UTM with Balance
Hệ quả tất yếu của sự phát triển doanh nghiệp là số lượng nhân viên và nhu cầu trao đổi hoạt động kinh doanh tăng nhanh, Hệ thống mạng ngày càng bị quá tải, xuất hiện các vấn đề như chậm kết nối, server giảm khả năng phục vụ, thường xuyên bị mất kết nối ra bên ngoài hay với server nội bộ…….ảnh hưởng rất lớn đến hoạt động kinh doanh. Nâng cấp hệ thống mạng là giải pháp bắt buộc đối với các nhà quản trị mạng. O2Security SifoWorks UTM là thiết bị mạnh mẽ trang bị khả năng hoàn hảo để giải quyết những vấn đề trên, luôn là sự lựa chọn đúng đắn của các nhà quản trị mạng.
Case study sau đây sẽ giới thiệu cách cấu hình trên SifoWorks thực hiện chức năng Load Balance bao gồm Load balance inbound – Cân bằng tải các kết nối vào hệ thống, load balance outbound – Cân bằng tải cho các kết nối từ bên trong ra ngoài internetvà Load balance server – Cân bằng tải xuống các server nội bộ.
Mô hình của một hệ thống mạng doanh nghiệp.
[U]Yêu cầu và thực trạng của hệ thống:[/U
- Hệ thống mạng của doanh nghiệp như hình vẽ:
- Mạng LAN gồm 2 phòng Sale và Technical, hệ thống server farm cung cấp các dịch vụ mail, web, file, database….
- Hệ thống mạng trang bị đường một line WAN kết nối ra internet.
- Hệ thống mạng đang bị quá tải (thắt cổ chai) tại đường line WAN ra ngoài internet.
- Đường kết nối WAN đang bị quá tải bởi các kết nối từ bên ngoài vào Server Web với tên miền pnet.vn .
- Không có đường dự phòng cho trường hợp khẩn cấp khi đường ra internet hay vào các server bị mất kết nối.
Giải pháp:
- Nâng cấp thêm line WAN kết nối ra internet: WAN 1 dùng PPPoE (hay static IP), WAN 2 dùng static IP. Khai báo địa chỉ primary DNS server là dns1.pnet.vn với IP WAN 1, secondary DNS server là dns2.pnet.vn với IP WAN 2 trên ISP.
- Triển khai SifoWorks UTM có khả năng đáp ứng các nhu cầu của hệ thống mạng:
- Chức năng điều tiết các kết nối từ bên trong ra bên ngoài qua cả 2 đường WAN 1 và WAN 2. Bên cạnh đó tăng cường khả năng dự phòng đảm bảo traffic ra internet được liên tục.
- Chức năng Load Balance Inbound: Thực hiện load balance vào server web có domain www.pnet.vn trên cả 2 WAN 1 và WAN 2, và nếu WAN 2 mất kết nối thì traffic tự động chuyển qua WAN 1. Giải quyết tình trạng quá tải kết nối vào server, nhờ cơ chế phân giải tên miền (DNS). Đồng thời hỗ trợ cơ chế backup đảm bảo kết nối liên tục khi mất kết nối.
- Chức năng Load Balance Server: Cho phép UTM điều phối traffic tới các server web trong vùng DMZ nhằm tránh quá tải traffic đổ vào cùng 1 server.
Các bước cấu hình:
Bước 1: Cấu hình cơ bản (Basic Configuration): Thiết lập các interface
Interface LAN: vào System > Multiple Subnet: để chia interface LAN thành 2 subnet cho 2 mạng : 192.168.1.0/24 và 172.16.1.0/24 như sau:
Subnet 1:
Subnet 2:
Tấc cả các user bên trong mỗi subnet nếu muốn ra ngoài internet đều bị NAT qua interface WAN 1 và WAN 2.
Interface WAN 1: tạo kết nối với ISP qua PPPoE line.
Chú ý: Để UTM có thể kết nối với ISP thành công cần thiết lập policy cho phép tấc cả traffic tại 2 chiều incoming và outgoing .
Interface WAN 2: tạo kết nối với ISP qua Static IP. Công ty đăng ký với ISP để được cấp một IP tĩnh.
Interface DMZ:
vào System > Multiple Subnet: cấu hình IP cho interface DMZ:
DMZ interface đặt ở chế độ NAT mode nghĩa là các traffic từ server farm đi ra ngoài internet sẽ bị NAT tại interface WAN1 và WAN 2 tương tự như interface LAN.
Bước 2 : Thiết lập Load Balance Outbound.
Interface > 77WAN > Balance Mode: lựa chọn thuật toán Load Balancing phù hợp cho 2 WAN.
- Auto: UTM tự động điều chỉnh băng thông down/up trên khả năng cung cấp của 2 WAN có băng thông khác nhau.
- Round-Robin: UTM cân bằng tải theo tỷ lệ 1:1 các kết nối tới 2 WAN dùng khi 2 WAN cùng băng thông.
- By Traffic: UTM cân bằng tải dựa trên traffic thiết đặt trên mỗi WAN
- By Session: UTM cân bằng tải dựa vào thiết lập số lượng session trên mỗi WAN.
- By Packet: UTM cân bằng tải dựa vào số packet và kết nối trên mỗi WAN
- By Source IP: UTM cân bằng tải dựa trên IP nguồn của packet . Căn cứ vào thiết lập từ bên trong ra ngoài, nếu các session có cùng IP nguồn sẽ được phân phối qua cùng 1 WAN.
- By Destination IP: UTM phân phối dựa vào IP đích bên ngoài internet. Căn cứ vào session của các kết nối có cùng IP đích sẽ đi qua cùng 1 WAN.
Bước 3 : Thiết lập Load Balance Inbound.
Chức năng cân bằng tải traffic vào các server giúp giảm tình trạng quá tải vào một server qua nhiều interface WAN. Đồng thời tạo cơ chế dự phòng hay load balance chiều vào UTM qua các interface WAN.
[/I]Advance > Inbound Balance > Setting[/I] : thêm danh sách các public domain của công ty muốn UTM phân giải cho các yêu cầu từ các user bên ngoài.
Click modify trên từng public domain để cấu hình thêm các DNS record cho domain [B]pnet.vn[B]
- Domain name: domain đăng ký với ISP
- Enable DNS Zone: bật chức năng load balance inbound cho domain này
Click New Entry để tạo một DNS record cho UTM
- Select type :
- A (Address): UTM sẽ tìm kiếm dựa vào domain và IP của server.
- Host Name: Tên của server trong domain này. Tên đầy đủ của server sẽ kết hợp host name và domain public (ví dụ này là www.pnet.vn)
- Address: IP public cho server, IP cho server đi ra ngoài internet.
- Balance Mode: backup: link được chọn sẽ là đường dự phòng dùng cho record này.Khi link chính mất kết nối, traffic sẽ đổ vào link này; Round-Robin: thể hiện load balance qua các link của record tới cùng một server. Nếu cấu hình cả 2 mode tới cùng một server thì mode Round-Robin sẽ ưu tiên hoạt động.
- CNAME (Canonical NAME): định nghĩa tên nặc danh cho domain pnet.vn, các user ngoài internet có thể truy cập bằng domain nặc danh này.
- MX (Mail exchanger): dùng DNS cho mail exchange, có tác dụng khi thay đổi mail server mà không cần thay đổi địa chỉ mail, UTM có thể chuyển mail sang server mail mới với địa chỉ khác mà user vẫn có thể dùng địa chỉ mail cũ để gửi.
- SPF (Sender Policy FrameWork): cơ chế mail security giúp UTM có khả năng xác nhận người gửi, chống spam mail, phishing mail đối với các mail cùng network domain được thiết đặt trong SPF.
Sau khi tạo các đường load balance round-robin và backup theo yêu cầu giải pháp được kết quả
- Weight: trọng số cho các WAN, UTM dựa và trọng số này để phân phối traffic cho mỗi đường. Như hình user 1 đi kết nối tới WAN 1, user 2 kết nối tới WAN 2, user 3 kết nối tới bằng WAN 1…….
- Priority: độ ưu tiên cho mỗi đường, line nào có độ ưu tiên thấp được chọn phân phối traffic trước.
Bước 4: Tạo Virtual Service để thực hiện Load Balance Server.
Là chức năng chuyển những yêu cầu kết nối từ các user ngoài internet vào cho server nội bộ. Vì lý do an toàn cho hệ thống server chỉ nên mở những dịch vụ cần thiết mà server cung cấp.
Policy Object > Virtual Server > Server 1: Cấu hình cho phép traffic đi vào UTM từ WAN 1 sẽ được cân bằng tải tới 2 server web trong vùng DMZ.
Policy Object > Virtual Server > Server 2: Cấu hình cho phép traffic đi vào UTM từ WAN 2 sẽ được đều phối tới 2 server web trong vùng DMZ.
- Virtual Server Real IP: IP Public mà các user bên ngoài internet truy cập để vào server web.
- Service: Port dịch vụ mà server cung cấp, trong case study này là web server.
- External Service Port: Port dịch vụ mà user ngoài internet khởi tạo để kết nối tới server web, trong case study user dùng web browser với URL là http://www.pnet.vn:8080
- Server Operating Mode: chọn chế độ xử lý là load balance round-robin hay backup giữa các server.
- Server Virtual IP: IP private của các server trong vùng DMZ.
Bước 5: Tạo Policy cho phép traffic từ bên ngoài internet vào 2 server web.
Policy > Incoming :
Cho phép traffic vào server web bằng WAN 1.
Cho phép traffic vào server web bằng WAN 2.
Như vậy sau khi cấu hình hoàn tất, Các user từ bên ngoài internet truy cập domain pnet.vn sẽ được UTM dùng chức năng DNS phân giải thành IP của 2 WAN để thực hiện chức năng Load Balance Inbound: user1sẽ kết nối tới WAN 1, user 2 sẽ kết nối tới WAN 2, tương tự cho user 3 và 4. Sau khi UTM nhận kết nối từ 2 WAN, tiếp tục thực hiện cân bằng tải tới 2 server web một cách tuần tự. Các traffic trả lời từ server được UTM phân phối qua 2 WAN bằng chức năng Load Balance Outbound.
Hệ thống mạng giải quyết được vấn đề “thắt cổ chai” tại các line WAN và các server, đặc biệt là server web. Đồng thời tạo cơ chế dự phòng khi có sự cố mất kết nối vào server hay line WAN.
Tham khảo thêm về thiết bị bảo mật mạng O2 Security tại: http://pnet.vn
Nguồn: http://pnet.vn
Bookmarks