Một doanh nghiệp với nhiều chi nhánh đã thiết lập firewall sẵn muốn triển khai giải pháp SD-WAN để có thể quản lý tập trung. Tuy nhiên mỗi firewall đều có subnet và server riêng, khiến cho các IT Admin mất rất nhiều thời gian để thay đổi địa chỉ IP của các server và “di chuyển” cài đặt gốc của firewall cũ vào hệ thống SD-WAN mới. Do đó các IT Admin đều muốn triển khai SD-WAN cho hệ thống mạng có sẵn thay vì phải thay thế toàn bộ firewall với SD-WAN.
Ví dụ sau thể hiện cách cấu hình các thiết bị SD-WAN và triển khai cho các hệ thống mạng có sẵn mà không ảnh hưởng tới các cài đặt sẵn của các firewalls sẵn có.
LƯU Ý: Tất cả địa chỉ IP và subnet đều được sử dụng như ví dụ trong bài viết này. Vui Lòng thay thế chúng bằng địa chỉ IP thực của bạn. Ví dụ này được thực hiện trên VPN300 và VPN100 (Firmware Version: ZLD 10.02).
Để tìm hiểu thêm SD-WAN là gì? Xem tại đây
I. Cách triển khai giải pháp SD-WAN cho hệ thống mạng có sẵn: Xác định Organization Plan
Nếu LAN subnet của firewall ban đầu lần lượt là 192.168.10.0/24 và 192.168.20.0/24, hãy chọn 172.16.0.0/12 làm mạng nội bộ dưới ba thiết bị VPN trong Orchestrator.
II. Cách triển khai giải pháp SD-WAN cho hệ thống mạng có sẵn: Thiết lập Site và AutoVPN
1. Thiết lập 3 Site trong cùng một Organization sử dụng cùng một profile.
- Vùng Site là các địa chỉ IP được gán từ kho địa chỉ IP.
- Ở các site chi nhánh, kết nối cổng WAN từ firewall tới LAN subnet của thiết bị VPN. Firewall sẽ nhận được địa chỉ IP WAN từ thiết bị VPN.
Site | Zone (Employee) | WAN IP of the Firewall |
HQ | 172.16.0.0/24 | |
Branch 1 | 172.16.7.0/24 | 172.16.7.3 |
Branch 2 | 172.16.10.0/24 | 172.16.10.2 |
2. Gán quy tắc VPN. Đối với HQ mở chế độ Hub.
Mở các cài đặt Branch to SD-WAN Hubs, Branch to Branch VPN và kích hoạt Dynamic Branch to Branch VPN.
III. Cách triển khai giải pháp SD-WAN cho hệ thống mạng có sẵn: Thêm quy tắc Static Route và Business Policy vào Branch 1
1. Do các server được đặt sau các firewall có sẵn được nhận các địa chỉ IP riêng, nên mạng SD-WAN không có bất kì thông tin gì về các subnet này. Thêm một quy tắc Static Route từ Branch 1 tới subnet 192.168.10.0/24 sau firewall.
2. Thêm Business Policy để định tuyến subnet sau firewall của Branch 1 tới subnet 192.168.20.0/24 sau firewall của Branch 2.
IV. Cách triển khai SD-WAN cho hệ thống mạng có sẵn: Thêm quy tắc Static Route và Business Policy vào Branch 2
1. Do các server được đặt sau các firewall có sẵn được nhận các địa chỉ IP riêng, nên mạng SD-WAN không có bất kì thông tin gì về các subnet này. Thêm một quy tắc Static Route từ Branch 2 tới subnet 192.168.20.0/24 sau firewall.
2. Thêm Business Policy để định tuyến subnet sau firewall của Branch 2 tới subnet 192.168.10.0/24 sau firewall của Branch 1.
V. Cách triển khai SD-WAN cho hệ thống mạng có sẵn: Thử kết quả
Kết nối PC1 tới khu vực Employee của HQ.
Kết nối PC2 sau firewall 1.
Kết nối PC3 sau firewall 2.
Site | Zone (Employee) | WAN IP of Firewall | PC’s IP |
HQ | 172.16.0.0/24 | PC1-172.16.0.2 | |
Branch 1 | 172.16.7.0/24 | 172.16.7.3 | PC2-192.168.10.33 |
Branch 2 | 172.16.10.0/24 | 172.16.10.2 | PC3-192.168.20.33 |
- Kiểm tra lưu lượng VPN giữa HQ tới các subnet hiện có của firewall sau Branch 1. Hãy chắc rằng PC1 có thể ping PC2 và ngược lại.
- Kiểm tra lưu lượng VPN giữa HQ tới các subnet hiện có của firewall sau Branch 2. Hãy chắc rằng PC1 có thể ping PC3 và ngược lại.
- Kiểm tra lưu lượng VPN giữa các subnet hiện có của firewall sau Branch 1 tới Branch 2. Hãy chắc rằng PC2 có thể ping PC3 và ngược lại.
Vấn đề có thể xảy ra khi triển khai SD-WAN của Zyxel cho hệ thống mạng có sẵn
Thiết lập một quy tắc firewall trên các firewall sẵn có để cho phép lưu lượng truy cập đi từ WAN tới LAN cho các dịch vụ cần thiết thông qua VPN.
Xem thêm
- Cải thiện hiệu suất mạng với giải pháp SD-WAN của Zyxel
- Cách triển khai SD-WAN ở chếđộ High Availability
- SD-WAN là gì? Lợi thế khi sử dụng SD-WAN của ZYXEL
Link Fanpage UniFi-Ubiquiti Viet Nam: https://www.facebook.com/unifi.fpt/
Link Group hỗ trợ UniFi: https://www.facebook.com/groups/congdongUniFi/
Hỗ Trợ Kỹ Thuật : 028-7300-2222
Số máy lẻ (Ext): 89777