نحوه پیادهسازی و تجمیع لینک بین سوئیچ Aruba و فایروال فورتیگیت
در این مقاله در نظر داریم به بررسی گامهای فنی لازم برای ایجاد یک مکانیزم تجمیع لینک LAG سرنام (Link Aggregation Group) یا به اصطلاح EtherChannel، میان یک سوئیچ Aruba سری 6000 و یک فایروال فورتیگیت مدل 60E بپردازیم. هدف از این پیکربندی، افزایش پهنای باند و بهبود انعطافپذیری و افزونگی (Redundancy) ارتباط بین این دو دستگاه حیاتی در زیرساخت شبکه است.
سوئیچهای Aruba
سوئیچهای Aruba، که بخش موفق از خط تولید سوییچهای شرکت اچپی را تشکیل میدهند، در شبکههای سازمانی کوچک و بزرگ مورد استفاده قرار میگیرند. این سوئیچها، طیف گستردهای از محصولات را شامل میشوند، از سوئیچهای دسترسی (Access) ساده برای اتصال کاربران و دستگاهها در لبه شبکه گرفته تا سوئیچهای تجمیع (Aggregation) و هسته (Core) پرسرعت که ستون فقرات مراکز داده و شبکههای بزرگ را تشکیل میدهند. ویژگی اصلی سوئیچهای Aruba، ادغام عمیق آنها با امنیت و هوش مصنوعی است. این دستگاهها مجهز به سیستمعامل ArubaOS-CX هستند که امکان اتوماسیون شبکه، مانیتورینگ بلادرنگ (Real-time) و قابلیتهای پیشرفته برنامهنویسی را فراهم میکند. مدلهای مدرن Aruba از پروتکلهایی مانند LACP (برای تجمیع لینک)، PoE/PoE+ (برای تامین برق دستگاهها) و Virtual Switching Framework (VSF) برای افزایش انعطافپذیری و سادهسازی مدیریت چندین سوئیچ به عنوان یک موجودیت واحد استفاده میکنند. این سوئیچها به دلیل پایداری بالا، امنیت قوی و قابلیت ادغام آسان با محصولات وایفای و امنیت Aruba، انتخابی محبوب برای ساخت شبکههای سازمانی هوشمند و مقیاسپذیر هستند.
فایروال فورتیگیت (مدل 60E)
فایروال FortiGate 60E یکی از مدلهای پرکاربرد شرکت فورتینت است که به دلیل قیمت مناسب و ترکیب قابلیتهای امنیتی پیشرفته با عملکرد بالا در یک اندازه کوچک (Desktop)، انتخابی ایدهآل برای دفاتر کوچک، شعب سازمانها (Branch Offices) و کسبوکارهای متوسط (SMB) محسوب میشود. هسته پردازشی این دستگاه، پردازندههای سفارشی (SPU) سرنام Security Processing Unit است که فورتینت توسعه داده و امکان اجرای سرویسهای امنیتی مانند بازرسی بستههای SSL، جلوگیری از نفوذ و کنترل برنامهها را با تاخیر بسیار پایین و سرعت بالا فراهم میکند. FortiGate 60E به عنوان یک دستگاه (UTM) سرنام Unified Threat Management عمل میکند، به این معنی که علاوه بر عملکردهای سنتی فایروال، قابلیتهای متعددی نظیر ضد بدافزار، فیلترینگ وب، VPN ایمن (برای دسترسی دورکار) و مدیریت یکپارچه را ارائه میدهد. این دستگاه ستون فقرات بافت امنیتی فورتینت است و به سازمانها کمک میکند با کمترین هزینه، بیشترین سطح محافظت را در برابر تهدیدات سایبری پیچیده فراهم کنند. با این مقدمه به سراغ پیادهسازی فناوری فوق میرویم.
مفاهیم کلیدی و تجهیزات مورد استفاده
تجمیع لینک که اغلب با نامهای LAG یا Port-Channel شناخته میشود، فرآیند ترکیب چندین پورت فیزیکی به یک لینک منطقی واحد است. پروتکلی که این تجمیع را به صورت پویا مدیریت میکند، فناوری LACP سرنام (Link Aggregation Control Protocol) بر اساس استاندارد IEEE 802.3ad عمل میکند. پشت میز من، یک سوئیچ Aruba 6000 و یک فایروال فورتی مدل 60E قرار دارد. ما میخواهیم بین این دو دستگاه، LAG را پیادهسازی کنیم.
تجهیزات مورد استفاده در این پیادهسازی به شرح زیر هستند:
- سوئیچ: Aruba 6000 (برای پیکربندی اولیه از طریق کابل کنسول USB-C و نرمافزار Putty).
- فایروال: FortiGate 60E (برای پیکربندی از طریق رابط گرافیکی وب Web GUI).
- کابل USB-C: برای برقراری ارتباط سوئیچ Aruba مجهز به پورت USB-C مورد استفاده قرار میگیرد و فرآیند اتصال از طریق کنسول و همچنین انجام پیکربندیهای اولیه از طریق لپتاپ را با آن انجام خواهیم داد. در بخش مدیریت دستگاه این پورت به عنوان COM 3 شناسایی میشود.
- کابل اترنت اول: برای دسترسی به رابط گرافیکی وب (Web GUI) فایروال فورتیگیت استفاده میشود.
- کابل اترنت دوم: برای راهاندازی و اتصال فیزیکی LAG بین دو دستگاه استفاده خواهند شد.
۱. پیکربندی سوئیچ Aruba (از طریق خط فرمان)
برای شفافسازی، به این نکته باید اشاره داشته باشیم که LAG به معنی تجمیع چندین رابط فیزیکی است، در حالی که LACP سرنام(Link Aggregation Control Protocol) پروتکل مورد استفاده برای مدیریت این تجمیع است. همچنین، 802.3ad استاندارد IEEE مربوط به این پروتکل است. با این مقدمه به سراغ پیکربندی این دو محصول میرویم. ابتدا، کابل یواسبی را به لپتاپ وصل میکنیم و از طریق نرمافزار Putty به سوئیچ متصل میشویم.
تنظیمات اتصال کنسول، COM 3 با سرعت 115200 است. ابتدا در نرمافزار PuTTY، پورت سریال را روی Com3 قرار میدهیم و سرعت پورت را نیز روی 115200 تنظیم میکنیم و دکمه Open را کلیک میکنیم.
با نام کاربری پیشفرض admin و رمز عبور خالی، وارد میشویم. با بررسی تنظیمات در حال اجرا (show running-config) مشخص میشود که سوئیچ در حالت پیشفرض تنظیمات کارخانه قرار دارد، فقط VLAN 1 با آدرس آیپی از طریق DHCP فعال است. همانطور که در شکل زیر مشاهده میکنید فیلد نام کاربری admin است و بخش رمزعبور خالی است. اکنون سوییچ گزارشی در ارتباط با وضعیت جاری ارائه میدهد.
اکنون برای مشاهده وضعیت پیکربندی جاری، دستور زیر را وارد میکنیم:
Show running-config
پیکربندی سوئیچ Aruba از طریق خط فرمان (CLI) و با استفاده از یک اتصال کنسول انجام میشود. با اجرای دستور فوق، اطلاعات وضعیت جاری سوییچ و مواردی مثل vlan 1، پورتهای دسترسی و نوع تخصیص آدرس آیپی (DHCP) به شرح زیر نشان داده میشود.
ابتدا باید آدرس آیپی رابط VLAN 1 را از حالت DHCP به آدرس ثابت تغییر داد تا مدیریت و ارتباطات پایدار شود. ما آدرس http://192.168.10.2/24 را برای سوئیچ اختصاص میدهیم.
اکنون قصد داریم یک اینترفیس منطقی LAG 1 ایجاد کنیم و با دستور no shutdown آنرا فعال کنیم. همچنین، برای اینکه این لینک بتواند ترافیک VLAN 1 را انتقال دهد، به صورت Trunk با VLAN 1 به عنوان Native VLAN پیکربندی میشود. توجه داشته باشید استفاده از حالت lacp mode active در سوئیچ، تضمین میکند که سوئیچ به صورت فعال بستههای LACP را ارسال میکند تا فورتیگیت را به تجمیع لینک هدایت کند.
اختصاص پورتهای فیزیکی
پورتهای فیزیکی 1/1/13و 1/114 در سوئیچ را مشخص میکنیم تا به عنوان عضو گروه LAG 1 با دستور lag 1 تعریف شوند. در نهایت، پیکربندی را با اجرای دستور write mem ذخیره میکنیم.
اکنون برای آنکه مطمئن شویم کارها به درستی انجام شده است، دستور نمایش پیکربندی سوییچ را اجرا میکنیم تا بتوانیم تغییرات اعمال شده را به درستی مشاهده کنیم.
# Sh run
با اجرای دستور فوق، اطلاعاتی همانند تصویر زیر را مشاهده میکنید.
همانگونه که در شکل بالا مشاهده میکنید، فرآیند پیکربندی vlan 1، ترانک و lacp به درستی و مطابق با آن چیزی که در تصویر مشاهده میکنید، انجام شده است. تا این بخش از پیکربندی، کارها مطابق با آن چیزی که انتظار داشتیم انجام شده است و پورتهای فیزیکی نیز به درستی پیکربندی شدهاند.
با توجه به اینکه داشتن DHCP و آیپی ثابت روی یک رابط کار خوبی نیست، بنابراین، دستور زیر را اجرا میکنیم.
# interface vlan 1
# no ip dhcp
# exit
اگر قبل از دستور no تایپ کنید، DHCP را غیر فعال میکنید.
اکنون، از حالت فوق خارج میشویم و دوباره دستور show running را اجرا میکنیم. این مرتبه مشاهده میکنیم رابط VLAN 1 دیگر فاقد IP DHCP است و یک آدرس IP ثابت روی VLAN 1 داریم که 192.168.10.2 هست. دقیقا همون چیزی که میخواستیم، وضعیت جاری را ذخیره میکنیم و خارج میشویم.
۲. پیکربندی فایروال FortiGate (از طریق رابط وب)
اکنون نوبت به پیکربندی فایروال رسیده است. این فرآیند در فایروال فورتیگیت به شکل سادهای انجام میشود. ابتدا، کابل اترنت را وصل میکنیم. آدرس پیشفرض برای فورتیگیت 192.168.1.99 هست.
به بخش تنظیمات شبکه میرویم و روی گزینه Ethernet کلیک میکنیم.
در پنجره ظاهر شده به بخش IP assignment میرویم و روی دکمه Edit کلیک میکنیم.
در پنجره فوق باید وضعیت را از DHCP به حالت Manual تغییر داده و گزینه IPv4 را انتخاب کنیم. آدرس آیپی را مطابق با تصویر زیر تعیین میکنیم.
اکنون در مرورگر آدرس آیپی 192.168.1.99 را وارد میکنیم. اگر مراحل قبلی را با موفقیت انجام داده باشید، تصویری همانند شکل زیر را مشاهده میکنید.
روی دکمه Advanced کلیک کرده و سپس گزینه Continue را کلیک کنید. با اینکار پنجره داشبورد فورتیگیت را مشابه تصویر زیر مشاهده میکنید. نام کاربری admin را تایپ کرده و بخش پسورد را خالی گذاشته و دکمه login را کلیک کنید.
اکنون، باید پسوردی را برای فورتیگیت مشخص کنید.
اکنون روی دکمه Begin همانند شکل زیر کلیک کنید.
داشبورد مدیریتی همانند شکل زیر ظاهر میشود.
دکمه Save and continue را کلیک کنید. گزینه Comprehensive را انتخاب کلید و OK را کلیک کنید.
اکنون، داشبورد مدیریتی را همانند شکل زیر مشاهده میکنید.
در صفحه فوق اطلاعاتی در ارتباط با لایسنسهای فایروال، آدرس آیپی WAN، مدت زمان آپتایم بودن فایروال، نام میزبان، شماره سریال و غیره نشان داده شده است. برای پیکربندی فایروال روی گزینه Network و سپس Interfaces در پنل سمت چپ کلیک میکنیم. همانگونه که در شکل زیر مشاهده میکنید، پورت 3 به شکل خودکار تشخیص داده شده است، اما ما پورتهای 6 و7 را برای LAG نیاز داریم. به طور پیشفرض این پورتها عضو سوئیچ سختافزاری هستند، بنابراین، در نظر داریم این پورتها را از سوییچ سختافزاری جدا کنیم.
برای اینکار پورتهای 6 و 7 را همانند شکل زیر حذف میکنیم و دکمه OK در پایین صفحه را کلیک میکنیم.
اکنون همانطور که در شکل زیر مشاهده میکنید، این پورتها حذف شدهاند.
اکنون روی دکمه Create New کلیک میکنیم و گزینه Interface را کلیک میکنیم تا بتوانیم رابط جدیدی را ایجاد کنیم. در پنجره ظاهر شده نامی برای فیلد Name تعیین میکنیم و نوع آن را همانند شکل زیر انتخاب میکنیم.
در مرحله بعد روی گزینه Interface member کلیک کرده و از پنل سمت چپ internal 6 و internal 7 را انتخاب میکنیم.
در فیلد IP/Netmask آدرس آیپی را همانند شکل زیر وارد میکنیم. همچنین، در پایین صفحه نیز گزینه Ping را انتخاب میکنیم و در نهایت دکمه OK را کلیک میکنیم.
اگر روی گزینه 802.3ad Aggregate کلیک کنید، اطلاعاتی همانند شکل زیر را مشاهده میکنیم. همانگونه که مشاهده میکنید، تخصیص به درستی انجام شده و گزینه PING نیز فعال شده است که اجازه میدهد تا اتصال LAG را تست کنیم. بقیه را در حالت پیشفرض قرار میدهیم.
LAG برای وقتی که پهنای باند اضافی نیاز داریم خوب هستند، اینها رابطهای 1 گیگابیتی هستند، پس LAG باید تا 2 گیگابیت برسد و البته یه کم افزونگی تا اگر یک کابل قطع شد یا مشکلی پیش آمد مطمئن شویم که اتصال بین این دستگاهها حفظ میشود، چون دو کابل داریم. فرآیند اتصال فورتیگیت و سوییچ را با استفاده از کابلها همانند شکل زیر انجام میدهیم.
در تصویر بالا مشاهده میکنید که چراغ لینک روی Aruba برای پورتهای 13 و 14 روشن شده است. اجازه دهید همین موضوع را برای فورتیگیت چک کنیم. بله، لینک روی پورتهای 6 و 7 روشنه، پس کابلها باید درست باشند و حالا وقت تست اتصال است. پس از اتصال دو کابل اترنت بین پورتهای مشخص شده در دو دستگاه، تست نهایی انجام میدهیم:
دستور show lag 1 در سوئیچ Aruba باید سرعت تجمیع شده 2 Gbit/s را نشان دهد (با فرض اینکه هر دو پورت 1 Gbit/s هستند).
با اجرای دستور show lag brief اطلاعات زیر را مشاهده میکنیم. همانگونه که مشاهده میکنید ما به سرعت موردنظر رسیدهایم.
با اجرای دستور ping 192.168.10.1 از سوئیچ Aruba به فورتیگیت، اتصال موفقیتآمیز و پیوسته تایید میشود.
با جدا کردن یک کابل از دو کابل متصل، اتصال پینگ برقرار میماند، که نشاندهنده موفقیتآمیز بودن مکانیزم افزونگی LACP است.
این آزمون ثابت میکند که حتی در صورت قطع شدن یکی از لینکهای فیزیکی، ترافیک بدون وقفه از لینک باقیمانده عبور میکند. اگر دو کابل را جدا کنیم، طبیعی است که ارتباط قطع شده و پینگ این موضوع را نشان میدهد.
بر مبنای راهکار فوق نه تنها پهنای باند دو برابری را به دست آوردیم، بلکه یک لایه حیاتی از افزونگی فیزیکی را به ارتباط بین سوئیچ و فایروال اضافه کردیم.
امیدوارم از خواندن این مطلب لذت برده باشید.
حمیدرضا تائبی