چطور فرآیند پیکربندی LAG (تجمیع پیوند) در فایروال فورتیگیت انجام دهیم؟
در مطلب قبل از سری مباحث پیکربندی تخصصی فایروال فورتیگیت، نحوه تعریف SD-WAN و اضافه کردن دو لینک WAN به فایروال را مورد بررسی قرار دادیم و از آزمایش نهایی را روی آن انجام دادیم تا مطمئن شویم همه چیز به خوبی انجام شده است. در این مطلب که ادامه مطلب چطور SD-WAN را روی فایروال فورتیگیت کانفیگ کنیم، در نظر داریم نحوه تجمیع لینکها که یکی از کارهای مهمی است که متخصصان کانفیگ فایروال باید در مورد آن اطلاع داشته باشند را مورد بررسی قرار دهیم.
تجمیع لینک (Link Aggregation Group)
تجمیع لینک یا LAG رویکردی در شبکههای کامپیوتری است که اجازه میدهد چندین اتصال فیزیکی اترنت موازی بین دو دستگاه شبکه (مانند دو سوئیچ یا یک سرور و یک سوئیچ) را ترکیب کنیم و آنها را به عنوان یک لینک منطقی واحد مورد استفاده قرار دهیم. هدف اصلی این تکنولوژی دستیابی به دو مفهوم مهم است، افزایش پهنای باند موثر کلی بین دستگاهها، فراتر از توان عملیاتی که یک اتصال فیزیکی واحد میتواند فراهم کند، زیرا ترافیک میتواند به صورت لود بالانسینگ (Load Balance) بین لینکهای عضو گروه تقسیم شود. دوم، ایجاد افزونگی (Redundancy) و تحمل خطا؛ به این معنی که اگر یکی از لینکهای فیزیکی در گروه دچار خرابی یا قطعی شود، ترافیک بلافاصله از طریق لینکهای سالم باقی مانده هدایت شود تا ارتباط شبکه مختل نگردد.
به گروهی از پورتها که تجمیع شدهاند، LAG سرنام Link Aggregation Group گفته میشود. برای مدیریت خودکار و پویاسازی این فرآیند، اغلب از پروتکلی به نام LACP سرنام (Link Aggregation Control Protocol) که استاندارد IEEE آن 802.1AX است، استفاده میشود. LAG به طور گستردهای در ستون فقرات (Backbone) شبکهها و در اتصالات پر ترافیک به سرورها و سوییچها استفاده میشود تا هم عملکرد را بهبود بخشد و هم پایداری شبکه را تضمین کند.
پروتکل IEEE 802.3ad
پروتکل IEEE 802.3ad، که امروزه به استاندارد 802.1AX تغییر نام یافته، یک استاندارد مهم برای تجمیع لینک (Link Aggregation) در شبکههای اترنت است. این استاندارد به شبکهها اجازه میدهد چندین لینک فیزیکی اترنت (مانند چند کابل) را به صورت موازی با یکدیگر ترکیب کنند و یک لینک منطقی واحد با پهنای باند بالاتر ایجاد کنند. به این لینک منطقی واحد، اصطلاحا یک گروه تجمیع لینک گفته میشود.
هدف اصلی این فرآیند که با عبارت Aggregate (به معنی تجمیع یا ترکیب) مشخص میشود، دستیابی به دو مزیت کلیدی است: اول، افزایش قابل توجه پهنای باند کلی بین دو دستگاه شبکه، چرا که ترافیک شبکه به صورت متوازن بین لینکهای فیزیکی عضو توزیع میشود و دوم، تامین افزونگی (Redundancy) و تحمل خطا. به طوری که در صورت قطع شدن یا خرابی یک یا چند لینک فیزیکی در LAG، ترافیک بلافاصله به صورت خودکار توسط لینکهای سالم باقیمانده منتقل میشود و این امر پایداری و در دسترس بودن شبکه را به شدت افزایش میدهد.
برای مدیریت و مذاکره خودکار بین دستگاهها و همچنین ایجاد و نگهداری گروه تجمیعشده، از پروتکلLACP استفاده میشود که بخشی از همین استاندارد است. این پروتکل تضمین میکند که تمامی لینکهای عضو LAG دارای تنظیمات یکسانی (مانند سرعت و حالت دوپلکس) هستند. همچنین، فرآیند افزودن یا حذف کردن لینکها را نیز تسهیل میکند. این قابلیت در تجهیزات شرکتهای مختلف با نامهای متفاوتی مانند EtherChannel (در سیسکو) یا Bonding (در لینوکس) شناخته میشود، اما در اصل از همین مفاهیم استاندارد 802.1AX برای تجمیع و ترکیب توان عملیاتی لینکها استفاده میشود.
ایجاد یک LAG
در این بخش در نظر داریم فرآیند ایجاد یک LAG یا همان تجمیع لینک به سمت سوییچ را انجام دهیم. ما از پورتهای ۱ و ۲ استفاده خواهیم کرد. ابتدا باید پورتهای ۱ و ۲ را از سوییچ سختافزاری پیشفرض فایروال جدا کنیم.
برای این کار، روی Hardware Switch دوبار کلیک کرده و پورتهای ۱ و ۲ را از آن حذف میکنیم.
چند لحظه خطا ممکن است پیش بیاید، اما دوباره روی اینترفیس کلیک میکنم. اکنون میبینید که سوییچ سختافزاری فایروال شامل پورتهای ۳ تا ۷ است.
اکنون نوبت به ایجاد اینترفیس LAG رسیده است. روی دکمه Create New کلیک کرده و اینترفیس را انتخاب میکنیم.
یک اینترفیس جدید ایجاد میکنیم و نام آن را مثلا “LAG-to-Switch” میگذاریم. نوع آن نه VLAN است و نه سوییچ، بلکه 802.3ad Aggregate خواهد بود که همان LAG است.
اکنون نوبت به انتخاب پورتها رسیده است که پورت ۱ و ۲ هستند. هنگامی که روی دکمه Interface member کلیک میکنید، در پنل سمت راست پورتهایی که قبلا جدا کردیم را مشاهده میکنید.
در ادامه میخواهم یک آدرس آیپی روی این LAG برای فایروال تعیین کنم تا بتوانم برای تستهای اتصال (مثل پینگ) از آن استفاده کنم. این ضروری نیست، اما من یک آیپی قرار میدهم. نیازی به تنظیمات دسترسی مدیریتی یا سرور DHCP نیست. پس تنظیمات را روی حالت پیشفرض نگه میداریم و “OK” را میزنیم.
اکنون اینترفیس 802.3ad Aggregate با نام “LAG-to-Switch” در لیست اینترفیسها ایجاد شده است. نباید زیاد طول بکشد تا همگامسازی شود. صفحه را رفرش میکنم. همانگونه که مشاهده میکنید لینک برقرار است. سوییچی که من استفاده میکنم از قبل برای LAG در طرف دیگر پیکربندی شده است.
برای تایید عملکرد، باید بتوانیم این سوییچ را از طریق LAG پینگ کنیم. پس دوباره همانند تست SD-WAN، یک پینگ به سمت اینترفیس سوییچ انجام میدهیم و تعداد تکرار را روی ۹۹۹ میگذاریم تا بتوانیم اتصال را تایید و تست کنیم.
همانطور که میبینید، پینگ در حال انجام است. این اتصال LAG بین فایروال فورتیگیت و سوییچ آروبا 6000 است. اکنون، اگر هریک از کابلهای مربوط به تجمیع لینک وارد شده به فایروال را خارج کنیم، مشاهده میکنیم که فرآیند تبادل اطلاعات وجود دارد که نشان میدهد، ما فرآیند تجمیع لینک و پیکربندی را به درستی انجام دادهایم.
حمیدرضا تائبی