Bem-vindo à Comunidade UBNT

Balanceamento de 2 Links WAN no EdgeRouter (ER)

UI-SamuelUI-Samuel 884 Pontos
editado novembro 2018 em EdgeMAX
A Ubiquiti também possui um amplo portfólio de roteadores EdgeRouter (ER) da família EdgeMAX.

A diferença principal entre as famílias UniFi e EdgeMAX está na forma de gerência, já que o EdgeRouter possui uma interface web local para gerência standalone. O artigo abaixo apresenta o portfólio EdgeRouter em detalhes e o vídeo mostra como é fácil usar o assistente para configurar o balanceamento de dois links...

Conhecendo em Detalhes o EdgeRouter (ER): Como Configurar o Balanceamento de Dois Links?

WaldvanCardoso
«1

Comentários

  • Excelente vídeo, Parabéns!! Faz um vídeo ensinando como acessar externamente um servidor depois desse balance, já tentei de todo jeito e não consegui. Obrigado!
  • optaneoptane 2 Pontos
    Samuel tenho tenho 4 links de 50mega da mesma operadora tenho 80 clientes tem como fazer esse balance nesta edgerouter???
  • UI-SamuelUI-Samuel 884 Pontos
    Sim, o EdgeRouter suporta balancear até 8 links no sistema EdgeOS.
    O limite, na prática, será o número de portas! 
  • optaneoptane 2 Pontos
     Como poderia fazer esse balance? 4links mesma operadora na edgerouter x?
  • UI-SamuelUI-Samuel 884 Pontos
    editado outubro 2018
    Na interface do wizard de configuração do Load Balance, logo abaixo da seção do segundo link de Internet, existe uma opção denominada "Add Additional Internet Port". Ao clicar nessa opção será aberta uma nova seção referente ao terceiro link de Internet e assim sucessivamente...
  • R4V3RR4V3R 8446 Pontos
    optane disse:
     Como poderia fazer esse balance? 4links mesma operadora na edgerouter x?
    *Atenção* pra mesma operadora essa função só vai funcionar se os gateways default em cada conexão forem diferentes um do outro! Não vai rolar se forem todos o mesmo default gateway, típico em cenários onde se utiliza os endereços IPv4 públicos. ;)
  • UI-SamuelUI-Samuel 884 Pontos
    Na lógica de um roteador não é permitido que diferentes portas físicas sejam associadas com endereços lógicos (IP) pertencentes à mesma sub-rede, afinal isso quebraria a premissa de que um roteador faz roteamento entre sub-redes diferentes. Uma exceção a essa regra seria virtualizar a tabela de roteamento (VRF), mas não é o caso...

    Via de regra o gateway de uma conexão necessariamente deve fazer parte da mesma sub-rede de pertença do endereço IP recebido. Nesse caso o esperado é que a operadora esteja entregando links em redes lógicas diferentes. 

    Caso não seja esse o caso, você teria duas opções:

    1) solicitar à operadora conexões em redes diferentes;
    2) usar um segundo roteador atrás das demais conexões na mesma rede (*gambiarra*)
  • RAVER e SAMUEL obrigado pelas dicas. 
    UI-Samuel
  • Boa noite. Configurei o balance conforme tutorial e funcionou, aparentemente, melhor que o que eu tenho com RouterOS, porém ocorreram os velhos problemas com sites de bancos e outros. Como faço nele para direcionar determinados sites por um link?
    UI-Samuel
  • UI-SamuelUI-Samuel 884 Pontos
    editado novembro 2018
    Você tem algumas opções para fazer isso...

    Uma primeira opção mais específica, se você tiver o endereço IP público do destino (/32) ou bloco (/X), é adicionar uma simples regra de roteamento estático (na tabela manipulada) apontando que todo o tráfego destinado para o IP X seja encaminhado através do gateway do link WAN desejado.

    Outra opção menos específica seria forçar o direcionamento de todo o tráfego HTTPS (443) através de um único link, por exemplo através das configurações descritas na discussão abaixo:

    https://community.ubnt.com/t5/EdgeRouter/WAN-load-balancing-except-for-some-traffic/td-p/703541
  • Obrigado pela ajuda, amigo. Meu cenário está assim: Nos 2 links, tenho uma RB (1 750Gr3 e 1 3011Uias) que recebem os links e fazem NAT para o balance, entao meus gateways ficaram 10.1.1.1 e 10.1.2.1, de forma estática. Acho que a primeira opção que citou seria melhor, senão vou jogar muito tráfego em um único link, procede? Não sei como fazer esse roteamento, mas vou tentar agora a noite.. Mais uma vez, obg pela atenção.
  • UI-SamuelUI-Samuel 884 Pontos
    editado novembro 2018
    Para adicionar uma rota estática na interface gráfica do EdgeRouter, basta acessar:

    > Routing
    > + Add Static Routing

    1) em "Destination Network" você informa o IP de destino do site usando a máscara /32 (host)
    2) Em "Next Hop Address" você informa o IP do gateway do link de que você quer utilizar para alcançar esse destino. 

    Obs.: A GUI edita por padrão a tabela main (apenas), logo outras tabelas devem ser editadas via CLI...
  • Valew parceiro, vou tentar agora msm e na madrugada coloco ele em teste...
  • Dessa forma, colocando a faixa do bb.com.br, pode dar certo?? 
  • R4V3RR4V3R 8446 Pontos
    inotecms disse:

    Só fazendo isso não vai funcionar. A questão toda é como o roteador trata(e diferencia) o tráfego gerado ou endereçado para ele próprio, versus tráfego gerado ou endereçado à alguma subrede interna, isso quando a funcionalidade "load-balance" está em uso, independentemente da forma como está sendo usada.
    Rotas estáticas irão, portanto, afetar tráfego local do roteador, mas não tráfego vindo de uma subrede atrás dele. Para tratar este tipo de tráfego, você precisa modificá-lo(mangle no linux), usando as regras firewall modify, que NÂO estão disponíveis na interface web, isso é feito via CLI apeanas. Boa sorte.
    inotecms
  • Entendi. Vou estudar como fazer.. Obrigado...
  • UI-SamuelUI-Samuel 884 Pontos
    editado novembro 2018
    Na realidade, através do painel Config-Tree (árvore de configurações) é possível fazer as configurações do grupo HTTPS através da própria interface gráfica do EdgeOS depois de já ter configurado o Load Balance pelo assistente

    Abaixo descrevo o passo a passo desse procedimento:

    ###---
    Etapa 1) Criar o Novo Grupo HTTPS
    ###---

    > Config-Tree
    > Configuration
    > Load-Balance
    > Group

    Obs.: Repare que existirá o grupo G (do assistente Load Balance)

    > + Add
    > Escolher Nome "HTTPS" na Caixa (à direita)
    > Update List

    Obs.: Repare que aparecerá no novo grupo HTTPS

    > Selecionar o Novo Grupo "HTTPS" (em Load Balance)
    > Interface
    > Adicionar eth0 e eth1
    > Update List
    > Clicar em eth1 (em Interface, no Grupo HTTPS)
    > Failover-Only + (clique no + para ficar vermelho)

    GUI vs CLI: Esses passos da etapa 1 na GUI equivalem aos comandos abaixo:
    set load-balance group HTTPS interface eth0
    set load-balance group HTTPS interface eth1 failover-only

    ###---
    Etapa 2) Criar a Regra de Firewall Modify do Tráfego HTTPS
    ###---

    > Config-Tree
    > Configuration
    > Firewall
    > Modify
    > Balance

    Obs.: Repare que existem as regras 10, 20, 30 e 70 (do assistente Load Balance)

    Regra 10: Não Balancear LAN to LAN
    Regra 20: Não Balancear o Próprio IP da eth0
    Regra 30: Não Balancear o Próprio IP da eth1
    Regra 70: Aplica o Load Balance (lb-group G)

    A nova regra de firewall do grupo HTTPS deve necessariamente ser inserida antes da regra 70 que aplica o Load Balance padrão do assistente. Para fazer isso, criaremos a regra 60 para tratar todo o tráfego HTTPS:

    > Config-Tree
    > Configuration
    > Firewall
    > Modify
    > Balance
    > Rule
    > + Add
    > Criar a Regra 60 (na caixa à direita)
    > Update List

    Obs: A regra 60 aparecerá em vermelho, sendo que agora será possível editar essa regra para tratar o tráfego HTTPS:

    > Config-Tree
    > Configuration
    > Firewall
    > Modify
    > Balance
    > Rule
    > 60
    > Digitar "tcp" em Protocol, na caixa à direita
    > Destination
    > Digitar "443" em Porta, na caixa à direita
    > Modify
    > Digitar "HTTPS" em LB-Group (na caixa à direita)

    GUI vs CLI: Esses passos da etapa 2 na GUI equivalem aos comandos abaixo:
    set firewall modify balance rule 60 destination port 443
    set firewall modify balance rule 60 modify lb-group HTTPS
    set firewall modify balance rule 60 protocol tcp

    Feito isso, basta aplicar todas as alterações (em vermelho)

    > Preview
    > Apply

    Pronto!

    ###--- Observação
    Esse mesmo procedimento poderia ser feito mais rapidamente através das seguintes linhas de comando via CLI:
    set load-balance group HTTPS interface eth0
    set load-balance group HTTPS interface eth1 failover-only
    set firewall modify balance rule 60 destination port 443
    set firewall modify balance rule 60 modify lb-group HTTPS
    set firewall modify balance rule 60 protocol tcp
  • Amigo, fiz assim e realmente funcionou. Porém sobrecarrega muito um único link, pois a maioria das conexões usam https. Acho que precisaria de uma forma de balancear tudo e o que saiu por um link ser marcado para voltar por esse link, ou algo do tipo.
  • UI-SamuelUI-Samuel 884 Pontos
    editado novembro 2018
    O EdgeRouter é muito flexível em relação aos recursos de configuração e essa dinâmica que você descreve é um recurso denominado "sticky", através do qual é possível sinalizar para o roteador o "travamento" do balanceamento por sessão com base em um ou mais dos seguintes parâmetros:

    - endereço de destino
    - porta de destino
    - protocolo
    - endereço de origem
    - porta de origem 

    Por exemplo, é possível travar a sessão por endereço/porta de destino através da seguinte opção na interface gráfica:

    > Config-Tree
    > Configuration
    > Load-Balance
       > Group
          > NOME GRUPO
             > Sticky
                > dest-addr    (enable)
                > dest-port     (enable)
                > proto
                > source-addr
                > source-port
  • Samuel boa tarde, tenho um Edgerouter ER8Pro fiz configuração de balance conforme vc explica no video, porem nao cria a bridge entre as portas eth4,eth5,eth6,eth7 que são portas locais,onde que no video sua interface LOCAL é uma interface do ''tipo'' Switch0 que é uma bridge em Hardware,minha duvida é o seguinte como faço uma bridge entre essas portas 4,5,6,7local.??? 
  • UI-SamuelUI-Samuel 884 Pontos
    editado novembro 2018
    O EdgeRouter ERPro-8 não tem a função switch em hardware, por isso nele não existe a interface switch0.
    Apenas os modelos abaixo de EdgeRouter possuem chipset em hardware para fazer bridge:

    - ER-X
    - ER-X-SFP
    - ERPoE-5
    - EP-R6

    Apesar disso, é possível criar bridge em software em qualquer modelo de EdgeRouter, embora o desempenho seja muito inferior e essa não seja uma prática recomendada porque compromete os recursos de processamento/memória do equipamento. Por exemplo, os seguintes comandos criam uma interface lógica do tipo br0 (bridge) contendo as interfaces físicas eth4, eth5, eth6 e eth7:

    configure
    
    set interfaces bridge br0 address 192.168.1.1/24
    set interfaces ethernet eth4 bridge-group bridge br0
    set interfaces ethernet eth5 bridge-group bridge br0
    set interfaces ethernet eth6 bridge-group bridge br0
    set interfaces ethernet eth7 bridge-group bridge br0
    
    commit ; save
  • Samuel boa tarde, mesmo criando a bridge não consigo navegar nas respectivas portas que participam da bridge, só não inclui na bridge a porta 4 pois ela já esta configurada com uma faixa de IP, então tentei colocar na bridge uma faixa de ip diferente e montei a faixa de ip em DHCP mesmo assim o computador pegou ip e não navegou na bridge,adicionei a interface da bridge na aba DNS pra ver se gerava navegação mesmo assim não foi,  já o computador que utiliza da porta 4 que não participa da bridge navega normal na internet. teria alguma informação pra simplificar essa configuração com navegação na bridge ?

  • UI-SamuelUI-Samuel 884 Pontos
    editado novembro 2018
    O recurso de balanceamento do EdgeRouter independe de você ter uma bridge configurada no equipamento. O importante é que o grupo de balanceamento esteja vinculado com uma interface na LAN para aplicar o load-balance, seja essa interface uma única porta eth (como ocorre com o ERLite-3, ER-8, ERPro-8 e ER-8-XG), uma bridge em hardware na interface switch (como ocorre com o ER-X, ER-X-SFP e ERPoE-5) ou mesmo uma bridge em software que você tenha configurado manualmente.

    Se você primeiro configurou o load-balance através do assistente e depois configurou manualmente uma bridge em software, então seu grupo de balanceamento estará vinculado apenas com a interface informada no assistente e não com a sua interface lógica do tipo bridge, o que explica seu problema de navegação. Se for esse o caso, através da interface gráfica da config-tree você consegue alterar a interface LAN vinculada ao grupo de balanceamento. 

    Observação: Lembre-se que não é recomendado configurar bridge em software no EdgeRouter porque compromete a utilização de processamento e memória do equipamento. Se o propósito era esse desde o início do projeto, então o ideal seria ter adquirido um ER com chip dedicado para fazer bridge em hardware. Minha sugestão seria simplesmente não configurar a bridge em software no EdgeRouter PRO e manter a configuração de balanceamento do assistente em uma única interface eth escolhida por você, de forma a expandir a sua LAN através da conexão de um switch nessa interface do ER. Seria muito melhor do ponto de vista do desempenho...
  • JesuelJesuel 0 Pontos
    A Ubiquiti também possui um amplo portfólio de roteadores EdgeRouter (ER) da família EdgeMAX.

    A diferença principal entre as famílias UniFi e EdgeMAX está na forma de gerência, já que o EdgeRouter possui uma interface web local para gerência standalone. O artigo abaixo apresenta o portfólio EdgeRouter em detalhes e o vídeo mostra como é fácil usar o assistente para configurar o balanceamento de dois links...

    Conhecendo em Detalhes o EdgeRouter (ER): Como Configurar o Balanceamento de Dois Links?

    Ola Samuel. Estou migrando do meu antigo firewall BFW, ótimo por sinal, devido a questoes de hardware, pppoe, enfim. Se tem algo que o BFW faz muito bem ó balanceamento de links, impecável.  Eu não faço balanceamento por IPS, direcionao sites e portas, conforme abaixo. Como aplicar as regras abaixo no ERPRO 8?
    ######################### Portas ##########################
    yes static network source link_a (operadora 1)  10.10.13.2(wan 1)  0.0.0.0 
    yes static network source link_a 10.10.32.2 0.0.0.0
    yes static network source link_a 10.10.35.2 0.0.0.0
    yes static network source link_a 0.0.0.0 0.0.0.0 9
    yes static network source link_a 0.0.0.0 0.0.0.0 25
    yes static network source link_a 0.0.0.0 0.0.0.0 88
    yes static network source link_a 0.0.0.0 0.0.0.0 143
    yes static network source link_a 0.0.0.0 0.0.0.0 443
    yes static network source link_a 0.0.0.0 0.0.0.0 465
    yes static network source link_a 0.0.0.0 0.0.0.0 995
    yes static network source link_a 0.0.0.0 0.0.0.0 1500
    yes static network source link_a 0.0.0.0 0.0.0.0 1503
    yes static network source link_a 0.0.0.0 0.0.0.0 1723
    yes static network source link_a 0.0.0.0 0.0.0.0 1863
    yes static network source link_a 0.0.0.0 0.0.0.0 8291
    yes static network source link_a 0.0.0.0 0.0.0.0 3005
    yes static network source link_a 0.0.0.0 0.0.0.0 3074
    yes static network source link_a 0.0.0.0 0.0.0.0 3101
    yes static network source link_a 0.0.0.0 0.0.0.0 5060
    yes static network source link_a 0.0.0.0 0.0.0.0 6891
    yes static network source link_a 0.0.0.0 0.0.0.0 6900
    yes static network source link_a 0.0.0.0 0.0.0.0 7001
    yes static network source link_a 0.0.0.0 0.0.0.0 28960

    ######################## BANCOS ###########################

    yes dynamic network source link_a,link_b 0.0.0.0 www.cef.gov.br
    yes dynamic network source link_a,link_b 0.0.0.0 www.santander.com.br
    yes dynamic network source link_a,link_b 0.0.0.0 www.itau.com.br
    yes dynamic network source link_a,link_b 0.0.0.0 www.bb.com.br
    yes dynamic network source link_a,link_b 0.0.0.0 www.bancobrasil.com.br
    yes dynamic network source link_a,link_b 0.0.0.0 www.bancoreal.com.br
    yes dynamic network source link_a,link_b 0.0.0.0 www.caixa.gov.br
    yes dynamic network source link_a,link_b 0.0.0.0 office.bancobrasil.com.br


    ##### GERAL ##########
    yes dynamic network source link_b,link_a 0.0.0.0 www.brazilfw.com.br
    yes dynamic network source link_b,link_a 0.0.0.0 www.secureweb.com.br
    yes dynamic network source link_b,link_a 0.0.0.0 www.reclameaqui.com.br
    yes dynamic network source link_b 0.0.0.0 www.minhaconexao.com.br
    yes dynamic network source link_b 0.0.0.0 speedtest.copel.net

  • UI-SamuelUI-Samuel 884 Pontos
    Basta seguir a mesma lógica do vídeo de balanceamento em que o tráfego HTTPS é isolado através de um único link, deixando o segundo em failover. A diferença é que em vez de escolher a porta de destino 443, você pode escolher qualquer outro parâmetro como critério para não balancear um determinado perfil de tráfego, seja uma sub-rede de origem, um IP de origem, uma porta de destino, um determinado destico, etc etc...
    Jesuel
  • JesuelJesuel 0 Pontos
    Entendi, vou por em produção em breve. Obrigado.
  • Ola pessoal, gostaria de saber qual modelo ideal para eu balancear 2 links de 200 megas? 
Entre ou Registre-se para fazer um comentário.