Configurando probes para checagem de Links no SonicWALL
Caros, hoje vou mostrar como usar e configurar probes para testar e validar seu link de dados.
Oque são probes?
Probes são testes que você define a forma, latência e quantidade de sua execução e também define como quando o SonicWALL deve desabilitar um link caso o probe falhe.
Lembrando que probes podem ser usados para testar link de Internet, Link de Dados (MPLS, FR) e também para testar rotas estáticas (usamos quando queremos criar uma redundância entre caminhos pelo SonicWALL).
Vamos configurar os Probes.
Para Acessar os probes , entramos no menu NetWork > Failover & LB
Acesse a linha “Default LB Group” no botão de Configurações
Dentro do menu de Configurações, temos uma aba chamada “Probing”, conforme imagem abaixo:
Dentro da aba Probing, temos as seguintes opções:
> “Check Interface every” – Tempo entre checagens (em segundos)
> “Deactivate Interface after” – Quantidade de falhas de checagens para desabilitar o link
> “Reactivate Interface after” – Quantidade de sucessos de checagens para habilitar o link
> “Probe responder-Global” – Esta opção desativa a possibilidade de configuração e faz com que o SonicWALL utilize um padrão para qualquer link (não recomendado)
OBS: O probe responder.global da SonicWALL realiza uma conexão TCP na porta 5000 no host responder.global.sonicwall.com
Após definir os melhores ajustes para seu link, (por exemplo: se voce tiver um link via radio, voce deve aumentar o tempo de checagem de 05 para 10) assim você evita falso-positivo nas quedas de link.
Vamos definir como o probe vai trabalhar:
Acesse NetWork > Failover & LB
Expanda o LB Default Group
Acesse as configurações da X1
Neste exemplo abaixo o link não está sendo lógico, ou seja, o link somente será desativado quando a interface X1 for desconectada fisicamente. Esta opção não é recomendada.
Neste exemplo abaixo, mostro como devemos ativar o probe de modo lógico, ou seja, realizando testes para verificar se o link está disponivel ou não.
Temos 04 opções em Logical Probe:
Sucess Always = não utiliza a informação do probe, ou seja, ficará ON o tempo todo
Probe Succeeds when Main Target responds = utiliza somente 01 teste para validar o link
Probe Succeeds when both Main Target and Alternate Target responds = utiliza 02 testes para validar o link , porém se qualquer dos testes caírem o link é desativado.
Probe Succeeds when either Main Target or Alternate Target responds = utiliza 02 testes para validar o link, porém só desabilita o link se os 02 links falharem.
Minha dica para utilização de probes para links é esta:
Probe Succeeds when either Main Target or Alternative Target responds
Main: 8.8.8.8 – ICMP
Alternate: 200.221.2.45 – ICMP
Espero que ajude!
Igor Casalecchi
Instrutor SonicWALL
34 Comments Already
Deixe uma resposta
Você precisa fazer o login para publicar um comentário.
Igor valeu pela dica!!
Até parece que escreveu para mim! hehehee
abraços
Excelente post!
Minha dica é que ao invés de informar um endereço IP o ideal é informar um endereço (ex. google.com.br) assim os testes terão como alvo um domínio qualquer que pode ter diversos links redundantes que responderiam aos testes, diferentemente do IP informado que se estiver indisponível um dos alvos não serão atingidos.
Acabei de fazer um treinamento com o Adriano da Alerta.. e ele recomendou seu site.
Gostaria de saber se vc consegue me ajudar a criar um probe pra verificar a integridade do túnel vpn?
Caro Paulo
Posso sim.
Vou montar um post mostrando como usar a probe e também como usar a probe negativa.
Espero que ajude!
Igor Casalecchi
Instrutor SonicWALL
Tenho um cliente com 2 link da empresa onde trabalho, um via rádio e outro fibra, ok.
Configurei as duas interfaces como WAN, tudo certo, tenho Gerencia na interface principal (FIBRA).
Então configurei o failover para a porta x2 conforme dicas neste post, mas não funciona o link bkp.
O status da porta é este:
X2 – 185.x.x.x (WAN) Link Up Failover Target Unavailable Target Unavailable
Há algo mais que devo fzer ou tenha esquecido?
Obrigado.
Fala Igor, tudo bem?
Eu novamente…
Cara, sei que não é o post adequado, mas não encontrei nenhum post sobre SonicPoint.
Tenho uma dúvida:
O SP precisa de switch PoE?
Um apliance como 3500, para colocar 8 SPs nele, eu não preciso ter uma porta Xx para cada SP não neh? Posso ter um switch, onde todos SPs chegam e vai direto a uma interface (VLAN) do firewall?
É isso?
Obg mais uma vez!
Abs!
Bom Dia Gustavo
Não sei se já responderam suas questões, vamos as respostas:
Cada appliance suporta um numero limitado de SonicPoints, o NSA 3500 suporta 48 SonicPoints!
Voce precisa de uma porta X especifica para a WLAN, ou seja, com uma unica porta voce gerencia todos os SonicPoints (atraves de VLans)
Os sonicpoints podem ou nao serem ligados via PoE, o SonicPoint NI (modelo sem antenas externas) funciona somente com PoE.
Espero ter ajudado
Igor Casalecchi
Instrutor SonicWALL
Grande Igor, valeu pela explicação!!!
Então tendo 8 SPs, preciso de um switch com 9 VLANs, por exemplo, e conectar essa VLAN em uma WLAN port do meu SonicWall.
Somente isso?
Obg mais uma vez!
ABs!
Igor,
podemos criar mais de um grupo de Failover e LB ?
Porque no menu dá toda a impressão que é possivel, mas não localizei como.
Caro Leonardo
Otima pergunta!
Tudo dá a entender que seria possivel criar um outro grupo de LB & Failover e adicionar outras interfaces.
Porém isto não é possivel!
A SonicWALL deixa isto bem claro quando define como item mandatório para LB & Failover que a interface esteja na Zona WAN.
Espero que ajude!
Igor Casalecchi
Instrutor SonicWALL
Olá Igor, tudo bem?
Eu tenho que configurar as opções de Probe pra todos os links do LB Group ou somente no link principal?
Aguardo,
Obrigado!
Caro Marcelo
Normalmente configuramos para todos os links WAN, assim se um link falhar o outro assume, e isto se aplica a rotas estáticas, ou seja, voce pode ter um link secundário que é utilizado como rota padrão para determinado host ou aplicação.
Espero que ajude!
Igor Casalecchi
Instrutor SonicWALL
Ola Igor, estou com oscilações entre dois sites que estão fechados em VPN com um link de 10Mb fibra em cada ponto. Na minha localidade tenho 2 links e deixei como principal o de fibra 10 mega e na outra ponta temos somente um mesmo. Configurei os probes seguindo esse post e melhorou mas ainda ha momentos em que o ping fica muito alto.
Seguindo a linha do Paulo, será que preciso criar um probe pra verificar a integridade do túnel vpn ??
Desde já muito obrigado.
Caro Marconi
Ative o keep alive dentro do tunel VPN, creio que isto irá ajudar na performance e estabilidade do link.
Para ativar o keep alive vá em VPN > Settigns > Edit SA (tunel VPN) > ultima aba
Espero que ajude
Igor Casalecchi
Instrutor SOnicWALL
Bom, primeiramente parabéns pelo excelente blog,
Estou tendo um problema para configurar o meu segundo link aqui na empresa onde trabalho,
Tenho meu link primário que é um 10mb fibra da Embratel IP fixo, e acabei de contratar um link secundário de 10mb via rádio da WCS IP fixo.
Quando eu configuro o link secundário e conecto o cabo na X2 ele trava a minha internet,
O skype funciona mais não consigo acessar nenhuma pagina, ai desconecto o cabo da X2 e volta ao normal.
Não sei se tem haver mais tentei configurar o link em outra porta mais ele me dá a seguinte mensagem:
Error: of the interface: Subnet on this interface overlaps with another interface.
Ficária muito grato se alguém conseguisse me auxiliar com esse problema.
Obrigado.
Caro Murillo
Pela mensagem que está aparecendo para voce, existe outra interface do SonicWALL com o mesmo range de IP configurado.
Verifique e se possivel remova esta outra interface, acesse a X2 e configure novamente.
Espero que ajude!
Igor Casalecchi
Instrutor SonicWALL
Bom dia Igor,
Estou querendo saber como funcionaria o probe com MPLS, lembrando que o mesmo esta ligado em minha rede Interna diretamente no Switch.
Caro Robson
Voce pode criar probes diretos e explicitos ou seja, pode criar um probe pedindo para ele executar um Ping (ICMP) através do roteador da MPLS localizado na sua rede LAN, assim voce tem certeza que ele está testando através do caminho direto da MPLS.
Espero que ajude!
Igor Casalecchi
Instrutor SonicWALL
Perfeito Igor, agora gostaria de saber se ao colocar o probe para pingar para o MPLS se o mesmo cai eu conseguiria subir a VPN automaticamente.
Como ficaria isso? So para ter uma ideia tenho uma rede MPLS interligando as filiais, configurei as VPNS com os TZ, porem se o MPLS cai as VPN nao sobem automaticamente. Obrigado
Igor,
Obrigado por compartilhar este conteúdo de extrema importância.
Minha dúvida é o seguinte:
Não tenho muita experiência com o sonicwall, mais estou me virando aqui e claro com a ajuda do seu site.
Tenho um cenário de 5 filiais conectadas via VPN, todas com dois links dedicados.
Aqui na minha filial tenhos dois links de 4mb, tenho configurado o Load Balance e acabei de realizar a configuração acima nos probes. OK!
Quando tenho problema em um dos links, a internet não cai isso demonstra que o load balance esta ok? (acredito) porém tenho uma lentidão extrema nos outros sites, que só normaliza após eu alterar na mão o percentual da interface UP para 100%, ao meu ver isso não deveria acontecer certo? Pode me dar um help?
Desde já obrigado!
Abs.
Izidoro
Caro Izidoro
Este problema parece ser de configuração do LB & Failover.
Verifique as configuracoes setadas nas filiais.
Espero que ajude!
Igor Casalecchi
Instrutor SonicWALL
Igor,
Em todos equipamentos a configuração de Failover & LB no default LB está como type: Ratio. Ai eu tenho minhas duas interfaces com 50% cada.
Está correto?
Boa noite Igor.
Sou novo usuário do Sonicwall, e tenho muitas dúvidas. Mas, graças ao seu site estou me virando muito bem.
Tenho um problema parecido com o do Robson, num post logo acima.
Será que pode nos auxiliar?
No meu caso, eu possuo links de rede sem fio interligando as filiais.
As 3 filiais estão divididas em 3 sub-redes, e nos TZ-215 estão configuradas rotas estáticas, encaminhando os pacotes requisitados para as filiais.
Configurei VPN’s nos links de internet de cada filial para redundância.
Porém, quando estas redes sem fio caem, as VPN’s não assumem a rota automaticamente.
Tentei algumas configurações de roteamento estático e probe, mas até o momento Não tive sucesso.
Parabéns pelo site.
Caro Rodrigo
Esta função de rotear e chavear automaticamente entre rotas estáticas e tunel VPN funciona de maneira bem satisfatória e de certo modo, não tão complexa para ser aplicada.
Verifique se os túneis estão como Tunnel Interface (Routed Based VPN) e os probes estão configurados corretamente
Espero que ajude!
Igor Casalecchi
Instrutor Dell SonicWALL
Igor, boa tarde!
Qual a melhor pratica de configuração para ser avisado automaticamente quando o probe detectar que um dos links estiver fora e desativar ele? Pois facilitaria na detecção do problema e abertura do chamado com a operadora.
Caro Gustavo
Você pode ativar em Logs > Automation a opção para receber via e-mail quando ocorrer problemas de Failover nos links de Internet
Espero que ajude!
Igor Casalecchi
Instrutor Dell SonicWALL
Boa tarde,
Tenho uma duvida sobre os probes, existe o probe do Failover e também temos um probe do Network monitor.
Suponhamos que o meu network monitor utilize probe IP e o failover probe FQDN. Se eu tiver um problema de DNS o Failover será acionado mas a interface vai continuar UP.
As rotas que utilizam o probe do Network monitor vão continuar passando pela X1, mas a minha navegação vai passar pela X2 uma vez que o Failover foi acionado?
Att,
Tiago de Melo
Analista de Infraestrutura
Caro Tiago
Sobre sua duvida, quando voce cria uma PBR (rota estatica) no Appliance Dell SonicWALL voce pode monitorar a rota pelo probe da interface (LF & Failover) e também criar um probe especifico.
Porém estes trabalham em paralelo, ou seja, se o probe da Interface desabilitar a rota vai ser desabilitada, se o probe do network monitor desabilitar, a rota vai ser desabilitada também.
No seu caso, o problema esta exclusivamente no probe do Failover & LB, recomendo que utilize o campo adicional no probe para resolver exatamente este problema de usar um target FQDN, ou seja, posso colocar:
> http://www.uol.com.br – Main Target
Porém existe a opção: “Default Target IP” que serve para caso o FQDN não seja resolvido, qual endereço IP eu uso para realizar o probe.
Espero que ajude!
Igor Casalecchi
Instrutor Dell SonicWALL
Bom dia, Igor, parabéns pelo site ! ótimo conteúdo.
Sou novo com o sonicwall, estou com uma dúvida, possui 2 links de acesso e configurado no sonicwall failover e LB, habilitei o failover do tipo spill-over, para o segundo link ser acionado quando o principal atingir 10mb de acesso, até ai tudo funcionando perfeitamente, melhorou muito o desempenho.
Alguns usuários que utilizam sites governamentais, dentre outros, passaram a reclamar de mensagem como queda de seção e erros na navegação, identifiquei que a causa disso estava na troca de links, poderia me ajudar ou dá um norte de como resolver este problema ?? Obrigado !
Caro Rickson
Obrigado pela visita ao blog.
Sobre sua duvida, existe uma forma simples de resolver isto, criar uma regra de firewall forçando os acessos HTTPS para um determinado link. desta forma sites de bancos, governo,etc que usam HTTPS não sofrem quebra de sessão no chaveamento entre os links
OBS: Nas novas firmwares isto será resolvido com o IP Binding nos metodos de LB, porém ainda não são oficiais.
Espero que ajude!
Igor Casalecchi
Instrutor Dell SonicWALL
Boa tarde.
Eu preciso fazer o seguinte. A empresa tem dois links as probes ja estão no ar. Preciso que quando o link de backup assuma o link principal se torne backup. Não quero que quando a comunicação do principal cair ela assuma.
alguém ja fez algo do tipo.
Caro Manoel
COloque esta duvida no Forum, todos estarão dispostos a ajudar!
Fica atento ao blog que postaremos sobre treinamentos e cursos e na area de Forum!
Igor Casalecchu
Instrutor SonicWall
Boa tarde Igor,
tenho um NSA 220 e configurei o load balanced de acordo com suas orientações, mas preciso que o serviço Terminal Service (3389) saia por determinado link, olhei no firewall mas não consegui compreender como fazer. Desde já agradeço
Caro Luciano
Vou criar um topico no forum sobre balanceamento de link, veja la as instruções
Fica atento ao blog que postaremos sobre treinamentos e cursos
Espero que ajude!
Igor Casalecchu
Instrutor SonicWall