Mục lục
Cấu hình quy tắc NAT để Adapt Gateway (Tùy chọn)
Giới thiệu
Mạng diện rộng điều khiển bằng phần mềm (SD-WAN) cách mạng hóa kiến trúc WAN truyền thống bằng cách tận dụng khả năng điều khiển tập trung và tự động hóa để điều phối lưu lượng truy cập linh động qua nhiều loại kết nối (ví dụ: MPLS, băng thông rộng, LTE). SD-WAN nâng cấp mô hình Hub-and-Spoke bằng cách tích hợp tính năng điều hướng lưu lượng thông minh và đơn giản hóa việc quản lý đa điểm. Lợi ích then chốt là Quản lý Chính sách Tập trung, giúp định nghĩa và thực thi các quy tắc mạng trên toàn bộ các chi nhánh chỉ từ một bộ điều khiển (Controller) duy nhất.
Lưu ý:
- Cổng WAN tham gia mạng SD-WAN không được bật tính năng DMZ.
- Tất cả các trạm nhánh (Spoke) cần kết nối với trạm trung tâm (Hub) trước.
Bài viết này cung cấp hướng dẫn chi tiết để cấu hình chức năng SD-WAN trên Omada Controller, giúp doanh nghiệp quản lý mạng tập trung, tối ưu hóa định tuyến lưu lượng và thiết lập kết nối Hub-Spoke bảo mật giữa các chi nhánh trên cùng một Controller. Hướng dẫn bao gồm các điều kiện tiên quyết, cách adopt gateway, phân bổ dải IP và xác minh sau cấu hình để đảm bảo hiệu suất WAN ổn định.
Yêu cầu hệ thống
- Omada Gateway với firmware tương thích hoàn toàn với Omada Controller V6.2 trở lên.
- Omada Controller phiên bản V6.2 trở lên.
Cấu hình
Trong phần tiếp theo, chúng tôi sẽ hướng dẫn cấu hình SD-WAN sử dụng ví dụ với ba gateway. Ba gateway này được adopt tại ba Site: SD-WAN 1/2/3 trên cùng một controller và được đặt tên là Gateway A/B/C.
Cấu hình quy tắc NAT để Adapt Gateway (Tùy chọn)
Khi sử dụng bộ điều khiển tại chỗ (On-Premises controller), các gateway thường được adopt từ xa, yêu cầu phải cấu hình chuyển tiếp cổng (port forwarding) để hoàn tất quá trình adoption.
Bước 1. Controller nên nằm trong mạng LAN của một gateway. Sau khi adopt gateway này, đi tới Network Config > NAT. 
Bước 2. Tại trang Port Forwarding, nhấn Create New Rule.
Bước 3. Đặt tên cho quy tắc, chọn Any (Bất kỳ) IP hoặc Limited IP Address (IP giới hạn) có thể sử dụng quy tắc này, sau đó chọn đúng cổng WAN tại mục Interface. Cấu hình các thông số Source Port, Destination IP, Destination Port và Protocol. Cuối cùng, nhấn Create.
Để adopt một thiết bị Omada, các cổng sau cần được mở: UDP29810, TCP29811-29817 và TCP8043. Hình dưới là ví dụ cấu hình cho cổng UDP29810.
Bước 4. Sau khi tạo quy tắc, hãy cấu hình địa chỉ IP WAN của gateway này làm Inform URL trên các gateway khác để hoàn tất việc adoption. Lưu ý: địa chỉ IP WAN phải có thể truy cập trực tiếp từ các gateway khác.
Cấu hình SD-WAN
Sau khi đã hoàn tất việc adopt tất cả gateway trên cùng một controller, quy trình cấu hình SD-WAN bắt đầu tại đây.
Bước 1. Đi tới Global View > SD-WAN.
Bước 2. Nhấn Create SD-WAN Group.
Bước 3. Chỉnh sửa Group Name (Tên nhóm) và Description (Mô tả) nếu cần.
Tính năng Subnet Conflicts Solution (Giải pháp xung đột lớp mạng con) là tính năng mới trên Controller V6.2, nó ánh xạ các đoạn mạng bị trùng lặp của các gateway SD-WAN sang một đoạn mạng ảo để giải quyết vấn đề các lớp mạng trùng nhau không thể tham gia cùng một nhóm SD-WAN. Tùy chọn này được bật mặc định.
Từ phiên bản V6.2, hệ thống sẽ tự động tạo và gán dải IP ảo (IP pool) cho các gateway trong nhóm SD-WAN mà không cần cấu hình thủ công.
Bước 4. Nhấn nút Select để chọn Hub Device (Thiết bị trung tâm) và Spoke Device (Thiết bị nhánh). Lưu ý: chỉ thiết bị có IP tĩnh công cộng (Public IP) mới có thể đóng vai trò Hub Device. Chọn thiết bị và nhấn Save. 
Bước 5. Sau khi chọn xong Hub và Spoke, nhấn Next để tiếp tục. 
Bước 6. Tại trang Set Network Topology (Thiết lập cấu trúc mạng), bạn có thể xem trước các đường hầm (tunnels) được tạo giữa các gateway. Mặc định chỉ có đường hầm Hub-Spoke được tạo (mọi lưu lượng giữa các trạm nhánh phải đi qua trạm trung tâm). Bạn có thể thiết lập kết nối trực tiếp giữa các trạm nhánh bằng cách nhấn Manage Spoke-Spoke Connection để giảm tải cho thiết bị Hub. Điều kiện: ít nhất một trong hai trạm nhánh phải có IP công cộng. 
Tại trang Manage Spoke-Spoke Connection, chọn các kết nối mong muốn và nhấn Save.
Sau khi bật kết nối Spoke-Spoke, sơ đồ cấu trúc sẽ thay đổi tương ứng.
Nhấn Next để tiếp tục.
Bước 7. Tại trang Select WAN & Network, chọn cổng WAN tham gia nhóm SD-WAN cho từng gateway, hoặc nhấn Auto Select WAN Port để hệ thống tự động chọn cổng WAN phù hợp nhất (thường là cổng có IP công cộng).
Tiếp theo, chọn các mạng LAN trên từng gateway mà bạn muốn tham gia vào nhóm SD-WAN. Lưu ý: chỉ các mạng LAN có mặt nạ mạng (subnet mask) từ /20 trở lên mới có thể được chọn. Các lớp mạng trùng lặp vẫn có thể chọn được, hệ thống sẽ tự động ánh xạ chúng sang lớp mạng ảo. Nhấn Save để tiếp tục.
Bước 8. Nếu có lớp mạng trùng lặp và tính năng Subnet Conflicts Solution đang bật, trang Virtual Network Segment Mapping sẽ hiện ra để xác nhận ánh xạ ảo. Bạn có thể để mặc định hoặc chọn Custom để tự thiết lập dải ánh xạ mong muốn.
Kết quả ánh xạ sẽ được tạo tự động. Mặt nạ mạng của lớp mạng ảo sẽ giống hệt lớp mạng gốc để đảm bảo ánh xạ 1-1 không xung đột. Bạn có thể thay đổi mức độ ưu tiên của các dải IP ảo bằng cách di chuyển thứ tự của chúng. 
Sau khi xác nhận cấu hình ánh xạ ảo, nhấn Save để tiếp tục.
Bước 9. Sau khi hoàn tất ánh xạ ảo, các lớp mạng đã ánh xạ sẽ hiển thị dưới mỗi lớp mạng tương ứng. Nhấn Save để thực hiện. 
Bước 10. Cấu hình hoàn tất, bạn sẽ quay lại trang tổng quan SD-WAN để theo dõi trạng thái của nhóm.
Bước 11. Bằng cách nhấn nút Manage ở góc trên bên phải, bạn có thể: Edit Group (Sửa nhóm), Delete Group (Xóa nhóm) hoặc Manage Virtual Network (Quản lý mạng ảo).
Bước 12. Nhấn vào biểu tượng Map (Bản đồ) để xem vị trí địa lý của các Site. Bạn có thể kéo thả thủ công các Site vào bản đồ nếu chưa có thông tin kinh độ/vĩ độ. 
Sau khi đặt xong, nhấn biểu tượng Khóa để cố định vị trí; trạng thái các đường hầm kết nối sẽ được trực quan hóa trên bản đồ.
Di chuyển chuột lên đường hầm hoặc biểu tượng chi nhánh để kiểm tra trạng thái chi tiết.
Xác minh hoạt động
Trạng thái nhóm SD-WAN có thể được kiểm tra tại trang tổng quan, bao gồm danh sách gateway tham gia và tình trạng đường truyền.
Bạn có thể vào từng Site để kiểm tra bảng định tuyến (routing table) của gateway; các mục định tuyến do SD-WAN tạo ra sẽ xuất hiện tại đó.
Sử dụng công cụ Ping để kiểm tra kết nối giữa các chi nhánh. Lưu ý: đối với các lớp mạng bị trùng, phải sử dụng địa chỉ IP ảo đã được ánh xạ để kiểm tra.
Kết luận
Bài viết này đã giới thiệu cách cấu hình SD-WAN trên Omada Controller V6.2 trở lên với nhiều tính năng tự động hóa mới.
Để biết thêm chi tiết về từng chức năng và cấu hình, vui lòng truy cập Trung tâm tải xuống để tải tài liệu hướng dẫn cho sản phẩm của bạn.
Hỏi đáp (QA)
Q1: Tôi nên làm gì nếu hạ cấp (downgrade) các thiết bị trong nhóm SD-WAN hiện tại (đang dùng NAT ảo) xuống phiên bản cũ không hỗ trợ NAT ảo?
A1: Sau khi hạ cấp, tính năng NAT ảo sẽ không còn hiệu lực. Nhóm SD-WAN ban đầu sẽ bị xóa và bạn cần phải thiết lập lại nhóm thủ c
Related Documents
Hướng dẫn cấu hình SD-WAN trên Omada Controller
07-22-2025
24797