Genel, Güvenlik, Network
Fortigate Wan Link Load Balancing (Redundant Interface)

Fortigate Wan Link Load Balancing (Redundant Interface)

Herkese Merhaba,

Bugünkü makalemizde Fortigate 5.2.8 Versiyonun da Wan Link Load Balancing nedir nasıl yapılır onu anlatacağım.

Wan Link Load Balancing birden fazla olan internet hattınızı Load Balance tek bir çıkış varmış gibi kullanmanızı sağlar. Örnek olarak benim A isimli ISP den 25 MB B isimli ISP den 25 MB fiber internet hizmetim var. Tek bir hata yüklenmemek için 2 hattı dengeleyebilirim veya Kullanıcılara göre ayırabilirim. Şimdi gelelim işlemlere;

Network ayarlarımı altta görebilirsiniz.

İlk önce Wan link load balancing yapabilmemiz için wan1 ve wan2 ait hiçbir policy, adress, routing olmaması gerekmektedir. Ben test için sanal firewall kurduğumdan dolayı hiçbir obje bulunmuyor. Sizin dikkat etmeniz gerekmektedir.

Engel olacak bir şey olmadığına göre kuruluma başlayabiliriz. Soldaki menüden System>Network >WAN Link Load Balancing e tıklıyoruz ve alttaki gibi bir ekran karşılıyor bizi.

Burada birkaç seçeneği açıklayalım ki herkes ihtiyacına göre yapılandırma yapabilsin.

Source İp Based (Kaynak İp Tabanlı) : Öncelikle bu method un amacı session kaybını önlemektir. 10.0.0.1 ip sinin ilk isteği port 1 den çıkarsa session kopması olmaması için istekleri oraya göndermeye devam eder.

Örneğin  10.0.0.10/32 ip si port 1 den 10.0.0.11/32 ip si ise port 2 den çıksın yada source ip 10.0.0.0/24  destination portu 80 olana giderken port1 den çıkar gibi uygulamalar yapabiliriz. ( Bu bahsettiğim ayarlar Policy Route da belirtilir)

Weighted Round Robin (Ağırlık Tabanlı ) :  Burada ise Wan Load Balancing yaptığımız interface lere bir weight değeri vererek öncelik belirtiriz. Weight değeri en düşük olan interface alır ilk isteği.

Örnek olarak Port1 e Weight=1,  Port2 ye Weight=3 verirsek değerlerin toplamının değere bölümü şeklinde ayrılacaktır. Yani Toplam Weight 1+3 = 4 olduğu takdirde port 1 gelen trafik Weight toplamın Portun weight değerine bölümüdür yani

4/1 den trafiğin %25 i Port1 den gidecektir 4/3 den %75 i de Port2 den çıkacaktır.

Spill-over ( Taşma ):      Bu method outgoing interface için Kbps bazında bir üst limit ekleriz. Bu üst limiti aşan trafik load balance daki başka bir interface e yöneltilir.

Source-Destination IP based ( Kaynak – Hedef İp Tabanlı):  Soruce İp Based method una çok benzer sadece session kaybını önlemek için source ip ve destination ip ye göre yönlendirme yapar.

Measured-Volume based ( Ölçülmüş Hacim Tabanlı) : Load Balance bu method da trafik hacmini ölçerek interface ler arasında dengeli bir şekilde dağıtılır, her yeni session da trafiği ölçüp ona göre dağıtır.

Not : Measured-Volume Based ayarlarını yaparsanız NAT ayarları doğru olmaz ise Trafik Asimetrik bir hal alır ve ISP tarafında Kirli Data olarak gözükür. Bu ayarı yapacaksanız buna dikkat etmeniz gerekir.

 

Seçenekleri tanıdığımıza göre ihtiyaç doğrultusunda ilerleyebiliriz. Ben Weighted Round Robin seçeneğini seçerek devam ediyorum ve İnterface Members kısmından Create New diyerek işlemlere devam ediyorum.

Karşımıza gelen ekranda port u seçerek o portun gateway ini belirtiyoruz, weight değeri belirterek ve apply diyerek kaydedip hemen diğer portumuzu ekliyoruz.

Yukarıda göründüğü gibi port 2 yi seçiyorum ve Weight ini 3 olarak belirliyorum. Gateway ip sini de ekledikten sonra apply diyerek kaydedebiliriz.

Health Check seçeneğini işaretlersek hattın down olup olmadığını çeşitli protokoller ile kontrol edebilirsiniz. Probe Server olarak gateway ip sini ekleyip ping seçebilirsiniz ben geçiyorum bu kısmı.

 

Evet burada ki işlemlerim son buluyor. Apply diyerek kaydediyoruz.

Makalenin başında Wan1 yada Wan2 ye ait kuralları ve route ları sildirmiştik. Şimdi yeniden ekleme zamanı geldi.

 

Menü den Router >Static >Static Routes tabına geliyoruz. Create New diyerek yeni bir route oluşturuyoruz.

Yukarıda göründüğü gibi ayarlamaları yapıyoruz. Destianation İp nin 0.0.0.0/0.0.0.0 şeklinde bırakıyoruz. Device seçeneğinde Wan Load Balance seçeneğini seçerek okey diyoruz. Eğer başak bir Static route varsa Priority belirtmeniz gerekir. Okey diyerek ilerliyoruz.

Menü Sekmesinden Policy &Objects >Policy >IPv4 tabına geliyoruz ve create new policy diyerek yeni bir kural oluşturuyoruz.

Yukarıda gördüğünüz gibi genel dışarıya çıkış kuralıma Outgoing İnterface olarak wan-load-balance interface ini seçip kuralı kaydediyorum.

Sıra şimdi geldi teste. Menüden System>FortiView>All Sessions dan aktif oturumları izleyebiliriz.

Gördüğünüz gibi lan networkünden internete giderken port1 ve port2 üzerinden yüke göre dağıtıyor.

İşinize yaraması dileğiyle.

 

 

Share this Story

Related Posts

2 Comments

  1. soner balcı

    20 Eylül 2018 at 20:30

    hocam mrb,
    bu şekilde 2 hattımı birleştirdiğimde port yonlendirme yapamıyorum.ne yapmam gerekir acaba

    Reply

    • Caner Aktaş

      21 Eylül 2018 at 09:51

      Soner Bey Merhaba,

      İletişim bilgilerinizi yollarsanız yardımcı olayım.
      Görmeden bişey söylemek zor.

      Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

The Hacker News

  • Microsoft Warns of Unpatched IE Browser Zero-Day That's Under Active Attacks
    by [email protected] (Unknown) on 18 Ocak 2020 at 15:56

    Internet Explorer is dead, but not the mess it left behind. Microsoft earlier today issued an emergency security advisory warning millions of Windows users of a new zero-day vulnerability in Internet Explorer (IE) browser that attackers are actively exploiting in the wild — and there is no patch yet available for it. The vulnerability, tracked as CVE-2020-0674 and rated moderated, is a remot […]

  • Use iPhone as Physical Security Key to Protect Your Google Accounts
    by [email protected] (Unknown) on 16 Ocak 2020 at 19:23

    Great news for iOS users! You can now use your iPhone or iPad, running iOS 10 or later, as a physical security key for securely logging into your Google account as part of the Advanced Protection Program for two-factor authentication. Android users have had this feature on their smartphones since last year, but now Apple product owners can also use this advanced, phishing-resistant form of […]

  • Broadening the Scope: A Comprehensive View of Pen Testing
    by [email protected] (The Hacker News) on 16 Ocak 2020 at 18:07

    Penetration tests have long been known as a critical security tool that exposes security weaknesses through simulated attacks on an organization's IT environments. These test results can help prioritize weaknesses, providing a road-map towards remediation. However, the results are also capable of doing even more. They identify and quantify security risk, and can be used as a keystone in […]

  • Download Ultimate 'Security for Management' Presentation Template
    by [email protected] (The Hacker News) on 15 Ocak 2020 at 09:20

    There is a person in every organization that is the direct owner of breach protection. His or her task is to oversee and govern the process of design, build, maintain, and continuously enhance the security level of the organization. Title-wise, this person is most often either the CIO, CISO, or Directory of IT. For convenience, we'll refer to this individual as the CISO. This person is t […]

  • Update Windows 10 Immediately to Patch a Flaw Discovered by the NSA
    by [email protected] (Unknown) on 14 Ocak 2020 at 19:51

    After Adobe today releases its first Patch Tuesday updates for 2020, Microsoft has now also published its January security advisories warning billions of users of 49 new vulnerabilities in its various products. What's so special about the latest Patch Tuesday is that one of the updates fixes a serious flaw in the core cryptographic component of widely used Windows 10, Server 2016 and 2019 […]