Hướng dẫn cấu hình Traffic Shaping trên Fortigate
Trong bài viết này mình sẽ hướng dẫn các bạn cấu hình tính năng Traffic Shaping để giới hạn băng thông trên 1 địa chỉ IP sử dụng phiên bản FortiOS 6.2.1. Với các phiên bản khác 1 số mục có thể có sự thay đổi.
Khi một địa chỉ IP sử dụng quá nhiều băng thông của hệ thống gây tắc nghẽn hoặc làm chậm tốc độ mạng, bạn có thể ngăn thiết bị có địa chỉ IP đó tiêu thụ quá nhiều băng thông. Bài viết này cho bạn thấy cách sử dụng traffic shaping để giới hạn băng thông cho một địa chỉ IP cụ thể. Với việc giới hạn theo địa chỉ MAC, theo dải IP... các bạn làm tương tự
Trong mô hình này mình sẽ cấu hình để giới hạn băng thông tối đa cho Upload và download thành 200kbps.
Bật tính năng Traffic Shaping
Trên 1 số phiên bản FortiOS 6.x.x, traffic shaping mặc định đã được bật sẵn, tuy nhiên các bản 5.x.x thì bị disable. Các bạn kiểm tra và bật tính năng này lên.
Truy cập System > Feature Visibility, trong mục Additional Features bật tính năng Traffic Shaping.
Tạo 1 địa chỉ IP để giới hạn băng thông
Để giới hạn băng thông trên 1 địa chỉ IP, trước tiên bạn cần phải định nghĩa 1 Address với địa chỉ IP đó.
Truy cập Policy & Objects > Addresses để định nghĩa IP đó. Chọn Create New > Address trong menu xổ xuống. Thiết lập các thông số tương ứng.
- Name: tên của address để phân biệt với các address khác. Chúng ta nên đặt tên liên quan đến vấn đề đang thực hiện để dễ quản lý sau này.
- Type: chọn Subnet để cấu hình theo địa chỉ IP. Để định nghĩa 1 địa chỉ IP các bạn nên để subnet /32. Nếu bạn cần giới hạn theo địa chỉ MAC thì có thể chọn mục này là Device (MAC address).
- Interface: chọn any.
Chúng ta nên tạo thêm 1 Group để nhóm các IP có cùng policy để sau này khi cần giới hạn thêm các IP khác chúng ta chỉ cần tạo Address và thêm vào Group này. Truy cập Policy & Objects > Addresses để định nghĩa IP đó. Chọn Create New > Address Group trong menu xổ xuống và gán Address vừa tạo vào trong group này:
Cấu hình Traffic Shaping
Truy cập Policy & Objects > Traffic Shapers, chọn Create New để định nghĩa Traffic Shaper profile:
- Type: chọn Shared.
- Name: đặt tên để phân biệt với các Traffic Shapers khác
- Traffic Priority: chọn Medium với các IP hoặc ứng dụng không yêu cầu độ ưu tiên cao.
- Max Bandwidth: băng thông tối đa cho phép
- Guaranteed Bandwidth: nếu bạn muốn đảm bảo băng thông tối thiểu cho người dùng, bạn có thể bật thêm mục này (giá trị trong mục này phải nhỏ hơn max bandwidth).
Theo mặc định, các Traffic Shaper phân bổ đều băng thông cho tất cả các chính sách sử dụng nó. Bạn có thể kích hoạt tính năng per policy để áp dụng Traffic Shaper trên mỗi policy mà bạn muốn. Kích chuột phải vào Traffic Shaper bạn vừa tạo, chọn Edit in CLI, và nhập câu lệnh set per-policy enable trong giao diện CLI rồi gõ Next để lưu cấu hình.
Kiểm tra lại tính năng policy trong mục traffic shaper:
Tạo Policy để kết nối ra internet
Truy cập Policy & Objects > IPv4 Policy và tạo 1 policy cho phép truy cập internet (nếu chưa có). Kiểm tra lại Incoming Interface, Outgoing Interface, Source, Destination và đảm bảo rằng tính năng Logging Options được đã được bật với tùy chọn All Sessions để chúng ta có thể kiểm tra kết quả.
Phần này mình đã hướng dẫn trong bài viết Hướng dẫn cấu hình cơ bản Firewall Fortigate
Tạo traffic shaping policies
Trước tiên chúng ta cần tạo 1 Traffic Shaping Policy cho các traffic thông thường không bị giới hạn băng thông và đặt ở chế độ priority cao nhất để các traffic này có thể hoạt động bình thường.
Truy cập Policy & Objects > Traffic Shaping Policy, chọn Create New:
- Name: đặt tên cho Traffic Shaping Policy.
- Status: Chọn Enabled để bật policy này lên.
- Source: chọn ALL hoặc các source được quy định trong mô hình của bạn.
- Destination: chọn ALL hoặc các Destination được quy định trong mô hình của bạn.
- Schedule: chọn always
- Service: chọn ALL hoặc các service được quy định trong mô hình của bạn.
- Outgoing Interface: cổng kết nối ra Internet.
- Shared Shaper: bật tính năng này lên và chọn high-priority
- Reverse Shaper: bật tính năng này lên và chọn high-priority
Tiếp theo chúng ta tạo 1 Traffic Shaping Policy để giới hạn băng thông cho IP được tạo trong phần Address:
- Name: đặt tên cho Traffic Shaping Policy.
- Status: Chọn Enabled để bật policy này lên.
- Source: Chọn Group Address mà chúng ta đã tạo ở trên
- Destination: chọn ALL hoặc các Destination được quy định trong mô hình của bạn.
- Schedule: chọn always hoặc có thể tạo 1 schedule với thời gian cụ thể nếu bạn chỉ muốn giới hạn băng thông trong 1 khoảng thời gian nào đó
- Service: chọn ALL hoặc các service được quy định trong mô hình của bạn.
- Outgoing Interface: cổng kết nối ra Internet.
- Shared Shaper: bật tính năng này lên và chọn Traffic Shaper mà chúng ta đã tạo ở trên.
- Reverse Shaper: bật tính năng này lên và chọn Traffic Shaper mà chúng ta đã tạo ở trên.
Sau khi tạo xong, chúng ta cần kiểm tra lại policy giới hạn băng thông phải được đặt ở trên do tính chất top-down của policy. Nếu Policy Limited_Bandwitdth_200K được đặt ở phía dưới thì chúng ta có thể dùng tính năng kéo thả để chuyển policy này lên trên.
Kêt quả
Để kiểm tra kết quả, chúng ta vào phần FortiView để Xem các traffic từ nguồn 10.0.0.10 đã được Shaper với policy Limited_Bandwidth_200K. Ở đây do bài lap mình dựng ảo nên chỉ test bằng cách ping, gói tin nhỏ nên khong thấy được bandwidth tối đa và dropped bytes.
Kiểm tra địa chỉ IP của gói tin bằng cách kích vào gói tin chúng ta thấy IP nguồn là IP 10.0.0.10 mà chúng ta đã giới hạn
Sử dụng 1 PC khác để truy cập Internet, chúng ta có thể thấy Shaper sử dụng là High-priory mà chúng ta đã tạo và sẽ không bị giới hạn băng thông.
Kiểm tra địa chỉ IP nguồn của gói tin bằng các kích đúp chuột vào gói tin, chúng ta thấy IP nguồn là IP 10.0.0.2 và không bị giới hạn băng thông.
Như vậy là chúng ta đã hoàn thành cấu hình giới hạn băng thông trên firewall Fortigate. Chúc các bạn thành công!
Switch
.png){kind=icon}
.png){kind=logo}
![[FortiOS 5.6] Cấu hình Load Balancing trên Fortinet sử dụng SDWAN](https://cnttshop.vn//storage/bai%20viet/Fortinet/SDWAN/cau%20hinh%20load%20balancing-min.jpg "[FortiOS 5.6] Cấu hình Load Balancing trên Fortinet sử dụng SDWAN")
![[FortiOS 5.4] Hướng dẫn cấu hình IPsec VPN và FortiClient](https://cnttshop.vn//storage/images/tin-tuc/tin-tuc/cau-hinh-co-ban-firewall-fortigate.jpg "[FortiOS 5.4] Hướng dẫn cấu hình IPsec VPN và FortiClient")
![[FortiOS 5.4] Cấu hình Web Filtering - Block 1 website (Facebook, Youtube...)](https://cnttshop.vn//storage/bai%20viet/Fortinet/web-filtering/Webfilter-fortigate-tieude.PNG "[FortiOS 5.4] Cấu hình Web Filtering - Block 1 website (Facebook, Youtube...)")
![[FortiOS 5.4] Cấu hình Web Filtering - Block 1 đề mục trên Website.](https://cnttshop.vn//storage/bai%20viet/Fortinet/web-filtering/Webfilter-fortigate-tieude-1-min.png "[FortiOS 5.4] Cấu hình Web Filtering - Block 1 đề mục trên Website.")
![[FortiOS 5.4] Cấu hình Web Filtering - Block tìm kiếm với từ khóa](https://cnttshop.vn//storage/bai%20viet/Fortinet/web-filtering/Webfilter-fortigate-tieude-min-3.PNG "[FortiOS 5.4] Cấu hình Web Filtering - Block tìm kiếm với từ khóa")
![[FortiOS 5.4] Cấu hình Web Filtering - Block các web bằng FortiGuard Web Filtering](https://cnttshop.vn//storage/bai%20viet/Fortinet/web-filtering/Webfilter-fortigate-tieude-phan4-min.png "[FortiOS 5.4] Cấu hình Web Filtering - Block các web bằng FortiGuard Web Filtering")
![[FortiOS 5.4] Hướng dẫn cấu hình PPPoE trên Firewall Forigate](https://cnttshop.vn//storage/images/tin-tuc/tin-tuc/logo-fotigate.jpg "[FortiOS 5.4] Hướng dẫn cấu hình PPPoE trên Firewall Forigate"){kind=logo}
![[FortiOS 5.6] Hướng dẫn cấu hình HA trên Firewall Fortigate](https://cnttshop.vn//storage/bai%20viet/Fortinet/HA/HA-min.jpg "[FortiOS 5.6] Hướng dẫn cấu hình HA trên Firewall Fortigate")
![[FortiOS 5.4] Hướng dẫn update firmware Firewall Fortigate](https://cnttshop.vn//storage/bai%20viet/Fortinet/updatefirmware/cau%20hinh%20co%20ban%20fortigate-min-min.jpg "[FortiOS 5.4] Hướng dẫn update firmware Firewall Fortigate")
Bình luận bài viết!