Hướng dẫn cấu hình VPN FAILOVER MPLS giữa Sophos và Fortigate Firewall.

Hướng dẫn cấu hình Failover VPN và MPLS giữa Sophos và Fortigate Firewall [ LAB ]

Nội dung chính

1. Overview.                                                                                                                   1

2. Sơ đồ.                                                                                                                          2

3. Mô hình hoạt động                                                                                                    2

4. Các bước cấu hình                                                                                                    2

5. Kết luận.                                                                                                                     7

    1.          Overview.

Cấu hình VPN Failover MPLS là giải pháp đảm bảo kết nối liên tục giữa các chi nhánh và trung tâm dữ liệu thông qua cả đường truyền MPLS và VPN (Internet). Khi đường MPLS gặp sự cố, VPN sẽ tự động kích hoạt để duy trì kết nối.

   2.          Sơ đồ.

   3.          Mô hình hoạt động

  • Primary Link (MPLS): Kết nối chính giữa các chi nhánh với trung tâm dữ liệu thông qua MPLS.
  • Backup Link (VPN – Internet): Khi đường MPLS bị lỗi, VPN Site-to-Site qua Internet sẽ tự động thay thế.
  • Failover Detection: Sử dụng tính năng theo dõi (health check) để giám sát trạng thái đường truyền, nếu phát hiện mất kết nối, tự động chuyển sang VPN.
  • Load Balancing: Một số giải pháp có thể triển khai cả hai đường truyền cùng lúc để cân bằng tải.

   4.          Các bước cấu hình

  • Cấu hình VPN Site-to-Site giữa 2 chi nhánh.

Link tham khảo: https://thegioifirewall.com/huong-dan-cau-hinh-ipsec-vpn-site-to-site-giua-sophos-va-fortinet-voi-ip-wan-la-ip-tinh/

  • Cấu hình đường IPSec là đường backup cho đường MPLS.
    • Đăng nhập vào console sophos CLI.
    • Chọn option 4. Device Console.
  • Chạy câu lệnh để xét đường IPSec backup cho đường MPLS.

SYNTAX: system link_failover add primarylink <MPLSPort> backuplink vpn tunnel <VPNLink> monitor PING host <RemoteIP>

Dưới dây là hình ảnh show kết quả cấu hình đường link Failover của MPLS.

  • Cấu hình Static route để traffic đi trực tiếp qua đường MPLS.
    • Đăng nhập vào sophos web admin.
    • Đi tới Routing > Static routes và add unicast routes IPv4.
  •  Cấu hình thứ tự ưu tiên đường đi cho Static route.
    • Đăng nhập vào console sophos CLI.
    • Chọn option 4. Device Console.
    • Chạy câu lệnh để xét đường ưu tiên đường static route.

NOTE: Thứ tự route mặc định trên firewall Sophos là Static route, SD_WAN route, VPN route.

SYNTAX: system route_precedence set static sdwan_policyroute vpn

  • Cấu hình Failover: Chuyển đổi tự động giữa MPLS và VPN khi có sự cố.Đăng nhập vào sophos web admin.Đi tới Routing > SD_WAN profiles và add SD_WAN profiles mới.

          Chuyển sang tab SD_WAN routes, tạo 1 SD_WAN route và chọn SD_WAN profiles vừa mới tạo.

  • Kiểm tra kết quả.

          Ở đây mình đang có 2 đường WAN, 1 là đường MPLS và đường còn lại là đường viettel.

Ở tab SD_WAN profiles ta thấy đang chạy link MPLS

Kết quả ping/tracert cho thấy rằng traffic đang đi qua đường MPLS.

          Tiến hành off link MPLS.

          Sẽ tự động chuyển qua đường viettel.

Kết quả ping thấy rằng traffic đang đi qua đường VPN.

   5.          Kết luận.

Cấu hình VPN Failover MPLS giúp:

  • Đảm bảo kết nối liên tục giữa các chi nhánh và trung tâm dữ liệu
  • Giảm thiểu gián đoạn dịch vụ khi MPLS gặp sự cố.
  • Tối ưu chi phí khi kết hợp MPLS và Internet thay vì chỉ sử dụng MPLS.
Tags: