1.Mục đích bài viết
Trong bài viết này thegioifirewall sẽ hướng dẫn các bạn cách cấu hình routing traffic truy cập internet của máy chủ thông qua IP WAN Alias cố định.
2.Sơ đồ mạng
Chi tiết sơ đồ mạng:
Đường truyền internet được kết nối tại port 2 của thiết bị tường lửa Sophos XG Firewall có tên là ISP – Viettel IDC và có IP là 171.x.x.195.
Ngoài ra cũng trên port 2 chúng ta sẽ có thêm 4 IP WAN Alias như sau:
- Port 2 – WAN 1 (Alias IP): 171.x.x.200.
- Port 2 – WAN 2 (Alias IP): 171.x.x.199.
- Port 2 – WAN 3 (Alias IP): 171.x.x.198.
- Port 2 – WAN 3 (Alias IP): 171.x.x.197.
Lớp mạng LAN được cấu hình tại port 1 của thiết bị tường lửa Sophos XG Firewall với IP 172.16.31.1/24 và được cấu hình DHCP Server để cấp phát IP cho các thiết bị kết nối vào.
Cuối cùng là thiết bị máy chủ chạy database có IP 172.16.31.10/24 được kết nối vào port 1 và có tên là IMBX3850-DB-NEW.
3.Tình huống cấu hình
Thegioifirewall sẽ thực hiện cấu hình routing traffic truy cập internet của máy chủ IBMX3850-DB-NEW thông qua Port 2 – WAN 1 với IP 171.x.x.200.
4.Các bước thực hiện
- Tạo Host profile.
- Tạo SD-WAN Policy.
- Tạo Firewall Rule và NAT Rule.
- Kiểm tra kết quả.
5.Hướng dẫn cấu hình
5.1.Tạo Host profile.
Vào Hosts and Services > IP Host và nhấn Add để định nghĩa máy chủ với các thông số sau:
- Name*: IBMX3850-DB-NEW.
- IP version*: IPv4.
- Type*: IP
- IP address*: 172.16.31.10.
- Nhấn Save.
Tương tự chúng ta cũng tạo một host profile cho Port 2 – WAN 1 với IP 171.x.x.200
- Name*: 171.x.x.200.
- IP version*: IPv4.
- Type*: IP
- IP address*: 171.x.x.200.
- Nhấn Save.
5.2.Tạo SD-WAN Policy
Vào CONFIGURE > Routing > SD-WAN routes và cấu hình với các thông số sau:
- Name: test.
- Source networks: chọn host profile IBMX3580-DB-NEW.
- Destination networks: Any.
- Services: Any.
- Application objects: Any.
- User or group: Any.
- Primary gateway: chọn ISP – Viettel IDC.
- Nhấn Save.
5.3.Tạo firewall và NAT rule.
Để tạo vào PROTECT > Rules and policies > Firewall rules > Add Firewall rule > New firewall rule.
Cấu hình theo các thông số sau:
- Rule status: ON
- Rule Name: IMBX3850-DB-NEW to WAN.
- Action: chọn Accept.
- Log firewall traffic: chọn.
- Source zones: LAN.
- Source networks and devices: chọn host profile IBMX3850-DB-NEW.
- Destination zones: WAN.
- Destination networks: Any.
Cũng tại phần cấu hình policy chúng ta nhấn Create linked NAT rule để tạo NAT rule với các thông sau:
- Translated source (SNAT): chọn MASQ.
- Tích chọn Override source translation (SNAT) for specific outbound interfaces.
- Outbound interface: chọn Port 2 – WAN 1.
- Translated source: chọn host profile 171.x.x.200.
- Nhấn Save.