Kiểm soát ứng dụng đi qua SDWAN trên Fortigate với SD-WAN Rules

Trong bài viết này, mình sẽ hướng dẫn các bạn tối ưu hóa traffic đi qua SD-WAN trên firewall Fortigate sử dụng SD-WAN rules.

SD-WAN rules cho phép chúng ta kiểm soát cách phân phối các phiên cho các cổng WAN trong SD-WAN, chúng ta có thể sử dụng để kiểm soát các phiên dựa trên địa chỉ IP, ứng dụng hoặc dịch vụ internet. Chúng ta có thể cấu hình SD-WAN Rules để đẩy các phiên cụ thể, ví dụ như ưu tiên cho Voice, Zoom meeting, Gmail, Facebook, Youtube hay Livestream đi qua 1 đường WAN cụ thể dựa vào rất nhiều thông số như Packet Loss, Latency, Jitter, hay băng thông của cổng WAN đó.

Mô hình kết nối

Mình đang có 1 mô hình đơn giản gồm 1 firewall Fortigate, port1 và port2 đang kết nối ra 2 WAN khác nhau, 2 cổng WAN này mình sẽ cấu hình vào SDWAN, bên dưới là 1 mạng LAN nhưng trong bài viết này chúng ta chỉ cần test trên firewall là đủ rồi, nên mình cũng không cần cấu hình mạng LAN này.

Fortigate mình đang sử dụng chạy phiên bản FortiOS 7.0.0, nên giao diện có thể sẽ khác so với các bạn, tuy nhiên thì cách cấu hình thì giống nhau, chỉ khác về vị trí bố trí menu thôi.

Cấu hình SD-WAN trên Fortigate

Trước tiên mình sẽ tạo 1 SD-WAN và add 2 cổng WAN của mình vào. SD-WAN CNTTShop đã có bài viết hướng dẫn chi tiết, các bạn tham khảo nhé: Cấu hình SD-WAN trên Fortigate | Ver 5.4.

Mình sẽ cấu hình luôn Default route và Policy cho mạng LAN ra internet.

Như vậy là mạng LAN bên dưới đã ra được Internet thông qua SD-WAN để cân bằng tải traffic qua cả 2 đường WAN. Tuy nhiên thì các traffic này sẽ được cân bằng tải theo thuật toán mà các bạn đã chọn trong phần cấu hình SD-WAN, và thuật toán này sẽ áp dụng cho cho tất cả các loại traffic. Để có thể kiểm soát 1 số traffic cụ thể, chúng ta cần tạo thêm SD-WAN rules cho các traffic này.

Cấu hình Performance SLAs

Để tạo rule, các bạn cần phải tạo trước Performance SLAs để kiểm tra dịch vụ Internet. Các bạn vào menu Network > SD-WAN. Chọn tab Performance SLAs, Bấm Create New để tạo.

Sau đó định nghĩa loại dịch vụ mà các bạn muốn sử dụng để kiểm tra kết nối. Cái này tùy thuộc vào nhu cầu hoặc dịch vụ của chúng ta thôi. Các bạn có thể test kết nối đến 1 website, server…

Ví dụ mình sẽ kiểm tra kết nối bằng cách truy cập vào website của google, khi đó Protocol mình sẽ chọn là HTTP, Server nhập google.com. Các phần còn lại mình sẽ để mặc định.

Sau khi tạo xong thì các bạn có thể thấy Fortigate hiển thị các thông số kết nối trên các đường wan, bao gồm tỉ lệ mất gói tin (Packet Loss), độ trễ (latency) và jitter. Jitter về cơ bản là sự khác biệt về độ trễ giữa 2 gói tin liên tiếp.

Cấu hình SD-WAN Rules

Chuyển sang tab SD-WAN rules, chọn Create New để tạo 1 rule mới.

Trong Rule này thì chúng ta có thể sử dụng nhiều cách để định nghĩa cho 1 packet flow của chúng ta, bao gồm IP nguồn, user, ip đích, các dịch vụ internet hoặc ứng dụng. Fortigate cũng đã định nghĩa rất nhiều ứng dụng và Internet service, hoặc các bạn có thể tự tạo các dịch vụ riêng của mình.

Sau đó chọn cách mà chúng ta sẽ controll gói tin ở bên dưới.

• Manual thì chúng ta sẽ chỉ định cổng WAN đi ra cho dịch vụ đó.
• Best Quality thì chúng ta sẽ sử dụng Performance SLAs hoăc băng thông trên cổng WAN để đánh giá dịch vụ và lựa chọn thông số mà chúng ta muốn đo lường. Khi Đó thì cổng WAN nào có chất lượng tốt nhất sẽ được chọn để đẩy traffic ra, có rất nhiều các thông số để các bạn đánh giá như:
  • Latency là độ trễ kể từ khi gói tin được gửi ra cho đến khi nhận được.
  • Jitter là sự khác biệt về độ trễ giữa 2 gói tin liên tiếp.
  • Packet loss là tỉ lệ mất gói tin trên cổng WAN.
  • Downstream là băng thông có sẵn trên chiều traffic đi vào trên cổng WAN.
  • Upstream là băng thông có sẵn cho chiều traffic đi ra trên cổng WAN.
  • Bandwidth là băng thông có sẵn cho cả 2 chiều trên cổng WAN.
  • Hoặc các bạn cũng có thể tự tạo 1 profile riêng.
• Lowest Cost SLA thì cổng WAN nào có Cost thấp nhất sẽ được chọn.
• Maximize Bandwidth (SLA) thì traffic sẽ được cân bằng tải giữa các interface đáp ứng với SLA mà chúng ta đưa ra.

OK ví dụ mình sẽ cấu hình để các ứng dụng như gmail, facebook, youtube sẽ đi qua đường Wan có độ trễ thấp nhất để ưu tiên cho các ứng dụng này.

• Phần Source và Destination IP mình sẽ để trống, chỉ cần chọn các ứng dụng Gmail, Facebook, Youtube trong phần Application.
• Mình sẽ chọn loại Best Quality.
• Measured SLA mình sẽ chọn Performance SLAs là google mà mình vừa tạo ở trên.
• Thông số đánh giá Quality Criteria mình sẽ để lantency, khi đó interface nào có độ trễ thấp hơn sẽ được sử dụng cho các ứng dụng của mình.

Sau khi tạo xong thì các bạn có thể thấy cổng WAN1 đang có dấu tích V, nghĩa là cổng này đang được chọn cho các dịch vụ gmail, facebook, youtube của mình do cổng này có độ trễ thấp hơn. Các bạn có thể xem trong phần Performance SLAs, latency của WAN1 sẽ thấp hơn WAN0.

Các bạn cũng có thể sử dụng theo băng thông, tuy nhiên để đo chất lượng băng thông tự động thì các bạn cần phải mua license SD-WAN monitor. Nếu có License thì các bạn bấm Execute Speed Test để kiểm tra băng thông trên cổng. Nếu không có license, các bạn có thể tự nhập tay dựa trên gói mạng mình đang thuê cũng được. Trong phần Interface, chọn Edit cổng WAN, chọn Role là WAN, sau đó nhập Estimated bandwidth vào là được.

Sau đó chỉnh mục Quality Criteria trong SD-WAN rule sang Upstream, DownStream hoặc bandwidth để cổng nào có nhiều băng thông hơn sẽ được chọn để đẩy traffic qua mà không theo thuật toán cân bằng tải của SD-WAN.

Ok như vậy là mình đã hướng dẫn các bạn kiểm soát traffic đi qua SD-WAN sử dụng SLAs và rules. Nếu các bạn gặp khó khăn gì có thể comment bên dưới bài viết để mọi người cùng khắc phục nhé.

Chúc các bạn thành công.