The Maestro
Moderator
Tài liệu này sẽ hướng dẫn cách cấu hình dự phòng Static Route trên Firewall Fortinet
Đặt vấn đề: Trong môi trường doanh nghiệp, hệ thống của khách hàng không sử dụng các Dynamic Route phổ biến như OSPF, RIP,... Các thiết bị trong hệ thống đều thống nhất sử dụng Static Route xuyên suốt trong quá trình vận hành. Khác với Dynamic Route, đặc điểm của Static Route là không tự động update routing table nếu gặp sự cố, dẫn đến hệ thống không có tính dự phòng khi có 1 uplink gặp sự cố (hỏng module, dây cáp,...). Với các NGFW hiện nay như Check Point hoặc Fortinet thì có tính năng update routing table dựa vào chỉ số AD (Administrative Distance) khi cấu hình Static route để ưu tiên route nào chạy chính/phụ. Từ đó, cung cấp thêm tính sẵn sàng chuyển sang route phụ để chạy trong trường route chính có vấn đề.
Mô hình bài LAB:
Luồng của traffic:
Lưu ý: Đối với các Route đến TTĐK, cấu hình thêm chỉ số AD cho route, Fortinet sẽ dựa vào đây mà ưu tiên route chính/phụ. Chỉ số AD càng thấp -> độ ưu tiên càng cao.
Kiểm tra cấu hình bằng câu lệnh: show system link-monitor
Sau đó, shutdown 1 uplink trên route chính để kiểm tra failover
Sau khi shutdown uplink, kiểm tra thấy rớt 1 gói (Request timed out) và tracert thì thấy đường đi của traffic được cập nhật
Trả lại hiện trạng ban đầu bằng cách uplink lại đường vừa shutdown
Tracert -d từ máy GATEWAY -> máy TTĐK thì thấy route đã trả về lại route chính để hoạt động
CHÚC CÁC BẠN THÀNH CÔNG ~
Đặt vấn đề: Trong môi trường doanh nghiệp, hệ thống của khách hàng không sử dụng các Dynamic Route phổ biến như OSPF, RIP,... Các thiết bị trong hệ thống đều thống nhất sử dụng Static Route xuyên suốt trong quá trình vận hành. Khác với Dynamic Route, đặc điểm của Static Route là không tự động update routing table nếu gặp sự cố, dẫn đến hệ thống không có tính dự phòng khi có 1 uplink gặp sự cố (hỏng module, dây cáp,...). Với các NGFW hiện nay như Check Point hoặc Fortinet thì có tính năng update routing table dựa vào chỉ số AD (Administrative Distance) khi cấu hình Static route để ưu tiên route nào chạy chính/phụ. Từ đó, cung cấp thêm tính sẵn sàng chuyển sang route phụ để chạy trong trường route chính có vấn đề.
Mô hình bài LAB:
Luồng của traffic:
- GATEWAY -> Fortinet TRẠM -> Switch1 -> Fortinet TTĐK -> TTĐK (và ngược lại) làm route chính
- GATEWAY -> Fortinet TRẠM -> Switch2 -> Fortinet TTĐK -> TTĐK (và ngược lại) làm route phụ
1. Cấu hình trên Fortinet TRẠM
a. Cấu hình IP Interface cho các port của Fortinet TRẠM
b. Cấu hình Static Route cho Fortinet TRẠM
Lưu ý: Đối với các Route đến TTĐK, cấu hình thêm chỉ số AD cho route, Fortinet sẽ dựa vào đây mà ưu tiên route chính/phụ. Chỉ số AD càng thấp -> độ ưu tiên càng cao.
c. Cấu hình Monitor Link trên CLI của Fortinet TRẠM
Mã:
config system link-monitor
edit "1"
set srcintf "port3" # port nguồn để gửi gói tin kiểm tra
set server "192.168.7.1" # IP của thiết bị đích để Fortinet ping đến để kiểm tra route có phản hồi không?
set gateway-ip 192.168.3.2 # Default gateway của route
set update-static-route enable # Bật tính năng update lại routing table
next
endKiểm tra cấu hình bằng câu lệnh: show system link-monitor
d. Cấu hình Policy cho Fortinet TRẠM
2. Thực hiện tương tự cho Fortinet TTĐK và cấu hình IP Interface, Route cho 2 thiết bị SWITCH
3. Kiểm thử kết quả
Thực hiện ping từ máy GATEWAY (192.168.1.10) -> máy TTĐK (192.168.5.10). Khi tracert -d thì thấy đi đường route chính
Sau đó, shutdown 1 uplink trên route chính để kiểm tra failover
Sau khi shutdown uplink, kiểm tra thấy rớt 1 gói (Request timed out) và tracert thì thấy đường đi của traffic được cập nhật
Trả lại hiện trạng ban đầu bằng cách uplink lại đường vừa shutdown
Tracert -d từ máy GATEWAY -> máy TTĐK thì thấy route đã trả về lại route chính để hoạt động
CHÚC CÁC BẠN THÀNH CÔNG ~
Bài viết liên quan
Được quan tâm
Bài viết mới