Mô hình SD-WAN sử dụng Firewall Fortinet
Lưu ý: Hướng dẫn này áp dụng với các thiết bị đang chạy phiên bản FortiOS 5.6. Với các phiên bản OS thấp hoặc cao hơn, các bước thực hiện có 1 vài thay đổi.
Bài viết này hướng dẫ các bạn cấu hình đường internet dự phòng sử dụng công nghệ SD-WAN trên Firewall Fortigate chạy phiên bản FortiOS 5.6.
Mục tiêu của SD-WAN là quản lý lưu lượng traffic đi ra ngoài internet ở Layer 2 của mô hình OSI mà không cần phải quản lý các chuyển mạch dựa trên phần cứng hoặc bộ điều khiển WAN.
Trong ví dụ này chúng ta sẽ cấu hình SD-WAN theo thuật toán weighted để chia 75% lưu lượng truy cập Internet đi qua đường WAN1, với 25% còn lại truy cập internet theo đường WAN2. Trong trường hợp 1 đường Wan bị đứt, toàn bộ lưu lượng mạng sẽ đi ra internet theo đường Wan còn lại.
Trong ví dụ này chúng ta sẽ sử dụng 2 đường internet của nhà cung cấp dịch vụ để kết nối với 2 cổng Wan1 và Wan2 trên Fortigate và cấu hình 2 cổng Wan này. Xem thêm hướng dẫn cấu hình cổng Wan trên Firewall Fortigate.
Bạn không thể thêm các cổng WAN vào SD-WAN interface khi các cổng này đã được gán các policy. Nếu đã có các Policy được gán cho các cổng Wan1 hoặc Wan2, chúng ta phải xóa các policy này đi. Sau khi xóa các Policy này đi, các client trong LAN sẽ không thể truy cập Internet thông qua 2 cổng Wan1 và Wan2.
Truy cập Policy & Objects > IPv4 Policy, chọn các policy đang áp dụng cho cổng Wan và chọn Delete
Nếu không muốn xóa các Policy này, bạn có thể chọn Policy, chọn Edit và thay đổi Outgoing Interface sang 1 cổng bất kỳ chưa được sử dụng. Sau khi tạo xong SDWAN, chúng ta sửa lại các Policy này áp dụng cho cổng SDWAN để tránh phải tạo lại.
Truy cập vào Network > SD-WAN để khởi tạo 1 SD-WAN Interface
Thiết lập các thông số
Bạn có thể cấu hình Kiểm tra trạng thái SD-WAN để xác minh tình trạng và trạng thái của các đường Wan trong SD-WAN. SD-WAN Status Check sử dụng Ping để kiểm tra các kết nối Wan.
Truy cập vào Network > SD-WAN Status Check và thiết lập các thông số
Truy cập Policy & Objects > IPv4 policy, chọn Create New
Thiết lập Incoming Interface là mạng LAN bên trong và Outgoing Interface là cổng SD-WAN vừa tạo.
Bật tính năng NAT, Các tính năng AntiVirus, Web Filter chỉ kích hoạt được khi Firewall đã được active license bundle. Lưu cấu hình policy, lúc này client trong mạng LAN đã có thể truy cập internet qua SD-WAN
Truy cập vào Network > SD-WAN > SD-WAN Usage để kiểm tra lưu lượng mạng qua SD-WAN
Hoặc kiểm tra Status tại Network > SD-WAN > SD-WAN Status Check.
Truy cập Monitor > SD-WAN Monitor để xem số lượng phiên, băng thông tại mỗi cổng Wan
Để kiểm tra tính dự phòng của SD-WAN, bạn có thể rút 1 trong 2 đường WAN ra. Chẳng hạn trong ví dụ này, chúng ra rút cổng WAN1, lúc này traffic sẽ đi ra internet theo đường Wan2. Truy cập Monitor > SD-WAN Monitor để kiểm tra Download và Upload:
Truy cập Network > SD-WAN > SD-WAN Usage, lúc này traffic sẽ qua đường Wan2 và Wan1 sẽ có status là down:
Bình luận bài viết