Giới hạn băng thông với Traffic Shaping trên thiết bị firewall Fortigate

Trong môi trường mạng ngày nay, việc quản lý và tối ưu hóa băng thông là một yếu tố quan trọng để đảm bảo hiệu suất và ổn định của hệ thống. Một trong những phương pháp hiệu quả để kiểm soát băng thông trên mạng là sử dụng Traffic Shaping. Bài viết này sẽ hướng dẫn chi tiết cách cấu hình Traffic Shaping trên Firewall FortiGate để giới hạn băng thông, đảm bảo hiệu quả hoạt động của hệ thống mạng.

Traffic Shaping là gì?

Traffic Shaping (Định hình lưu lượng) là một kỹ thuật quản lý băng thông mạng, giúp điều khiển và hạn chế lưu lượng mạng để đảm bảo hiệu suất mạng ổn định và tránh tình trạng tắc nghẽn. Quá trình này thực hiện bằng cách giới hạn hoặc điều chỉnh tốc độ truyền tải của các gói dữ liệu trong mạng, đặc biệt khi có những yêu cầu về băng thông lớn từ một số ứng dụng hoặc địa chỉ IP cụ thể.

Trong mạng máy tính, đặc biệt là trong các hệ thống bảo mật như Firewall FortiGate, Traffic Shaping giúp quản lý tài nguyên băng thông, điều chỉnh tốc độ mạng và đảm bảo rằng không có một địa chỉ IP nào có thể chiếm dụng quá nhiều băng thông, ảnh hưởng đến các thiết bị hoặc người dùng khác trong mạng.

Ưu điểm của Traffic Shaping

• Giới hạn băng thông cho các địa chỉ IP hoặc ứng dụng cụ thể: Khi một thiết bị hoặc ứng dụng chiếm dụng quá nhiều băng thông, Traffic Shaping giúp điều chỉnh và hạn chế tốc độ tải lên và tải xuống của nó.
• Cải thiện hiệu suất mạng: Giới hạn lưu lượng từ các thiết bị, ứng dụng hoặc IP có thể tránh tình trạng quá tải, giúp duy trì chất lượng dịch vụ mạng ổn định.
• Đảm bảo ưu tiên băng thông cho các ứng dụng quan trọng: Bạn có thể cấu hình Traffic Shaping để ưu tiên các ứng dụng cần băng thông cao (như cuộc gọi VoIP, video conference) trong khi giảm băng thông cho các ứng dụng khác không quá quan trọng.

Hướng dẫn giới hạn băng thông với Traffic Shaping trên thiết bị firewall Fortigate

Khi một địa chỉ IP sử dụng quá nhiều tài nguyên mạng, bạn có thể áp dụng Traffic Shaping trên FortiGate để giới hạn băng thông, đảm bảo mạng hoạt động ổn định. Hướng dẫn này sẽ giúp bạn cấu hình giới hạn băng thông tối đa cho tải lên và/hoặc tải xuống là 200 kb/giây.

1. Kích hoạt tính năng định hình lưu lượng

Đầu tiên, vào System > Feature Select và trong phần Additional Features, bật Traffic Shaping. Khi tính năng này được bật, hai menu mới là Traffic Shapers và Traffic Shaping Policy sẽ xuất hiện trong Policy & Objects.

2. Tạo địa chỉ tường lửa

Tiếp theo, vào Policy & Objects > Addresses để tạo địa chỉ tường lửa cần giới hạn băng thông. Chọn Create New và chọn Address từ menu thả xuống.

• Nhập tên: limited_bandwidth.
• Chọn Type là IP/Netmask.
• Đặt Subnet/IP Range thành địa chỉ IP bạn muốn giới hạn, ví dụ 192.168.10.10/32.
• Chọn Interface là Any để áp dụng cho mọi giao diện mạng.

3. Cấu hình bộ định hình lưu lượng để giới hạn băng thông

Để cấu hình bộ định hình lưu lượng trên FortiGate, làm theo các bước sau:

Bước 1: Tạo bộ định hình lưu lượng mới
Vào Policy & Objects > Traffic Shapers và chọn Create New để tạo bộ định hình lưu lượng mới. Chọn Type là Shared để bộ định hình có thể được sử dụng chung cho nhiều chính sách.

Bước 2: Cấu hình bộ định hình

• Đặt tên cho bộ định hình: limited_bandwidth.
• Chọn Traffic Priority là Medium. Lưu ý rằng việc thiết lập Traffic Priority chỉ có tác dụng nếu bạn đã bật Traffic Shaping trong tất cả các chính sách truy cập Internet với cùng hai giao diện.
• Chọn Max Bandwidth và nhập giá trị 200kb/s (0,2 Mbps) để giới hạn băng thông tối đa. Nếu muốn, bạn có thể đặt Guaranteed Bandwidth với tốc độ thấp hơn Max Bandwidth để đảm bảo băng thông tối thiểu cho các ứng dụng quan trọng.

Bước 3: Áp dụng các thay đổi
Sau khi cấu hình xong, nhấn Apply để lưu các thay đổi.
Theo mặc định, bộ định hình chia sẻ sẽ phân phối đều băng thông cho tất cả các chính sách sử dụng nó. Tuy nhiên, nếu bạn muốn cấu hình định hình băng thông riêng biệt cho từng chính sách, bạn có thể bật Per Policy Shaping.

Bước 4: Kích hoạt định hình theo chính sách
Để bật định hình theo chính sách, nhấp chuột phải vào bộ định hình limited_bandwidth và chọn Edit in CLI từ menu thả xuống.

Sau đó, nhập lệnh CLI sau:

set allow per-policy shaping 

end

Bước 5: Cập nhật bộ định hình

Sau khi bật Per Policy Shaping, chỉnh sửa lại bộ định hình limited_bandwidth và đặt Apply Shaper thành Per Policy. Mỗi chính sách sử dụng bộ định hình này sẽ có băng thông được phân phối đều.

4. Xác minh chính sách bảo mật truy cập Internet của bạn

Để đảm bảo các chính sách truy cập Internet đang hoạt động đúng cách, bạn cần xác minh lại cấu hình của chúng:

• Vào Policy & Objects > IPv4 Policy để kiểm tra các chính sách truy cập Internet hiện tại.
• Ghi chú lại các thông tin quan trọng như Incoming Interface, Outgoing Interface, Source và Destination trong mỗi chính sách.
• Nếu cần thiết, chỉnh sửa lại các chính sách và đảm bảo rằng Logging Options được đặt thành All Sessions để ghi lại tất cả các phiên truy cập mạng trong mục đích thử nghiệm và kiểm tra.

5. Tạo hai Chính sách định hình lưu lượng truy cập

Tiếp theo, bạn sẽ tạo hai chính sách định hình lưu lượng để ưu tiên và giới hạn băng thông cho các kết nối Internet.

Chính sách 1: Đặt lưu lượng thông thường lên mức ưu tiên cao

• Vào Policy & Objects > Traffic Shaping Policies và chọn Create New để tạo chính sách định hình lưu lượng.
• Trong Matching Criteria, cấu hình các tham số Source, Destination, và Service sao cho phù hợp với chính sách truy cập Internet của bạn.
• Trong mục Apply Shaper, thiết lập Outgoing Interface để khớp với chính sách truy cập Internet của bạn, bật Shared Shaper và Reverse Shaper.
  • Shared Shaper ảnh hưởng đến tốc độ tải lên.
  • Reverse Shaper ảnh hưởng đến tốc độ tải xuống.
• Đặt Traffic Priority cho cả hai shaper này thành High để ưu tiên băng thông cho lưu lượng này.

Chính sách 2: Giới hạn băng thông cho địa chỉ IP cụ thể

• Chọn Create New để tạo chính sách định hình lưu lượng thứ hai, dành riêng cho địa chỉ IP bạn muốn giới hạn.
• Trong Matching Criteria, đặt Source thành limited_bandwidth (địa chỉ IP cần giới hạn). Đặt Destination và Service thành ALL để áp dụng cho tất cả các dịch vụ.
• Áp dụng Shaper cho cùng Outgoing Interface như trong chính sách truy cập Internet.
• Bật Shared Shaper và Reverse Shaper và thiết lập cả hai shaper này thành limited_bandwidth để áp dụng giới hạn băng thông cho cả tải lên và tải xuống.

Sắp xếp các chính sách định hình lưu lượng sao cho chính sách limited_bandwidth chi tiết hơn được đặt trên chính sách truy cập Internet ưu tiên cao. Bạn có thể thay đổi thứ tự các chính sách bằng cách nhấp vào cột ngoài cùng bên trái của chính sách và kéo lên hoặc xuống.

6. Kết quả

Sau khi cấu hình xong, nếu máy tính với IP đã chỉ định (192.168.10.10) truy cập Internet từ mạng nội bộ, băng thông của nó sẽ bị giới hạn theo cài đặt của bạn trong bộ định hình lưu lượng.

Kiểm tra lưu lượng truy cập:

• Vào FortiView > Source để xem lưu lượng truy cập và sử dụng trường tìm kiếm để lọc theo Source IP (192.168.10.10).

• Vào FortiView > Traffic Shaping để xem mức sử dụng băng thông hiện tại của bất kỳ shaper nào đang hoạt động. Lưu lượng từ các thiết bị trong mạng nội bộ sẽ có ưu tiên cao hơn.
• Địa chỉ IP được giới hạn sẽ bị xử lý với băng thông hạn chế và có thể bị mất byte. Bộ định hình băng thông của bạn sẽ không vượt quá 200 kbps.

Xem kết quả chi tiết:

• Lưu lượng băng thông sẽ được hiển thị dưới dạng Byte (Đã gửi/Đã nhận) tính bằng Megabyte (MB) và băng thông theo kilobit trên giây (kbps).

• Bạn cũng có thể kiểm tra các kết quả này thông qua biểu đồ bong bóng bằng cách thay đổi loại biểu đồ trong menu thả xuống.

• Sắp xếp theo Bandwidth để xác minh rằng lưu lượng truy cập thông thường đang sử dụng nhiều băng thông hơn.
• Để xem chi tiết hơn, nhấp đúp vào bất kỳ shaper nào để xem thông tin chi tiết. Chọn tab Destination để kiểm tra trang web nào đang sử dụng nhiều băng thông nhất.

Tổng kết

Tóm lại, việc áp dụng Traffic Shaping trên thiết bị firewall FortiGate là một giải pháp hiệu quả để quản lý và phân bổ băng thông hợp lý, giúp đảm bảo hoạt động ổn định của mạng và các ứng dụng quan trọng. Bằng cách giới hạn băng thông cho các địa chỉ IP cụ thể, bạn có thể tránh được tình trạng quá tải và tối ưu hóa hiệu suất mạng. Hy vọng rằng qua bài viết này, bạn đã nắm vững cách cấu hình và sử dụng Traffic Shaping và có thể áp dụng thành công trong việc duy trì hiệu suất mạng ổn định, giảm thiểu tắc nghẽn và tối ưu hóa trải nghiệm người dùng.