Professional Documents
Culture Documents
Áp dụng cho:
Nhà máy sản xuất thiết bị bếp
công nghiệp Tân Hà Phát
1
Hợp đồng: 0903/THP-FIS/2020
Phê duyệt
Tên Vị trí/Chức vụ Ngày Phê duyệt
Thông tin trong tài liệu này thuộc hợp đồng số 0903/THP-FIS/2020 giữa Công ty
cổ phần Tân Hà Phát công nghiệp và Công ty TNHH Hệ thống Thông tin FPT.
Thông tin trong tài liệu này thuộc bản quyền của Công ty cổ phần Tân Hà Phát
công nghiệp. Hành vi sao chép, phát tán toàn bộ hay một phần của tài liệu dưới
bất kỳ hình thức nào mà không được sự đồng ý của Công ty cổ phần Tân Hà Phát
công nghiệp và Công ty TNHH Hệ thống Thông tin FPT là vi phạm pháp luật.
2
Hợp đồng: 0903/THP-FIS/2020
Mục lục
1. GIỚI THIỆU.........................................................................................................................................................5
1.1. Mục đích tài liệu..................................................................................................................................................5
1.2. Định nghĩa thuật ngữ và các từ viết tắt..............................................................................................................5
1.3. Tài liệu tham khảo..............................................................................................................................................5
1.4. Mô tả tài liệu....................................................................................................................................................... 6
2. MÔ HÌNH TRIỂN KHAI VÀ QUY HOẠCH.....................................................................................................6
2.1. Quy tắc đặt tên cho thiết bị..................................................................................................................................6
2.2. Quy hoạch dải mạng...........................................................................................................................................6
2.3. Danh sách IP quản trị thiết bị.............................................................................................................................7
2.4. Mô hình logic...................................................................................................................................................... 8
2.5. Mô hình vật lý......................................................................................................................................................9
3. HƯỚNG DẪN QUẢN TRỊ HỆ THỐNG SWITCH...........................................................................................10
3.1. Core Switch........................................................................................................................................................ 10
3.1.1. Hướng dẫn truy cập.............................................................................................................................................................10
3.1.2. Thêm/Sửa/Xóa VLAN.........................................................................................................................................................11
3.1.3. Map vlan vào cổng mạng.....................................................................................................................................................11
3.1.4. Cấu hình cổng mạng trunking..............................................................................................................................................12
3.1.5. Cấu hình interface vlan........................................................................................................................................................12
3.1.6. Cấu hình port channel..........................................................................................................................................................12
3.1.7. Cấu hình VTP.......................................................................................................................................................................12
3.1.8. Cấu hình định tuyến.............................................................................................................................................................12
3.1.9. Cấu hình chặn dải mạng......................................................................................................................................................12
3.2. Access Switch.....................................................................................................................................................13
3.2.1. Hướng dẫn truy cập.............................................................................................................................................................13
3.2.2. Map vlan vào cổng mạng.....................................................................................................................................................14
3.2.3. Cấu hình cổng mạng trunking..............................................................................................................................................14
3.2.4. Cấu hình interface vlan........................................................................................................................................................14
3.2.5. Cấu hình VTP.......................................................................................................................................................................14
3.2.6. Cấu hình DHCP Snooping...................................................................................................................................................15
3.2.7. Cấu hình port channel..........................................................................................................................................................15
4. HƯỚNG DẪN QUẢN TRỊ HỆ THỐNG TƯỜNG LỬA....................................................................................15
4.1. Cấu hình cơ bản................................................................................................................................................15
4.1.1. Truy cập quản trị thiết bị......................................................................................................................................................15
4.1.2. Cài đặt các thông số cho thiết bị tường lửa.........................................................................................................................16
4.2. Cấu hình HA..................................................................................................................................................... 17
4.2.1. Cấu hình trên Firewall Master.............................................................................................................................................17
4.2.2. Cấu hình trên Slave..............................................................................................................................................................18
4.3. Cấu hình WAN, LAN........................................................................................................................................20
4.3.1. Cấu hình cổng Wan..............................................................................................................................................................20
4.3.2. Cấu hình cổng Lan:..............................................................................................................................................................21
4.4. Cấu hình Static Route.......................................................................................................................................22
4.5. Cấu hình Policy.................................................................................................................................................23
4.6. Cấu hình SD WAN............................................................................................................................................24
4.6.1. Thay đổi các Policies...........................................................................................................................................................24
4.6.2. Khởi tạo SD-WAN Interface...............................................................................................................................................25
4.6.3. Cấu hình SD WAN rules......................................................................................................................................................26
4.6.4. Cấu hình Performance SLA.................................................................................................................................................28
4.6.5. Thiết lập Policy đi ra Internet..............................................................................................................................................29
4.6.6. Kiểm tra................................................................................................................................................................................31
4.6.7. Kiểm tra failover..................................................................................................................................................................31
4.7. Cấu hình VPN client to site...............................................................................................................................31
4.7.1. Tạo User và Group cho người dùng VPN............................................................................................................................32
4.7.2. Cấu hình IPsec VPN Wizard:...............................................................................................................................................33
4.7.3. Khởi tạo Policy cho phép VPN User truy cập Internet........................................................................................................35
4.7.4. Cài đặt Forticlient.................................................................................................................................................................36
4.8. Cấu hình VPN site to site..................................................................................................................................39
4.8.1. Mô hình................................................................................................................................................................................39
4.8.2. Cấu hình tại site gần............................................................................................................................................................39
3
Hợp đồng: 0903/THP-FIS/2020
4
Hợp đồng: 0903/THP-FIS/2020
5
Hợp đồng: 0903/THP-FIS/2020
Trên Fortigate Master, vào System > Settings và thay đổi hostname là FW-01-
MASTER
- Mode là Active-Passive.
- Device priority: Cài đặt chỉ số Device priority cao hơn giá trị mặc
định (trong hình là 128), thiết bị nào có chỉ số Device priority cao nhất sẽ
là Master (Primary), các thiết bị có chỉ số Device priority cao thứ 2 sẽ là
Master trong trường hợp Master bị lỗi.
- Group name: Tên Cluster Group
- Password: Password xác thực để các Cluster member join vào
group
- Heartbeat interfaces: chọn ít nhất 1 port. Hai port này sẽ gửi các
bản tin trao đổi để xác định xem các thiết bị có hoạt động bình thường hay
không và đồng bộ cấu hình giữa các member, thiết lập chỉ số này trên cả 2
cổng là 50
- Sau khi nhập xong tất cả thông tin, nhấn OK để hoàn tất. Khi chưa kết
nối với Slave, External-Primary vẫn tạo thành 1 Group và hoạt động
bình thường như 1 con Master trong Cluster
7
Hợp đồng: 0903/THP-FIS/2020
1.2.2. Cấu hình trên Slave
Trên Fortigate Slave, vào System > Settings và thay đổi hostname là External-
Backup (bước này có thể bỏ qua)
- Vào System > HA, cấu hình các thông số giống với trên
con External-Primary (trừ thông số Device priority, trong hình là 120).
Thông số Device priority trên con Slave phải được đặt thấp hơn trên con
Master để chắc chắn thiết bị này sẽ luôn là thiết bị Backup
8
Hợp đồng: 0903/THP-FIS/2020
- Kiểm tra topo mạng, truy cập vào Dashboard > Physical Topology
9
Hợp đồng: 0903/THP-FIS/2020
Mục này hướng dẫn các cấu hình quay PPPoE Firewall Fortigate và sử dụng cơ
chế Network Address Translation (NAT) và Static Route cho phép mạng nội bộ
truy cập Internet.
1.3.1. Cấu hình cổng Wan.
Cấu hình Wan: Network >Interfaces
Chọn Wan1 > Edit
Cấu hình các mục trong Wan:
- Role: chọn role là wan
- Address: mục này sẽ có 3 tùy chọn là Manual, DHCP và PPPoE.
Mục Manual: trong trường hợp chúng ta có 1 IP tĩnh riêng thì sẽ chọn
address là Manual và nhập địa chỉ IP Public vào. Mục DHCP: nhận IP từ 1
DHCP server cấp. Mục PPPoE: đối với các thuê bao FTTP của nhà cung
cấp như viettel, fpt... chúng ta sẽ chọn mục này và nhập username
password của nhà cung cấp
- Restrict Access: cho phép bật các tính năng trên Interface như http,
https (để truy cập vào firewall), ping, ....
- Nhấn Ok để lưu cấu hình
10
Hợp đồng: 0903/THP-FIS/2020
11
Hợp đồng: 0903/THP-FIS/2020
Truy cập vào Network > Static Routes > Create New để tạo 1 static route
12
Hợp đồng: 0903/THP-FIS/2020
Truy cập vào Policy & Objects > IPv4 Policy > Create New
- Name: đặt tên cho policy để phân biệt với các policy khác
- Incoming Interface: chọn LAN để cho phép mạng LAN đi ra
- Outgoing Interface: chọn Wan1 vừa cấu hình để cho phép mạng
LAN đi ra Internet qua cổng Wan1
13
Hợp đồng: 0903/THP-FIS/2020
- Source: chọn ALL để cho tất cả các máy tính đi ra hoặc có thể chọn
1 số client
- Destination: chọn ALL
- Schedule: Always
- Service: chọn ALL, các mục này ta có thể chọn chỉ cho phép 1 số
dịch vụ truy cập internet. Chọn ALL là cho phép tất cả
- Action: Accept để cho phép ( chọn deny là không cho phép đi ra
qua cổng Wan1)
- Bật tính năng NAT, điều này bắt buộc để mạng LAN có thể ra
internet
- Security Profiles: các tính năng này phụ thuộc vào license đang sử
dụng. Đối với các part Firewall là BDL ( ví dụ FG-100D-BDL, FG-100E-
BDL) thì mới kích hoạt được các tính năng này, các part như FG-100D,
FG-100E sẽ không kích hoạt được các tính năng này mà phải mua thêm
license)
- Logging Options: Cho phép ghi lại log các traffic hoặc các gói tin
ra vào trong mạng
Kiểm tra kết quả: Sau khi cấu hình xong toàn bộ các bước trên chúng ta sẽ thực
hiện lệnh ping đến địa chỉ bất kỳ ngoài internet nếu thông thì chúng ta đã cấu
hình thành công.
client trong LAN sẽ không thể truy cập Internet thông qua 2 cổng Wan1 và
Wan2.
- Truy cập Policy & Objects > IPv4 Policy, chọn các policy đang áp
dụng cho cổng Wan và chọn Delete
- Nếu không muốn xóa các Policy này, ta có thể chọn Policy,
chọn Edit và thay đổi Outgoing Interface sang 1 cổng bất kỳ chưa được sử
dụng. Sau khi tạo xong SDWAN, chúng ta sửa lại các Policy này áp dụng
cho cổng SDWAN để tránh phải tạo lại.
1.6.2. Khởi tạo SD-WAN Interface
Truy cập vào Network > SD-WAN để khởi tạo 1 SD-WAN Interface
15
Hợp đồng: 0903/THP-FIS/2020
16
Hợp đồng: 0903/THP-FIS/2020
Ta có thể lựa chọn các nhóm địa chỉ IP, nhóm người dùng, nhóm giao thức và
phương án lái lưu lượng ra ngoài Internet
Cụ thể:
Phần Source:
- Source address: Ta có thể cấu hình danh sách các IP trong mạng
được lái lưu lượng theo chính sách này
- User group: Ta có thể lựa chọn các nhóm người dùng định danh để
được áp dụng theo chính sách này
Phần Destination:
- Address: các địa chỉ đích đến của gói tin, giao thức TCP, UDP, bất
ký giao thức nào, hoặc ta có thể chỉ định port giao thức cụ thể
17
Hợp đồng: 0903/THP-FIS/2020
- Best quality: Chọn lưu lượng dựa trên chất lượng đường truyền, ta
sẽ cần tạo một tính toán thông số SLA, dựa vào thông số này và lựa chọn
ưu tiên thông số chất lượng nào (ví dụ như Latency, Jitter, Packet Loss,…)
- Lowest cost: Rule sẽ ưu tiên giao diện nào có cost thấp hơn
- Maximize Bandwidth: Rule sẽ ưu tiên các giao diện đạt chuẩn SLA
18
Hợp đồng: 0903/THP-FIS/2020
19
Hợp đồng: 0903/THP-FIS/2020
20
Hợp đồng: 0903/THP-FIS/2020
Theo như sơ đồ phía trên ta sẽ có các bước thực hiện như sau:
- Tạo User và Group
- Tạo địa chỉ mạng LAN nội bộ
- Cấu hình IPsec VPN Wizard
- Tạo Policy
- Cấu hình Forticlient
- Kiểm tra kết quả
1.7.1. Tạo User và Group cho người dùng VPN.
Chọn User & Device > User Definition,tạo một tài khoản Local User cho VPN
user.
22
Hợp đồng: 0903/THP-FIS/2020
Sau khi tạo xong các user, ta vào User & Device > User Groups để tạo User
Group cho VPN User và add user đã tạo ở bước trên vào group.
23
Hợp đồng: 0903/THP-FIS/2020
24
Hợp đồng: 0903/THP-FIS/2020
Sau khi nhập Preshare Key và User group các Tanhấn next để qua bước tiếp
theo:
- Local Interface: là mạng lan các ta muốn VPN đến.
- Local Address : Là dãy địa chỉ của mạng LAN được. Tại đây ta có
thể tạo 1 dải mạng (nên khác với dải mạng trong nhà máy)
- Client Address Range : Dải địa chỉ cấp phát cho VPN Client.
- Chọn Next và tích vào tùy chọn mong muốn. Sau đó nhấn Create và
xem lại các thông tin VPN tunnel đã tạo.
25
Hợp đồng: 0903/THP-FIS/2020
- Cài đặt Local_ID nhận dạng các loại tunnel với nhau. Nhấp chuột
vào kết nối chọn Convert to Custom Tunnel.
- Thay đổi Local_ID và Peer_ID giống nhau. Khi cấu hình tại máy
người dùng cũng phải đặt ID này.
- Peer ID
- Local ID
1.7.3. Khởi tạo Policy cho phép VPN User truy cập Internet.
Chọn Policy & Objects > IPv4 Policy. Tạo 1 chính sách bảo mật cho phép
người dùng từ xa truy cập internet thông qua Fortigate một cách an toàn.
26
Hợp đồng: 0903/THP-FIS/2020
27
Hợp đồng: 0903/THP-FIS/2020
28
Hợp đồng: 0903/THP-FIS/2020
- Chọn kết nối IPsec-VPN cần kết nối, nhập username và password,
click Connect.
- Kiểm tra kết quả.
- Kết nối thành công:
29
Hợp đồng: 0903/THP-FIS/2020
Khi kết nối được thiết lập, Fortigate gán cho người dùng 1 địa chỉ IP. FortiClient
hiện thị toàn bộ thông số về địa chỉ IP ,thời lượng kết nối và Bytes đã gửi và
nhận.
Quay lại Fortigate, vào Monitor > IPsec Monitor, ta thấy status của tunnel là up
(màu xanh lá) thì việc kết nối đã thành công.
1.8.1. Mô hình
Phần hướng dẫn cấu hình này áp dụng cho mô hình hai site đều sử dụng thiết bị
Firewall Fortigate
Lưu ý để đạt hiệu quả kết nối tốt nhất, hai Firewall này nên được sử dụng ở
Firmware gần nhất và mới nhất của hãng Fortinet.
Cần đảm bảo đầu IP public được cài đặt trên một giao diện WAN của Fortigate.
1.8.2. Cấu hình tại site gần
Vào mục VPN > Ipsec Wizard > Create New, cấu hình các thông tin về tên,
loại kết nối (Site-to-Site), loại thiết bị từ xa sẽ kết nối đến (Fortigate)
30
Hợp đồng: 0903/THP-FIS/2020
Bấm Next, tại mục Authentication, ta nhập các thông tin đầu IP public của site ở
xa, interface mà ta định dùng để kết nối ( phải là interface được đặt IP public), có
thể sử dụng phần xác thực là pre-shared key hay là signature (lưu ý là phần xác
thực phải giống nhau tại hai đầu).
Bấm Next, tại mục Policy and Routing, ta lựa chọn interface LAN cho việc kết
nối vào bên trong. Lưu ý là đối với local subnets và remote subnets ta ưu tiên
sử dụng các summary subnet mask để tường lửa định tuyến được đến tất cả các
dải trong mạng từ xa và ngược lại.
31
Hợp đồng: 0903/THP-FIS/2020
Bấm Next, tại mục Authentication, ta nhập các thông tin đầu IP public của site ở
xa, interface mà ta định dùng để kết nối ( phải là interface được đặt IP public), có
thể sử dụng phần xác thực là pre-shared key hay là signature (lưu ý là phần xác
thực phải giống nhau tại hai đầu).
32
Hợp đồng: 0903/THP-FIS/2020
Bấm Next, tại mục Policy and Routing, ta lựa chọn interface LAN cho việc kết
nối vào bên trong. Lưu ý là đối với local subnets và remote subnets ta ưu tiên
sử dụng các summary subnet mask để tường lửa định tuyến được đến tất cả các
dải trong mạng từ xa và ngược lại.
33
Hợp đồng: 0903/THP-FIS/2020
- File Quarantine: Lưu tệp tài liệu gốc vào đĩa (nếu có thể) hoặc
FortiAnalyzer được kết nối từ xa dựa trên cài đặt log của FortiGate, hiển
thị thông qua Config Global > Config Log FortiAnalyzer Setting.
- FortiSandbox: Lưu tệp tài liệu gốc vào FortiSandbox được kết nối
từ xa.
34
Hợp đồng: 0903/THP-FIS/2020
Tiếp theo ta phải cho phép tính năng AntiVirus trên các chính sách truy nhập mà
ta đã cấu hình.
Truy cập vào phần Policy & Objects, chọn một chính sách kiểm soát truy nhập.
Ta cần lựa chọn Flow-based để vẫn đảm bảo quét được gói tin trong khi vẫn đảm
bảo lưu lượng đi tới người sử dụng. Khuyến cáo khi chuyển sang Proxy, tường
lửa sẽ làm giảm hiệu năng của mạng.
Tại mục AV ta lựa chọn Profile mà ta vừa cấu hình.
1.9.2. Tính năng WebFiltering
1.9.2.1. Cấu hình WebFiltering Profiles
Ta vào phần Security Profiles ->Web Filtering
Cấu hình bộ lọc nội dung dựa trên danh sách phân loại
Cấu hình Category Usage Quota. Lưu ý để cấu hình phần này cần cài đặt tại
mục Category based filter ở trên bởi các hoạt động như Monitor, Warning,
Authenticate.
35
Hợp đồng: 0903/THP-FIS/2020
Cấu hình cho các user có khả năng chỉnh sửa các mục bị chặn. Lưu ý đối với tính
năng này nên sử dụng hạn chế và các user và group gốc phải được đặt là phần
Source trong policy có sử dụng Secutiry profile này
Tính năng lọc file quy định các loại file cần giám sát hoặc chặn.
36
Hợp đồng: 0903/THP-FIS/2020
Chặn các trang web dựa theo URL: Để trực tiếp chặn một trang web cụ thể.
Người quẩn trị cần copy đường dẫn và đặt vào mục URL và cài đặt hành động
tương ứng.
37
Hợp đồng: 0903/THP-FIS/2020
- Block: Chặn
- Quarantine: Cách li
Để chặn chữ ký số của một số ứng dụng (ví dụ như Facebook) ta vào mục
Application Overrides -> Create New
Ta có thể trực tiếp tìm thấy các ứng dụng có thể được chặn chọn các mục này đi
kèm với các hành động liên quan
39
Hợp đồng: 0903/THP-FIS/2020
40
Hợp đồng: 0903/THP-FIS/2020
42
Hợp đồng: 0903/THP-FIS/2020
Tuy nhiên đối với một số trường hợp một số ứng dụng hay thiết bị đặc biệt (tổng
đài) không hỗ trợ các port service. Ta phải mở port Service thủ công
Vào mục Policy and Object > Service > Create New để tạo thêm port.
43
Hợp đồng: 0903/THP-FIS/2020
44
Hợp đồng: 0903/THP-FIS/2020
Lưu ý, cần thống nhất tên hiển thị của người dùng bởi vì đây sẽ là cơ sở để
Fortigate đồng bộ dữ liệu user từ Window Server
Ta cần đảm bảo rằng kết nối từ tường lửa đến server không bị gián đoạn
Truy cập mục User and Device > LDAP servers, chọn Create new:
- Service IP/Name: Nhập địa chỉ IP của server (primary)
- Server Port: 389 (giữ nguyên)
- Distinguished Name: Phần này cần phải nhập tên domain, theo
định dạng như trong hình
- Bind Type: Nên cài đặt như bình thường
45
Hợp đồng: 0903/THP-FIS/2020
- Username: Nhập tên một user được phân quyền admin trong
Window server, cần có thêm đuôi domain để server nhận diện được user
- Password: Nhập mật khẩu của user trong domain
- Common Name Identifier: Nên đặt là “sAMAccountName” để
user đồng bộ với user đăng nhập trên server.
- Connection status: Khi kết nối ổn định sẽ có dòng chữ Successful
- Test Connectivity: Sử dụng tính năng này để kiểm tra kết nối
- Test User Credentials: Sử dụng tính năng này để kiểm tra thông tin
người dùng.
- Bấm tạo để có một đơn vị thông tin LDAP của server này.
46
Hợp đồng: 0903/THP-FIS/2020
- Tại phần Remote Users, ta lựa chọn những user sẽ được áp dụng
LDAP
47
Hợp đồng: 0903/THP-FIS/2020
Truy cập mục User and Device > User Groups > Create new
- Ta thêm các user mới được tạo ở trên vào
48
Hợp đồng: 0903/THP-FIS/2020
- Lưu ý rằng tên User được tạo ra trên Firewall được lấy trực tiếp từ
Fullname của user trong Active Directory
- Ta thấy tên user trong Active Directory
49
Hợp đồng: 0903/THP-FIS/2020
Truy cập mục VPN > Ipsec Wizard, tạo VPN cho nhóm user này tuần tự như
các bước được nêu trong mục 4.7. Ngoài ra cần cấu hình thêm phần Local ID để
tránh ảnh hưởng đến các tunnel khác.
Người dùng được kết nối thành công
Trong mục này tiến hành nhập các tham số như trong hình
50
Hợp đồng: 0903/THP-FIS/2020
Trong mục tìm kiếm, ta tiến hành tìm group LDAP mà ta đã join các user cần áp
dụng chính sách LDAP
Bấm OK, việc cấu hình đã ổn định nếu trạng thái sau xuất hiện
51
Hợp đồng: 0903/THP-FIS/2020
Truy cập User and Device > User Groups, ta tạo một group user LDAP như
hình sau:
Truy cập Policy and Object > Ipv4 policy, ta tạo một policy để có thể áp dụng
các chính sách bảo mật theo quy định cho nhóm người dùng này. Cụ thể như hình
sau
52
Hợp đồng: 0903/THP-FIS/2020
53
Hợp đồng: 0903/THP-FIS/2020
Lưu ý: Đối với việc di chuyển group LDAP phải hết sức cẩn thận, việc trỏ poll
cần phải có đường dẫn chính xác. Vì vậy nếu có di chuyển group LDAP thì ta
buộc phải làm lại công tác trỏ Poll.
Ví dụ nếu trong server vị trí của group thuộc OU Manager như ở dưới đây:
Thì vị trí trỏ của Poll cũng phải chỉ định giống hệt
54