Ter seu próprio laboratório de casa é uma das melhores ferramentas que você pode ter para progredir seu conhecimento e carreira em TI. Mas, ter muitas máquinas virtuais e hardware pode igualar uma carga decente na sua conexão à internet doméstica. Isso fica ainda pior quando você começa a usar tecnologias de replicação e arquivamento. Então, como você pode impedir o seu laboratório de casa de saturar sua conexão com a internet, interromper a noite do filme familiar (sim, isso aconteceu comigo) e a infinidade de serviços de transmissão usados ​​em uma casa moderna?

Você pode primeiro olhar para o seu roteador para a resposta. Se você pode aplicar a aceleração da rede no seu roteador, então você é bom para ir, mas, como muitas famílias, seu roteador provavelmente não possui esse tipo de funcionalidade. Isso não se aplica apenas aos laboratórios de origem. E se você implementar uma tecnologia no trabalho que usa a WAN para replicação e arquivamento, mas não possui aceleração embutida? E se você não pode aplicar aceleração na camada de rede física devido a tempos de resposta em pedidos, controle de mudança, falta de funcionalidade, restrições de segurança ou mesmo razões políticas? Este é um caso de uso em que me encontrei um par de vezes já na Rubrik e minha solução é tão aplicável ao tráfego WAN deixando um cluster Rubrik como é o seu laboratório doméstico.

Então qual é a solução? Simples, crie uma VM dual do NIC, instale um firewall de código aberto, em seguida, aplique a modelagem do tráfego ao seu tráfego labial / replicação / arquivamento usando a VM como seu novo gateway padrão. Eu uso o OpnSense baseado no FreeBSD no meu ambiente, do qual você pode fazer o download gratuitamente:

Https://opnsense.org/

Antes de levá-lo através do processo de configuração, primeiro cubra a topologia da rede para que você possa ver o que estou fazendo. Se você é como eu, você quer manter uma rede doméstica relativamente simples para que seus dispositivos de usuários, como laptops / tablets / pcs, possam acessar a internet sem depender de uma VM no seu laboratório doméstico. Você também quer acessar qualquer VM no seu laboratório sem precisar alterar o IP no seu dispositivo. A parte complicada é como fazer isso quando um firewall exige 2 NICs em diferentes sub-redes para tráfego interno / externo? Com um uso inteligente do mascaramento de sub-rede, você pode fazer exatamente isso.

HomeLabThrottling (2)

Com a configuração acima, qualquer dispositivo de usuário e VM podem se comunicar entre si, por isso não preciso alterar o endereço IP no meu laptop para acessar o laboratório. Todo o tráfego de dispositivos de usuário final vai direto para o roteador e, portanto, não é dependente da VM de firewall e não é aplicada nenhuma modelagem de tráfego. Todas as máquinas virtuais de laboratório, etc, têm o gateway padrão configurado para usar a interface de firewall verde / interno e porque eles estão na mesma sub-rede, apesar de ter uma máscara diferente, eles podem rotear o firewall. O firewall, em seguida, aplica a modelagem de tráfego ao tráfego de VM que roteia sobre a interface vermelha / externa para o roteador físico. Se eu quiser ignorar o firewall para qualquer VM específica, posso simplesmente mudar o gateway para 192.168.1.1. Fácil!

Agora que esclarecemos a topologia da rede, vamos analisar como configurar uma VPN do Firewall do OPNSense:

  1. Faça o download do ISO a partir de https://opnsense.org/ e desembalar o arquivo bz2 comprimido (uso 7zip)
  2. Crie uma VM com as seguintes especificações:
    Configurações de hardware da VM do OPNsenseOPNsense VM Options
  3. Inicialize a VM e anexe o ISO OPNsense
  4. No prompt de login do console, use:
    Nome de usuário: instalador
    Senha: opnsense
  5. Percorra as instruções para instalar o firewall no disco, caso contrário, você está apenas executando o ISO e a configuração não irá persistir durante as reinicializações:
    BandwidthThrottlingSS4
  6. Espere 10 minutos ou mais para que ele termine de instalar (razoavelmente lento dado o pequeno tamanho ISO)
  7. Remova o ISO e reinicie a VM (a reinicialização falhou para mim com um pequeno erro, mas um reset fez o truque)
  8. Faça login no console usando:
    Nome de usuário: root
    Senha: opnsense
  9. Digite “1” e pressione enter para atribuir as interfaces, digite “n” para não configurar VLANs e “em0” para atribuir o primeiro VMNIC como a interface WAN e “em1” para atribuir o segundo VMNIC como interno:
    BandwidthThrottlingSS5
  10. Digite “2” e pressione Enter para configurar o endereçamento IP no firewall, repetindo o processo para ambas as conexões internas e externas:
    BandwidthThrottlingSS6
  11. Carregue a interface OPNSense usando https: // opnsenseinternalIP. A ressalva sendo que você precisa usar um host na mesma sub-rede configurada na interface interna (192.168.0.1 / 255.255.255.0). Estou usando uma VM no meu laboratório de casa no IP 192.168.0.30 para que ele possa se comunicar com 192.168.0.1:
    Página de login do OPNsense
  12. Execute o assistente da GUI para verificar suas configurações de rede e alterar a senha de root
  13. Altere uma VM (ou seu cluster Rubrik) para usar o novo gateway padrão (192.168.0.1 no meu ambiente) e teste a conectividade:
    BandwidthThrottlingSS9
  14. Agora, podemos aplicar a modelagem do tráfego para acelerar o tráfego de laboratório configurando primeiro um tubo com o limite de taxa:
    OPNsense adicionando um tubo
  15. Configure uma regra para o tráfego da LAN e configure o alvo como o tubo que você acabou de configurar:
    OPNsense adicionando uma regra
  16. Acima, você pode ver a capacidade de ser muito grande na aplicação da sua limitação limitando com base em IPs e portas (sugestão; para Rubrik usa TCP 7785 para replicação e 443 para arquivamento para AWS S3 / Azure etc)
  17. Para verificar se o limite de taxa foi aplicado, vá para a página de status para ver as conexões em tempo real:
    Monitoramento do tráfego de monitoramento de OPNsense
  18. Altere o gateway padrão em todos os seus equipamentos de laboratório doméstico e VMs para o novo gateway padrão
  19. Para um teste final, execute um verificador de velocidade de banda larga em uma das suas VMs usando o firewall como o gateway padrão. Aqui você pode ver meu limite de 10Mbps foi aplicado à VM do meu laboratório, mas não o meu laptop:
    Lab VM usando a VM de firewall do OPNsense em 192.168.0.1 como o gateway:
    Limitação de largura de banda
    Laptop usando o roteador físico no 192.168.1.1 como o gateway:
    Sem limitação de largura de banda

E é isso! Se você seguiu estas instruções, você agora possui um firewall poderoso e gratuito que pode usar para moldar o tráfego, garantindo que ele não satura seu link WAN. Se você achou isso útil, gosta e compartilha.

Anúncios