Với pfSense, người dùng có thể dễ dàng cấu hình chia sẻ mạng và failover (đường mạng đầu tiên bị hỏng, đường thứ nhì sẽ thế vào ngay và ngược lại). Bài viết dưới sẽ hướng dẫn tường bước cấu hình, giả sử đường nối mạng sử dụng DSL với 1 IP động và 1 IP tĩnh (bạn có thể áp dụng với 2 IP động (dynamic) hoặc 2 IP tĩnh (static) hoặc cả 2 IP động vẫn không sao).
Bài viết sẽ chỉ tập trung vào việc cấu hình cho đường truyền đi ra từ mạng nội bộ. Điều quan trọng là bạn sẽ cần khai báo Primary DNS với giá trị DNS của đường truyền thứ (trong bài viết này sẽ được hiểu là WAN) và Secondary DNS với giá trị DNS của đường truyền thứ nhì (trong bài viết này sẽ được hiểu là WAN2).
Hệ thống sử dụng sẽ cần có ít 3 card mạng. Nếu bạn có ý định sử dụng mạng không giây thì sẽ có 4 card mạng. Tải vền phiên bản 1.2-RC2 (đây là phiên bản vừa phát hành ngày 13 tháng 10). Phiên bản cần tải về sẽ là pfSense-1.2-RC2-LiveCD-Installer.iso.gz
Đây là bản có thể chạy kiểu LiveCD hoặc cài xuống đĩa cứng. Sau khi boot lên, chọn Cài xuống đĩa cứng. Bạn có thể chấp nhận các giá trị chuẩn trong lúc cài đặt. Lưu ý: pfSense sẽ xóa toàn bộ đĩa cứng
pfSense sẽ thông báo thiết bị mạng tìm được trên máy và sẽ hỏi bạn muốn sử dụng thiết bị nào cho LAN và cho WAN. Khai báo các giá trị cần thiết. Bạn cũng có thể khai báo thiết bị OPT1 (được xem là WAN2 trong bài này). Sau phần gán thiết bị mạng, hệ thống sẽ khởi động lại và địa chỉ chuẩn cho mạng LAN sẽ là 192.168.1.1.
Cable từ DSL modem 1 cắm vào máy pfSense; Cable từ DLS modem 2 cắm vào máy pfSense; Cable từ card sử dụng cho LAN trên máy pfSense sẽ cắm vào switch/hub để các máy trạm nối vào switch/hub này.
Sang một máy thứ nhì, mở browser tới địa chỉ http://192.168.1.1, đăng nhập với người dùng admin, mật khẩu pfsense.
Chọn System --> Setup wizard
Bạn có thể giữ giá trị chuẩn hoặc thay đổi tùy ý cho hostname và domain
Điền vào IP cho Primary DNS của WAN (đây là giá trị DNS của ISP1)
Ví dụ đường truyền thứ của bạn sử dụng V1ettel, điền vào DNS của V1ettel.
Điền vào IP cho Secondary DNS của WAN2 (đây là giá trị DNS của ISP2)
Vi dụ đường truyền thứ nhì của bạn sử dụng N3tnam, điền vào DNS của N3tnam
Đừng chọn (uncheck) Allow DNS server list to be overridden by DHCP/PPP on WAN
Bạn có thể tiếp tục việc cấu hình bằng cách chọn múi giờ
Cấu hình WAN
Nếu bạn sử dụng địa chỉ tĩnh, chọn Static. Nếu không thì chọn kiểu tương ứng (PPPoE, v..v..). Nếu dùng PPPoE, điền vào tài khoản.
Cấu hình LAN
Bạn có thể giữ giá trị chuẩn, 192.168.1.1, hoặc thay đổi tùy ý.
Thay đổi mật khẩu cho admin và khởi động lại hệ thống
Sau khi khởi động, tiếp tục việc cấu hình bằng cách
Chọn Services --> DNS Forwarder
Chọn DNS Forwarder
Chọn Register DHCP leases in DNS forwarder
Chọn Register DHCP static mappings in DNS forwarder
Chọn Save
Cấu hình thiết bị mạng OPT1 (WAN2)
Điền vào giá trị cần thiết tùy vào môi trường của bạn (static hay PPoE hay..v..v.). Nếu bạn không thấy thiết bị OPT1, chọn Assign bên dưới Interfaces. Rồi bật OPT1 và điền vào Description là WAN2
Sau khi đã hoàn thành việc cấu hình card mạng và đã bật dịch vụ DNS Forwarder, việc kết tiếp sẽ là cấu hình Load Balancing và fail-over.
Cấu hình Load Balancing
Bạn sẽ cần tạo 3 đường dẫn (pool). Đường thứ sẽ được dùng để chia sẽ mạng giữa WAN và WAN1 (dùng để load balance). Đường thứ nhì sẽ dùng WAN lúc WAN2 không nối mạng. Đường thứ ba sẽ dùng WAN2 khi WAN không nối mạng.
Cấu hình đường dẫn 1 - Load Balancing
Chọn Services --> Load Balancer
Điền vào
Name: LoadBalancing
Description: Đường dẫn chia mạng cho cả hai
Type: Gateway
Behavior:Load Balancing
Monitor IP: chọn địa chỉ DNS của ISP 1 (trong ví dụ này DNS của V1etel)
Interface Name: WAN
Chọn Add To Pool
Thêm vào Monitor IP thứ nhì
Monitor IP: chọn địa chỉ DNS của ISP 2 (trong ví dụ này DNS của N3tnam)
Interface Name: WAN2
Chọn Save
Cấu hình đường dẫn 2 - Fail-over
Điền vào
Name: WANFailedUseWAN2
Description: WAN hỏng, sử dụng WAN2
Type: Gateway
Behavior: Failover
Monitor IP: chọn địa chỉ DNS của ISP 2 (trong ví dụ này DNS của N3tnam)
Interface Name: WAN2
Chọn Add To Pool
Thêm vào Monitor IP thứ nhì
Monitor IP: chọn địa chỉ DNS của ISP 1 (trong ví dụ này DNS của V1etel)
Interface Name: WAN
Chọn Save
Cấu hình đường dẫn 3 - Fail-over
Điền vào
Name: WAN2FailedUseWAN
Description: WAN2 hỏng, sử dụng WAN
Type: Gateway
Behavior: Failover
Monitor IP: chọn địa chỉ DNS của ISP 1 (trong ví dụ này DNS của N3tnam)
Interface Name: WAN
Chọn Add To Pool
Thêm vào Monitor IP thứ nhì
Monitor IP: chọn địa chỉ DNS của ISP 2 (trong ví dụ này DNS của V1etel)
Interface Name: WAN2
Chọn Save
[1IMG]http://tapchi.vnlinux.org/images/pfsense-load-balancer.png[/IMG]
3 bước trên đã hoàn thành việc cấu hình cho load balancing và fail-over. Bước cuối cùng bạn sẽ cần cấu hình tường lửa để có thể kết nối giữa LAN tới WAN và WAN2.
Cấu hình tường lửa
Chọn Firewall --> Rules --> LAN
Bạn sẽ cần tạo 3 rules cho LoadBalance, đường dẫn 1 và đường dẫn 2.
Rule cho LoadBalance
Action: Pass
Interface: LAN
Protocol: any
Source: LAN subnet
Destination: any
Gateway: LoadBalance
Rule cho đường dẫn 1
Action: Pass
Interface: LAN
Protocol: any
Source: LAN subnet
Destination: WAN subnet
Gateway: địa_chỉ_IP_của_WAN_gateway
Rule cho đường dẫn 2
Action: Pass
Interface: LAN
Protocol: any
Source: LAN subnet
Destination: WAN2 subnet
Gateway: địa_chỉ_IP_của_WAN2_gateway
[1IMG]http://tapchi.vnlinux.org/images/pfsense-firewall-rules.png[/IMG]
Vài điều cần để ý: nếu bạn không thể chọn địa chỉ IP của gateway, chọn WAN2FailedUseWAN hoặc WANFailedUseWAN2 tùy vào lúc bạn cấu hình firewall rules cho đường dẫn 1 hay 2. Khi chọn Destination, nếu bạn không thể chọn WAN subnet hay WAN2 subnet, chọn any. Bài viết cố tình làm mờ địa chỉ gateway của WAN2.
Đổi mạng cho máy trạm (workstation, client) sử dụng DHCP. Mở browser đến trang http://www.vnlamp.com. Rút dây cable từ router của ISP 1 ra, mở browser đến trang http://www.vnlamp.com, bạn vẫn có thể xem được. Làm tương tự cho router thứ nhì (dĩ nhiên đừng rút cable của cả 2 routers ra thì sẽ không lên mạng được ).
Reference: http://doc.pfsense.org/index.php/MultiWanVersion1.2
http://forum.vnlamp.com/showthread.php?t=12
++++++++++++++++++++++++++++++++++++++++++++++++
Lab ISCW: Cấu hình load balancing dùng hai line adsl.
Lab ISCW: Cau hinh load balancing tren 2 line ADSL dùng SAA.
I. Sơ đồ lab:
(Xin vui lòng download file Word đính kèm)
Giới thiệu: Nhiều doanh nghiệp hiện nay sử dụng nhiều line adsl cho việc truy cập Internet. Một trong những câu hỏi hay được đặt ra trên diễn đàn này là làm thế nào để cấu hình chia sẽ tải (load balancing) và dự phòng redundancy cho hai line adsl.
Có nhiều giải pháp của các hãng phần cứng khác nhau cho vấn đề này. Bài lab này mô tả cách dùng router Cisco với CIsco IOS 12.3 trở lên. Trong cấu hình lab này, router 2800 có hai card WIC-1T ADSL.
Trong đoạn cấu hình dưới đây, tính năng track interface được sử dụng nhằm sớm phát hiện địa chỉ của đầu ISP bị down. Nếu vì lý do nào đó đường truyền adsl bị down, tính năng này sẽ nhanh chóng xóa route đi qua line adsl ra khỏi bảng định tuyến của router.
Ở trạng thái bình thường, bảng định tuyến của router tồn tại cả hai route, do đó quá trình load balancing sẽ xảy ra. Khi một line adsl gặp sự cố, tính năng track interface sẽ nhanh chóng xóa một route ra khỏi bảng định tuyến.
Cấu hình NAT trong bài lab này có sử dụng route map. Điều này giúp tiến trình NAT có thể thực hiện viêc chuyển đổi địa chỉ phù hợp.
Bài lab do Lê Bá Duy Mẫn thực hiện. Hình vẽ Trần Đức Hà.
II. Cấu hình router R2:
Cau hinh Router R2
show run
!
version 12.3
!
hostname R2
!
ip cef
!
vpdn enable
vpdn ip udp ignore checksum
!
track 1 interface Dialer1 ip routing
delay down 5 up 10
!
track 2 interface Dialer2 ip routing
delay down 5 up 10
!
interface FastEthernet0/0
ip address 192.168.1.254 255.255.255.0
ip nat inside
no keepalive
!
interface ATM0/1/0
mac-address 0005.5e96.2cc0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
pvc 8/35
pppoe-client dial-pool-number 1
!
interface ATM0/2/0
mac-address 0005.5e96.2ca0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
pvc 8/35
pppoe-client dial-pool-number 2
!
interface Dialer1
mtu 1492
ip address negotiated
ip nat outside
encapsulation ppp
dialer pool 1
ppp chap hostname R3
ppp chap password 0 cisco3
!
interface Dialer2
mtu 1492
ip address negotiated
ip nat outside
encapsulation ppp
dialer pool 2
ppp authentication chap callin
ppp chap hostname R4
ppp chap password 0 cisco4
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1 track 1
ip route 0.0.0.0 0.0.0.0 Dialer2 track 2
!
ip nat inside source route-map nat1 interface Dialer1 overload
ip nat inside source route-map nat2 interface Dialer2 overload
!
route-map nat1 permit 10
match interface Dialer1 exit interface c ủa g ói tin
set interface Dialer1
!
route-map nat2 permit 20
match interface Dialer2 exit interface
set interface Dialer2
!
end
Debug
*Feb 6 14:16:00.523: PPPoE 47: I PADT R:000a.b70b.ac00 L:0005.5e96.2ca0 8/35 ATM0/2/0pin
R2#
R2#u all
Port Statistics for unclassified packets is not turned on.
All possible debugging has been turned off
R2#show ip int brie
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 192.168.1.254 YES manual up up
FastEthernet0/1 unassigned YES unset administratively down down
ATM0/1/0 unassigned YES manual up up
ATM0/2/0 unassigned YES manual up up
NVI0 unassigned YES unset up up
Virtual-Access1 unassigned YES unset up up
Virtual-Access2 unassigned YES unset up up
Dialer1 10.0.0.4 YES IPCP up up
Dialer2 10.0.0.5 YES IPCP up up
R2#show ip route
Gateway of last resort is 0.0.0.0 to network 0.0.0.0
10.0.0.0/32 is subnetted, 3 subnets
C 10.0.0.1 is directly connected, Dialer1
is directly connected, Dialer2
C 10.0.0.4 is directly connected, Dialer1
C 10.0.0.5 is directly connected, Dialer2
C 192.168.1.0/24 is directly connected, FastEthernet0/0
S* 0.0.0.0/0 is directly connected, Dialer1
is directly connected, Dialer2
R2#ping
Protocol [ip]:
Target IP address: 10.215.219.52
Repeat count [5]: 10000000
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 192.168.1.254
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
*Feb 6 14:16:59.071: %DIALER-6-UNBIND: Interface Vi2 unbound from profile Di2
Type escape sequence to abort.
Sending 10000000, 100-byte ICMP Echos to 10.215.219.52, timeout is 2 seconds:
Packet sent with a source address of 192.168.1.254
!!!!!!!
*Feb 6 14:16:59.079: %LINK-3-UPDOWN: Interface Virtual-Access2, changed state to down!!!!!!!!!!!!!!!!!!!!!!!!
*Feb 6 14:17:00.071: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access2, changed state to down!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
*Feb 6 14:17:23.903: %LINK-3-UPDOWN: Interface ATM0/2/0, changed state to down
*Feb 6 14:17:24.903: %LINEPROTO-5-UPDOWN: Line protocol on Interface ATM0/2/0, changed state to down!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!
*Feb 6 14:17:45.363: %LINK-3-UPDOWN: Interface ATM0/2/0, changed state to up!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
*Feb 6 14:17:48.363: %LINEPROTO-5-UPDOWN: Line protocol on Interface ATM0/2/0, changed state to up
*Feb 6 14:17:49.975: %DIALER-6-BIND: Interface Vi2 bound to profile Di2.
*Feb 6 14:17:49.979: %LINK-3-UPDOWN: Interface Virtual-Access2, changed state to up.
*Feb 6 14:17:53.087: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access2, changed state to up......!
*Feb 6 14:18:03.903: %LINK-3-UPDOWN: Interface ATM0/1/0, changed state to down
*Feb 6 14:18:04.903: %LINEPROTO-5-UPDOWN: Line protocol on Interface ATM0/1/0, changed state to down.!.!.!.!.!.!.!.!.!.!.!.!.!.
!.!.!
*Feb 6 14:18:38.483: %DIALER-6-UNBIND: Interface Vi1 unbound from profile Di1.!!!!!!!!!!!!!!!!!!!!
*Feb 6 14:18:38.495: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to down
*Feb 6 14:18:39.495: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access1, changed state to down!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!
http://vnpro.org/forum/showthread.php?t=11030
Đăng ký:
Đăng Nhận xét (Atom)
Không có nhận xét nào:
Đăng nhận xét