Giải pháp Load Balancing Multi-WAN dùng Radware LinkProof (Phần 1)

Giới Thiệu:

Ngày nay, nhu cầu sử dụng Internet của các doanh nghiệp ngày càng cao và khả năng sở hữu nhiều đường truyền ADSL cũng khá dễ dàng. Do đó việc bảo đảm sự ổn định về tốc độ cũng như tính liên tục của kết nối Internet là vấn đề cần được lưu ý. Có rất nhiều giải pháp có thể triển khai để đạt mục đích này như sử dụng thiết bị phần cứng (rất nhiều sản phẩm có hỗ trợ như Virgo DrayTek, Fortinet, Dlink….) và phần mềm như Kerio Winroute Firewall, ISA, Pfsense …)
Trong bài viết này, tôi xin giới thiệu một giải pháp mới đó là dùng thiết bị Load Balancing Radware LinkProof (LP)của nhà sản xuất Radware, đây là một giải pháp tốt đối với các doanh nghiệp yêu cầu tính ổn định (high available) cho kết nối Internet cao. Ngoài tính năng load balancing cho Multi_WAN thì Radware LinkProof còn hỗ trợ nhiều tính năng khác như là Health Monitoring, Source/Apps Grouping, proximity, Smart NAT, Flow Manager, load balancing vpn connection, tích hợp tính năng Security(IPS&DOS protect, virus…) + Bandwidth Management (2 tính năng này phải mua license mới có).
Các bạn có thể xem brochure của sản phẩm tại đây: http://www.rad-direct.com/datasheet/…_datasheet.pdf

Mô hình:

Chuẩn bị:
-1 PC có IP 10.0.0.254
-1 thiết bị Radware LinkProof:
 + Port 2 có IP 10.0.0.1
 + Port 3 có IP 172.16.1.2
 + Port 4 có IP 172.16.2.2
 + Port 5 có IP 172.16.3.2
-3 router ADSL đã cấu hình cho ra Internet
 + Router 1 có IP 172.16.1.1
 + Router 2 có IP 172.16.2.1
 + Router 3 có IP 172.16.3.1

Thực hiện:
Để cấu hình thiết bị LinkProof ta dùng dây Serial để nối giữa cổng COM của máy tính với cổng console của thiết bị và dùng Hyper Terminal để kết nối đến để cấu hình (giống như router Cisco). Chú ý thống số Speed (baud): 19200

 

Do các port trên Radware LinkProof đều là các independence port nên ta có thể chỉ định nó là port connect vào LAN hay WAN hay cả hay đều được. Theo mô hình trên thì ta cấu hình port 2 thành port nối vào LAN và có IP là 10.0.0.1/24
B1: Reset lại thiết bị LinkProof
– Connect vào Linkproof login vào với user và pass default là radware. Sau khi login vào ta reboot lại thiết bị, khi reboot lại đến dòng “Press any key to pause autoboot …” nhấn phím bất kì rồi gõ vào q1 -> Enter, @ -> Enter

 
B2: Đặt IP cho port kết nối vào LAN
Sau khi xóa cấu hình xong thiết bị sẽ tự boot, ta khai báo theo hình sau:

 
B3: Truy cập vào LinkProof thông qua web để cấu hình (ngoài ra ta có thể dùng putty telnet hay ssh, hay dùng software APSolute của radware kết nối đến thiết bị để cấu hình cũng được). Open IE lên đánh IP của port nối vào LAN của LP, giao diện của em nó đây:

 
B4: Cấu hình các port còn lại trên LP theo sơ đồ kết nối:
– Router -> IP Router -> Interface Parameters

 
– Click Create và khai báo IP + Subnet Mask và Port tương ứng:

 
– Làm tương tự để đặt IP cho Port 4 và 5 => kết quả ta có các Port tương ứng với IP như hình sau:


 
B5: Khai báo các Next Hops Router (NHR)
– LinkProof -> Next Hops Routers -> Next Hop Router Table

 
– Khai báo NHR Address và NHR Name rồi click Set

 
– Khai báo tương tự cho 2 NHR còn lại:
 

B6: Tạo Default Route cho user ra Internet:
 

-Khai báo NHR Address và port no.
 

– làm tương tự để tạo default route trỏ đến 2 router còn lại:

 
– Nó gộp lại 1 dòng duy nhất nhưng thật ra là 3 record tương ứng với default route trỏ đến 3 router.
B7: Enable Smart NAT và cấu hình Dynamic NAT cho LP:
– Linkproof -> Global Configuration ->Smart NAT

 
– Chọn Enable Smart NAT -> Click Set

 
– Cấu hình Dynamic NAT

 

– Khai báo range IP local, IP router và Dynamic NAT IP

 
– (OS version của Linkproof tôi đang dùng là v4.37 cho nên ta phải tạo thêm Dynamic NAT IP để NAT cho client bên trong internal tương ứng với range Local IP mà mình khai báo, còn từ v5.20 trở lên thì ta không cần phải khai báo Dynamic NAT IP mà nó lấy lun địa chỉ của port đó làm NAT IP luôn.) Như hình trên địa chỉ Dynamic NAT IP dùng để NAT cho range IP từ 10.0.0.1-10.0.0.255.
– Ta cấu hình dynamic nat tương tự trỏ đến 2 router còn lại

 
– Bây giờ ta có thể truy cập được internet rồi, thử truy cập vào Nhất Nghệ xem có ai bài mới không nhé. Test load balancing bằng cách rút 1 hay 2 trong 3 line ra và xem kết quả:

 
B8: Dispatch method (phương pháp truyền)
 

 

– LP cung cấp rất nhiều phương pháp truyền khác nhau như là Cyclic, Least Amount of traffic, fewest number of users, hashing… mặc định là sử dụng phương pháp truyền theo dạng Cyclic hay còn gọi là Round Robin. Có nghĩa là khi user truy cập Internet thì các yêu cầu sẽ được xoay vòng đưa đến các Router khác nhau.
 

Vậy câu hỏi được đặt ra ở đây là nếu 1 trong các đường truyền bị rớt thì clients có thề tiếp ra Internet được không? Và cấu tả lời của tôi ở đây là có. Thiết bị sẽ tự động redirect gói tin của user đi theo đường khác.
Vd: ta ping google.com.vn với tham số -t và ta rút 1 trong 3 line ADSL ra. Ta thấy reply vẫn tốt không bị mất gói tin nào. LP sẽ tự động loại bỏ line đó ra và các gói tin sau không chuyển đến line này nữa.

 
– Ta có thể chuyển dispatch method từ Cyclic thành Least amount of traffic hay fewest number of users để tận dụng tối đa traffic của đường truyền tránh được tình trạng link thì phải chịu nhiều kết nối trong khi link thì ít được sử dụng.
Dispatch method là Least amount of traffic thì các gói tin sẽ được chuyển đến các router có lưu lượng traffic thấp nhất (tính theo packets), còn fewest number of users thì các gói tin sẽ được chuyển đến router có ít người sự dụng nhất.
B9: Application Grouping: LP cho phép ta nhóm theo từng ứng dụng, ứng dụng nào đi theo đường WAN nào. Để quản lý được client theo application grouping thì ta phải chuyển client table mode sang Layer 4 (client table mode mặc định là ở Layer 3)
 

 
– Sau khi chuyển client table mode sang Layer4 bây giờ ta tiến hành application grouping. Ở đây tôi ví dụ khi client truy cập web thì đi theo hướng WAN1, sử dụng mail thì theo WAN2 còn truy vấn DNS thì theo WAN3.

 
Click Create -> điền application port no. và chỉ IP của router mà ta muốn đi theo đường đó. Operation mode: regular có nghĩa là đường chính.

 
– Làm tương tự để grouping cho mail và truy vấn dns. Sau đó tiến hành truy vập thử web, gửi nhận mail và xem kết quả.

 
– Nếu đường WAN1 bị đứt thì client không thể truy cập web được vì ta chỉ định là đi web thì theo WAN1, cho nên ta phải tạo thêm đường backup cho client truy cập web theo đường WAN2 khi này WAN1 bị đứt thì client sẽ đi web theo WAN2.

 
– Giả sử WAN1 bị đứt, ta rút giây WAN1 ra và thử truy cập web

 
– Kết quả là client đi web theo WAN2 mà ta đã chỉ định như trên.
Ngoài Application grouping ta còn có thể tạo source grouping để chỉ định cho máy sếp thì đi theo đường truyền WAN1 (đường này tốc độ cao) còn client thì đi theo đường WAN3 đường này chuối hơn 1 xíu. Hay tạo destination grouping để chỉ tận dụng được tính năng Subnet Mask Ordering, ví dụ như khi ta truy cập vào web có dest. Ip trong range 210.245.x.y hoặc 58.186.x.y thì nó đi theo WAN1 (đường này của FPT) thì nó sẽ truy cập nhanh hơn hay là khi xem phim online trên trang ephim.com thì client đi theo link WAN1 (đường truyền của FPT) thì mới xem được …

B10: Health Monitoring (HM)
– Health monitoring cho phép ta kiểm tra theo phương pháp ping, http, FTP hay SMTP … có hoạt động tốt hay không.
Đầu tiên ta chuyển connectivity check ở Global mode của LP sang mode health monitoring, default là connectivity checks
 

 
– Tạo các thông tin để health monitoring check

 
– Ở đây tôi tạo 3 record để check Web, FTP, SMTP

 
 

Sau khi tạo như hình trên xong ta refresh vài lần và xem kết quả:
 

– Ngoài ra ta có thể kết hợp thêm Binding, có nghĩa là khi check web của Nhất Nghệ theo next hop là WAN2 mà có kết quả là fail thì nó sẽ remove link WAN2 ra.
 

 

– Tạo Binding của các health monitoring mà ta đã tạo ở trên

 
– Làm tương tự cho Check Web và SMTP

 
– Bây giờ ta thử stop FTP server và xem kết quả: Health monitoring báo fail lúc này ta vào Next Hop Router table ta thấy LP nó chuyển Link1 sang NotInService

 
 B11: NAT Inbound load balancing:
Vấn đề được đặt ra ở đây là cty có host web server     muốn public cho người dùng truy cập.
Do đó ta phải NAT Inbound cho web server.

 
– Khai báo IP Web Server, Router IP và Static NAT IP. Static NAT IP dùng đề NAT Inbound cho người dùng ngoài Internet khi truy cập vào Web Server bên trong.

 
– Làm tương tự cho 2 router còn lại

 
– Tạo tên cho web server mà bạn muốn public, ở đây tôi tạo là http://www.test.com
 

 

– Chỉ định thông tin về web server được trả về cho client là 2 records.

 

 
– enable two records in DNS reply là cho phép LP trả lời lại cho client 2 records về web server khi có yêu cầu từ phía client. Ở đây ta có 3 link WAN tương ứng với ta NAT Inbound trên 3 Router về Web Server, nhưng khi reply lại cho client thông tin về web server thì LP chỉ trả lời 2 record như ta đã khai báo trên, lúc thì reply lại cho client IP của R1+ R2, R1 + R3 hay R2 + R3.
– Tao 3 DNS Virtual IP tương ứng cho 3 link WAN để phân giải DNS cho external client.
 

 
– Lấy 1 PC khác có cài DNS tạo Forward Lookpup Zone tên test.com và tạo 3 records Host(A) tên www trỏ về DNS Virtual IP mà ta mới tạo ở trên. Sau đó dùng lệnh:
Nslookup http://www.test.com 172.16.1.200
Kết quả sẽ trả về 2 trong 3 Static NAT IP mà ta đã tạo ở trên để NAT cho web server.
Thử truy cập web xem có được không.
 

Trong mô hình thực tế thì ta phải NAT port trên 3 con Router trỏ về DNS Virtual IP mà ta đã tạo trên LP và trong phần quản lý DNS của domain ta tạo 3 records Host(A) tên www trỏ về 3 IP mặt ngoài của 3 con Router.

– Chúc các bạn thành công.


[URL=”http://www.mediafire.com/?as47s6n3o1r3ebk”%5D%5BSIZE=”5″%5DXem chi tiết bài lab tại đây[/SIZE][/URL]

About Tony Nguyễn
Tôi tên Tony tự Tèo trú tại thôn Tám, Trảng Thanh tỉnh Thừa Thiên. Thưở thiếu thời trí tuệ tôi thường thường, tuy thế tính tình thật thà thẳng thắng, thích thi thơ ...

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: