Một doanh nghiệp với nhiều chi nhánh đã thiết lập firewall sẵn muốn triển khai SD-WAN để có thể quản lý tập trung. Tuy nhiên mỗi firewall đều có subnet và server riêng, khiến cho các IT Admin mất rất nhiều thời gian để thay đổi địa chỉ IP của các server và “di chuyển” cài đặt gốc của firewall cũ vào hệ thống SD-WAN mới. Do đó các IT Admin đều muốn triển khai SD-WAN cho hệ thống mạng có sẵn thay vì phải thay thế toàn bộ firewall với SD-WAN.

Ví dụ sau thế hiện cách cấu hình các thiết bị SD-WAN và triển khai cho các hệ thống mạng có sẵn mà không ảnh hưởng tới các cài đặt sẵn của các firewalls sẵn có.

 Cach-trien-khai-sd-wan-cua-zyxel-cho-he-thong-mang-co-san

 

LƯU Ý: Tất cả địa chỉ IP và subnet đều được sử dụng như ví dụ trong bài viết này. Vui Lòng thay thế chúng bằng địa chỉ IP thực của bạn. Ví dụ này được thực hiện trên VPN300 và VPN100 (Firmware Version: ZLD 10.02).

Để tìm hiểu thêm SD-WAN là gì? Xem tại đây.

I. Cách triển khai SD-WAN cho hệ thống mạng có sẵn: Xác định Organization Plan

Nếu LAN subnet của firewall ban đầu lần lượt là 192.168.10.0/24 và 192.168.20.0/24, hãy chọn 172.16.0.0/12 làm mạng nội bộ dưới ba thiết bị VPN trong Orchestrator.

Cach-trien-khai-sd-wan-cua-zyxel-cho-he-thong-mang-co-san

II. Cách triển khai SD-WAN cho hệ thống mạng có sẵn: Thiết lập Site và AutoVPN

1. Thiết lập 3 Site trong cùng một Organization sử dụng cùng một profile.

Vùng Site là các địa chỉ IP được gán từ kho địa chỉ IP.

Ở các site chi nhánh, kết nối cổng WAN từ firewall tới LAN subnet của thiết bị VPN. Firewall sẽ nhận được địa chỉ IP WAN từ thiết bị VPN.

Site

Zone (Employee)

WAN IP of the Firewall

HQ

172.16.0.0/24

 

Branch 1

172.16.7.0/24

172.16.7.3

Branch 2

172.16.10.0/24

172.16.10.2

Cach-trien-khai-sd-wan-cua-zyxel-cho-he-thong-mang-co-san

2.  Gán quy tắc VPN. Đối với HQ mở chế độ Hub.

Mở các cài đặt Branch to SD-WAN Hubs, Branch to Branch VPN và kích hoạt Dynamic Branch to Branch VPN.

Cach-trien-khai-sd-wan-cua-zyxel-cho-he-thong-mang-co-san

III. Cách triển khai SD-WAN cho hệ thống mạng có sẵn: Thêm quy tắc Static Route và Business Policy vào Branch 1

1. Do các server được đặt sau các firewall có sẵn được nhận các địa chỉ IP riêng, nên mạng SD-WAN không có bất kì thông tin gì về các subnet này. Thêm một quy tắc Static Route từ Branch 1 tới subnet 192.168.10.0/24 sau firewall.

Cach-trien-khai-sd-wan-cua-zyxel-cho-he-thong-mang-co-san

2. Thêm Business Policy để định tuyến subnet sau firewall của Branch 1 tới subnet 192.168.20.0/24 sau firewall của Branch 2.

Cach-trien-khai-sd-wan-cua-zyxel-cho-he-thong-mang-co-san

IV. Cách triển khai SD-WAN cho hệ thống mạng có sẵn: Thêm quy tắc Static Route và Business Policy vào Branch 2

1. Do các server được đặt sau các firewall có sẵn được nhận các địa chỉ IP riêng, nên mạng SD-WAN không có bất kì thông tin gì về các subnet này. Thêm một quy tắc Static Route từ Branch 2 tới subnet 192.168.20.0/24 sau firewall.

Cach-trien-khai-sd-wan-cua-zyxel-cho-he-thong-mang-co-san

2. Thêm Business Policy để định tuyến subnet sau firewall của Branch 2 tới subnet 192.168.10.0/24 sau firewall của Branch 1.

Cach-trien-khai-sd-wan-cua-zyxel-cho-he-thong-mang-co-san

V. Cách triển khai SD-WAN cho hệ thống mạng có sẵn: Thử kết quả

Kết nối PC1 tới khu vực Employee của HQ.

Kết nối PC2 sau firewall 1.

Kết nối PC3 sau firewall 2.

Site

Zone (Employee)

WAN IP of Firewall

PC’s IP

HQ

172.16.0.0/24

 

PC1-172.16.0.2

Branch 1

172.16.7.0/24

172.16.7.3

PC2-192.168.10.33

Branch 2

172.16.10.0/24

172.16.10.2

PC3-192.168.20.33

 
  1. Kiểm tra lưu lượng VPN giữa HQ tới các subnet hiện có của firewall sau Branch 1. Hãy chắc rằng PC1 có thể ping PC2 và ngược lại.
  2. Kiểm tra lưu lượng VPN giữa HQ tới các subnet hiện có của firewall sau Branch 2. Hãy chắc rằng PC1 có thể ping PC3 và ngược lại.
  3. Kiểm tra lưu lượng VPN giữa các subnet hiện có của firewall sau Branch 1 tới Branch 2. Hãy chắc rằng PC2 có thể ping PC3 và ngược lại.

Vấn đề có thể xảy ra khi triển khai SD-WAN của Zyxel cho hệ thống mạng có sẵn

Thiết lập một quy tắc firewall trên các firewall sẵn có để cho phép lưu lượng truy cập đi từ WAN tới LAN cho các dịch vụ cần thiết thông qua VPN.

XEM THÊM

CẢI THIỆN HIỆU SUẤT MẠNG VỚI GIẢI PHÁP SD-WAN CỦA ZYXEL

Cách triển khai SD-WAN ở chế độ High Availability

SD-WAN LÀ GÌ? LỢI THẾ KHI SỬ DỤNG SD-WAN CỦA ZYXEL

 

Mời mọi người tham gia Group Cộng đồng UniFi để cùng nhau chia sẻ kiến thức, kinh nghiệm thực tế về wifi, networks! 

Tất tần tật hướng dẫn cấu hình WiFi UniFi xem tại đây.

-----------------------------

𝐓𝐡ô𝐧𝐠 𝐭𝐢𝐧 𝐥𝐢ê𝐧 𝐡ệ

Hỗ trợ mua hàng: 0933.769.199

Fanpage UniFi-Ubiquiti Viet Nam xem tại đây.

Hỗ Trợ Kỹ Thuật: 028-7300-2222 Số máy lẻ: 89777 - 8654