Capitolul 6 Redundanța, echilibrarea încărcării și
toleranță la defecte
În acest capitol vom examina:
- Configurarea mai multor interfețe WAN (configurație multi-WAN)
- Configurarea echilibrării încărcării într-o configurație multi-WAN
- Configurarea toleranței la erori a dispozitivelor multi-WAN
- Configurarea echilibrării încărcării serverului WEB
- Configurarea unui server WEB failover
- Configurarea toleranței la defectarea CARP a firewall-ului
introducere
Redundanța, echilibrarea încărcării și toleranța la erori sunt caracteristici avansate ale rețelelor moderne. În mod obișnuit, ele sunt folosite sau necesare în sisteme mari și importante, astfel încât nu toate firewall-urile și routerele să le susțină. pfSense suportă toate configurațiile la maxim.
Interfețele WAN redundante (de rezervă) furnizează firewall-ului mai multe conexiuni independente la Internet. pfSense vă permite să configurați echilibrarea încărcării și reajustarea interfețelor multi-WAN. Balanța de încărcare separă tot traficul între interfețe, în timp ce reluarea în caz de eroare permite comutarea automată la o altă interfață în cazul unei defecțiuni curente.
Încărcarea de sarcină pfSense vă permite să distribuiți traficul de un anumit tip (de exemplu, trafic WEB) între mai multe servere. Acest lucru vă permite să creați propria fermă web direct pe pfSense.
Redundanța firewall-ului face posibilă realizarea stabilității sistemului în cazul unei defecțiuni fizice a unei anumite mașini. Folosind configurația CARP, puteți configura pfSense să treacă automat la un paravan de protecție în caz de eroare majoră.
Configurarea mai multor interfețe WAN
Această rețetă descrie modul de configurare a mai multor interfețe WAN în pfSense.
Pregătirea
Sistemul pfSense cu o singură interfață WAN implementează principiul plug-in, deoarece gateway-ul implicit este creat automat. Cu toate acestea, unele rețete din acest capitol necesită mai multe conexiuni WAN, iar aceste gateway-uri trebuie să fie configurate manual. Următoarea rețetă descrie modul de configurare a două interfețe WAN care pot fi utilizate
în viitor, să pună în aplicare punerea în aplicare a redundanței, echilibrarea încărcăturii și / sau toleranța la erori.
Cum se face.
1. Mergeți la System | Routing
2. Selectați fila Gateway (Gateway)
3. Rețineți că gateway-ul pentru interfața WAN existentă a fost creat automat, este instalat în mod implicit și este de obicei setat ca dinamic:
4. Apăsați butonul [+] pentru a adăuga o nouă poartă
5. Selectați interfața pentru conexiunea WAN creată
6. Introduceți numele gateway-ului
10. Salvați modificările.
Cum funcționează.
Numai prima interfață WAN creată în pfSense va genera automat poarta implicită. Prin crearea manuală a unei gateway-uri pentru noua interfață WAN, așa cum am făcut-o, putem configura corect această interfață pentru a utiliza caracteristicile de redundanță descrise în restul acestui capitol.
Mai mult.
Amintiți-vă să blocați rețelele private și binevenite pentru interfețele WAN în intervalele de rețea publice.
Vezi de asemenea
- Rețetă Configurați interfețele din Capitolul 1
- Rețetă Crearea unui gateway Media în capitolul 5
- Rețetă Configurarea multi-WAN de echilibrare a încărcării
- Configurarea toleranței la erori a dispozitivelor multi-WAN
Configurarea echilibrării încărcării multi-WAN
Această rețetă descrie modul în care balanța de încărcare milti-WAN este configurată în pfSense.
Pregătirea
În timpul acestei rețete, vom configura balanța de încărcare pentru două interfețe separate WAN. Asigurați-vă mai întâi că interfața WAN este configurată corect; pentru aceasta, consultați rețeta anterioară.
observaţie:
Când funcționează echilibrarea încărcării multi-WAN, toleranța la defect funcționează. Dacă doriți să activați numai toleranța la defecte, consultați următoarea rețetă.
Cum se face.
1. Mergeți la System | Routing
2. Selectați fila Grupuri.
3. Introduceți numele grupului (numele grupului)
4. Setați Priority Gateway pentru ambele gateway-uri WAN la nivelul 1
5. Lăsați nivelul declanșatorului (nivelul de declanșare) setat la "Membru jos" (Membru este dezactivat)
6. Adăugați o descriere (descriere)
7. Salvați modificările
8. Aplicați modificări dacă este necesar.
Mai mult.
Am definit Member Down pentru grupul de gateway-uri, dar există și alte câteva opțiuni disponibile:
- Membrul Jos: se declanșează când monitorul IP setat pentru gateway-ul nu mai răspunde la ping-ul ICMP
- Eliminarea pachetelor: declanșează când pachetele care trec prin acest gateway sunt pierdute
- Latență ridicată. Funcționează atunci când pachetele care trec prin acest gateway au o întârziere mare
- Pierderea de pachete sau lățimea mare. Funcționează atunci când pachetele care trec prin acest gateway sunt pierdute sau au o întârziere lungă
Vezi de asemenea
- Rețetă Configurați mai multe interfețe WAN.
Configurarea toleranței la erori a dispozitivelor multi-WAN
Această rețetă descrie modalitatea de configurare a failoverului multi-WAN pe pfSense.
Pregătirea
Pe parcursul acestei rețete, vom configura toleranța la erori pentru cele două interfețe WAN. Asigurați-vă că interfețele sunt configurate corespunzător; pentru aceasta, consultați rețetele anterioare.
Cum se face.
1. Mergeți la System | Routing
2. Selectați fila Grupuri.
3. Introduceți numele grupului (numele grupului)
4. Setați prioritatea gateway-ului pentru gateway-ul WAN la nivelul 1
5. Setați prioritatea gateway-ului pentru gateway-ul WAN2 la nivelul 2
6. Lăsați nivelul de declanșare (nivelul de declanșare) setat la Membru Down (Membru este dezactivat)
18. Mergeți la Firewall | reguli
19. Faceți clic pe butonul [+] pentru a adăuga o nouă regulă de paravan de protecție
20. Selectați acțiunea de trecere
21. Selectați fila interfață LAN
22. Setați protocolul (Protocolul) la orice
23. Setați Sursa în subnetul LAN
24. Setați destinația la orice
25. Adăugați o descriere (descriere)
26. În funcțiile avansate, sub Gateway, faceți clic pe butonul Advanced pentru a vizualiza funcțiile avansate
27. Instalați Gateway-ul în valoarea FailoverGroup
28. Salvați modificările.
29. Aplicați modificările (Aplicați), dacă este necesar
Cum funcționează.
Tot traficul din LAN-ul nostru va fi trecut prin gateway-ul nostru de grup. Întrucât gateway-ul nostru de grup constă din două gateway-uri WAN cu un nivel de prioritate diferit, gateway-ul de backup (Nivelul 2) va fi folosit în locul gateway-ului nostru primar (Nivelul 1) atunci când acesta nu reușește.
Mai mult.
Am definit Member Down pentru grupul de gateway-uri, dar există și alte câteva opțiuni disponibile:
- Membrul Jos: se declanșează când monitorul IP setat pentru gateway-ul nu mai răspunde la ping-ul ICMP
- Eliminarea pachetelor: declanșează când pachetele care trec prin acest gateway sunt pierdute
- Latență ridicată. Funcționează atunci când pachetele care trec prin acest gateway au o întârziere mare
- Pierderea de pachete sau lățimea mare. Funcționează atunci când pachetele care trec prin acest gateway sunt pierdute sau au o întârziere lungă
Vezi de asemenea
- Rețetă Configurarea interfețelor WAN multiple
- Rețetă Configurarea multi-WAN de echilibrare a încărcării
Configurarea echilibrării încărcării serverului web
Această rețetă descrie modul de configurare a unei mici ferme web pe pfSense utilizând echilibrarea încărcării.
Pregătirea
Load balancing permite pfSense să distribuie anumite tipuri de trafic către mai multe mașini. Utilizarea generală a acestei caracteristici este distribuirea de cereri de HTTP primite pentru mai multe servere web, iar următoarea rețetă descrie modul în care puteți crea o fermă web utilizând echilibrarea încărcării.
28. Confirmați modificările (Trimitere)
29. Aplicați modificări, dacă este necesar
Mai mult.
Conexiunile lipicioase pot fi utilizate pentru a se asigura că clientul se ocupă întotdeauna de cererile adresate aceluiași server pentru o anumită perioadă de timp. Dacă următoarea solicitare este făcută după expirarea termenului de "conexiuni lipicioase", cererea poate fi procesată de oricare dintre serverele din fermă. Dezvoltatorii au nevoie adesea de această caracteristică pentru a asigura integritatea datelor serverului web (în memoria cache), dar nu este la fel de fiabilă ca utilizarea spațiului de stocare partajat.
Vezi de asemenea
- Rețetă Crearea unei reguli de redirecționare a portului NAT în Capitolul 3
- Rețetă Crearea unei reguli Firewall în Capitolul 3
- Rețetă Configurarea toleranței la defecțiuni a unui server Web
Configurarea toleranței la defecțiuni a serverului Web
Această rețetă descrie modul de configurare a unei mici ferme web pe pfSense utilizând echilibrarea încărcării.
Pregătirea
Încărcarea încărcării poate fi utilizată pentru a permite pfSense să transfere traficul către un server în așteptare în eventualitatea unei întreruperi. În următoarea rețetă, vom configura serverul de rezervă pentru a înlocui serverul primar în caz de eșec.
29. Confirmați modificările
30. Aplicați modificări dacă este necesar
Vezi de asemenea
- Rețetă Crearea unei reguli de redirecționare a portului NAT în Capitolul 3
- Rețetă Crearea unei reguli firewall în Capitolul 3
- Rețetă Configurarea echilibrării încărcării serverului web
Configurarea toleranței la defectarea firewall-ului cu CARP
Această rețetă descrie cum să configurați două firewall-uri pfSense pentru a implementa toleranța la defecte.
Pregătirea
Redundanța hardware necesită hardware suplimentar, iar acest lucru este de înțeles. Pentru a configura toleranța la defecțiuni a firewall-ului, avem nevoie de două mașini pfSense identice. În plus, pentru fiecare mașină necesită o interfață opțională, a cărui sarcină va fi procesul de sincronizare (pe care le vom numi pfsync). De exemplu, două firewall pfSense va fi folosit în această rețetă, fiecare
are trei interfețe (WAN, LAN și pfsync).
Cum se face.
1. Configurați interfețele pe prima noastră mașină, prim-pfsense, după cum urmează:
- WAN: 192.168.111.2
- SYNC: 192.168.222.2
- LAN: 192.168.1.2
2. Configurați interfețele de pe prima mașină, backup-pfsense, după cum urmează:
- WAN: 192.168.111.3
- SYNC: 192.168.222.3
- LAN: 192.168.1.3
3. Pe ambele mașini, adăugați o regulă firewall care permite întregul trafic pe interfața SYNC:
1. Mergeți la Firewall | reguli
2. Faceți clic pe fila Interface SYNC
3. Apăsați butonul [+] pentru a adăuga o nouă regulă de firewall
4. Stabiliți protocolul (Protocolul) la orice
4. Adăugați o descriere (descriere):
5. Salvați modificările
6. Aplicați modificările dacă este necesar
7. În mașina de backup-pfsense, trebuie să activați sincronizarea CARP și
configurați-o ca rezervă:
1. Mergeți la Firewall | IP-uri virtuale
2. Faceți clic pe fila CARP Settings
3. Marcați pictograma Sincronizare activare
4. Setați interfața de sincronizare (sincronizați interfața) cu SYNC
8. Salvați modificările
9. Am finalizat configurarea firewall-ului de rezervă
10. Pe mașina principală, trebuie să activați sincronizarea CARP și să o configurați ca paravan de protecție principal:
1. Mergeți la Firewall | IP-uri virtuale
2. Faceți clic pe fila CARP Settings
3. Marcați pictograma Sincronizare activare
4. Setați interfața de sincronizare (sincronizați interfața) cu SYNC
11. Salvați modificările
12. Aplicați modificările (Aplicați), dacă este necesar
11. Salvați modificările
12. Aplicați modificările (Aplicați), dacă este necesar
Cum funcționează.
Această rețetă descrie modul de creare a unui paravan de protecție la întreruperi cu ajutorul funcției CARP. Două firewall-uri sincronizează constant regulile, NAT și setările IP virtuale, inclusiv în cazul în care firewall-ul principal nu, o copie de rezervă ia locul perfect. Trucul sincronizării constă în frecvența de publicitate stabilită pentru fiecare IP virtuală. Frecvența aplicației serverului primar este setat la 0, dar când setările sunt sincronizate, frecvența aplicării pentru crește server de backup (adică frecvența aplicației serverului de backup este setat la 1). Astfel, acum pfSense distinge între mașini și setările de sincronizare.
Vezi de asemenea
- Rețetă Crearea unei reguli de redirecționare a portului NAT în Capitolul 3
- Rețetă Crearea unei reguli firewall în Capitolul 3
- Rețeta pentru crearea IP-urilor virtuale în capitolul 5.