Cấu hình Cân bằng tải (Load Balancing) và Flow Preferences cho Meraki MX

Thảo luận trong 'Firewall Cisco Meraki' bắt đầu bởi toanle, 9/7/21.

Tags:
  1. toanle

    toanle Member

    - Tất cả các thiết bị Firewall Meraki MX đều có cổng uplink thứ hai (secondary uplink) được sử dụng vào mục đích cho Cân bằng tải (Load Balancing) và Dự phòng lỗi (Failover). Bài viết này hướng dẫn cách để kích hoạt và cấu hình một cổng uplink thứ cấp, load balancing giữa các cổng uplink, và Ưu tiên luồng dữ liệu cho nhiều loại traffic khác nhau.

    I/. Kích hoạt và Cấu hình WAN 2:
    - Một số MX model (MX250, MX400, MX450, MX600) có một port uplink thứ 2 riêng biệt (WAN 2). Để sử dụng các port này, chỉ cần một sợi cáp được kết nối và địa chỉ IP có thể được cấu hình trên trang local status page của MX. Trên tất cả các model MX khác, một LAN port có thể được cấu hình thành một secondary Internet port được sử dụng như là WAN 2.

    - Để cổng WAN được sử dụng và cấu hình trên các thiết bị không có sẵn WAN 2 port:

    1- Trên trang quản lý của trang Meraki Daskboard đi đến trang local status của MX.

    2- Click vào tab Configure ở phía trên.

    3- Bên dưới Port 1, 2, hoặc 4 (tùy thuộc model), thay đổi Role thành Internet:
    [​IMG]

    4- Cấu hình các thông tin cần thiết cho WAN port:
    VLAN tagging - Gán một VLAN tag để cho phép tất cả traffic gửi ra khỏi port này. Nếu giữ nguyên Don't use VLAN tagging, traffic sẽ được gửi dạng untagged.

    Connection Type – có thể chọn PPPoE nếu cần. Ngoài ra có thể giữ nguyên ở Direct.

    IP assignment – Nếu interface sẽ nhận được IP động từ ISP, chọn trong danh sách là DHCP. Nếu không cũng có thể để là Static và cấu hình thủ công các thông tin về địa chỉ IP Address, Netmask, Gateway, DNS servers.

    - Khi cổng WAN 2 đã được cấu hình và kết nối (connect), thì các tùy chọn khác sẽ xuất hiện thêm vào và có thể hiển thị trong trang điều khiển dưới đường dẫn Security & SD-WAN > Configure > SD-WAN & Traffic shaping.

    II/. Cân bằng tải (Load Balancing):
    - Các thiết bị Meraki MX có thể được cấu hình sử dụng cả hai cổng uplink để cùng cân bằng tải. Khi load balancing được kích hoạt bên trong trang Security & SD-WAN > Configure > SD-WAN & Traffic shaping, luồng lưu lượng (traffic flow) sẽ được phân bổ ra giữa 2 cổng uplink. Sự phân bổ tải này dựa trên cấu hình trên WAN 1 & WAN 2 trong phần Uplink configuration, tương ứng với cổng có thông lượng được gán lớn hơn sẽ phân phối nhiều luồng (flow) hơn.

    - Trong ví dụ bên dưới, WAN 1 được cấu hình qua 50Mb/s, và WAN 2 chỉ 10Mb/s. Khi tỉ lệ tốc độ tải là 5/1, với mỗi 5 flow gửi ra khỏi WAN 1, chỉ 1 flow sẽ được gửi ra ngoài WAN 2:

    [​IMG]

    III/. Kích hoạt Speed Tests cùng Load Balancing:
    - Trong khi xử lý các sự cố về mạng, đôi khi cần thực hiện kiểm tra lưu lượng mạng bằng sử dụng các dịch vụ trên Internet. Khi kiểm tra tốc độ của các uplink đến Internet bằng thiết bị của client trên MX được cấu hìnhd với load balancing, bước kiểm tra này có thể chỉ sử dụng 1 uplink cho nhiều lần kiểm tra. Nếu thông lượng khác nhau giữa các uplink, việc này có thể tạo ra kết quả không mong muốn trong các bài kiểm tra tốc độ tới Internet. Đây cũng là một chức năng của thuật toán Load Balancing trên Firewall MX.

    - Traffic mapping (đường đi lưu lượng) tới một Internet interface bằng địa chỉ IP nguồn-đích cùng với số port. Mọi lưu lượng IP mới khởi tạo khớp với địa chỉ IP nguồn-đích và port của một hiện đang map sẵn sẽ được gửi qua cùng một Internet interface. Điều này thực hiện để duy trì trạng thái kết nối của một số luồng nhất định yêu cầu nguồn và đích giữ nguyên trong suốt quá trình kết nối. Trong hình dưới, traffic cho Host A (192.168.1.2) dành cho kiểm tra tốc độ đã được map tới Uplink 2. Khi nào các mappping này còn, các kết quả của Host A sẽ luôn khớp với Uplink 1 trong khi các kết quả của Host B sẽ luôn khớp với Uplink 2.

    [​IMG]

    - Mỗi Traffic mapping tồn tại trong vòng 3600s (1 giờ) nếu không có traffic phát sinh khớp với mapping. Thời lượng này được đặt lại mỗi khi traffic mới được tạo khớp với mapping. Với giao tiếp thường xuyên giữa một cặp host, việc này có thể dẫn đến lưu lượng truy cập luôn sử dụng một uplink duy nhất để giao tiếp vì mapping liên tục được làm mới.

    - Trong nhiều trường hợp, thông lượng của các liên kết được kết nối với MX sẽ khác nhau. Ví dụ, một uplink có thể trên liên kết mạng MPLS tốc độ cao trong khi những đường khác là kết nối DSL chậm hơn, hoặc sự cố upsteam (ngược dòng) có thể gây ra tắc nghẽn trên một liên kết cụ thể. Khi kiểm tra tốc độ uplink bằng cách kiểm tra tốc độ Internet, cách tốt nhất là kiểm tra từng kết nối uplink riêng biệt. Điều này sẽ tránh được vấn đề được cài đặt trên interface đã nói ở trước và cho phép đo lường được chính xác thông lượng của cổng Uplink.

    IV/. Cân bằng tải và Các kết nối sử dụng SSL/TLS:
    - Khi một kết nối được thiết lập có sử dụng SSL hoặc TLS, thông thường kiểm tra source-port và địa chỉ IP được yêu cầu. Nếu có những mâu thuẫn trong gói tin nhận, thì kết nối đó sẽ bị chấm dứt. Một số trường hợp cân bằng tải có thể gặp trường hợp này khi traffic được tổng hợp qua nhiều cổng uplink cùng thời điểm.

    - Các thiết bị MX mang có liên kết tổng hợp (Link Aggregation) xử lý vấn đề bằng cách ghép riêng một luồng dữ liệu với một cổng uplink. Nói cách khác, khi một kết nối TCP được thành lập giữa nguồn và đích, port và địa chỉ IP việc đang tồn tại với nhau sẽ chỉ qua một cổng uplink nhất định để ngăn luồng phân phối ra cổng uplink, dẫn đến bị mất kết nối đến máy host ở xa.

    V/. Cân bằng tải 1:1 hoặc 1:Many NAT:
    - Cân bẳng tải trên thiết bị tường lửa MX được thiết kế thành các kết nối round-robin giữa tất cả các cổng WAN uplink, từ đó traffic cân bằng tải giữa hai bên. Trong khi đó, các NAT rule được dự định để map một IP public với một hoặc nhiều IP trong nội bộ, do đó traffic tới/từ các thiết bị nội bộ sẽ luôn sử dụng IP public đó.

    - Khi hai tính năng được sử dụng kết hợp, load balancing sẽ khiến traffic đi ra khỏi một interface, ngay cả khi có một NAT rule được đặt. Điều này có thể gây ra sự cố gửi traffic từ một IP bên trong biểu thị trong một NAT rule.

    - Các hướng dẫn sau đây sẽ giải thích làm cách nào để sử dụng Uplink Preferences để đảm bảo rằng NAT 1:1 hoặc 1:Many lưu lượng NAT sử dụng interface thích hợp:
    1- Đi vào đường dẫn Security & SD-WAN > Configure > SD-WAN & Traffic shaping.

    2- Tiếp đến phần Flow preferences, sau đó trong phần Internet traffic, chọn Add a preference.

    3- Cấu hình quyền ưu tiên giống bên dưới. Trong trường hợp này, Local IP range của IP 192.168.128.252/32 là thiết bị bên trong nội bộ được tham chiếu trong một quy tắc NAT 1:1, và Preferred uplink là một liên kết sử dụng IP public trong cùng một rule.
    [​IMG]


    4- Click Save changes.
    !Lưu ý: Các tùy chọn bổ sung cho uplink sẽ cần được cấu hình cho mỗi NAT rule. Đối với một rule NAT 1:Many, mỗi thiết bị nội bộ sẽ cần được đưa vào một tùy Uplink preference. Để đơn giản hóa danh sach các Uplink preference, một subnet có thể được chỉ định cho Local IP range thay vì một thiết bị đơn lẻ.

    VI/. Flow Preferences:
    - Theo mặc định (không có cân bằng tải), traffic kết nối internet sẽ đi ra khỏi cổng uplink chính. Thiết bị MX cũng có thể được cấu hình để gửi traffic ra khỏi một interface cụ thể dựa trên loại traffic (policy-based routing), hoặc dựa trên link quality (chất lượng đường link) cho mỗi uplink (performance-based routing). Các tùy chọn cho luồng (Flow Preference) có thể được cấu hình để xác định uplink nhất định nên sử dụng. Các flow preference cũng sẽ thay thể các quyết định cân bằng tải.

    VII/. Internet Traffic:
    - Những Flow preference dành cho traffic ra internet có thể được cấu hình để buộc traffic qua một uplink cụ thể dựa vào Source và/hoặc Destination. Các cấu hình preference có thể được sử dụng nếu một uplink riêng biệt nên được thiết kế cho một loại traffic cụ thể, chẳng hạn như traffic truy cập ràng buộc với một dịch vụ trên lưu trữ cloud.

    !Lưu ý: ICMP traffic không tuân theo các quy định traffic shaping. Do đó, Flow Preference sẽ không ảnh hưởng đến ICMP traffic.

    - Để tạo một flow preference cho Internet traffic:
    1- Trong trang Dashboard, đến đường dẫn Security & SD-WAN > Configure > SD-WAN & Traffic shaping.

    2- Đi đến Flow preferences, và bên dưới phần Internet traffic, chọn Add a preference.

    3- Xác định traffic đó sẽ được chỉ định với một uplink được chọn
    Protocol – giao thức là TCP, UDP, hoặc Any.
    Source – địa chỉ IP nguồn, sử dụng ký hiệu CIDR.
    Src port – Source-port, hoặc để "Any".
    Destination – địa chỉ IP đích, sử dụng ký hiệu CIDR.
    Dst port – Dest-port, hoặc để "Any".
    Preferred uplink – Cổng uplink mà traffic sẽ được gửi qua.
    4-Click Save Changes.
    [​IMG]

    VIII/. VPN Traffic và Tùy chọn các lớp hiệu suất:
    - Những Flow preference cho lưu lượng của Meraki AutoVPN có thể được cấu hình gửi ra một uplink được ưu tiên. Các tùy chọn này có thể được dùng để đảm bảo lưu lượng VPN có mức ưu tiên cao sẽ luôn đi qua đường tối ưu.

    !Lưu ý: Các flow preference cho VPN traffic chỉ hiệu lực cho Meraki AutoVPN, không ảnh hưởng đến các ứng dụng VPN không phải của Meraki.

    - Để tạo một Flow preference dành cho traffic của VPN:
    1- Trong trang Dashboard, đi đến đường dẫn Security & SD-WAN > Configure > SD-WAN & Traffic shaping.

    2- Trong VPN traffic, chọn Add a preference.

    3- Trong Traffic filter, xác định traffic được chỉ định cho ưu tiên trên uplink:
    Protocol - TCP, UDP, Any.
    Source/Port – Source-IP và port.
    Destination/Port - Dest-IP và port.
    4- Trong Policy > Preferred uplink, xác định cách chọn một uplink lên cho lưu lượng truy cập này:
    WAN 1/WAN 2 – Traffic sẽ sử dụng uplink này đến khi điều kiên Fail over if (tính huống lỗi) gặp phải:
    Poor performance – Traffic sẽ không chuyển sang đường uplink nếu hiệu suất không đáp ứng theo Performance class (Lớp hiệu suất). Lớp (class) hiệu suất này có thể được đặt là VoIP hoặc một class tùy chọn nào đó.

    Uplink down – Traffic sẽ không chuyển sang uplink khác nếu uplink không bị lỗi (down).

    Best for VoIP – Traffic sẽ sử dụng bất kỳ đường uplink được xác định là tối ưu nhất cho VoIP.

    Load balance – Nếu cân bằng tải được bật, traffic sẽ được phân phối giữa nhiều uplink được hỗ trợ Performance class đã xác định.

    Global preference – Traffic sẽ sử dụng bất kỳ đường uplink được đặt làm Primary uplink.

    [​IMG]

    - Các Performance class cũng có thể được tạo ra để xác định tiêu chuẩn hiệu xuất tối thiểu. Nếu các tiêu chuẩn không xảy ra, traffic sẽ được định tuyến sang cổng uplink được chọn thay thế.

    - Để xác định các Performance class:
    1- Trong trang Dashboard, vào đường dẫn Security & SD-WAN > Configure > SD-WAN & Traffic shaping.

    2- Bên dưới Custom performance classes, chọn Create a new custom performance class.

    3- Xác định các chuẩn hiệu suất tối thiểu cho class này:
    Name – đặt tên cho class này.

    Maximum latency (ms) – Độ trễ tối đa có thể chấp nhận được cho class này, đơn vị là mili giây (milliseconds). Cũng có thể để trống để bỏ qua độ trễ.

    Maximum jitter (ms) – Độ Jitter (căng thẳng) tối đa cho class này, cũng tính là mili giây. Cũng có thể để trống.

    Maximum loss (%) – Tỉ lệ gói tin bị mất tối đa, tính theo phần trăm traffic bị mất.

    4-Click Save changes.

    [​IMG]
    - Bài viết về Cấu hình cân bằng tải và Flow Preferences cho thiết bị Firewall Cisco Meraki MX đến đây là kết thúc. Hy vọng bài viết này sẽ giúp ích cho người xem.
     
    toanle, 9/7/21
    #1
  2. phatnv92

    phatnv92 New Member

    GIẢI PHÁP DỰ PHÒNG MULTIWAN UPLINK MỚI CỦA MERAKI

    MULTIWAN (2 ACTIVE + 1 BACKUP LINK)
    - MultiWAN cho phép có nhiều hơn hai cổng có chức năng uplink được hỗ trợ trên các mã thiết bị Meraki MX75, MX85, MX95, MX105 với nhiều hơn hai đường WAN chuyên dụng. Bài giới thiệu này sẽ giúp bạn biết thêm về các tính năng liên quan đến Multi-WAN này, cùng với hướng dẫn cấu hình và khắc phục sự cố.

    TÍNH NĂNG
    - Việc lặp lại hỗ trợ Multi-WAN này cho phép một kết nối thứ ba làm một đường dự phòng trên các nền tảng được hỗ trợ. Đường kết nối thứ ba này phỏng theo hành vi chuyển đổi dự phòng của tính năng cellular (kết nối di động) được tích hợp trên các thiết bị Meraki MX(C) được hỗ trợ - điều này có nghĩa rằng đường mạng thứ ba vẫn duy trì trong trạng thái sẵn sàng cho đến khi cả hai uplink chính (primary) và phụ (secondary) đều mất kết nối Internet.
    [​IMG]
    Màn hình chụp từ demo cho thấy uplink thứ ba được sử dụng khi cả hai uplinks chính đều gặp lỗi.
    - Các cổng mạng combo không được hỗ trợ tính năng Multi-WAN. Khi bật Multi-WAN lên, các cặp cổng combo sẽ bị disable, toàn bộ các cổng WAN trở thành các interface độc lập.

    Việc bật MultiWAN sẽ vô hiệu hóa việc ghép đôi cổng giữa các cổng SFP/RJ45 và khiến tất cả cổng WAN khởi động lại trong khoảng một phút. Do đó, nên bật MultiWAN trong thời gian bảo trì.

    ĐIỀU KIỆN ĐỂ TRIỂN KHAI MULTIWAN
    • Tính năng này yêu cầu firmware từ bản MX 18.2 trở lên.
    • Tính năng này chỉ hỗ trợ được trên các mã thiết bị: MX75, MX85, MX95, MX105.
    Những Lưu Ý Quan Trọng:

    1. Trên MX75 – Cổng mạng vật lý thứ ba được chọn làm 'Backup port'. Cổng mạng 1 & 2 được chỉ định thành WAN 1 và WAN 2 tương ứng.
    [​IMG]
    2. Đối với các thiết bị MX85, MX95 & MX105Cổng mạng vật lý Thứ Tư được chỉ định làm 'Backup port'. Và cổng mạng 1 & 2 được chỉ định thành WAN 1 và WAN 2.
    [​IMG]
    3. Trên các thiết bị MX85, MX95 & MX105Cổng mạng vật lý Thứ Ba bị tắt đi và không sử dụng được khi tính năng MultiWAN đã được mở lên.

    4. Backup port chuyên dụng không thể thay đổi sang một cổng vật lý nào khác.

    5. Cần trang bị thêm các mô-đun SFP (Quang hoặc Đồng) chô cổng mạng vật lý 1 & 2.

    Trường Hợp Áp Dụng:
    • Đường Internet thứ ba làm dự phòng: Cấu hình của đường mạng thứ ba dùng để làm dự phòng trong trường hợp cả hai đường mạng chính đều mất kết nối hoặc bị tắt (có thể lập lịch để làm việc này).
    • Meraki Cellular Gateway MG là một giải pháp dự phòng WAN không dây: Kết nối MG cho mạng dự phòng WAN không dây mà không phải hy sinh một kết nối mạng qua dây cáp vật lý.

    CẤU HÌNH:
    - Để bật tính năng MultiWAN lên:
    • Trên trang Dashboard, đi vào Security & SD-WAN > Monitor > Appliance Status.
    [​IMG]
    • Chọn mục Uplink, click “Enable Backup WAN”.
    [​IMG]

    - Khi đã được bật lên, đường mạng Thứ ba sẽ vẫn ở chế độ chờ (Standby) cho đến khi cả WAN 1 và WAN 2 gặp lỗi.

    - Thông tin uplink sẽ được báo cáo cho đường dự phòng Thứ ba này tương tự như WAN 1 và WAN 2.
    [​IMG]

    Hành động phẩn ứng lỗi khi có cấu hình HA:
    - Mặc dù tính năng MultiWAN bắt chước hành vi chuyển đổi dự phòng chính, phụ và cấp ba của mạng di động, nhưng tính năng này khác với hành vi chuyển đổi dự phòng của mạng di động khi MX ở chế độ HA. Ở chế độ HA, không giống như Cellular, tất cả các đường mạng bao gồm cả đường dự phòng phải bị lỗi trước khi thiết bị 'Spare MX' dự phòng tiếp quản làm 'Primary MX' chính.

    VPN:
    - AutoVPN
    • Các đường AutoVPN sẽ không được thiết lập trên WAN 3 nếu WAN1 hoặc WAN2 đang hoạt động.
    • Nếu Active-Active Auto VPN được bật, chỉ WAN1 và WAN2 được xây dựng đường kết nối mặc định. Uplink Thứ ba sẽ chỉ dành cho VPN được khi backup uplink chỉ là đường 'Active/Online'.
    • Nếu Active-Active Auto VPN bị tắt thì chỉ cổng WAN được đặt làm 'Primary uplink' xây dựng được kết nối VPN.

    - AutoVPN tunnel thông qua WAN3 sẽ chỉ được hình thành sau khi WAN1 và cả WAN2 ở trạng thái là 'DOWN'.

    Client VPN & Non Meraki VPN:
    - Sau khi WAN1 và WAN2 đã bị lỗi, và WAN3 đang hoạt động, các kết nối Client VPN và Non-Meraki VPN sẽ được được thiết lập trên WAN3. Nếu một trong hai WAN1 hoặc WAN2 còn hoạt động, các kết nối Client VPN và Non-Meraki VPN sẽ không được kết nối đến WAN3.

    Những chính sách SD-WAN:
    - Tùy chọn nà xuất hiện sau khi 'Active-Active Auto VPN' được bật lên.

    - Các chính sách về SD-WAN và cân bằng tải không áp dụng cho WAN3.

    Khắc phục sự cố:
    - Khắc phực sự cố cho MultiWAN cũng giống với các uplink khác trên thiết bị WAN Appliance. Không có sự khác biết với uplink dự phòng này, ngoài việc tính năng MultiWAN này bị vô hiệu ở mặc định, còn các uplink khác được bật lên ở mặc định.
     
    phatnv92, 13/3/24
    #2

trang này