TAI LIEU HUONG DAN CAU HINH FORTIGATE TIENG VIET
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.21 MB, 14 trang )
CHAP1: GUI hay CLI?
Nếu xoay quanh GUI hay CLI cái nào nhanh hơn thì em khơng có ý kiến, vì em dùng cả hai.
GUI: Dễ sử dụng cho đại đa số, có gần như đầy đủ các tác vụ cơ bản đến nâng cao.
CLI: Để cấu hình các tính năng trên GUI khơng có, để trouble shooting và đặc biệt là cấu hình các thao
tác lặp đi lặp lại.
Ví dụ: Làm sao để cấu hình 10 Network Object LAN 1 đến LAN 10?
Đầu tiên em vẫn tạo 1 Object cho LAN 1 như bình thường. Hoặc ai nhớ lệnh thì có thể bỏ qua bước này.
Show cấu hình trong CLI (Sử dụng Putty hoặc phần mềm khác để có thể Copy lệnh)
Chuẩn bị 1 File Excel. (Cái này đúng ra phải có khi bắt đầu phân hoạch IP cho hệ thống)
Copy thành quả ra Notepad và bỏ các dấu “ngoặc kép” khó chịu này đi thơi.
Sau khi bỏ các dấu “ngoặc kép” thì đã đến lúc copy và paste các lệnh này vào giao diện CLI
Tất nhiên trick này có thể dùng cho tất cả các loại thiết bị có giao diện CLI. Nhưng em khuyến cáo copy
từng chút lệnh một thơi. Copy nhiều lệnh 1 lúc chúng nó dễ đình cơng lắm.
CHAP 2 : ZONE
Nếu các bác đã đụng đến NGFW (Next Generation Firewall) thì chắc hẳn các bác đã thấy Zone. (Thực sự
xin lỗi vì em sinh ra ở cuối Gen Y, cũng không được tiếp xúc với Firewall thế hệ trước).
Em vẫn hay thấy phần lớn mọi người cấu hình IP cho mỗi dải mạng LAN tương ứng với 1 Interface.
Hoặc đặt Ip theo Sub-Interface (LACP các Link từ Firewall xuống Switch)
Role WAN, LAN, DMZ theo kinh nghiệm của em chỉ là để hiển thị trong thống kê cho đẹp. Em vẫn thường
để các Interface có Default Gateway là WAN, các Interface khác là Undefined.
Nhưng quan trọng là khi tạo Firewall Policy nó thực sự rất rối mắt và mất công.
Để giải quyết các sự trùng lặp về Firewall Policy như này thì có 2 cách.
Cách 1: Bật tính năng Multiple Interface Policies
Tuy nhiên khi chọn cấu hình theo cách này sẽ khơng thể nào xem các Policy theo Interface Pair View
nữa. Khi có đến hàng nghìn chính sách, việc tìm Policy sẽ thực sự khó khăn.
Cách 2: Sử dụng Zone.
Gần như tất cả các loại Firewall mà em biết đều có Zone, có những dịng bắt buộc phải gán Interface vào
1 Zone mới sử dụng được.
Sau khi đã nhóm các member vào Zone, Trên Firewall Policy sẽ chỉ tạo được Policy theo Zone
Khi chỉ có 1 Interface, có nên tạo Zone cho nó khơng?
Trong ví dụ dưới đây chỉ có 1 dải mạng DMZ, có Policy cho phép DMZ ra internet và từ LAN vào
DMZ_WEB server.
Trường hợp 1: Khi cần mở rộng thêm dải DMZ thứ 2 sẽ lại lặp lại bài toán như ban đầu.
Trường hợp 2: Khi cần thay đổi VLAN của dải DMZ sẽ phải xóa hoặc thay đổi tạm các Interface liên quan
đến DMZ trong Firewal Policy sang 1 interface khác -> Xóa Sub-Interface -> Tạo Sub-Interface với VLAN
mới. Nó làm giảm tính linh hoạt trong hệ thống mạng.
Khi sử dụng Zone, việc thay đổi xóa, sửa interface chỉ làm thay đổi member của Zone, không làm ảnh
hưởng đến phần cấu hình các Policy trên Zone.
Có nên tạo Zone cho nhiều đường FTTH ?
Mời các bác đón xem CHAP3: Zone + Policy Based Routing vs SD-WAN rule
CHAP 2 : ZONE + POLICY-BASED ROUTING VS SD-WAN RULE
Trước khi nói về Policy-Based Routing (PBR) thì cùng điểm lại về cách các thiết bị Layer 3 chuyển tiếp gói
tin đến đích.
Thơng thường, khi có nhiều tuyến đường (route) đến cùng 1 đích trong bảng định tuyến (Routing
Information Base – RIB) các thiết bị mạng sẽ chọn tuyến đường tốt nhất và thêm nó vào bảng chuyển
tiếp của nó (Forwarding Information Base - FIB), ngay cả khi có 2 đường có chi phí bằng nhau nó cũng chỉ
chọn 1 đường và không sử dụng bất kỳ tuyến đường nào khác trừ khi có sự cố trong tuyến đường đã
chọn.
Equal Cost Multiple Path (ECMP) là 1 tính năng cho phép thiết bị mạng như router, switch hay firewall sử
dụng nhiều đường dẫn tốt nhất có chi phí bằng nhau đến cùng 1 đích. Các tuyến đường này sẽ được
ECMP đưa vào bảng định tuyến và cân bằng tải lưu lượng để tăng băng thông của hệ thống.
Cân bằng tải ECMP được thực hiện ở cấp phiên (session), không phải ở cấp gói (Packet) – thời điểm bắt
đầu một phiên mới là khi thiết bị mạng (ECMP) chọn một đường dẫn chi phí ngang nhau để truyền tải
gói tin.
Tham khảo: />Mặc định trên Fortigate, khi có nhiều WAN khác nhau, ECMP được sử dụng để cân bằng tải các gói tin
khi có nhiều tuyến đường có chi phí bằng nhau. Trong đó trường hợp có nhiều Default-Route là
trường hợp thường gặp nhất.
Như vậy khi gom 2 đường WAN vào một Zone, ECMP sẽ được Firewall sử dụng để cân bằng tải các Route
đến cùng 1 đích có Priority bằng nhau và nhỏ nhất.
Firewall Policy chỉ cần tạo 1 Policy duy nhất cho 2 WAN.
Khi cần cho 1 Host nào đó (Ví dụ Mail Server, Server cần Active License theo IP Public cố định…) ra ngoài
Internet bằng 1 WAN cố định sẽ phải dùng đến Policy Routes (Policy-Based Routing) trên Fortigate.
Ví dụ bên dưới là đẩy traffic của WEB và MAIL theo FTTH2
Policy Routes sẽ được Firewall check lần lượt từ trên xuống dưới
Cũng như Cisco hay các thiết bị khác, Routing Information Based sẽ chỉ được thiết bị sử dụng sau PolicyBased Routing, thế nên cần có 1 Rule Deny các Local traffic khỏi Policy Routing.
*Lưu ý: Sử dụng Group Object có thể làm rút gọn Rule bên trên, trong bài này em để riêng từng Object
để các bác có thể thấy rõ hơn.
Khi dùng Zone + Policy Based Routing trên Fortigate sẽ đáp
ứng được các yêu cầu cơ bản.
Tuy nhiên còn thiếu tính năng check trạng thái của đường
truyền trước khi thực hiện Policy Routing.
Ví dụ bên phải là cấu hình trên Cisco Router, trước khi gói
tin được đẩy theo 1 interface nào đó sẽ phải được check
bằng các Track Object.
Để làm được điều này trên Fortigate, cần sử dụng tính
năng SD-WAN
Việc add các đường WAN vào SD-WAN Zone về bản chất cũng gần tương tự như add vào 1 Zone bình
thường. Tuy nhiên có thêm phần khai báo Next-hop và Cost.
Tạo SLA check ping 8.8.8.8
Tạo SD-WAN Rule đẩy MAIL và WEB theo Interface FTTH-2, SLA Heal-check Ping_8.8.8.8
Các Manual SD-WAN Rule sẽ được Firewall check từ trên xuống dưới, khi không match với bất cứ 1
SD- WAN Rule nào Firewall sẽ thực hiện Load Balancing theo Default SD-WAN Rule
Có thể đổi mode Load-Balancing của Default SD-WAN Rule theo nhu cầu.
Sau khi đã thiết lập xong các SD-WAN Rule, việc tạo Firewall policy tương tự như khi add các đường FTTH
vào 1 Zone bình thường.
Việc định tuyến, điều hướng traffic đã được thiết lập trên Fortigate. Tuy nhiên việc giao tiếp giữa Public
và Internal, hay chỉ đơn giản là các vùng mạng không thể định tuyến tới nhau phải cần SNAT hoặc DNAT.
Trên Fortigate mặc định khơng có một mục riêng để cấu hình NAT như các thiết bị bình thường. Vậy cấu
hình NAT trên Fortigate như nào để hệ thống hoạt động như mong muốn?
Mời các bác đón xem CHAP4: NAT
