Hướng dẫn cấu hình Traffic Shaping trên Fortigate

Trong bài viết này mình sẽ hướng dẫn các bạn cấu hình tính năng Traffic Shaping để giới hạn băng thông trên 1 địa chỉ IP sử dụng phiên bản FortiOS 6.2.1. Với các phiên bản khác 1 số mục có thể có sự thay đổi.

Khi một địa chỉ IP sử dụng quá nhiều băng thông của hệ thống gây tắc nghẽn hoặc làm chậm tốc độ mạng, bạn có thể ngăn thiết bị có địa chỉ IP đó tiêu thụ quá nhiều băng thông. Bài viết này cho bạn thấy cách sử dụng traffic shaping để giới hạn băng thông cho một địa chỉ IP cụ thể. Với việc giới hạn theo địa chỉ MAC, theo dải IP... các bạn làm tương tự

Trong mô hình này mình sẽ cấu hình để giới hạn băng thông tối đa cho Upload và download thành 200kbps.

Hướng dẫn cấu hình Traffic Shaping trên Fortigate

Bật tính năng Traffic Shaping

Trên 1 số phiên bản FortiOS 6.x.x, traffic shaping mặc định đã được bật sẵn, tuy nhiên các bản 5.x.x thì bị disable. Các bạn kiểm tra và bật tính năng này lên.

Truy cập System > Feature Visibility, trong mục Additional Features bật tính năng Traffic Shaping.

Bật tính năng Traffic Shaping trên firewall Fortigate

Tạo 1 địa chỉ IP để giới hạn băng thông

Để giới hạn băng thông trên 1 địa chỉ IP, trước tiên bạn cần phải định nghĩa 1 Address với địa chỉ IP đó. 

Truy cập Policy & Objects > Addresses để định nghĩa IP đó. Chọn Create New > Address trong menu xổ xuống. Thiết lập các thông số tương ứng.

  • Name: tên của address để phân biệt với các address khác. Chúng ta nên đặt tên liên quan đến vấn đề đang thực hiện để dễ quản lý sau này.
  • Type: chọn Subnet để cấu hình theo địa chỉ IP. Để định nghĩa 1 địa chỉ IP các bạn nên để subnet /32. Nếu bạn cần giới hạn theo địa chỉ MAC thì có thể chọn mục này là Device (MAC address).
  • Interface: chọn any.

tạo 1 address để giới hạn băng thông

Chúng ta nên tạo thêm 1 Group để nhóm các IP có cùng policy để sau này khi cần giới hạn thêm các IP khác chúng ta chỉ cần tạo Address và thêm vào Group này. Truy cập Policy & Objects > Addresses để định nghĩa IP đó. Chọn Create New > Address Group trong menu xổ xuống và gán Address vừa tạo vào trong group này:

tạo 1 group cho các IP có cùng policy

Cấu hình Traffic Shaping

Truy cập Policy & Objects > Traffic Shapers, chọn Create New để định nghĩa Traffic Shaper profile:

  • Type: chọn Shared.
  • Name: đặt tên để phân biệt với các Traffic Shapers khác
  • Traffic Priority: chọn Medium với các IP hoặc ứng dụng không yêu cầu độ ưu tiên cao.
  • Max Bandwidth: băng thông tối đa cho phép
  • Guaranteed Bandwidth: nếu bạn muốn đảm bảo băng thông tối thiểu cho người dùng, bạn có thể bật thêm mục này (giá trị trong mục này phải nhỏ hơn max bandwidth).

Tạo 1 traffic shaper để giới hạn băng thông

Theo mặc định, các Traffic Shaper phân bổ đều băng thông cho tất cả các chính sách sử dụng nó. Bạn có thể kích hoạt tính năng per policy để áp dụng Traffic Shaper trên mỗi policy mà bạn muốn. Kích chuột phải vào Traffic Shaper bạn vừa tạo, chọn Edit in CLI, và nhập câu lệnh set per-policy enable trong giao diện CLI rồi gõ Next để lưu cấu hình.

Enable per policy traffic shaper

bật tính năng per policy trong giao diện CLI

Kiểm tra lại tính năng policy trong mục traffic shaper:

kiểm tra lại cấu hình per policy enable

Tạo Policy để kết nối ra internet

Truy cập Policy & Objects > IPv4 Policy và tạo 1 policy cho phép truy cập internet (nếu chưa có). Kiểm tra lại Incoming Interface, Outgoing Interface, Source, Destination và đảm bảo rằng tính năng Logging Options được đã được bật với tùy chọn All Sessions để chúng ta có thể kiểm tra kết quả.

Phần này mình đã hướng dẫn trong bài viết Hướng dẫn cấu hình cơ bản Firewall Fortigate

tạo policy cho phép truy cập internet

Tạo traffic shaping policies

Trước tiên chúng ta cần tạo 1 Traffic Shaping Policy cho các traffic thông thường không bị giới hạn băng thông và đặt ở chế độ priority cao nhất để các traffic này có thể hoạt động bình thường.

Truy cập Policy & Objects > Traffic Shaping Policy, chọn Create New:

  • Name: đặt tên cho Traffic Shaping Policy.
  • Status: Chọn Enabled để bật policy này lên.
  • Source: chọn ALL hoặc các source được quy định trong mô hình của bạn.
  • Destination: chọn ALL hoặc các Destination được quy định trong mô hình của bạn.
  • Schedule: chọn always
  • Service: chọn ALL hoặc các service được quy định trong mô hình của bạn.
  • Outgoing Interface: cổng kết nối ra Internet.
  • Shared Shaper: bật tính năng này lên và chọn high-priority
  • Reverse Shaper: bật tính năng này lên và chọn high-priority

Tạo Traffic Shaping Policy cho các traffic thông thường

Tiếp theo chúng ta tạo 1 Traffic Shaping Policy để giới hạn băng thông cho IP được tạo trong phần Address:

  • Name: đặt tên cho Traffic Shaping Policy.
  • Status: Chọn Enabled để bật policy này lên.
  • Source: Chọn Group Address mà chúng ta đã tạo ở trên
  • Destination: chọn ALL hoặc các Destination được quy định trong mô hình của bạn.
  • Schedule: chọn always hoặc có thể tạo 1 schedule với thời gian cụ thể nếu bạn chỉ muốn giới hạn băng thông trong 1 khoảng thời gian nào đó
  • Service: chọn ALL hoặc các service được quy định trong mô hình của bạn.
  • Outgoing Interface: cổng kết nối ra Internet.
  • Shared Shaper: bật tính năng này lên và chọn Traffic Shaper mà chúng ta đã tạo ở trên.
  • Reverse Shaper: bật tính năng này lên và chọn Traffic Shaper mà chúng ta đã tạo ở trên.

Tạo traffic shaper policy để giới hạn băng thông xuống 200k

Sau khi tạo xong, chúng ta cần kiểm tra lại policy giới hạn băng thông phải được đặt ở trên do tính chất top-down của policy. Nếu Policy Limited_Bandwitdth_200K được đặt ở phía dưới thì chúng ta có thể dùng tính năng kéo thả để chuyển policy này lên trên.

kiểm tra traffic shaping policy vừa tạo

Kêt quả

Để kiểm tra kết quả, chúng ta vào phần FortiView để Xem các traffic từ nguồn 10.0.0.10 đã được Shaper với policy Limited_Bandwidth_200K. Ở đây do bài lap mình dựng ảo nên chỉ test bằng cách ping, gói tin nhỏ nên khong thấy được bandwidth tối đa và dropped bytes.
kiểm tra kết quả
Kiểm tra địa chỉ IP của gói tin bằng cách kích vào gói tin chúng ta thấy IP nguồn là IP 10.0.0.10 mà chúng ta đã giới hạn
kiểm tra kết quả của traffic shaping
Sử dụng 1 PC khác để truy cập Internet, chúng ta có thể thấy Shaper sử dụng là High-priory mà chúng ta đã tạo và sẽ không bị giới hạn băng thông.
kiểm tra traffic không bị giới hạn
Kiểm tra địa chỉ IP nguồn của gói tin bằng các kích đúp chuột vào gói tin, chúng ta thấy IP nguồn là IP 10.0.0.2 và không bị giới hạn băng thông.
kiểm tra IP nguồn của gói tin
Như vậy là chúng ta đã hoàn thành cấu hình giới hạn băng thông trên firewall Fortigate. Chúc các bạn thành công!

Bình luận bài viết

CNTTShop.vn là Premium Distributor của hãng Allied Telesis và là Đối Tác của Cisco Systems VN.
Copyright @ 2017-2021 CNTTShop Ltd. | Viet Sun Technology Co., Ltd | All Rights Reserved.

Thanh toán online

CNTTShop.vn là đối tác của Cisco Systems Vietnam Ltd
Copyright @ 2017-2021 CNTTShop Ltd. | Viet Sun Technology Co., Ltd | All Rights Reserved.