Hướng dẫn Cấu hình Policy Routes, Policy Base Routing Fortigate

Trong bài viết này, mình sẽ hướng dẫn các bạn cấu hình tính năng Policy Routes trên firewall Fortigate. Thông thường, khi trong mạng của chúng ta có nhiều đường layer 3 kết nối từ Firewall đi hoặc chúng ta có nhiều đường WAN nhưng không muốn sử dụng SDWAN để load balancing. Khi đó thì traffic sẽ được phân bổ dựa theo các tiêu chí của routing. Tuy nhiên nếu các bạn muốn chúng ta controll các traffic này thì các bạn có thể sử dụng Policy Routes. Trên Cisco thì chúng ta hay gọi là Policy Base Routing (PBR). Mỗi hãng sẽ có cách gọi khác nhau.

Mô hình kết nối

Ví dụ mình đang có mô hình đơn giản, mạng LAN gồm 2 VLAN 10 và 20, gateway mình sẽ đặt trên Fortigate. Firewall đang có 2 đường WAN Viettel và VNPT, do giả lập nên mình sẽ đặt IP tĩnh theo mô hình, thực tế nếu các bạn quay PPPoE thì cách làm vẫn tương tự.

Phía trên mình có giả lập 3 Router của ISP, 1 router Internet có địa chỉ 8.8.8.8 mình đặt trên loopback0 để test.

Mình sẽ cấu hình sao cho các máy tính thuộc VLAN 10 sẽ đi qua VNPT, còn VLAN20 sẽ đi qua đường viettel. Nếu 1 trong 2 đường này bị down thì tất cả traffic sẽ đi qua đường còn lại.

Cấu hình Policy Routes trên Fortigate

Để tạo Policy Routes, các bạn vào menu Network > Policy Route, chọn Create New để tạo 1 policy.

Tại đây có rất nhiều mục để chúng ta định nghĩa cho 1 traffic như Incoming interface, Source Address, Destination address, Protocol hoặc các Service. Các bạn có thể định nghĩa cụ thể cho từng traffic của mình. Các traffic nào match với tất cả các mục mà các bạn định nghĩa trong policy sẽ được Fortigate xử lý theo đúng action bên dưới.

Trong ví dụ này mình chỉ cần định nghĩa các traffic thuộc VLAN 10 sẽ đẩy qua WAN VNPT nên mình sẽ chọn các thông số như sau:

• Source address: chọn VLAN10 address
• Destination Address: chọn any
• Protocol: chọn any
• Action: chọn Forward Traffic
• Tích chọn Outgoing interface và chọn cổng wan là VNPT.
• Gateway address: nhập địa chỉ IP next-hop. Nếu là đường WAN quay PPPoE thì các bạn không cần nhập mục này, chỉ cần chọn cổng WAN là được.

Cấu hình lúc này của mình có nghĩa là cứ các traffic từ VLAN 10 thì sẽ được đẩy qua cổng WAN VNPT. Tuy nhiên các bạn lưu ý do Destination mình đang để là all cho việc truy cập internet, do vậy cả traffic sang vlan 20 cũng sẽ đẩy qua cổng WAN VNPT nhé, mình sẽ xử lý vấn đề này sau.

Tương tự các bạn tạo 1 policy cho vlan 20 đẩy qua đương WAN Viettel

Bypass traffic nội bộ không qua Policy Routes

Để xử lý vấn đề này thì có nhiều cách. Trong trường hợp này mình sẽ tạo thêm 2 policy routes, để các traffic nội bộ sẽ bỏ qua Policy routes mà sử dụng định tuyến thông thường.

• Source address: các bạn chọn vlan10
• Destination Address: chọn vlan 20
• Action: chọn Stop policy routing.

Tương tự cho chiều ngược lại

Sau đó các bạn kéo 2 policy này lên trên. Lúc này các traffic giữa 2 VLAN sẽ khớp với 2 policy này, và nó sẽ bỏ qua Policy Routes do action chúng ta chọn là Stop Policy Routing, và chuyển sang định tuyến như thông thường do policy sẽ check từ trên xuống.

OK vậy là mình đã hướng dẫn các bạn cấu hình policy route để đẩy traffic theo ý mà chúng ta muốn. Nếu các bạn cần hướng dẫn về tính năng nào trên fortigate, hãy để lại comment bên dưới, CNTTShop sẽ hướng dẫn trong thời gian sớm nhất.

Chúc các bạn thành công!