PALO ALTO NETWORKS : HƯỚNG DẪN CÁCH CẤU HÌNH

CÂN BẰNG TẢI BẰNG ECMP

1. Tổng quan
Equal Cost Multipath (ECMP) là một tính năng mới được giới thiệu trong PAN-OS 7.0.
Tính năng này hỗ trợ cho việc cân bằng tải khi chúng ta có nhiều đường internet khác
nhau. Tính năng này chỉ hỗ trợ tối đa 4 đường truyền internet.

Nếu không có tính năng này, thiết bị tường lửa sẽ chọn 1 trong các đường internet hiện
có để phục vụ cho nhu cầu truy cập internet, các đường truyền internet còn lại sẽ không
được sử dụng cho đến khi đường internet đang sử dụng xảy ra sự cố.

Cân bằng tải ECMP được thực hiện ở cấp phiên, không phải ở cấp gói — thời điểm bắt
đầu một phiên mới là khi tường lửa (ECMP) chọn một đường truyền internet.

Bài viết này tập trung vào hướng dẫn cấu hình ECMP trên tường lửa Palo Alto.

2. Diagram

Sơ đồ mạng có các thành phần như sau :

 Đường truyền internet ISP 1 với IP 10.0.0.1 được kết nối với thiết bị tường lửa
Palo Alto tại cổng Ethernet 1/2 với địa chỉ IP 10.0.0.2.
 Đường truyền ISP 2 với IP 172.16.31.1 được kết nối với thiết bị tường lửa Palo
Alto tại cổng Ethernet 1/1 với địa chỉ IP 172.16.31.
 Máy tính Computer01 với IP 172.16.16.100 được kết nối với thiêt bị tường lửa
Palo Alto tại cổng Ethernet 1/3 với đia chỉ IP 172.16.16.1.

Bài viết này sẽ hướng dẫn cách cấu hình cân bằng tải bằng ECMP để lưu lượng truy cập
internet từ máy Computer01 sẽ được dàn trải trên 2 đường internet là ISP 1 và ISP 2.
3. Các bước cần thực hiện
 Cấu hình Zone.
 Cấu hình interface.
 Cấu hình Virtual Router.
 Cấu hình NAT policy.
 Cấu hình Security Policy.
 Kiểm tra kết quả.

4. Cấu hình Zone

Chúng ta sẽ thực hiện tạo 2 zone là LAN và WAN.

Để cấu hình zone vào Network > Zone > Click Add > bàng Zone hiện ra và nhập vào các
thông tin như sau :

 Name : WAN
 Type : Layer3

Chúng ta thực hiện tạo zone LAN tương tự như trên.

5. Cấu hình internet
Để cấu hình cổng ethernet1/1, vào Network > Interface > ethernet1/1 > bảng Ethernet
Interface hiện ra và nhập vào các thông tin như sau.

Ở tab Config :

 Interface Type : Layer3

 Security Zone : WAN

Ở tab IPv4 :

 Type : static.
  Click Add và thêm địa chỉ IP 172.16.31.2/24.

Chúng ta thực hiện tương tự với cổng Ethernet1/2 và Ethernet1/3 với các thông số như
hình sau.

Cấu hình cổng Ethernet1/2 :

Cấu hình cổng Ethernet1/3 :
6. Cấu hình Virtual Routers
Chúng ta cần tạo virtual routers để định tuyến các các traffic từ bên trong đi ra ngoài
internet theo 2 đường mạng ISP 1 và ISP 2 và đồng thời thực hiện cấu hình cân bằng tải.

Để tạo Virtual Routers vào Network > Virtual Routers > Click Add > Bảng Virtual Router
hiện ra.

Ở tab Router Setting chúng ta điền vào các thông tin sau :

 Name : VR1
 Interface : Click Add và chọn 3 cổng ethernet1/1,ethernet1/2 và ethernet1/3.
Ở tab Static Routes chúng ta click Add và tạo 2 default-1 và default-2 với các thông số
như hình sau :

Quay trở lại tab Router Settings chúng ta chuyển qua ECMP để thực hiện cấu hình cân
bằng tải với các thông số sau :

 Tích chọn Enable để bật tính năng cân bằng tải.

 Ở Method chúng ta sẽ có các phương thức cân bằng tải như IP Modulo, IP Hash,
Weighted Round Robin, Balanced Round Robin.
Giải thích về 4 phương thức load balancing :

 Các thuật toán IP Modulo và IP Hash sử dụng các hàm băm dựa trên thông tin
trong header của gói tin, chẳng hạn như địa chỉ nguồn và đích. Vì header của mỗi
luồng trong một phiên nhất định chứa thông tin nguồn và đích giống nhau, nên các
tùy chọn này ưu tiên độ liền mạch của các session. Nếu bạn chọn thuật toán IP
Hash, hàm băm có thể dựa trên địa chỉ nguồn và địa chỉ đích hoặc hàm băm có
thể chỉ dựa trên địa chỉ nguồn (trong PAN-OS 8.0.3 và các phiên bản mới hơn).
Việc sử dụng thuật toán IP Hash chỉ dựa trên địa chỉ nguồn khiến tất cả các phiên
thuộc cùng một địa chỉ IP nguồn luôn sử dụng cùng một đường dẫn từ nhiều
đường dẫn có sẵn. Do đó, đường dẫn được coi là liền mạch và dễ khắc phục sự
cố hơn nếu cần. Bạn có thể tùy chọn đặt giá trị Hash Seed để cân bằng tải ngẫu
nhiên hơn nữa nếu bạn có một số lượng lớn các phiên đến cùng một đích và
chúng không được phân phối đồng đều trên các liên kết ECMP.
 Thuật toán Balanced Round Robin phân phối các phiên đến một cách đồng đều
trên các liên kết, ưu tiên cân bằng tải hơn độ liền mạch của phiên. (Round robin
cho biết trình tự trong đó mục ít được chọn gần đây nhất được chọn.) Ngoài ra,
nếu các tuyến mới được thêm vào hoặc xóa khỏi một nhóm ECMP (ví dụ: nếu một
đường dẫn trong nhóm bị hỏng), Virtual Routers sẽ cân bằng các phiên qua các
liên kết trong nhóm. Ngoài ra, nếu các luồng trong một phiên phải chuyển tuyến do
sự cố, khi tuyến ban đầu được liên kết với phiên trở lại khả dụng, các luồng trong
phiên sẽ trở lại tuyến ban đầu khi Virtual Routers một lần nữa cân bằng lại tải
trọng.
 Thuật toán có trọng số ưu tiên dung lượng và / hoặc tốc độ liên kết — Là phần mở
rộng cho tiêu chuẩn giao thức ECMP, việc triển khai Palo Alto Networks cung cấp
tùy chọn cân bằng tải Weighted Round Robin có tính đến các dung lượng và tốc
độ liên kết khác nhau trên các giao diện đầu ra của tường lửa . Với tùy chọn này,
bạn có thể chỉ định trọng số ECMP (phạm vi là 1-255; mặc định là 100) cho các
giao diện dựa trên hiệu suất liên kết bằng cách sử dụng các yếu tố như dung
lượng liên kết, tốc độ và độ trễ để đảm bảo rằng tải được cân bằng để tận dụng
hoàn toàn các liên kết có sẵn .

Ở bài hướng dẫn này chúng ta sẽ chọn Balanced Round Robin.

7. Cấu hình NAT policy

Chúng ta cần tạo 2 NAT policy cho 2 đường truyền internet ISP 1 và ISP 2.
Để cấu hình NAT policy vào Policies > NAT > click Add để tạo NAT policy cho ISP2 với
các thông số sau.

Tương tự tạo NAT policy cho ISP1 với các thông số sau.
8. Cấu hình Security Policy
Muc đích cấu hình Security Policy là để tường lửa cho phép các lưu lượng truy cập từ
zone LAN ra zone WAN để truy cập internet.

Để tạo Security Policy vào Policies > Security > Click Add và điền vào các thông số như
hình sau.
9. Kiểm tra kết quả
Dùng máy Computer01 truy cập internet và đảm bảo rằng máy có thể truy cập internet.

Quay trở lại thiết bị tường lửa vào Monitor > Logs > Traffic và kiểm tra kết quả.

Có thể thấy rằng lưu lượng của máy Computer01 với IP 172.16.16.100 đã được phân bổ
đều trên cà 2 cổng ethernet1/1 kết nối với ISP 2 và ethernet1/2 kết nối với ISP1.