Chúc các bạn thành công !

 

CẤU HÌNH LOAD BALANCING FIREWALL FORTIGATE VER 5.6
Trong bài viết này mình sẽ hướng dẩn các bạn cầu hình Load balancing trên Firewall Fortigate Fimware 5.6, ở fimware 5.6 load balancing được đổi tên thành SD-WAN.

Mô hình



1. Kết nối 2 đường Internet vào thiết bị



2. Xoá hết tất cả Policy liên quan đến 2 đường internet

Policy & Objects > IPv4 Policy



3. Tạo SD-WAN interface

Network > SD-WAN



Chọn Load balancing theo kiểu Volume (Về các kiểu load balancing thì các bạn có thể đọc lại ở bài trên)



Wan Link Usage



4. Kiểm tra cấu hình SD-WAN

SD-WAN Status check



5. Tạo Policy cho LAN đi ra theo đường SD-WAN

Policy & Objects > IPv4 > Create new



6. Kết quả

Network > SD-WAN > SD-WAN Usage.



Network > SD-WAN > SD-WAN Status Check


Monitor > SD-WAN Monitor



7. Kiểm tra tính dự phòng, ngắt kết nối WAN 1

Monitor > SD-WAN Monitor



Bài viết cấu hình Load Balancing (SD-WAN) trên tường lửa Firewall FortiGate đã hoàn tất.

Chúc các bạn thực hiện thành công!

Bài viết liên quan:

- CẤU HÌNH CÂN BẰNG TẢI VỚI SD-WAN TRÊN FIREWALL FORTIGATE

Video hướng dẫn cấu hình cân bằng Internet với tường lửa FortiGate bằng công nghệ SD-WAN (Fortigate Firewall Internet Balancing by WAN load balancing SD-WAN)

 

ok, fine, thks