Pfsense 2 szakácskönyv - 6

6. fejezet Redundancia, terheléskiegyenlítés és
hibatűrés

Ebben a fejezetben a következőkre gondolunk:
- Több WAN interfész beállítása (több WAN-konfiguráció)
- A terheléskiegyenlítés konfigurálása több WAN-konfigurációban
- A multi-WAN hibatűrésének beállítása
- A WEB kiszolgáló terheléselosztásának konfigurálása
- Megbízó WEB szerver konfigurálása
- A tűzfal CARP hibatűrésének beállítása

bevezetés
A redundancia, a terheléskiegyenlítés és a hibatűrés a modern hálózatok fejlett jellemzői. Általában nagy és fontos rendszerekben használják vagy igénylik őket, ezért nem minden tűzfal és útválasztó támogatja ezeket a képességeket. A pfSense minden konfigurációt teljes mértékben támogat.
A redundáns (backup) WAN interfészek (milti-WAN) több független kapcsolatot biztosítanak a tűzfalhoz az interneten. A pfSense lehetővé teszi a multi-WAN interfészek terheléskiegyenlítését és hibakeresését. A terhelésmérleg szétválasztja az interfészek közötti összes forgalmat, míg a failover lehetővé teszi az automatikus átkapcsolást egy másik interfészre az aktuális hiba esetén.

A terheléskiegyenlítés A pfSense lehetővé teszi bizonyos típusú forgalom (például WEB forgalom) terjesztését több szerver között. Ez lehetővé teszi, hogy saját webes gazdaságot készítsen közvetlenül a pfSense szolgáltatáson.

A tűzfal redundanciája lehetővé teszi a rendszer stabilitását egy adott gép fizikai meghibásodása esetén. A CARP konfiguráció használatával beállíthatja a pfSense-et, hogy egy nagyobb hiba esetén automatikusan biztonsági mentési tűzfalra váltson.

Több WAN interfész konfigurálása
Ez a recept leírja, hogyan lehet több WAN interfészt konfigurálni a pfSense programban.

A
A pfSense rendszer egyetlen WAN interfésszel ténylegesen implementálja a plug-in elvét, mert az alapértelmezett átjáró automatikusan létrejön. Azonban a fejezetben található receptek egy része több WAN kapcsolatot igényel, és ezeket az átjárókat kézzel kell konfigurálni. A következő recept leírja, hogyan kell beállítani két használható WAN interfészt
a jövőben a redundancia, a terheléskiegyenlítés és / vagy hibatűrés végrehajtásának végrehajtására.

Hogyan kell csinálni.
1. Menjen a Rendszerbe routing
2. Válassza az Átjárók fület
3. Vegye figyelembe, hogy a meglévő WAN-felületünk átjáróját automatikusan hozták létre, alapértelmezés szerint telepítve, és általában dinamikusan van beállítva:

4. Nyomja meg a [+] gombot egy új átjáró hozzáadásához
5. Válassza ki a létrehozott WAN-kapcsolat interfészét
6. Adja meg az átjáró nevét

10. Mentse a változtatásokat.

Hogy működik.
Csak a pfSense által létrehozott első WAN-felület automatikusan létrehozza az alapértelmezett átjárót. Az új WAN-interfész átjárójának manuális létrehozásával, ahogyan mi csak tettük, megfelelően beállíthatjuk az interfészt a jelen fejezet többi részében leírt redundáns funkciók használatához.

Egy kicsit több.
Ne feledje, hogy zárolja a magán és a segélyhívó hálózatokat a WAN interfészek számára a nyilvános hálózati tartományokban.

Lásd még
- Recept Konfigurálja az interfészeket az 1. fejezetben
- Recept A Media Gateway létrehozása az 5. fejezetben
- Recept A multi-WAN terheléselosztás beállítása
- A multi-WAN hibatűrésének beállítása

Multi-WAN terheléskiegyenlítés konfigurálása
Ez a recept leírja, hogy a milti-WAN terheléskiegyenlítés hogyan konfigurálható a pfSense-ben.

A
A recept alatt két különálló WAN interfésszel konfiguráljuk a terheléselosztást. Győződjön meg róla, először is, hogy a WAN interfészek megfelelően konfiguráltak; Ehhez forduljon az előző recepthez.

megjegyzés:
Ha a több WAN terheléselosztás működik, a hibatűrés ténylegesen működik. Ha csak hibatűrést kíván engedélyezni, olvassa el a következő receptet.

Hogyan kell csinálni.
1. Menjen a Rendszerbe routing
2. Válassza a Csoportok fület.
3. Adja meg a csoport nevét (csoport neve)
4. Állítsa be az átjáró prioritását mindkét WAN-átjárónál a Tier 1-re
5. Hagyja a triggerszintet (triggerszint) beállítva a "Tag" (Tag le van tiltva)
6. Leírás hozzáadása (leírás)

7. Mentse a változtatásokat
8. Szükség esetén alkalmazza a változtatásokat.

Egy kicsit több.
Az átjáró csoporthoz definiáltunk Down Down tagot, de számos más lehetőség is létezik:
- Tag le: akkor jelenik meg, amikor az IP-alapú gateway IP-címe nem válaszol ICMP pingre
- Packet Loss: aktiválja az átjárón átmenő csomagok elvesztését
- Magas késleltetés. Ez akkor működik, ha az ezen átjárón áthaladó csomagok nagy késéssel járnak
- Packet Loss vagy High Latency. Ez akkor működik, ha az átjárón áthaladó csomagok elveszettek vagy hosszú késéssel járnak

Lásd még
- Recept Több WAN interfész konfigurálása.

A multi-WAN hibatűrésének beállítása
Ez a recept leírja, hogyan állíthatja be a multi-WAN átállást a pfSense rendszeren.

A
E recept során a két WAN interfész hibatűrését állítjuk be. Győződjön meg róla, hogy az interfészek megfelelően vannak beállítva; Ehhez forduljon az előző receptekhez.

Hogyan kell csinálni.
1. Menjen a Rendszerbe routing
2. Válassza a Csoportok fület.
3. Adja meg a csoport nevét (csoport neve)
4. Állítsa be az átjáró prioritását a WAN átjárójára a Tier 1 szintre
5. Állítsa be az átjáró prioritását a WAN2 átjáró számára a 2. szintre
6. Hagyja, hogy a trigger szintje (trigger szintje) a Member Down (Tag le van tiltva)

18. Menjen a Tűzfal | szabályok
19. Kattintson a [+] gombra egy új tűzfalszabály hozzáadásához
20. Válassza ki a lépés műveletet
21. Válassza ki a LAN interfész fület
22. Állítsa be a protokollt (protokoll) bármelyiknek
23. Állítsa be a forrást a LAN alhálózatba
24. Állítsa be a célállomást
25. Adjon meg egy leírást (leírás)
26. A Speciális funkciókban a Gateway alatt kattintson a Speciális gombra a speciális funkciók megtekintéséhez
27. Telepítse az átjárót a FailoverGroup értékére
28. Mentse a változtatásokat.
29. Szükség esetén alkalmazza az (Apply) változásokat

Hogy működik.
A LAN-től származó összes forgalmat a csoportos átjárón keresztül továbbítjuk. Mivel csoportos átjáróunk két olyan WAN átjáróból áll, amelyeknek más prioritási szintje van, a biztonsági átjárót (Tier 2) az elsődleges átjáró helyett (Tier 1) használjuk, ha nem sikerül.

Lásd még
- Több WAN interfész konfigurálása
- Recept A multi-WAN terheléselosztás beállítása

Webkiszolgáló terheléselosztásának beállítása
Ez a recept leírja, hogyan kell konfigurálni egy kis web farmot a pfSense-en a terheléselosztás használatával.

A
A terheléselosztás lehetővé teszi a pfSense számára, hogy bizonyos típusú forgalmat terjesszen több gépre. Ennek a funkciónak a általános használata a bejövő HTTP-kérelmek elosztása több webkiszolgáló számára, és a következő recept leírja, hogyan lehet létrehozni egy web farmot a terheléselosztás használatával.

28. Erősítse meg a (Submit) változásokat
29. Szükség esetén alkalmazza a módosításokat

Egy kicsit több.
A ragasztható kapcsolatok segítségével biztosítható, hogy az ügyfél mindig egy bizonyos időre kezelje a kéréseket ugyanarra a kiszolgálóra. Ha a következő kérés a "ragadós kapcsolat időtúllépés" lejárta után történik, a kérelmet a farm bármely kiszolgálója feldolgozhatja. A fejlesztők gyakran ezt a funkciót igénylik a webkiszolgáló adatok integritásának biztosítása érdekében (a gyorsítótárban), de ez nem olyan megbízható, mint a megosztott munkamenet-tároló használata.

Lásd még
- Recept A NAT port átirányítási szabályának létrehozása a 3. fejezetben
- Tűzfalszabály létrehozása a 3. fejezetben
- Recept A webszerver hibatűrésének beállítása

A webszerver hibatűrésének beállítása
Ez a recept leírja, hogyan kell konfigurálni egy kis web farmot a pfSense-en a terheléselosztás használatával.

A
A terheléskiegyenlítés lehetővé teszi, hogy a pfSense átállítsa a forgalmat egy készenléti kiszolgálóra, ha kimarad. A következő receptben beállítjuk a biztonsági szervert, hogy az elsődleges kiszolgálót hiba esetén cseréljük.

29. Erősítse meg a módosításokat
30. Szükség esetén alkalmazza a változtatásokat

Lásd még
- Recept A NAT port átirányítási szabályának létrehozása a 3. fejezetben
- Tűzfalszabály létrehozása a 3. fejezetben
- Recept A webszerver terheléselosztásának konfigurálása

Tűzfal hiba tolerancia beállítása a CARP-vel
Ez a recept leírja, hogyan kell beállítani két pfSense tűzfalat a hibatűrés végrehajtásához.

A
A hardveres redundancia további hardvert igényel, és ez érthető. A tűzfal hibatűrésének beállításához két azonos pfSense készülékre van szükségünk. Ezenkívül minden géphez további interfész szükséges, amelynek feladata lesz a szinkronizálás (amelyet pfsync-nek hívunk). Például ez a recept két pfSense tűzfalat használ, amelyek mindegyike
három interfésszel rendelkezik (WAN, LAN és pfsync).

Hogyan kell csinálni.
1. Konfigurálja az első gépünk elsődleges pfsense interfészeit az alábbiak szerint:
- WAN: 192.168.111.2
- SYNC: 192.168.222.2
- LAN: 192.168.1.2
2. Konfigurálja az interfészeket az első gépünkön, a backup-pfsense-ben, az alábbiak szerint:
- WAN: 192.168.111.3
- SYNC: 192.168.222.3
- LAN: 192.168.1.3
3. Mindkét gépen tegyen olyan tűzfalszabályt, amely lehetővé teszi a SYNC interfész összes forgalmát:
1. Menjen a Tűzfal | szabályok
2. Kattintson a SYNC Interface fülre
3. Nyomja meg a [+] gombot új tűzfalszabály hozzáadásához
4. Állítsa be a protokollt (protokoll) bármelyiknek

4. Adjon meg egy leírást (leírás):

5. Mentse a változtatásokat
6. Szükség esetén alkalmazza a változtatásokat

7. A backup-pfsense gépen engedélyeznie kell a CARP szinkronizálást és
biztonsági másolatként konfigurálhatja:
1. Menjen a Tűzfal | Virtuális IP-k
2. Kattintson a CARP Settings fülre
3. Jelölje be a Szinkronizálás engedélyezése jelölőgombot
4. Állítsa a Szinkronizáló felületet a SYNC-re

8. Változtatások mentése
9. Befejeztük a biztonsági tűzfal beállítását
10. A főgépen engedélyeznünk kell a CARP szinkronizálást, és elsődleges tűzfalként kell beállítanunk:
1. Menjen a Tűzfal | Virtuális IP-k
2. Kattintson a CARP Settings fülre
3. Jelölje be a Szinkronizálás engedélyezése jelölőgombot
4. Állítsa a Szinkronizáló felületet a SYNC-re

11. Mentse el a változtatásokat
12. Szükség esetén alkalmazza az (Apply) változásokat

Hogy működik.
Ez a recept leírja, hogyan hozhat létre átállási tűzfalat a CARP használatával. Két tűzfal folyamatosan szinkronizálja a szabályokat, a NAT-ot és a virtuális IP-beállításokat, beleértve Ha az elsődleges tűzfal hibás, a biztonsági mentés nem akadályozza a helyét. A szinkronizálás trükkje az egyes virtuális IP-címek hirdetési frekvenciájában van. A fő kiszolgáló alkalmazásának gyakorisága 0-ra van állítva, de a beállítások szinkronizálása esetén megnő a biztonsági szerver alkalmazásának gyakorisága (azaz a biztonsági szerver alkalmazás frekvenciája 1-re van állítva). Így most a pfSense megkülönbözteti a gépeket és a szinkronizálási beállításokat.

Lásd még
- Recept A NAT port átirányítási szabályának létrehozása a 3. fejezetben
- Tűzfalszabály létrehozása a 3. fejezetben
- A virtuális IP-k létrehozásának receptje az 5. fejezetben.

előző ◈ a következő