1.Mục đích bài viết
Bài viết hướng dẫn cách cấu hình routing ứng dụng đi theo một đường internet được chỉ định.
2.Sơ đồ mạng
Chi tiết sơ đồ mạng:
- Có 2 đang đường đang kết nối vào tường lửa Palo Alto và chạy Load Balacing, đường truyền internet WAN 1 kết nối vào port ethernet1/1 của Palo Alto Firewall với IP 14.169.x.x.
- Đường truyền WAN đang kết nối vào tường lửa Palo Alto tại port ethernet1/2 với IP 192.168.15.2.
- Port ethernet1/4 sẽ thuộc vùng LAN của tường lửa Palo Alto có IP 172.16.31.1/24 và đã được cấu hình DHCP để cấp phát IP.
- Cuối cùng là 2 laptop trong mạng LAN.
- Laptop 1 có IP 172.16.31.100/24.
- Laptop 2 có IP 172.16.31.101/24.
3.Tình huống cấu hình
Chúng ta sẽ thực hiện cấu hình routing ứng dụng để khi người dùng trên laptop 1 sử dụng ứng dụng Skype thì traffic của ứng dụng này sẽ đi bằng đường WAN 1.
Tương tự chúng ta sẽ cấu hình routing ứng dụng để khi người dùng trên laptop 2 sử dụng ứng dụng Telegram thì traffic của ứng dụng này sẽ đi bằng đường WAN.
4.Các bước thực hiện
- Tạo Address Objects cho Laptop 1 và Laptop 2.
- Tạo Security Policy cho Laptop 1.
- Tạo Security Policy cho Laptop 2.
- Kiểm tra kết quả.
5.Hướng dẫn cấu hình
5.1.Tạo Address Objects cho Laptop 1 và Laptop 2
Để tạo vào Objects > Addresses > nhấn Add và tạo với các thông số sau:
- Name: Laptop 1.
- Type: IP Netmask – 172.16.31.100.
- Nhấn OK.
Tương tự nhấn Add 1 lần nữa để tạo Address Objects cho Laptop 2 với thông số sau:
- Name: Laptop 2.
- Type: IP Netmask – 172.16.31.101.
- Nhấn OK.
Nhấn Commit và OK để lưu các thay đổi cấu hình.
5.2.Tạo Security Policy cho Laptop 1
Để tạo vào Policies > Security > nhấn Add.
Tạo với các thông số sau:
General tab
- Name: Routing_Laptop1_For_Skype
Source tab:
- Source Zone: nhấn Add và chọn LAN zone.
- Source Address: nhấn Add và chọn Address Objects Laptop 1.
Destination tab:
- Destination Zone: chọn WAN1.
Application tab:
- Nhấn Add và chọn Skype.
Action tab:
- Action: chọn Allow.
- Log Setting: chọn Log at Session End.
- Nhấn OK.
Nhấn Commit và OK để lưu các thay đổi cấu hình.
5.3.Tạo Security Policy cho Laptop 2
Để tạo vào Policies > Security > nhấn Add.
Tạo với các thông số sau:
General tab
- Name: Routing_Laptop1_For_Telegram
Source tab:
- Source Zone: nhấn Add và chọn LAN zone.
- Source Address: nhấn Add và chọn Address Objects Laptop 2.
Destination tab:
- Destination Zone: chọn WAN.
Application tab:
- Nhấn Add và chọn Telegram.
Action tab:
- Action: chọn Allow.
- Log Setting: chọn Log at Session End.
- Nhấn OK.
Nhấn Commit và OK để lưu các thay đổi cấu hình.
5.4.Kiểm tra kết quả
Chúng ta sẽ thực hiện sử dụng 2 ứng dụng Skype và Telegram để kiểm tra kết quả.
Trên Laptop1 sử dụng ứng dụng Skype để gọi điện thoại.
Sau đó vào Monitor > Logs > Traffic để kiểm tra.
Kết quả chúng ta có thể thấy được là traffic của ứng dụng Skype mà Laptop1 sử dụng đã đi qua đường WAN1 với policy Routing_Laptop1_For_Skype.
Tương tự laptop 2 chúng ta cũng sử dụng ứng dụng Telegram gọi điện thoại.
Sau đó vào Monitor > Logs > Traffic để kiểm tra.
Kết quả chúng ta có thể thấy được là traffic của ứng dụng Skype mà Laptop2 sử dụng đã đi qua đường WAN với policy Routing_Laptop1_For_Telegram.