Chia sẻ Hướng dẫn cài đặt Pfsense trên VMware – Part 2

KTV.PM
  • Lượt xem 697
  • Trả lời: 0
Phần trước mình đã cùng các bạn cài đặt Pfsense trên VMware – Sau phần I chúng ta tạo được Pfsense và truy cập trang Dashboard thông qua địa chỉ 192.168.8.10 (theo bài LAB ở phần I) và đã chỉnh sửa cho máy Client Win 7 nhận DHCP được cấp từ Pfsense


Máy Client Win7 được cấp phát IP thông qua DHCP của Pfsense​
Cấu hình Dual WAN pfSense giúp tăng băng thông internet, Giúp chúng ta download dữ liệu với tốc độ gấp đôi, và có khả năng chịu lỗi khi 1 đường mạng của bạn bị down, pfSense fail over sẽ tự động chuyển toàn bộ traffic trong LAN ra đường mạng còn lại. Trong bài lab chúng ta sẽ cấu hình pfSense load balance và fail over traffic từ dải LAN tới 2 ADSL ( Dual WAN ). Vì bài lab được thực hiển trên laptop và máy ảo nên có thể hoạt động không ổn định bằng thiết bị thật nhưng sẽ giúp chúng ta hiểu các bước để có thể cấu hình khi gặp trong công việc của bạn.

Bước 1: Cấu hình monitor IP cho mỗi gateway trên pfSense

Mặc định Pfsense sẽ lấy gateway của interface làm chính Monitor IP , có nghĩa là Pfsense sẽ ping tới địa chỉ của các gateway để xác định chất lượng mạng , trong một số trường hợp ,việc xác định chất lượng mạng bằng cách trên sẽ không chính xác.


Ví dụ: Trong chính bài Lab này Gateway được cấu hình là IP mặt trong của Modem do đó việc ping tới đây có thể vẫn thành công mặc dù Modem không kết nối ra được Internet.Và do đó failover sẽ không bật do Ping vẫn thành công.


Do đó để chắc chắn về trạng thái của mỗi gateway để Pfsense auto bật chế độ failover giữa các GW (gateway) thì việc đầu tiên là chỉnh lại Monitor IP.


– Vào System > Routing > Select Gateways tab, sau đó click vào biểu tượng edit của từng gateway để cấu hình monitor IP




– Trên ADSL1 gateway, add Monitor IP: 208.67.222.222 (Open DNS), Description : ADSL1 ISP Gateway -> click “Show Advanced” chỉnh Alert interval: 500 (nghĩa là cứ 0.5 giây nó sẽ check điều kiện alert)-> Click “Save” để lưu lại




– Trên ADSL1 gateway, add Monitor IP: 8.8.8.8 (DNS Google), Description : ADSL2 ISP Gateway -> click “Show Advanced” chỉnh Alert interval: 500 -> Click “Save” để lưu lại



Bước 2: Cấu hình Dual-WAN link Load Balance và fail over

System > Routing > Select Gateway Groups tab -> Click “Add


– Cấu hình Group Name: Đặt gì tùy bạn (less than 32 ký tự,chỉ được chứa a-z,A-Z,0-9 và gạch dưới…KHÔNG có dấu cách), Gateway Priority : Tier 1 (cho cả 2 gateway). Chú ý same tier sẽ thiết lập load balance với thuật toán round-robin cho 2 gateway.Có nghĩa là trên 1 kết nối,các lưu lượng ra ngoài mạng sẽ được định tuyến qua cả 2 WAN,nếu 1 trong các GW cùng tier down nó sẽ bị “đá” ra khỏi group load balance và các GW còn lại vẫn hoạt động bình thường.


Trong một GW Group ,các GW có tier thấp hơn sẽ được ưu tiên hơn,nếu 2 GW được gán cùng 1 tier trong cùng 1 GW group (trong trường hợp này là ADSL1GW và ADSL2GW) thì Pfsense sẽ thực hiện chạy Load Balancing trên 2 GW này.Nếu 2 GW được gắn tier khác nhau ,Pfsense sẽ thực hiện Failover cho GW có tier thấp hơn.Nếu là Never , gateway được gán sẽ coi như không thuộc Gateway Group đó.


Ví dụ : Trong trường hợp công ty có đường truyền WAN1 là đường truyền chính tốc độ cao trả phí vài chục triệu 1 tháng và đường truyền WAN2 chỉ là FTTH có tác dụng failover backup cho đường truyền 1 ,không có tác dụng chia tải load balance với WAN1,trong trường hợp này ta sẽ gán WAN1 với giá trị tier1 và WAN2 sẽ là tier2 (hoặc tier3,4,5,….. miễn là lớn hơn tier1)


Trigger Level: Packet Loss or High Latency (bật khi mất gói tin hoặc độ trễ cao), Description: Load Balance 2 WANs -> click “Save




Trong phần Trigger Level các bạn sẽ thấy các giá trị như bên dưới , mình sẽ giải thích ngắn gọn:


Member down: chỉ kích hoạt khi 1 trong 2 đường truyền down hoàn toàn


Packet loss: kích hoạt failover khi mất gói tin cao hơn ngưỡng định (đơn vị gói)


High Latency: kích hoạt failover khi độ trễ cao hơn ngưỡng định (đơn vị giây)


Lựa chọn cuối cùng là kết hợp cả 2 trường hợp trên , tùy chọn này hay được dùng nhất.


Trong bài LAB này mình chỉ tạo ra 2 WAN ,nếu có nhiều 2WAN các bạn có thể thực hiện load balance và failover trên cùng một GW Group,ví dụ ta cho WAN1 và WAN2 cùng tier để load balance,WAN3 có tier lớn hơn để phòng khi 2 WAN kia bị down thì WAN3 sẽ thực hiện failover.


– Chon “Add” để thêm “Gateway Groups” với Group Name WAN_Failover, Gateway Priority : ADSL1GW = Tier 2, ADSL2GW = Tier1, Trigger Level: High Latency, Description: If ADSL2 down, ADSL1 go up -> click “Save


(Phần này đã được giải thích ở trên ^ . ^ )




– Chon tiếp “Add” để thêm “Gateway Groups” với Group Name WAN_Failover2, Gateway Priority : ADSL1GW = Tier 1, ADSL2GW = Tier2, Trigger Level: High Latency, Description: If ADSL1 down, ADSL2 go up -> click “Save



Bước 3: Cấu hình firewall rules cho load balancer và fail over

Sau khi đưa các WAN vào Group , việc tiếp theo là cấu hình rules trong Firewall để chỉnh lưu lượng truy cập đến các GW.


Click “Firewall > Rules > LAN tab -> Click “Add


Mặc định ở pfSense2 có 2 rules được tạo sẵn,1 rule có Description là Anti-Lockout Rule để quy định cho phép các port đượckết nối từ ngoài internet vào trong LAN (cho phép 20,80,443). Và rule có Decription là Default allow LAN to any rule,rule này để cho phép các máy trong LAN truy cập ra ngoài.




– Rule đâu tiền cho WAN Loadbanace. Chọn Action: Pass, Interface: LAN, Address: IPv4, Protocal: any, Source: LAN net. Mục “Extra Options” thêm vào Description: ADSL1 balance ADSL2 -> chọn “Show Advanced” , Gateway: WAN_Loadbalance – Load Balance 2 WANs -> click “Save” để lưu cấu hình




– Rule thứ 2 cho WAN failover. Chọn Action: Pass, Interface: LAN, Address: IPv4, Protocal: any, Source: LAN net. Mục “Extra Options” thêm vào Description: ADSL1 failover ADSL2 -> chọn “Show Advanced” , Gateway: WAN_Failover – If ADSL2 down, ADSL1 go up-> click “Save” để lưu cấu hình




Làm tương tự với Rule thứ 3 cho WAN_Failover2


Cửa sổ Rules sau khi cấu hình​
Lưu ý các Rule được xử lý trên xuống, và một khi rule được khớp (matched) nó sẽ được xử lý theo rule đó và bỏ qua các rule sau.

Bước 4: Kiểm tra kết quả

a. Kiểm tra khả năng load balancing của pfSense


– Kiểm tra tình trạng của 2 Gateways. Vào Status > Gateways > Gateways Tab




– Chuyển qua tab “Gateways Groups




– Cấu hình máy ảo Window trong LAN để kiểm tra khả năng Load Balancing và FailOver của pfSense. Để card mạng ở dải LAN (VMnet 8), IP: 192.168.8.100/24, Gateway: 192.168.8.10 (pfSense’s LAN IP), DNS: 8..8.8.8. Sau đó download 1 file dung lượng lớn từ máy ảo Window




– Kiểm tra Traffic trên 2 card mạng ADSL1 và ADSL2 . Chọn Status > Traffic Graph . Trong mục Graph Settings, chọn lần lượt ADSL1, và ADSL2 và quan sát traffic của từng card mạng như hình dưới




b. Kiểm tra khả năng Fail Over của pfsense


– Trên máy ảo cài pfSense. Chuột phải vào biểu tượng card mạng ở góc máy ảo -> Chọn Disconnect lần lượt 2 card ADSL1, ADSL2




– Chuyển qua Status > Gateways > Tab Gateways ( Ta thấy 1 gateway đã bị down)




– Chọn Status > Gateways > Tab Gateways Groups




– Quay lại máy ảo chạy Windows trong dải LAN để kiểm tra truy cập internet


Tới đây mình đã trình bày xong phần 2 , Load Balance và Fail Over cho Pfsense.


Chúc các bạn thao tác thành công !


Tham khảo: ITLABVN
 

Thành viên trực tuyến

Không có thành viên trực tuyến.

Bài viết hồ sơ mới nhất

lm s để thấy link dow
boeing007 wrote on tinhkhongbien's profile.
tốt
nethoanganh769 wrote on KTV.PM's profile.
Mình có down về bản icafe csm trên bài viết của bạn , hiện mình k thể boot máy trạm lên được , bạn có thể hướng dẩn giúp mình được không , cảm ơn bạn nhiều !!
Share Ghost Window server 2019 add icafe 8 v9060 + image win 10 uefi gcafe csm

Thống kê diễn đàn

Chủ đề
2,491
Bài viết
6,781
Thành viên
1,546
Thành viên mới
levankv

Latest resources

Top Dưới