[PaloAlto]Cấu hình Load Balancing bằng ECMP

1. Tổng quan:

- Equal Cost Multipath (ECMP) là một tính năng mới được giới thiệu trong Palo Alto PAN-OS 7.0. Tính năng này hỗ trợ cho việc cân bằng tải khi chúng ta có nhiều đường internet khác nhau. Tính năng này chỉ hỗ trợ tối đa cho 4 WAN.

- Nếu không có tính năng này, thiết bị tường lửa sẽ chọn 1 trong các đường internet hiện có để phục vụ cho nhu cầu truy cập internet, các đường truyền internet còn lại sẽ không được sử dụng cho đến khi đường internet đang sử dụng xảy ra sự cố.

- Cân bằng tải ECMP được thực hiện ở cấp phiên, không phải ở cấp gói — thời điểm bắt đầu một phiên mới là khi tường lửa (ECMP) chọn một đường truyền internet.

2. Diagram cho bài lab:

​

- Sơ đồ mạng có các thành phần như sau :

• WAN 1 >> ISP 1: thuộc lớp mạng 10.0.0.0/24. Có 2 IP: ISP: 10.0.0.1, Firewall: 10.0.0.2 (ethernet 1/2).
• WAN 2 >> ISP 2: thuộc lớp mạng 172.16.31.0/24. Có 2 IP: ISP: 172.16.31.1, Firewall: 172.16.31.2 (ethernet 1/1).
• Subnet LAN: 172.16.16.0/24. Trong lab sẽ có PC với IP: 172.16.16.100 kết nối đến cổng Ethernet 1/3 của Firewall Palo Alto với đia chỉ IP: 172.16.16.1.

- Bài viết này sẽ hướng dẫn cấu hình cân bằng tải bằng ECMP để lưu lượng truy cập internet từ máy PC sẽ được chia trên 2 đường WAN 1 và WAN 2.

3. Các bước cần thực hiện:

1. Cấu hình Zone.
2. Cấu hình interface.
3. Cấu hình Virtual Router.
4. Cấu hình NAT policy.
5. Cấu hình Security Policy.
6. Kiểm tra kết quả.

4. Cấu hình Zone: tạo 2 zone là LAN và WAN

- Vào đường dẫn: Network >> Zone >> Click Add > trong trang Zone nhập vào các thông tin:

• Name: WAN
• Type: Layer3

​

- Tạo thêm Zone LAN:

​

5. Cấu hình Internet:

- Cấu hình interface ethernet1/1, vào Network >> Interface >> ethernet1/1 >> trong trang Ethernet Interface nhập vào các thông tin như sau.

- Trong tab Config:

• Interface Type: Layer3
• Security Zone: WAN

​

- Trong tab IPv4:

• Type: Static.
• Click Add và nhập thêm IP: 172.16.31.2/24.

​

- Tiếp theo, thực hiện tương tự với 2 interface: Ethernet1/2 và Ethernet1/3 các thông số như hình sau:

- Cấu hình interface Ethernet1/2:​

​

- Cấu hình interface Ethernet1/3:​

​

6. Cấu hình Virtual Routers: để định tuyến các các traffic từ LAN ra 2 WAN

- Để tạo Virtual Routers theo đường dẫn Network >> Virtual Routers >> click Add > trong trang Virtual Router.
- Trong tab Router Setting, cấu các thông tin sau:

• Name: VR1.
• Interface: click Add và chọn 3 interface: ethernet1/1, ethernet1/2 và ethernet1/3.

​

- Trong tab Static Routes >> click Add >> tạo 2 default-1 và default-2 với các thông số như hình:

​

- Quay lại tab Router Settings chuyển qua phần ECMP để cấu hình cân bằng tải:

• Tích vào Enable để bật tính năng cân bằng tải.
• Bên trong Load Balance >> Method chúng ta sẽ có các phương thức cân bằng tải như IP Modulo, IP Hash, Weighted Round Robin, Balanced Round Robin.

- Giải thích về 4 phương thức Load Balancing :

• Thuật toán IP Modulo và IP Hash: sử dụng các hàm băm dựa trên thông tin trong header của gói tin, chẳng hạn như địa chỉ nguồn và đích. Vì header của mỗi luồng trong một phiên nhất định chứa thông tin nguồn và đích giống nhau, nên các tùy chọn này ưu tiên độ liền mạch của các session. Nếu bạn chọn thuật toán IP Hash, hàm băm có thể dựa trên địa chỉ nguồn và địa chỉ đích hoặc hàm băm có thể chỉ dựa trên địa chỉ nguồn (trong PAN-OS 8.0.3 và các phiên bản mới hơn). Việc sử dụng thuật toán IP Hash chỉ dựa trên địa chỉ nguồn khiến tất cả các phiên thuộc cùng một địa chỉ IP nguồn luôn sử dụng cùng một đường dẫn từ nhiều đường dẫn có sẵn. Do đó, đường dẫn được coi là liền mạch và dễ khắc phục sự cố hơn nếu cần. Bạn có thể tùy chọn đặt giá trị Hash Seed để cân bằng tải ngẫu nhiên hơn nữa nếu bạn có một số lượng lớn các phiên đến cùng một đích và chúng không được phân phối đồng đều trên các liên kết ECMP.
• Thuật toán Balanced Round Robin phân phối các phiên đến một cách đồng đều trên các liên kết, ưu tiên cân bằng tải hơn độ liền mạch của phiên. (Round robin cho biết trình tự trong đó mục ít được chọn gần đây nhất được chọn.) Ngoài ra, nếu các tuyến mới được thêm vào hoặc xóa khỏi một nhóm ECMP (ví dụ: nếu một đường dẫn trong nhóm bị hỏng), Virtual Routers sẽ cân bằng các phiên qua các liên kết trong nhóm. Ngoài ra, nếu các luồng trong một phiên phải chuyển tuyến do sự cố, khi tuyến ban đầu được liên kết với phiên trở lại khả dụng, các luồng trong phiên sẽ trở lại tuyến ban đầu khi Virtual Routers một lần nữa cân bằng lại tải trọng.
• Thuật toán Weighted Round Robin có trọng số ưu tiên dung lượng và / hoặc tốc độ liên kết — Là phần mở rộng cho tiêu chuẩn giao thức ECMP, việc triển khai Palo Alto Networks cung cấp tùy chọn cân bằng tải Weighted Round Robin có tính đến các dung lượng và tốc độ liên kết khác nhau trên các giao diện đầu ra của tường lửa . Với tùy chọn này, bạn có thể chỉ định trọng số ECMP (phạm vi là 1-255; mặc định là 100) cho các giao diện dựa trên hiệu suất liên kết bằng cách sử dụng các yếu tố như dung lượng liên kết, tốc độ và độ trễ để đảm bảo rằng tải được cân bằng để tận dụng hoàn toàn các liên kết có sẵn .

- Ở bài hướng dẫn này chúng ta sẽ chọn Balanced Round Robin.

​

7. Cấu hình NAT Policy Rule:

- Chúng ta cần tạo 2 NAT Policy cho 2 WAN ra internet ISP 1 và ISP 2. Vào trang Policies >> NAT >> click Add

- Tạo NAT Policy thứ nhất đến ISP 1 với các cấu hình sau.​

​

- Tạo NAT Policy thứ nhất đến ISP 2 với các cấu hình sau.​

​

8. Cấu hình Security Policy:

- Vào đường dẫn Policies >> Security >> click Add và cấu hình các thông số như hình sau.

​

9. Kết quả:

- Truy cập vào Google từ PC.

​

- Vào GUI của Firewall >> Monitor > Logs > Traffic và kiểm tra kết quả.

- Có thể thấy rằng traffic của máy PC với IP 172.16.16.100 đã được phân bổ đều trên cà 2 cổng ethernet1/1 kết nối với ISP 2 và ethernet1/2 kết nối với ISP1.

---Bài viết [PaloAlto]Cấu hình Load Balancing bằng ECMP đến đây là kết thúc--