Cyberoam Güvenlik Duvarlarında Gelişmiş yük Dengeleme

siberoamCyberoam güvenlik duvarlarında birden fazla internet bağlantısını takım haline getirip kullanabiliyorsunuz. Normalde WAN bölgesine tanımlı uplinkler otomatik olarak Load-balance işi içerisine dahil edilmektedir. Ancak bazen bazı linkleri özel işler için kullanmak isteyebilir daha da ötesi bazı linklerin yüklerini daha yüksek yada alçak tutmak da isteyebilirsiniz.

Tüm bunları yapabilmek için yazımızın devamını okumanız yeterli olacaktır.

Öncelike Cyberoam içerisinde yazılımın yani işletim sisteminin load-balance (yük dengeleme) olgusuna bakış açısını kavramak lazım. Linkler üzerindeki yükleri Cyberoam güncel hayattan örnekle kutulara konulan elma adedi olarak değerlendirmektedir. Yani 2 mbit 2 devre için 2 kutunuz ve her session/oturumunuz ise 1 elmadır.  2 mbit linklerden 1 tanesine 3 diğerine 1 elma koy diyebileceğiniz gibi bir tanesine 10 diğerine 1 tane koy diyerek yük 10/1 oranında dağıtabilirsiniz.

Yük dengeleme operasyonu ile ilgili plan yaparken akıldan hiç çıkmaması gereken bir durumda “asenkron devrelerin” oluşturabileceği şişeboğazı/bottleneck durumudur. 2 tane dsl link ile 1 adet metro ethernet devreyi takım/team ederken upload kanal kullanımını mutlaka akılda tutarak dizayn etmeniz gerekmektedir. Tıkanmış upload , gönderilemeyen SYN ve dolayısı ile gelemeyen ACK,DATA anlamına gelir.

Öncelikle aşağıda kısaca amaçlanan topolojiyi gösterelim.

Diagram1

Şimdi de yapmamız gerekenleri sıra ile anlatalım

  1. Tüm linklerimizin l3 katmanına kadar çalıştıklarında emin olalım
    1. IP tanımlarımızı yapalım
    2. PPPOE Bridge tanımlarımızı yapalım
    3. Varsayılan ağ geçitlerine ping atıp canlı olduklarından emin olalım.
  2. Linklerin tamamı ile ilgili gateway bilgilerinin görüntülenebildiğine emin olalım.
  3. Gatewaylerin ağırlık tanımlarını yapalım ve load-balance grubuna girip girmeyeceklerine karar verelim
  4. İlgili firewall kurallarını tanımlayalım.

 

Yazının 3. adımından sonra yapacaklarımızı aşağıda resimli olarak anlatacağız. 2. adıma kadar gerekli kontrolleri yapmış ve sistemin çalışır durumda olduğuna emin olduktan sonra

Eklediğimiz VDSL Linklerinden bir tanesine tıklayalım

gw_details

Yukarıdaki resimde de dikkatinizi çekeceği üzere Interface satırının hemen altında Type ve Weight seçeneklerini göreceksiniz işte bu detaylar Load-Balance takımlaması işinin kararının verildiği nokta.

  • Type ;
    • Aktif : Load-balance takımı içerisine gir
    • Pasif : Load-balance takımı içerisine girme ancak tek başına link olarak kullanılabil ! – burası önemli gateway i kapatmıyorsunuz sadece takıma girmesini engellemiş oluyorsunuz –
  • Weight : Bu linke/kutuya kaç Session/elma koyalım ? :)

İlgili kararları gateway de tanımladıktan sonra tüm gatewayleri bir daha inceleyelim.

gateways1-edited

dikkat ederseniz Port b nin type kısmında backup olarak kaldığını göreceksiniz bu durum load-balance takımında artık metro interface inin olmayacağını ifade eder.

bundan sonra ilgili firewall kurallarını inceleyelim.

cyb2

 

Yine yukarıda dikkat ederseniz daha önce de bahsettiğimiz üzere Gateway’lerin kapatılmadığını yalnızca takım metodlarının değiştiğini de burada anlayabiliriz.

Eğer Load balance seçerseniz sadece Active olarak seçili gatewayler takımlanacak, ancak istediğiniz gateway’i seçerseniz sadece bu kural için seçili uplink devrede olacaktır.

 

Daha fazla detay için Mikronet Teknik Ekibi ne e-posta gönderebilirsiniz.