CẤU HÌNH CÂN BẰNG TẢI VỚI SD-WAN TRÊN FIREWALL FORTIGATE

Hiện nay, với sự phát triền không ngừng của công nghệ, để một hệ thống hoạt động là chưa đủ. Chúng phải thỏa mãn những yêu cầu cao hơn như hoạt động ổn định, liên tục, sẵn sàng…. Đáp ứng nhu cầu trên, hãng công nghệ Fortinet với sản phẩm chủ lực Firewall Fortigate với công nghệ Sd-Wan giúp chúng ta thiết kế một mô hình mạng dự phòng với 2 đường truyền chạy song song từ các nhà mạng khác nhau. Bài viết này sẽ hưỡng dẫn các bạn cấu hình tính năng Sd-Wan Load balancing trên Firmware 5.6 (Các bản Firmware thấp hoặc cao hơn sẽ có một số thay đổi trong cách cấu hình)
​

Mô Hình: Kết nối cổng Wan1, Wan2 của thiết bị với 2 đường truyền internet từ nhà cung cấp mạng.

​

Các bước cấu hình :

1. Xóa policy

Bạn cần phải xóa tất cả các policy liên quan đến 2 cổng Wan1 và Wan2 để có thể thêm chúng vào Sd-Wan. Sau khi xóa policy các user trong mạng LAN sẽ không thể truy cập ra internet bằng một trong 2 đường này.

Truy cập Policy & Objects -> Ipv4 Policy. Chọn các policy đăng được áp dụng và Delete.

​

2. Tạo SD-WAN Interface

Truy cập Network -> SD-WAN


Thiết lập các thông số sau:

Interface State: chọn enable để bật SD-WAN

Create New SD-WAN và chọn interface là Wan 1-VIETTEL, Status là Enable và gateway là 0.0.0.0. Chọn Create New cho Wan 2-VNPT tương tự.

3. Chọn thuật toán cân bằng tải (Load balancing Algorithm)

+ Volume (weighted): là thuật toán chi tỉ lệ traffic theo lệ %, trong ví dụ này ta chia Wan1 50% và Wan2 là 50%.

+ Sessions: Lưu lượng truy cập Internet sẽ chia theo các phiên làm việc, với mục đích chia đều các phiên làm việc liên tục khác nhau cho cả 2 Wan.

+ Spillover: Hoạt động theo ngưỡng băng thông . Chẳng hạn bạn thiết đặt spillover threshold trên Wan 1 là 5 Mbit như vậy lưu lượng truy cập mạng sẽ đi qua Wan 1 cho đến khi nào Wan 1 đạt mốc 5Mbit nó sẽ chuyển phiên làm việc tiếp theo cho Wan2.

+ Source - Destination Ip: Thuật toán Source - Destination Ip cố gắng chia đều lưu lượng giữa các giao diện được bao gồm trong giao diện SDWAN. Nó sử dụng các tiêu chí kết nối của các kết hợp địa chỉ IP nguồn và đích như một cách phân loại lưu lượng truy cập.

+ Source Ip: Hoạt động dựa trên địa chỉ nguồn trong vùng internal ra ngoài mạng (đại loại thuật toán round robin ). Các địa chỉ nội bộ LAN đi ra internet sẽ được thay đôi đi theo cổng 1 hoặc 2 luân phiên cho nhau.

SD-WAN Usage: Cho phép theo dõi lưu lượng truy cập mạng.

​

4. Kiểm tra cấu hình SD-WAN

Truy cập Network – SD-WAN Status Check
- Ở đây sử dụng giao thức ping để kiểm tra tình trạng hoạt động kết nỗi đường Wan.

​

5. Thiết lập Policy cho phép traffic trong hệ thống mạng nội bộ đi ra ngoài internet qua đường SD-WAN

Thiết lập Incoming Interface là internal và Outgoing interface là sd-wan vừa tạo ở trên.

​

6. Tạo Static route cho mạng nội bộ internal đi ra internet

​

7. Kiểm tra
+ Truy cập vào Network -> SD-WAN -> SD-WAN Usage. Kiểm tra lưu lượng truy cập qua Sd-Wan.

​

+ Hay kiểm tra trạng thái đường Sd-Wan bằng Status Check

- Network -> SD-WAN -> SD-WAN Status Check

​

- Monitor -> SD-WAN Monitor

​

+ Kiểm tra khả năng dự phòng khi thiết bị mất kết nối một đường (Ở đây giả sử ngắt kết nối WAN 1)

- Monitor -> SD-WAN Monitor. Ta thấy lưu lượng mạng bây giờ sẽ chuyển hoàn toàn qua đường WAN2.

​

Bài viết hướng dẫn cấu hình cân bằng tải SD-WAN trên Firewall FortiGate đến đây đã hoàn tất.

Chúc các bạn thực hiện thành công!

 

Video hướng dẫn cấu hình cân bằng Internet với tường lửa FortiGate bằng công nghệ SD-WAN (Fortigate Firewall Internet Balancing by WAN load balancing SD-WAN)

 

KIỂM TRA TÌNH TRẠNG LIÊN KẾT VỚI FORTIGATE SD-WAN – SLA Performance Check​

- Hôm nay, bài viết sẽ đi sâu vào phần kiểm tra hiệu xuất Fortinet SD-WAN SLA Performance, tính năng cũng được sử dụng để duy trì cách chuyển tiếp traffic dựa trên chất lượng của các tuyến liên kết.


THÔNG TIN THÊM:
- Bạn có thể cấu hình đến 2 server để kiểm tra sức khỏe của các interface thuộc SD-WAN. Việc này giúp đảm bảo rằng nếu health-check tìm thấy lỗi kết nối, interface là bị lỗi chứ không phải do server. Nếu một trong hai server thấy dẫn đáp ứng tiêu chí, đường link là tốt. FortiGate xóa interface khỏi một nhóm liên kết cân bằng tải SD-WAN nếu kết nối đó bị mất.


- FortiGate sử dụng server đầu tiên để bạn cấu hình trong danh sách server dành cho Health-check. Nếu server không sẵn sàng, FortiGate sử dụng server thứ hai và vẫn tiếp tục sử dụng server thứ hai khi nó còn sẵn sàng. Nếu server thứ hai này không hoạt động, FortiGate quay lại sử dụng server đầu tiên nếu nó đã khả dụng trở lại. Nếu cả hai server đều không sẵn sàng, Health-check sẽ báo lỗi.


- Bạn có thể cấu hình giao thức để kiểm tra trạng thái từng liển kết. Trong GUI, bạn có thể cấu hình Ping and HTTP. Trong CLI, bạn có thể cấu hình Ping, HTTP, TCP-Echo, UDP-Echo, và Two-Way Active Measurement Protocol (TWAMP).


CẤU HÌNH:
- Theo mặc định, không quy tắc nào được xác định trên SD-WAN để xác định liên kết nào mà chúng ta nên tránh nếu có bất kỳ sự cố nào như jitter, packet loss. Để tạo một rule chúng ta phải tạo một Performance SLA trước.

a. Cấu hình giám sát sức khỏe liên kết:
- Vào trang Network > Performance SLA > Create New.

​

- Bài viết này mình đang sử dụng DNS server của Google và đã chọn thủ công ra các SD-WAN interface tham gia vào. Chúng ta cũng có thể đặt một mức SLA mục tiêu để chúng ta có thể duy trì một phần thống kê nhất định. Ở đây, mình chỉ đang kiểm soát tỉ lệ packer loss, mà trong đó thấy rằng nếu có ít hơn 10% packet loss thì đường link có thể tham gia. Tùy nhiên, nếu chúng vượt quá 10% thì nó sẽ không được xem xét cho việc kết nối internet.

- Mỗi một interface độc lập đang đi ra tới cả hai server và ping để đo thông số (jitter ,loss, latency). Nếu FortiGate phát hiện lỗi và mất 5 packet thì nó sẽ bỏ đường link khỏi nhóm.

​

- Màu xanh lục là health-check. Nó cũng có nghĩa là một đồ thị thống kê tốt. Lưu ý rằng mục này không đưa bất kỳ interface ra ngoài nếu chúng ta không đặt một rule trong đó. Do đó trong trường hợp nếu đường link >10% packet loss thì nó sẽ không xóa bỏ interface. Mức SLA ràng buộc với các rule. Trong phần hành động được đưa ra khi không còn hoạt động (Actions when Inactive), chỉ định những gì sẽ xảy ra khi WAN link không còn hoạt động. Kích hoạt cập nhật bảng Static route nếu bạn muốn tắt các định tuyến tĩnh cho các interface không hoạt động và khôi phục các route khi các interface này hoạt động trở lại.


b.Cấu hình các SD-WAN rule:
- Vào trang Network > Performance SLA > Create New cấu hình demo như sau:

• Name: tên Internet_Rule1
• Source > Source address: All
• Destination
  • Address: All
  • Protocol: ANY
• Outgoing Interfaces: chọn Lowest Cost (SLA)
• Interface preference: chọn các interface (port2 & port3)

​

- Tiến hành kiểm thử và xác nhận lại.

​

- Dựa trên kết quả traceroute, chúng ta hiện đang sử dụng link interface đầu tiên trài ngược với hành vi trước đó, theo đó traffic được cân bằng tải trên từng src-to-dst và lý do điều này là chúng tối không tuân theo một implicit rule.

​

- Packet loss được tạo.

​

- Khi có 13% packet loss được phát hiện.

​

- Lệnh CLI Command: diagnose sys sdwan health-check

​

- Lúc này, đường port2 đang được sử dụng.

- Next-Hop tới 172.16.1.1(port2) vẫn có trong bảng routing tuy nhiên nó không thường được sử dụng do chính sách SD-WAN policy.

​

- Xem qua Event logs (Event > SD-WAN Events)

​

- Nếu chúng ta vô hiệu hóa interface và phát hiện 100% packet loss thì có thể thấy được static route hiện cho port2 bị xóa.

​

- Xem lại trong Event logs (Event > System Events).

​