Phần 3: Load Balancing VPN Connections | Phan 3- Load Balancing VPN Connections - Quản trị net diễn đàn chia sẻ thông tin các thủ thuật mạng, internet bảo mật thông tin dành cho giới IT VIệt hy vọng là nơi bổ ích cho cộng đồng

20-10-2009, 04:56 PM

Phần 3: Load Balancing VPN Connections

Như đã giới thiệu với anh em Phần 1: Giải Pháp Load Balancing Multi-WAN dùng thiết bị LinkProof và Phần 2: Giải Pháp Load Balancing cho Web Server Farm dùng AppDirector. Nay mình xin giới thiệu thêm một tính năng mới của LinkProof là Virtual Tunneling.

Giới Thiệu:
Virtual Tunneling sử dụng tính năng Smart NAT có sẵn trong thiết bị LinkProof để mã hóa các packets giữa các site với nhau bằng cách thêm vào source và destination address cho các packets đó.
Hai thiết bị Linkproof của 2 site A và B tạo các kết nối virtual tunneling với nhau, khi đó 2 thiết bị Linkproof sẽ kết nối với nhau theo 1 tunnel lớn và ta có thể cho VPN connection chạy bên trong Virtual Tunnel đó. Trường hợp WAN link 1 của site A bị Fail thì VPN connection sẽ đi theo các virtual tunnel còn lại và kết quả là kết nối VPN vẫn hoạt động tốt ( VPN connection không bị lỗi khi có WAN links failure)

Mô tả cách hoạt động của Virtual Tunneling:

B1: 2 thiết bị Linkproof tạo các Vitual Tunneling với nhau.

B2: 2 FW / VPN Server ở 2 site sẽ tạo VPN connection chạy trong Virtual Tunneling do 2 thiết bị LinkProof tạo, vì thế sẽ đãm bảo được VPN connection luôn high available.

Mô hình bài lab Load Balancing VPN connection:

Chuẩn bị:
- 2 PC đóng vai trò là Client có IP 192.168.1.2 và 192.168.2.2. Gateway chỉ về IP interface mặt trong của Firewall.
- 2 Firewall WatchGuard đã đặt IP như hình trên
- 2 thiết bị LinkProof đã cấu hình để có thể load balancing cho Multi-WAN.

Thực hiện:
B1: Đặt IP cho các Interface của thiết bị LinkProof.

- Đặt IP tương ứng với các interface như hình sau:

B2: Tạo Next Hop Router:

- Tạo 3 NHR tương ứng với 3 WAN links:

B3: Tạo Default Route cho internal ra net và Route vào internal:

B4: Enable Smart-NAT và cấu hình Dynamic NAT:

- Chọn Enable Smart NAT -> Click Set

- Cấu hình Dynamic NAT

- Khai báo range IP local, IP router và Dynamic NAT IP

- Ta cấu hình Dynamic NAT tương tự trỏ đến 2 router còn lại:

B5: cấu hình Static NAT chỉ về Firewall:

- Click Create -> khai báo IP mặt ngoài của Firewall WatchGuard. Chọn NHR và chỉ định IP cho Static NAT

- Làm tương tự để tạo Static NAT cho Firewall theo 2 router còn lại:

B5: Change Client Table Mode sang Layer 4:

B6: Enable Health Monitoring và tạo Health Check:
- Chuyển Connectivity Check ở Global Configuration sang Health Monitoring:

- chọn Health Monitoring -> Click Set

- Enable Health Check Monitoring trong Global Parameter lên:

- Tiếp theo tạo Health Check cho 3 Router:

- Khai báo thông tin: check name và IP Router:

- Tương tự tạo health check cho 2 router còn lại và kết quả các Health Check ta có được như sau:

- Cấu hình tương tự cho Linkproof ở Site HN theo mô hình mạng của bài lab:

B7: Enable Virtual Tunneling và reboot lại thiết bị:

- Chọn Enable Virtual Tunneling Admin Status và Click Set -> Reboot thiết bị
- Sau khi reboot thiết bị xong ta vào LinkProof -> Virtual Tunneling -> Global parameters -> enable TRP và Virtual Tunneling HM lên

B8: Tạo Local Service:

- Đặt tên cho Local Service và password, chọn Distribution Mode: Per-Packet

- Kết quả:

- B9: Tạo Local Station:

- Khai báo Local Service name đã tạo ở trên và chọn IP tương ứng:

- Kết quả được hình sau:

B10: Tạo Remote Service:

- Khai báo Remote Service Name, remote password and local service name -> Click Set

- Kết quả sau khi tạo xong Remote Service name:

- B11: Tạo Remote Link Table:

- Khai báo Remote Link Service Name và IP của Remote LinkProof:

- Kết quả ta được:

- Remote link address 172.16.2.200 <= IP này là DNS Virtual IP mà tôi tạo ra để NAT inbound cho web (các bạn có thể không quan tâm đến IP này) và entry này tự tạo ra.
B12: Tạo Remote Station Table:

- Điền các thông tin về Remote Service Name, Remote IP, Remote Internal IP & Remote NAT:

- Sau khi tạo xong ta được như hình sau, làm tương tự nếu remote site có 2 3 WAN links:

- Sau khi tạo xong ta vào xem Virtual Tunneling table và Health Check Table:

- Operational Status đều là Active:

- Trong Health Check Table cũng tự có các record của Vitual Tunneling và Status đều là Passed.

- Cấu hình Virtual Tunneling cho thiết bị Linkproof ở Site HN tương tự như trên
Sau khi cấu hình Virtual Tunneling cho thiết bị LinkProof ở site HN xong thì kết nối giữa 2 IP mặt ngoài của Firewall đã thông và ta có thể tiến hành cấu hình VPN site to site.

- Khi hoàn thành cấu hình VPN site to site bằng 2 con Firewall WatchGuard thì client ở 2 site có thể liên lạc được với nhau. Từ client bên site SG ta ping đến client bên site HN để kiểm tra kết nối và tiến hành copy file về máy mình. Thử test Load Balancing bằng cách: khi đang copy file từ client bên site HN về máy, ta lần lượt rút line 1 và 2 của site SG ra xem quá trình copy file có bị lỗi hay không, tốc độ copy khi sử dụng 1 line sẽ như thế nào so với khi sử dụng cả 3 line.
Về phần test Load Balancing này thì do mình không tìm được phần mềm nào để đo tốc độ copy file khi sử dụng cả 3 line và 1 line nên mình quay film lại quá trình test cho các bạn xem.

Link download here

bà con chịu khó down trên Megaupload nha, up lên mediafire hoài ko dc

(, ai down xong leech wa bên Mediafire dùm mình nha ,thanks trước.
Theo: Tony_nguyen19

Tony_nguyen19 · 15-11-2009, 03:26 PM

Ối lang thang trên web thấy leech wa tời đây rồi

20-10-2009, 04:56 PM	#1
hoctinhoc Guest Trả Lời: n/a	Phần 3: Load Balancing VPN Connections Phần 3: Load Balancing VPN Connections Như đã giới thiệu với anh em Phần 1: Giải Pháp Load Balancing Multi-WAN dùng thiết bị LinkProof và Phần 2: Giải Pháp Load Balancing cho Web Server Farm dùng AppDirector. Nay mình xin giới thiệu thêm một tính năng mới của LinkProof là Virtual Tunneling. Giới Thiệu: Virtual Tunneling sử dụng tính năng Smart NAT có sẵn trong thiết bị LinkProof để mã hóa các packets giữa các site với nhau bằng cách thêm vào source và destination address cho các packets đó. Hai thiết bị Linkproof của 2 site A và B tạo các kết nối virtual tunneling với nhau, khi đó 2 thiết bị Linkproof sẽ kết nối với nhau theo 1 tunnel lớn và ta có thể cho VPN connection chạy bên trong Virtual Tunnel đó. Trường hợp WAN link 1 của site A bị Fail thì VPN connection sẽ đi theo các virtual tunnel còn lại và kết quả là kết nối VPN vẫn hoạt động tốt ( VPN connection không bị lỗi khi có WAN links failure) Mô tả cách hoạt động của Virtual Tunneling: B1: 2 thiết bị Linkproof tạo các Vitual Tunneling với nhau. B2: 2 FW / VPN Server ở 2 site sẽ tạo VPN connection chạy trong Virtual Tunneling do 2 thiết bị LinkProof tạo, vì thế sẽ đãm bảo được VPN connection luôn high available. Mô hình bài lab Load Balancing VPN connection: Chuẩn bị: - 2 PC đóng vai trò là Client có IP 192.168.1.2 và 192.168.2.2. Gateway chỉ về IP interface mặt trong của Firewall. - 2 Firewall WatchGuard đã đặt IP như hình trên - 2 thiết bị LinkProof đã cấu hình để có thể load balancing cho Multi-WAN. Thực hiện: B1: Đặt IP cho các Interface của thiết bị LinkProof. - Đặt IP tương ứng với các interface như hình sau: B2: Tạo Next Hop Router: - Tạo 3 NHR tương ứng với 3 WAN links: B3: Tạo Default Route cho internal ra net và Route vào internal: B4: Enable Smart-NAT và cấu hình Dynamic NAT: - Chọn Enable Smart NAT -> Click Set - Cấu hình Dynamic NAT - Khai báo range IP local, IP router và Dynamic NAT IP - Ta cấu hình Dynamic NAT tương tự trỏ đến 2 router còn lại: B5: cấu hình Static NAT chỉ về Firewall: - Click Create -> khai báo IP mặt ngoài của Firewall WatchGuard. Chọn NHR và chỉ định IP cho Static NAT - Làm tương tự để tạo Static NAT cho Firewall theo 2 router còn lại: B5: Change Client Table Mode sang Layer 4: B6: Enable Health Monitoring và tạo Health Check: - Chuyển Connectivity Check ở Global Configuration sang Health Monitoring: - chọn Health Monitoring -> Click Set - Enable Health Check Monitoring trong Global Parameter lên: - Tiếp theo tạo Health Check cho 3 Router: - Khai báo thông tin: check name và IP Router: - Tương tự tạo health check cho 2 router còn lại và kết quả các Health Check ta có được như sau: - Cấu hình tương tự cho Linkproof ở Site HN theo mô hình mạng của bài lab: B7: Enable Virtual Tunneling và reboot lại thiết bị: - Chọn Enable Virtual Tunneling Admin Status và Click Set -> Reboot thiết bị - Sau khi reboot thiết bị xong ta vào LinkProof -> Virtual Tunneling -> Global parameters -> enable TRP và Virtual Tunneling HM lên B8: Tạo Local Service: - Đặt tên cho Local Service và password, chọn Distribution Mode: Per-Packet - Kết quả: - B9: Tạo Local Station: - Khai báo Local Service name đã tạo ở trên và chọn IP tương ứng: - Kết quả được hình sau: B10: Tạo Remote Service: - Khai báo Remote Service Name, remote password and local service name -> Click Set - Kết quả sau khi tạo xong Remote Service name: - B11: Tạo Remote Link Table: - Khai báo Remote Link Service Name và IP của Remote LinkProof: - Kết quả ta được: - Remote link address 172.16.2.200 <= IP này là DNS Virtual IP mà tôi tạo ra để NAT inbound cho web (các bạn có thể không quan tâm đến IP này) và entry này tự tạo ra. B12: Tạo Remote Station Table: - Điền các thông tin về Remote Service Name, Remote IP, Remote Internal IP & Remote NAT: - Sau khi tạo xong ta được như hình sau, làm tương tự nếu remote site có 2 3 WAN links: - Sau khi tạo xong ta vào xem Virtual Tunneling table và Health Check Table: - Operational Status đều là Active: - Trong Health Check Table cũng tự có các record của Vitual Tunneling và Status đều là Passed. - Cấu hình Virtual Tunneling cho thiết bị Linkproof ở Site HN tương tự như trên Sau khi cấu hình Virtual Tunneling cho thiết bị LinkProof ở site HN xong thì kết nối giữa 2 IP mặt ngoài của Firewall đã thông và ta có thể tiến hành cấu hình VPN site to site. - Khi hoàn thành cấu hình VPN site to site bằng 2 con Firewall WatchGuard thì client ở 2 site có thể liên lạc được với nhau. Từ client bên site SG ta ping đến client bên site HN để kiểm tra kết nối và tiến hành copy file về máy mình. Thử test Load Balancing bằng cách: khi đang copy file từ client bên site HN về máy, ta lần lượt rút line 1 và 2 của site SG ra xem quá trình copy file có bị lỗi hay không, tốc độ copy khi sử dụng 1 line sẽ như thế nào so với khi sử dụng cả 3 line. Về phần test Load Balancing này thì do mình không tìm được phần mềm nào để đo tốc độ copy file khi sử dụng cả 3 line và 1 line nên mình quay film lại quá trình test cho các bạn xem. Link download here bà con chịu khó down trên Megaupload nha, up lên mediafire hoài ko dc (, ai down xong leech wa bên Mediafire dùm mình nha ,thanks trước. Theo: Tony_nguyen19

15-11-2009, 03:26 PM	#2
Tony_nguyen19 Newbie Gia nhập: Nov 2009 Trả Lời: 1	Ối lang thang trên web thấy leech wa tời đây rồi

Chia Sẽ Kinh Nghiệm Về IT