Ví dụ này sẽ minh hoạ cách cấu hình thiết lập Internet dự phòng cơ bản với chuyển đổi dự phòng (Failover) khi mà bạn sử dụng từ 2 line Internet trở lên trên thiết bị Fortigate

Mục tiêu là thiết lập được chuyển đổi dự phòng khi mà line Internet chính kết nối qua Wan1 trên thiết bị hoạt động 100% thời gian, và line Internet dự phòng kết nối qua Wan2 chỉ được sử dụng khi line Internet chính down.


1. Thiết lập 2 interface Wan trên Fortigate


Cấu hình các thông số mà ISP cung cấp trên 2 interface Wan của Fortigate để kết nối ra internet. Cấu hình line Internet chính trên Wan1 và line Internet dự phòng trên Wan2

2. Tạo chính sách tường lửa dự phòng cho lưu lượng nội bộ ra ngoài Internet

  • Tạo 1 chính sách cho phép lưu lượng từ mạng nội bộ truy cập ra ngoài Internet qua Wan1:

Vào Policy & Objects > IPv4. 

Name: tên chính sách (trong ví dụ này đặt là Primary). Incoming Interface: chọn LanOutgoing Interface: chọn Wan1Source, Destination, Service: chọn allAction: chọn ACCEPTFirewall/Network Options: Tick chọn bật NAT

Để thấy lưu lượng đi qua chính sách, bật Log Allowed Traffic và lựa chọn All Sessions

 

  • Tạo 1 chính sách cho phép lưu lượng từ mạng nội bộ truy cập ra ngoài Internet qua Wan2:

Vào Policy & Objects > IPv4 thực hiện các bước tương tự như khi tạo policy cho wan1.


3. Tạo static route dự phòng.

Go to Network > Static Routes and create a static route for each ISP. The primary ISP should have a higher route priority than the secondary ISP.

Vào Network > Static Routes và tạo static route cho mỗi ISP. Static route cho lưu lượng nội bộ truy cập ra ngoài qua Wan1 phải có ưu tiên cao hơn Wan2.

  • Tạo 1 static route cho lưu lượng nội bộ truy cập ra ngoài qua Wan1:

Destination: chọn Subnet và điền 0.0.0.0/0.0.0.0. Gateway: điền subnet của interface WAN1. Interface: Chọn Wan1. Administrative Distance: Giữ nguyên giá trị mặc định là 10. 

Advanced Options: Giá trị Priority của route chính để giá trị nhỏ hơn giá trị Priority của route dự phòng. Bởi vì các route có giá trị Priority nhỏ hơn sẽ được ưu tiên hơn (trong ví dụ này: ta thiết lập là 5).

 

  • Tạo 1 static route cho lưu lượng nội bộ truy cập ra ngoài qua Wan2:

 Destination: chọn Subnet và điền 0.0.0.0/0.0.0.0. Gateway: điền subnet của interface WAN2. Interface: Chọn Wan2.  Administrative Distance:  Giữ nguyên giá trị mặc định là 10. 

Advanced Options: Giá trị Priority của route dự phòng này phải cao hơn giá trị Priority của route chính (Trong ví dụ này: ta thiết lập là 10).

  • Kiểm tra lại các thông số đã được cấu hình trên 2 static routes:

Đảm bảo giá trị Administrative Distance của 2 route bằng nhau (Trong ví dụ này đều là 10) và cả 2 route đều xuất hiện trong bảng định tuyến.

 

4. Cấu hình Link-monior để giám sát kết nối ra internet của 2 Wan.

Bạn có thể sử dụng câu lệnh CLI để cấu hình link-monitor.

  • Cấu hình link-monitor cho Wan1

Vào Dashboard > CLI, nhập các câu lệnh sau

config system link-monitor                                                                                                                                   

 edit wan1                                                                                                                                                            

         (wan1) #get                                                                                                                                                   

                  set name wan1                                                                                                                                    

                  set server 8.8.4.4                                                                                                                                  

                  set protocol ping                                                                                                                                  

                  set gateway-ip 172.25.176.1                                                                                                             

                  set interval 5                                                                                                                                        

                  set timeout 1                                                                                                                                       

                  set failtime 5                                                                                                                                       

                  set recoverytime 5                                                                                                                             

                  set update-cascade-interface enable                                                                                                   

                  set update-static-route enable                                                                                                             

                  set status enable                                                                                                                                 

               end

   

Đặt sever là địa chỉ IP đáng tin cậy để kiểm tra kết nối Internet của Wan1. Trong ví dụ này sử dụng địa chỉ DNS public của Google là 8.8.4.4 vì địa chỉ IPv4 khác của Google là 8.8.8.8 thương được sử dụng trong những bài test ping khác. Gateway-IP sử dụng cùng địa chỉ gateway IP đã cấu hình ở phần 3.

  • Cấu hình Link-monitor cho Wan2


Vào Dashboard > CLI, nhập các câu lệnh sau


config system link-monitor

 edit wan2

         (wan2) #get

                  set name wan2

                  set server 8.8.4.4

                  set protocol ping

                  set gateway-ip 192.168.13.1

                  set interval 5

                  set timeout 1

                  set failtime 5

                  set recoverytime 5

                  set update-cascade-interface enable

                  set update-static-route enable

                  set status enable

               end


5. Kết quả

Để kiểm tra khả năng chuyển đổi dự phòng của 2 Wan, bạn hãy mô phỏng kết nối internet không thành công.

Đầu tiên, bạn phải xác minh người dùng trong mạng nội bộ vẫn có thể truy cập ra Internet khi Wan chính down bằng chính sách điều hướng lưu lượng:

Vào Policy & Objects > IPv4 Policy, Click chuột phải vào chính sách Primary và chọn Show in FortiView để hiện thị xem lưu lượng đang đi qua Wan nào.

Hiển thị lưu lượng đang đi qua Wan1

Ngắt kết nối vật lý (rút cáp Lan) của line internet Wan1 trên thiết bị Fortigate. Kiểm tra và đảm bảo rằng tất cả lưu lượng truy cập sẽ đi qua Wan2 cho đến khi Wan1 khả dụng trở lại

Vào Log & Report > System Events để xác nhận rằng Link monitor đã chuyển trạng thái và static route cho Wan1 đã được loại bỏ.


Vào Monitor > Routing Monitor để xem bảng định tuyến. 

Khi line internet chính đang khả dụng. Bạn sẽ nhìn thấy 2 static route khả dụng cho Wan1 và Wan2

Khi line internet chính down. Trên bảng định tuyến chỉ có 1 static route khả dụng cho Wan2

Ngoài ra, bạn cũng có thể kiểm tra bảng định tuyến bằng câu lệnh CLI:


get router info routing-table all

Khi line internet chính đang khả dụng. Bạn sẽ nhìn thấy dấu (*) với các routes cho cả Wan1 và Wan2 hiển thị là các route đang hoạt động


Khi line internet chính không khả dụng. Route cho Wan1 sẽ tự động bị xoá khỏi bảng định tuyến.

Để kết thúc việc kiểm tra, bạn cắm cáp Lan trở lại và chúng ta sẽ thấy lưu lượng truy cập Internet lại đi ra ngoài qua Wan1.