آموزش راه اندازی Multi-Wan در PfSense بصورت تصویری

چگونه در PfSense قابلیت Multi-WAN را راه اندازی کنیم؟ رقابت بسیار شدید،لزوم حفظ و ارتقای ارتباط کارآمد و اثر بخش با مشتریان ، نیاز جدی به یکپارچه شدن سامانه های نرم افزاری شرکت با تامین کنندگان و توزیع کنندگان عمده که با هدف کاهش هزینه های انبارداری وتحویل سریع محصول و پاسخگویی به نیازهای مشتریان در کمترین زمان ممکن صورت می گیرد،در کنار وابستگی روزافزون تمامی زنجیره ارزش کسب و کار به شبکه جهانی اینترنت ، ضرورت دسترسی همیشگی و پایدار سازمانها به اینترنت را صد چندان ساخته است .

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

از این رو در بسیاری از سازمان ها و شرکت های بزرگ و متوسط ، بیش از یک خط ارتباطی با اینترنت وجود دارد.برای مثال سازمان می تواند دارای یک خط ارتباطی پرسرعت و با پهنای باند بالای فیبر نوری (FTTx ) از شرکت مخابرات و یک ارتباط ماهواره ای یا xDSL از یک فراهم کننده اینترنت(ISP) دیگر باشد این خطوط چندگانه، بسته به ماهیت سازمان و کسب و کار می توانند با دو رویکرد اصلی پیکربندی و مدیریت شوند :

  1. توزیع بار ترافیکی (Load Balance)
  2. مقاومت در برابر خرابی (Failover)

PfSense یک نرم افزار رایگان و منبع باز مدیریت یکپارچه تهدیدات(UTM)است که مبتنی بر یک هسته تخصصی شده از سیستم عامل FreeBsd است و با بهره گیری از بسته های نرم افزاری رایگان،منبع باز و امتحان پس داده ای چون Squid ، Snort و ... قابلیت ها و امکانات امنیتی فراوانی را در اختیار مدیران شبکه و کاربران قرار می دهد . PfSense دارای ویژگیهایی است که تنها در ابزارهای تجاری و گرانقیمتی چون Cisco ASA ، Juniper ، Astaro و ... دیده می شود.

یکی از قابلیت های ارزشمند این نرم افزار ، قابلیتی به نام شبکه های گسترده چند گانه (Multi-Wan) است که امکان بهره گیری همزمان از چندین لینک اینترنتی را به صورت Load Balance یا Failover و یا ترکیبی از این دو (Combinations) ممکن می سازد و با استفاده از آن می توان دسترسی مطمئن و بدون قطعی به اینترنت را تضمین کرد و توزیع بار ترافیک و استفاده بهینه از پهنای باند موجود را بهبود بخشید.

در رویکرد Failover یکی از خطوط ارتباطی به عنوان لینک اصلی در نظر گرفته شده و بار ترافیکی ارتباط شبکه سازمان با اینترنت بر روی آن منتقل می گردد وخط دوم ، پشتیبان خط اول در نظرگرفته شده و در حالت عادی در وضعیت آماده به کار (Standby) قرار می گیرد . حال چنانچه به هردلیلی خط اصلی قطع گردد و اتصال به اینترنت از طریق آن ممکن نباشد ، به صورت خودکار خط دوم از حالت آماده به کار به وضعیت فعال در آمده و وظیفه اتصال شبکه داخلی سازمان به شبکه جهانی اینترنت را برعهده می گیرد.

در رویکرد Load Balance بار ترافیکی ارتباط شبکه داخلی سازمان با اینترنت به صورت خودکار و با استفاده از تمامی لینک های ارتباطی تعریف شده برای نرم افزار PfSense انجام شده و بسته به تنظیمات و پیکربندی صورت گرفته به نسبت مساوی و یا به نسبت تعریف شده توسط کاربر بر روی لینک های ارتباطی توزیع می گردد. در این رویکرد هردو خط ارتباطی به صورت فعال (Active) بوده و هیچ یک از آنها در وضعیت آماده به کار (Standby) قرار نمی گیرد اما چنانچه به هردلیلی یکی از خطوط قطع گردد و اتصال به اینترنت از طریق آن ممکن نباشد ، خط های دیگر همچنان به وظیفه خود ادامه خواهند داد. الگوریتم توزیع بار ترافیکی که در PfSense استفاده می گردد الگوریتم round-robin است.

همچنین به خاطر استفاده از مفهومی به نام درجه (Tier) در نرم افزار PfSense که توسط آن اولویت و حق تقدم (priority) لینک ها برای استفاده تعیین می گردد و در این مقاله به آن اشاره خواهد شد ، امکان استفاده از هر ترکیبی از Load Balance وFailover وجود خواهد داشت و تنها محدودیت موجود این است که در این نرم افزار تنها امکان استفاده از 5 درجه (Tier) وجود دارد که به ترتیب ازTier1 تا Tier5 نام گذاری شده اند.

نیازمندی های پیاده سازی Multi-Wan

1-وجود بیش از یک خط ارتباطی با اینترنت که از ISP های مختلف و دارای خدمات با کیفیت تهیه شده اند. برای مثال فراهم کردن یک خط FTTH و یک خط 4 G LTE یا xDSL

2-وجود دست کم سه کارت شبکه در ماشین PfSense که یکی به رابط LAN ، یکی به رابط WAN و دیگری به رابط OPT1 اختصاص یافته باشد. برای آشنایی بیشتر با مفهوم رابط در PfSense می توانید به این مقاله نگاهی بیاندازید.

بسیار خوب ، دوستان تئوری تا این حد کافیه حالا اجازه بدید طرح ساده زیر که نمایی از یک شبکه معمولی و دارای دو خط ارتباطی از نوع ADSL هست را گام به گام پیاده سازی کنیم برای پیاده سازی این قابلیت در PfSense برداشتن گام های زیر ضروری است :

  • گام نخست : انجام تنظیمات مورد نیاز در رابط های LAN ، WAN و OPT1
  • گام دوم : به هر یک از gateway های اختصاص داده شده به رابط های WAN و OPT1 یک Monitor IP اختصاص دهید.
  • گام سوم : تعریف یک Gateway Group
  • گام چهارم : تنظیم و پیکربندی قوانین (Rules) دیواره آتش برای استفاده از Gateway Group تعزیف شده
  • گام پنجم : انجام تنظیمات شبکه در ایستگاه های کاری مستقر در شبکه داخلی

تصویر 1 : نمای ساده ای از شبکه مورد نظر

وب سایت توسینسو

گام نخست : انجام تنظیمات مورد نیاز در رابط ها

ابتدا در محیط مدیریت نرم افزار و از مسیر Interfaces رابط های LAN ، WAN و OPT1 را همانند تصویرهای زیر تنظیم و پیکربندی کنید

تصویر 2 : تنظیمات رابط LAN

وب سایت توسینسو

تصویر 3 : تنظیمات رابط WAN

وب سایت توسینسو

تصویر 4 : تنظیمات رابط OPT1

وب سایت توسینسو

برای اطمینان از فعال بودن رابط های LAN ، WAN و OPT1 در محیط مدیریت نرم افزارو از مسیر Diagnostics\Ping نسبت به ping آدرس های IP اختصاص داده شده به هریک از این رابط ها اقدام کنید.

تصویر 5 : آزمون Ping شدن Gateway ها

وب سایت توسینسو

گام دوم : به هر یک از gateway های اختصاص داده شده به رابط های WAN و OPT یک Monitor IP اختصاص دهید.

برای این منظور از مسیر System\Routing\Gateways و با کلیک بر روی دکمه ویرایش نسبت به اختصاص Monitor IP به gateway مربوطه اقدام کنید و پیش از رفتن به مرحله بعد از online بودن gateway های تعریف شده مطمئن شوید . برای این کار کافیست در محیط مدیریت نرم افزار و از مسیر Status\Gateways در برگه Gateways وضعیت آنها را مشاهده کنید.اهمیت تعریف Monitor IP به این دلیل است که در حالت پیش فرض PfSense برای تعیین کیفیت خطوط WAN از پینگ کردن Gateway تعریف شده برای رابط های مربوطه استفاده می کند.

اما چون در بسیاری از سازمان ها همانند مثال ما این Gateway ها در حقیقت آدرس IP اختصاص داده شده به رابط LAN مودم-روترهای مخابراتی مستقر در شبکه داخلی است بنا براین نرم افزار قادر به تعیین و اندازه گیری دقیق و قابل اطمینان کیفیت خط های ارتباطی با اینترنت نخواهد بود از این رو با اختصاص Monitor IP به gateway های تعریف شده که آدرس هایی واقعی در دنیای اینترنت و خارج از شبکه ما هستند این مشکل برطرف شده و کیفیت خطوط ارتباطی با دقت و کیفیت مطلوبی توسط PfSense اندازه گیری می شود.شاخص هایی که توسط PfSense و با هدف تعیین کیفیت لینک های ارتباطی اندازه گیری می شوند عبارتند از : تاخیر (Latency) و نرخ از دست رفتن داده ها (Packet Loss)

تصویر 6 : ویرایش Gateway

وب سایت توسینسو

تصویر 7 : اختصاص Monitor ip به Gateway تعریف شده در رابط OPT1

وب سایت توسینسو

تصویر 8 : اختصاص Monitor ip به Gateway تعریف شده در رابط WAN

وب سایت توسینسو

تصویر 9 : اطمینان از online بودن Gateway های تعریف شده

وب سایت توسینسو

گام سوم : تعریف یک Gateway Group

این کار از مسیر System\Routing و برگه Gateway Groups انجام می شود

تصویر 10 : تعریف یک Gateway Group

وب سایت توسینسو

در این برگه با کلیک بر روی دکمه Add می توانید یک Gateway Group جدید بسازید . مهمترین تنظیمات موجود در این صفحه عبارتند از :

Group Name : در این بخش می توانید یک نام دلخواه به Gateway Group اختصاص دهید. نام تعیین شده در این قسمت برای انتخاب Gateway Group ایجاد شده به عنوان Gateway قوانین (Rules) تعریف شده در برگه LAN بخش Firewall\Rules استفاده خواهد شد.

Gateway Priority : تنظیمات موجود در این بخش از اهمیت زیادی برخوردار بوده و در حقیقت رویکرد شما در استفاده از Loab Balance یا Failover را مشخص خواهد کرد. نرم افزار PfSense برای تشخیص اولویت و یا حق تقدم (Priority) استفاده از هر یک از Gateway های موجود در Gateway Group از مفهومی به نام درجه (Tier) استفاده می کند . چنانچه به هر دو Gateway درجه یکسانی اختصاص دهید برای مثال برای هر دو Tier1 را انتخاب کنید در حقیقت رویکرد Load Balance را انتخاب کرده اید و چنانچه برای هریک از gateway ها Tier متفاوتی را انتخاب کنید .

Gateway Group در حالت Failover پیکربندی خواهد شد در این وضعیت Tier دارای عدد کوچکتر نشان دهنده اولویت بالاتر Gateway مربوطه برای استفاده توسط Pfsense است برای مثال Tier1 نشان دهنده بالاترین اولویت است. در این حالت Gateway دیگر که دارای Tier با عدد بزرگتر است (برای مثال Tier2) استفاده نشده و در وضعیت آماده به کار (Standby) قرار خواهد گرفت. چنانچه برای یک Gatewayگزینه Never انتخاب گردد دیگر به عنوان عضوی از Gateway Group منظور نخواهد شد.

PfSense در حالت Load Balance به صورت پیش فرض تمامی لینک های ارتباطی که دارای Tier برابری هستند را از نظر سرعت خط و پهنای باند یکسان در نظر می گیرد . از این رو چنانچه هر یک از آنها دارای سرعت و پهنای باند متفاوتی باشد برای مثال یکی دارای سرعت Mbps 50 و دیگری دارای سرعت 5 Mbps باشد ممکن است خط دارای سرعت کمتر با سربار ترافیکی مواجه شده و بخشی از پهنای باند و سرعت خط دیگر بدون استفاده باقی بماند و در نتیجه کیفیت ارتباط کاهش محسوسی پیدا کند از این رو در این حالت می توانید با تنظیم گزینه weight برای Gateway دارای سرعت 50 Mbps به مقدار 5 نرخ استفاده از لینک سریعتر و توزیع بار بر روی آن را به نسبت 5 به 1 تنظیم کنید.

Trigger Level : در این بخش شرایطی را مشخص می کنید که هنگام فراهم شدن آنها PfSense تصمیم به توقف استفاده از یک Gateway و انتقال ترافیک به Gateway دیگر می گیرد. مهمترین گزینه های موجود در این بخش عبارتند از :

Member Down : تغییر Gateway در حال استفاده زمانی انجام خواهد شد که نتیجه Ping کردن Monitor IP تنظیم شده بر روی Gateway صد درصد Loss باشد.

Packet Loss : تغییر Gateway در حال استفاده زمانی انجام خواهد شد که نرخ از دست رفتن داده ها (packet loss) بیش از آستانه تعریف شده برای Gateway باشد.

High Latency : تغییر Gateway در حال استفاده زمانی انجام خواهد شد که تاخیر در رسیدن بسته ها(latency) بیش از آستانه تعریف شده برای Gateway باشد.

Packet Loss or High Latency : در این حالت همزمان هردو گزینه نرخ ازدست رفتن داده ها و تاخیر زیاد در رسیدن بسته ها برای تغییر Gateway در حال استفاده در نظر گرفته می شود.

لازم به یادآوری است که برای تغییر Latency thresholds ، Packet Loss thresholds و weight مربوط به هر Gateway از مسیر System\Routing\Gateways به صفحه ویرایش Gateway وارد شده و با کلیک بر روی دکمه Display Advanced می توانید مقدار پارامترهای مورد نظر را به عدد دلخواه و مناسب شبکه خود تغییر دهید.

گام چهارم : تنظیم و پیکربندی قوانین (Rules) دیواره آتش برای استفاده از Gateway Group تعزیف شده

برای این کار از مسیر Firewall\Rules\LAN به صفحه ویرایش قانون و یا قوانینی که اجازه ارتباط شبکه داخلی شما به شبکه اینترنت را می دهند وارد شده و در بخش Advanced Options با کلیک بر روی دکمه Display Advanced گزینه Gateway را یافته و از منوی پایین افتادنی (Drop Down Menu) آن نام GateWay Groupo تعریف شده در بخش قبلی را انتخاب کنید.

تصویر 11 : تنظیم و پیکربندی قوانین (Rules) دیواره آتش برای استفاده از Gateway Group تعزیف شده

وب سایت توسینسو

گام پنجم : انجام تنظیمات شبکه در ایستگا ه های کاری شبکه داخلی

برای این کار کافیست تنظیمات شبکه را به صورت زیر انجام دهید :

تصویر 12 : تنظیمات شبکه در ایستگا ه های کاری شبکه داخلی

وب سایت توسینسو

کار تمام است اکنون می توانید از Multi-Wan خود استفاده کنید.


نظرات