1.Mục đích bài viết
Trong bài viết này thegioifirewall sẽ hướng dẫn các bạn cách cấu hình tính Policy Based Forwarding trên thiết bị tường lửa Palo Alto.
2.Policy Based Forwarding là gì và công dụng của nó ?
Policy Based Forwarding là một policy hay nói đúng hơn là một ngoại lệ cho phép người quản trị có thể thực hiện thay đổi đường đi internet của các máy trạm theo nhu cầu của họ mà không ảnh hưởng đến các policy khác trong tường lửa.
Ví dụ trên thiết bị Palo Alto chúng ta chạy load balancing 2 đường WAN và WAN1. Khi đó các traffic trong mạng LAN sẽ phân phối ngẫu nhiên qua hai đường WAN này.
Giả sử bạn có một server hoặc máy người dùng sử dụng các phần mềm quốc tế và WAN1 lại đáp ứng điều đó tốt hơn nhưng server hoặc máy người dùng đó lại đang chạy đường WAN.
Lúc này Policy Based Forwarding sẽ giúp bạn điều chỉnh cố đường đi internet của server hoặc máy người dùng sang WAN1 để đáp ứng nhu cầu của bạn.
3.Sơ đồ mạng
Chi tiết sơ đồ mạng:
- Chúng ta có 2 kết nối internet kết nối đầu tiên ở cổng E1/1 có IP 14.169.x.x thuộc WAN1 zone và kết nối internet thứ hai ở cổng E1/2 có IP 115.78.x.x thuộc WAN zone.
- Phía trong là lớp mạng LAN được cấu hình tại cổng E1/3 với IP 172.16.16.1/24 và được cấu hình DHCP Server.
- Cuối cùng là Laptop 1 được kết nối với port E1/3 có IP 172.16.16.130/24.
4.Tình huống cấu hình
Khi kết nối máy tính vào mạng LAN thegioifirewall đã kiểm tra và thấy Laptop 1 đang truy cập internet bằng đường WAN1 thông qua lệnh tracert.
Thegioifirewall sẽ thực hiện cấu hình Policy Based Forwading để điều chỉnh đường đi internet của Laptop 1 sang WAN.
5.Hướng dẫn cấu hình
Vào Policies > Policy Based Forwarding > nhấn Add.
Tạo theo các thông số sau:
General tab:
- Name: Route_WAN
Source tab:
- Zone: LAN
- Source Address: 172.16.16.130
Destination/Application/Service tab:
- Destination Address: 0.0.0.0/0
- Application: chọn Any
- Service: chọn Any
Forwarding tab:
- Action: Forward
- Egress Interface: chọn ethernet1/2 (cổng WAN)
- Next hop: chọn IP Address và điền IP của cổng WAN vào ô bên dưới.
- Monitor: tích chọn
- Profile: chọn default
- Tích chọn Disable this rule if nexthop/monitor is unreachable
- IP Address: 8.8.8.8
- Với tính năng Disable này thì thiết bị tường lửa sẽ thực hiện test kết nối địa chỉ IP nexthop mà chúng ta nhập phía trên bằng cách ping đến địa chỉ google 8.8.8.8, nếu kết nối bị ngắt thì thiết bị sẽ tự động tắt policy này để không ảnh hưởng đến kết nối.
- Nhấn OK để lưu
Nhấn Commit và OK để lưu các thay đổi cấu hình.
Sau khi cấu hình hoàn thành chúng ta sẽ quay trở lại Laptop 1 và thực hiện truy cập internet.
Sau đó vào Monitor > Traffic trên thiết bị Palo Alto và chúng ta sẽ thấy rằng kết nối internet của Laptop 1 đã đi theo đường WAN.