1.Mục đích bài viết
Bài viết hướng dẫn cách cấu hình sử dụng SD-WAN để cấu hình routing ứng dụng đi theo một đường internet được chỉ định theo user.
2.Sơ đồ mạng
Chi tiết sơ đồ mạng:
- Có 2 đang đường đang kết nối vào tường lửa Sophos và chạy Load Balacing, đường truyền internet ISP 1 kết nối vào Port 2 của Sophos Firewall với IP 192.168.2.103.
- Đường truyền ISP 2 đang kết nối vào tường lửa Sophos tại Port 3 với IP 192.168.2.117.
- Port 1 sẽ thuộc vùng LAN của tường lửa Sophos có IP 10.145.41.1/24 và đã được cấu hình DHCP để cấp phát IP.
- Cuối cùng là 2 laptop trong mạng LAN.
- Laptop 1 có IP 10.145.41.53/24, được xác thực captive portal bằng user1.
- Laptop 2 có IP 10.145.41.51/24, được xác thực captive portal bằng user2.
3.Tình huống cấu hình
Chúng ta sẽ thực hiện cấu hình SD WAN để khi người dùng trên laptop 1 được xác thực bằng user1 sử dụng ứng dụng Skype thì traffic của ứng dụng này sẽ đi internet bằng đường ISP 1.
Tương tự chúng ta sẽ cấu hình SD WAN để khi người dùng trên laptop 2 được xác thực bằng user2 sử dụng ứng dụng Telegram thì traffic của ứng dụng này sẽ đi internet bằng đường ISP 2.
4.Các bước thực hiện
- Tạo profile cho lớp mạng LAN.
- Tạo SD-WAN policy routing cho user 1.
- Tạo SD-WAN policy routing cho user 2.
- Kiểm tra kết quả.
5.Hướng dẫn cấu hình
5.1.Tạo profile cho lớp mạng LAN
Để tạo vào Hosts and services > nhấn Add và tạo với các thông số sau:
- Name*: Local.
- IP version*: IPv4.
- Type*: Network.
- IP address*: 10.145.41.0 – Subnet /24(255.255.255.0)
- Nhấn Save.
5.2.Tạo SD-WAN policy routing cho user 1
Để tạo vào CONFIGURE > Routing > SD-WAN policy routing > nhấn Add.
Tạo với các thông số sau:
- Name*: Routing_User1_For_Skype
- Ở mục Incoming: chọn cổng LAN của Sophos là Port1-10.145.41.1.
- Ở mục Source networks: Chọn profile của lớp mạng LAN của Sophos là Local.
- Ở mục Destination networks: chọn Any
- Ở mục Services: Chọn Any
- Ở mục Application object: Nhấn Add new item và bỏ chọn Any.
- Nhấn Create New > bảng Create application object hiện lên.
- Object Name*: Skype
- Chọn Select individual application.
- Tại cột Name nhấn vào biểu tượng đồng hồ cát và gõ Skype vào bảng Filter.
- Nhấn Apply.
- Tích chọn ứng dụng Skype và nhấn Save.
- Ở mục User and groups: chọn user1@learningit.xyz.
- Ở mục Primary gateway: Chọn cổng WAN mà bạn muốn dịch vụ chạy theo đường đó, ở đây sẽ chọn ISP 1.
- Ở mục Backup gateway: Chọn cổng WAN khác mà bạn muốn fail over cho đường WAN chính (nếu không sử dụng thì để trống)
- Nhấn Save để lưu lại
5.3.Tạo SD-WAN policy routing cho user 2
Để tạo vào CONFIGURE > Routing > SD-WAN policy routing > nhấn Add.
Tạo với các thông số sau:
- Name*: Routing_User2_For_Telegram
- Ở mục Incoming: chọn cổng LAN của Sophos là Port1-10.145.41.1.
- Ở mục Source networks: Chọn profile của lớp mạng LAN của Sophos là Local.
- Ở mục Destination networks: chọn Any
- Ở mục Services: Chọn Any
- Ở mục Application object: Nhấn Add new item và bỏ chọn Any.
- Nhấn Create New > bảng Create application object hiện lên.
- Object Name*: Skype
- Chọn Select individual application.
- Tại cột Name nhấn vào biểu tượng đồng hồ cát và gõ Telegram vào bảng Filter.
- Nhấn Apply.
- Tích chọn ứng dụng Telegram và nhấn Save.
- Ở mục User and groups: chọn user2@learningit.xyz.
- Ở mục Primary gateway: Chọn cổng WAN mà bạn muốn dịch vụ chạy theo đường đó, ở đây sẽ chọn ISP 2.
- Ở mục Backup gateway: Chọn cổng WAN khác mà bạn muốn fail over cho đường WAN chính (nếu không sử dụng thì để trống)
- Nhấn Save để lưu lại
5.4.Kiểm tra kết quả
Chúng ta sẽ thực hiện sử dụng 2 ứng dụng Skype và Telegram để kiểm tra kết quả.
Trên laptop 1 đã được xác thực captive portal bằng user 1 để truy cập internet.
Sử dụng ứng dụng Skype để gọi điện thoại.
Sau đó vào Log Viewer của Sophos Firewall để kiểm tra.
Để vào Log Viewer đăng nhập vào trang quản trị và nhấn Log viewer.
Lúc đầu trong Log viewer sẽ không có cột application.
Để hiện thị cột này nhấn vào biểu tượng Add columm và chọn Application sau đó nhấn Apply.
Sau đó nhấn Add filter, tại Field chọn Username và điền user 1 vào ô Value để chỉ xem log của user1.
Kết quả chúng ta có thấy rằng laptop 1 với ip 10.145.41.53 được xác thực bằng user 1 và khi sử dụng ứng dụng Skype thì traffic của ứng dụng này đã đi theo đường ISP 1 tức Port 2 trên Sophos Firewall.
Tương tự laptop 2 chúng ta cũng sẽ xác thực captive portal bằng user 2 để truy cập internet.
Sử dụng ứng dụng Telegram gọi điện thoại.
Sau đó về Log Viewer để kiểm tra.
Kết quả chúng ta thấy rằng laptop 2 với ip 10.145.41.51 được xác thực bằng user 2 khi sử dụng Telegram thì traffic của ứng dụng này sẽ đi theo đường ISP 2 tức Port 3.