Cấu hình Load Balancing trên Fortinet sử dụng SDWAN

Mô hình SDWAN (SD-WAN) trên fortinet Mô hình SD-WAN sử dụng Firewall Fortinet

Lưu ý: Hướng dẫn này áp dụng với các thiết bị đang chạy phiên bản FortiOS 5.6. Với các phiên bản OS thấp hoặc cao hơn, các bước thực hiện có 1 vài thay đổi.

Bài viết này hướng dẫ các bạn cấu hình đường internet dự phòng sử dụng công nghệ SD-WAN trên Firewall Fortigate chạy phiên bản FortiOS 5.6.

Mục tiêu của SD-WAN là quản lý lưu lượng traffic đi ra ngoài internet ở Layer 2 của mô hình OSI mà không cần phải quản lý các chuyển mạch dựa trên phần cứng hoặc bộ điều khiển WAN.

Trong ví dụ này chúng ta sẽ cấu hình SD-WAN theo thuật toán weighted để chia 75% lưu lượng truy cập Internet đi qua đường WAN1, với 25% còn lại truy cập internet theo đường WAN2. Trong trường hợp 1 đường Wan bị đứt, toàn bộ lưu lượng mạng sẽ đi ra internet theo đường Wan còn lại.

Kết nối IPS với Firewall Fortigate

Trong ví dụ này chúng ta sẽ sử dụng 2 đường internet của nhà cung cấp dịch vụ để kết nối với 2 cổng Wan1 và Wan2 trên Fortigate và cấu hình 2 cổng Wan này. Xem thêm hướng dẫn cấu hình cổng Wan trên Firewall Fortigate.

Xóa hoặc thay đổi các Policies

Bạn không thể thêm các cổng WAN vào SD-WAN interface khi các cổng này đã được gán các policy. Nếu đã có các Policy được gán cho các cổng Wan1 hoặc Wan2, chúng ta phải xóa các policy này đi. Sau khi xóa các Policy này đi, các client trong LAN sẽ không thể truy cập Internet thông qua 2 cổng Wan1 và Wan2.

Truy cập Policy & Objects > IPv4 Policy, chọn các policy đang áp dụng cho cổng Wan và chọn Delete

chỉnh sửa policy trên firewall fortigate

Nếu không muốn xóa các Policy này, bạn có thể chọn Policy, chọn Edit và thay đổi Outgoing Interface sang 1 cổng bất kỳ chưa được sử dụng. Sau khi tạo xong SDWAN, chúng ta sửa lại các Policy này áp dụng cho cổng SDWAN để tránh phải tạo lại.

Khởi tạo SD-WAN Interface

Truy cập vào Network > SD-WAN để khởi tạo 1 SD-WAN Interface

khởi tạo SD-Wan interface Thiết lập các thông số

Interface State: chọn enable để bật SD-WAN
SD-WAN: chọn Create New và chọn interface là Wan1, Status là Enable và gateway là 0.0.0.0. Chọn Create New lần nữa mới Wan 2
Load balancing Algorithm: ở đây chúng ta lựa chọn thuật toán để chia cân bằng tải trên 2 đường Wan
- Volume: hay weighted là thuật toán chi tỉ lệ traffic theo lệ %, trong ví dụ này chúng ta sẽ sử dụng Algorithm là Volume và chia tỉ lệ trong phần Weight với wan1 75% và wan2 là 25%
- Sessions: Lưu lượng truy cập Internet sẽ chia theo các phiên làm việc được thiếp lập. Chẳng hạn ta thiết lập số phiên đi qua Wan1 là 1 và quan Wan2 là 1. Khi đó Phiên A đi qua Wan1 thì phiên B sẽ đi ra theo Wan2, phiên C sẽ theo Wan 1 thì phiên D sẽ đi qua Wan2...
- Spillover: Hoạt động theo ngưỡng băng thông . Chẳng hạn bạn thiết đặt spillover threshold trên Wan 1 là 5 Mbit như vậy lưu lượng truy cập mạng sẽ đi qua Wan 1 cho đến khi nào Wan 1 đạt mốc 5Mbit nó sẽ chuyển phiên làm việc tiếp theo cho Wan2. Một khi đến khi nào Wan 1 Giảm lưu lượng xuống dưới 5Mbit, lúc đó phiên kết nối lại tiếp tục được đi qua Wan 1
- Source - Destination Ip: Thuật toán Source - Destination Ip cố gắng chia đều lưu lượng giữa các giao diện được bao gồm trong giao diện SDWAN. Nó sử dụng các tiêu chí kết nối của các kết hợp địa chỉ IP nguồn và đích như một cách phân loại lưu lượng truy cập. Ví dụ, 10.10.10.10 đến 1.1.1.2 được gửi ra một cổng Wan, Lưu lượng truy cập tiếp theo từ 10.10.10.10 đến 1.1.1.2 cũng sẽ đi ra cùng giao diện đó. Lưu lượng truy cập tiếp theo từ 10.10.10.11 đến 8.8.8.8 sẽ đi ra theo cổng wan khác
- Source Ip: Hoạt động dựa trên địa chỉ nguồn trong vùng internal ra ngoài mạng (đại loại thuật toán round robin ). Tức là khi một địa chỉ lớp mạng trong truy cập net đến fortigate nó sẽ đi ra wan 1, như vậy khi một user có địa chỉ kế tiếp muốn ra ngoài mạng nó sẽ phải đi theo wan 2 . Ip nguồn kế tiếp sẽ lặp lại wan 1. Các wan sẽ luân phiên nhau như thế
SD-WAN Usage: cho phép theo dõi lưu lượng truy cập mạng

Cấu hình kiểm tra Status SD-WAN

Bạn có thể cấu hình Kiểm tra trạng thái SD-WAN để xác minh tình trạng và trạng thái của các đường Wan trong SD-WAN. SD-WAN Status Check sử dụng Ping để kiểm tra các kết nối Wan.

Truy cập vào Network > SD-WAN Status Check và thiết lập các thông số

Thiết lập Policy cho phép traffic trong LAN đi ra ngoài Internet qua SD-WAN interface

Truy cập Policy & Objects > IPv4 policy, chọn Create New

thiết lập policy cho SD-WAN

Thiết lập Incoming Interface là mạng LAN bên trong và Outgoing Interface là cổng SD-WAN vừa tạo.

Bật tính năng NAT, Các tính năng AntiVirus, Web Filter chỉ kích hoạt được khi Firewall đã được active license bundle. Lưu cấu hình policy, lúc này client trong mạng LAN đã có thể truy cập internet qua SD-WAN

Kiểm tra

Truy cập vào Network > SD-WAN > SD-WAN Usage để kiểm tra lưu lượng mạng qua SD-WAN

sdwan usage

Hoặc kiểm tra Status tại Network > SD-WAN > SD-WAN Status Check.

sd-wan status

Truy cập Monitor > SD-WAN Monitor để xem số lượng phiên, băng thông tại mỗi cổng Wan

sd-wan monitor

Kiểm tra failover

Để kiểm tra tính dự phòng của SD-WAN, bạn có thể rút 1 trong 2 đường WAN ra. Chẳng hạn trong ví dụ này, chúng ra rút cổng WAN1, lúc này traffic sẽ đi ra internet theo đường Wan2. Truy cập Monitor > SD-WAN Monitor để kiểm tra Download và Upload:

sd-wan test failover 1