Sophos [Lab 5] Cấu Hình SDwan Policy Based Routing Trên SophosXG

phile

Moderator
CẤU HÌNH SDWAN POLICY BASED ROUTING TRÊN SOPHOSXG
Tài liệu này sẽ hướng dẫn cấu hình SDwan Policy Based Routing trên SophosXG v18.5.
1. Mô hình và yêu cầu của bài lab
a. Mô hình bài lab
1632925231209.png

b. Yêu cầu bài lab
 • Cấu hình sao cho các traffic về VoIP và Web Mail để đi qua thông qua cổng WAN1 và cổng WAN2 sẽ backup nếu WAN1 xảy ra vấn đề thì traffic sẽ được cổng WAN2 forward.
 • Cấu hình sao cho các traffic về Social Networking và Download Applications sẽ đi qua thông qua cổng WAN2 và khi WAN2 xảy ra vấn đề thì các traffic này sẽ bị drop.
 • Cấu hình sao cho các traffic về Remote Access và File Transfer sẽ được load balance trên 2 cổng WAN1 và WAN2.
2. Thực hiện cấu hình
a. Cấu hình cổng Wan thứ 2 cho SophosXG
Sau khi đã add thêm 1 adapter cho SophosXG ta cần phải reboot SophosXG để nó nhận được nic mới add, khi reboot xong ta sẽ thấy một cổng mới trong phần Network ta tiến hành đặt ip và gateway cho cổng đó như hình.
1632926032862.png

Tiếp theo ta sẽ phải cấu hình load balance cho cổng WAN2 ta vào phần Network->WAN link manager chọn cổng WAN2 ở đây ta sẽ thấy có 2 kiểu là Active và Backup nếu chọn Active thì WAN2 sẽ hoạt động song song với WAN1 còn nếu chọn Backup thì khi cổng WAN1 down thì cổng WAN2 sẽ forward traffic dựa vào các Action mà ta cấu hình. Ở bài lab này ta sẽ dùng Active, tiếp theo là thông số weight dùng để chia tải với WAN1 theo công thức sau (áp dụng cho SophosXG có 2 cổng WAN):
 • pt1 = w1 x pt
 • pt2 = w2 x pt
Trong đó:
 • w1 là weight của WAN1
 • w2 là weight của WAN2
 • pt bằng 100/(w1+w2)
 • pt1 là % traffic được forward trên cổng WAN1
 • pt2 là % traffic được forward trên cổng WAN2
Ở bài lab này ta để weight của WAN1 là 2 và WAN2 bằng 1 nên traffic sẽ được chia 66.67% cho WAN1 và 33,33% cho WAN2.
Cuối cùng là rule để health check cổng WAN2 ở đây sẽ có 2 lựa chọn 1 là ICMP 2 là TCP, ở bài lab này ta chọn ICMP tới gateway của cổng WAN2 nếu ping fail thì sẽ chuyển traffic qua cổng WAN khác (option duy nhất).
1632926462919.png

Lưu ý: Cần cấu hình rule cũng như NAT cho cổng WAN2 giống với WAN1

b. Cấu hình Policy Based Routing cho traffic VoIP và Mail
Sau khi hoàn thành việc setup cổng WAN2 ta sẽ bắt đầu cấu hình SDWAN policy routing bằng cách vào phần Routing->SD-WAN policy routing->Add tại đây ta sẽ thiết lập các cấu hình:
 • Incoming interface: insterface sẽ nhận traffic (LAN).
 • DSCP marking: Nếu bên trong mạng LAN có dùng QoS thì có thể phân loại dựa vào DSCP.
 • Source networks: Có thể là ip, network, ip range ,mac,... trong mạng LAN.
 • Destination networks: giống như phần Source networks.
 • Services: có thể là bất cứ dịch vụ nào mà bạn muốn giao tiếp.
 • Application object: các ứng dụng để phân biệt giữa các traffic,ở đây Sophos có hỗ trợ sẵn cho ta một số ứng dụng.
 • User or groups:có thể match traffic cho từng user hoặc groups mà ta cấu hình.
 • Primary gateway: là cổng WAN sẽ forward traffic mà ta đã cấu hình định danh ở trên.
 • Backup gateway: là cổng WAN backup trong trong trường hợp Primary fail(dựa vào rule health check ở trong phần WAN link manager để xác định) thì nó sẽ forward traffic thay cho Primary.
 • Override gateway monitoring decision: Nếu tích chọn thì traffic chỉ forward trên Primary cho dù Primary fail thì nó cũng không chuyển qua backup (traffic sẽ bị drop).
1632928561926.png
1632928611851.png

Lưu ý:
 • Đối với kết nối đầu tiên, Sophos Firewall thực hiện SD-WAN policy route dựa trên IP, Destination Port, Protocol và Incomming Interface. Nếu traffic không match với các object trên nó sẽ load balacing trên 2 cổng WAN.
 • Quá trình routing lookup của Sophos sẽ theo thứ tự sau: Route on routing table (bao gồm static, connected, dynamic)->VPN route->SDwan route->Load balacing 2 cổng WAN (ta có thể thay đổi thứ tự này trong phần Device console bằng lệnh system route_precedence set ... thứ tự các route )
Kiểm tra bằng cách truy cập google mail từ PC trong lớp 172.16.199.0/24 lúc này ta thấy gateway ID có định dạng 0x800 (số cuối dùng để chỉ cổng WAN 1 là WAN1, 2 là WAN2) có nghĩa là đang dùng SDwan route, 0x400 là đang dùng route trong routing table và 0x200 là dùng VPN route.
1632931112774.png

Nếu WAN1 down thì traffic sẽ được chuyển cho WAN2.
1632931381046.png
1632931460728.png

c. Cấu hình Policy Based Routing cho traffic Social Networking và Download Applications
Ta sẽ cấu hình tương tự như trên đối với trafic Social Networking và Download Applications.
1632931613054.png
1632931642958.png


d. Cấu hình Policy Based Routing cho traffic Remote Access và File Transfer
Ta cũng tiến hành làm tương tự như trên cho traffic Remote Access và File Transfer.
1632931942132.png

Phi​
 

Attachments

Last edited:
Top