Hướng dẫn cấu hình SD-WAN trên Omada Controller

Hướng dẫn cấu hình SD-WAN trên Omada Controller

Content

Requirements

Introduction

Configuration

NAT rule configuration for gateway adoption

SD-WAN configuration

Verification

Conclusion

QA

Yêu cầu hệ thống:

• Omada Gateways (Firmware phải tương thích hoàn toàn với phiên bản Controller 5.15.20)
• Omada Controller (Hardware/Software/Cloud Controller: version 5.15.20.x hoặc cao hơn)
• Ít nhất một địa chỉ IP công cộng

Giới thiệu:

Software-Defined Wide Area Network (SD-WAN) hỗ trợ cách mạng hóa kiến trúc WAN truyền thống bằng cách tận dụng khả năng điều khiển tập trung và tự động hóa để định tuyến lưu lượng một cách linh hoạt qua nhiều kết nối (ví dụ: MPLS, băng thông rộng, LTE).
SD-WAN nâng cấp mô hình hub-and-spoke bằng cách tích hợp điều hướng lưu lượng thông minh và đơn giản hóa việc quản lý giữa các chi nhánh.

Lợi ích chính là quản lý chính sách tập trung, cho phép thiết lập và áp dụng các quy tắc mạng trên tất cả các địa điểm chỉ từ một bộ điều khiển duy nhất.

Lưu ý:

• WAN tham gia vào kết nối mạng không được bật chức năng DMZ.
• Tất cả các điểm nhánh (spoke) cần phải kết nối với trung tâm (hub) trước.
• Các dải mạng tham gia vào kết nối mạng không được trùng lặp lẫn nhau, và không được trùng với dải mạng LAN của các site khác (tức là không được có phần giao nhau giữa các dải mạng), như minh họa trong hình sau:

Cấu hình:

Cấu hình NAT Rule để nhận thiết bị gateway

Bước 1: Cấu hình luật chuyển tiếp cổng (Port Forwarding) để nhận thiết bị.

• Nếu bạn đang sử dụng Omada Cloud-based Controller, chỉ cần tiến hành adopt tất cả thiết bị như bình thường.
• Nếu bạn đang sử dụng Controller phần cứng hoặc phần mềm (hardware/software controller):
  • Controller phải nằm ở phía LAN của thiết bị đang sở hữu địa chỉ Public IP.
  • Sau đó, bạn cần cấu hình các luật Port Forwarding để có thể adopt các thiết bị ở các site khác nhau.

Bước 2: Cấu hình luật Port Forwarding để nâng cấp firmware

Nếu bạn cần nâng cấp firmware của thiết bị thông qua Controller, bạn phải cấu hình thêm một luật NAT khác cho cổng 8043, như được minh họa trong hình sau:

Bước 3: Adopt các gateway còn lại

Các gateway còn lại cần được nhận thông qua cổng WAN, vì vậy bạn cần thực hiện các bước sau:

• Truy cập vào Web UI của gateway.
• Cấu hình mục Controller Inform URL, điền vào địa chỉ IP WAN của thiết bị đang ở cùng LAN với Controller và đã được cấu hình Port Forwarding (NAT rule) trước đó.

 Việc này giúp các gateway từ xa biết được địa chỉ của Controller để gửi yêu cầu kết nối, như minh họa trong hình dưới:

 Lưu ý: Đảm bảo cổng được NAT đúng như các bước ở trên (ví dụ: 29810, 29811, 8043...) để quá trình nhận thiết bị hoạt động chính xác.

Sau đó, tạo một Site riêng cho từng gateway trong Controller để hoàn tất quá trình nhận thiết bị.

Cấu hình SD-WAN

Bước 1: Truy cập vào Global View => SD-WAN, sau đó nhấp vào Create SDWAN Group.

Bước 2: Hoàn tất các thiết lập cơ bản cho nhóm SD-WAN

Vui lòng điền các thông tin sau:

• Tên nhóm (Group Name)
• Mô tả (Description)
• Dải IP SD-WAN (SD-WAN IP Range) – đây là dải địa chỉ IP ảo dùng để gán cho các giao diện VPN.

Lưu ý: Dải IP này phải chứa ít nhất 16 địa chỉ IP, để đảm bảo đủ cho các gateway trong nhóm SD-WAN.

Sau khi điền đầy đủ thông tin, nhấp vào Check Availability để kiểm tra xem dải IP có bị xung đột với bất kỳ mạng nào khác không.

Bước 3: Chọn thiết bị trung tâm (Hub)

Nhấp vào nút Select tại mục Hub Device để chọn thiết bị trung tâm cho nhóm SD-WAN.

Lưu ý: Chỉ những thiết bị đang có địa chỉ Public IP mới được hiển thị trong danh sách chọn làm Hub.

Bước 4: Chọn các thiết bị nhánh (Spoke)

Nhấp vào nút Select tại mục Spoke Device để chọn các thiết bị nhánh sẽ tham gia vào nhóm SD-WAN.

Các thiết bị Spoke sẽ kết nối đến thiết bị Hub đã chọn ở bước trước, tạo thành mô hình Hub-and-Spoke trong SD-WAN.

Bước 5: Nhấp vào nút Next

Sau khi hoàn tất việc chọn các thiết bị Spoke, nhấp vào nút Next để chuyển sang trang TSet Network Topology.

Bước 6: Nhấp vào nút Manage Spoke-Spoke Connection để mở trang cấu hình cho kết nối trực tiếp giữa các thiết bị Spoke (Spoke-to-Spoke).

Bước 7: Chọn các Spoke cần thiết lập kết nối trực tiếp với nhau

Để tạo đường hầm giữa các Spoke (inter-spoke tunneling), cần đảm bảo rằng hai thiết bị Spoke ở hai đầu kết nối đều phải có ít nhất một địa chỉ IP công cộng.

Trong ví dụ sau, site 10_7206v2 có địa chỉ IP công cộng, vì vậy nó có thể thiết lập kết nối trực tiếp với các site 30_7206v2 và 40_7206v2.

Bạn có thể cấu hình các kết nối này dựa trên thực tế topology mạng của mình để tối ưu hiệu năng và định tuyến.

Bước 8: Cấu hình cổng WAN và mạng LAN cho các thiết bị Spoke

Truy cập vào trang Chọn WAN & Mạng (Select WAN & Network) để cấu hình:

• Cổng WAN sẽ được sử dụng cho kết nối SD-WAN
• Mạng LAN cho từng thiết bị Spoke

Trang này sẽ tự động thêm Default LAN của mỗi site vào danh sách Network Segment, và bạn có thể tùy chỉnh thông số của từng dải mạng theo nhu cầu riêng.

Yêu cầu quan trọng: Tất cả các dải mạng trong nhóm SD-WAN không được trùng lặp với mạng LAN của các site khác.

Có thể nhấp vào Auto Select WAN Port, lúc này Controller sẽ: tự động chọn cổng WAN có IP Public (nếu có), hoặc Chọn cổng WAN có số lượng cổng và địa chỉ IP nhỏ nhất

Ngoài ra, bạn cũng có thể tùy chỉnh cấu hình thủ công cho từng site theo topology thực tế.

Bước 9: Nhấp vào Save để hoàn tất cấu hình SD-WAN

Xác minh cấu hình SD-WAN

Bước 1: Kiểm tra Routing Table

Truy cập vào Insights > Routing Table trong từng site để xem thiết bị next-hop của các dải mạng thuộc nhóm SD-WAN.

Bảng định tuyến của Hub:

Bảng định tuyến của các Spoke:

Bước 2: Kiểm tra kết nối giữa Spoke và Hub (Spoke-Hub Connectivity Test)

Truy cập vào trang Network Tools tại site đóng vai trò Hub để thực hiện kiểm tra kết nối mạng.

• Chọn mục Network Check như hình minh họa.
• Chọn dải mạng của Hub sẽ tham gia vào quá trình kiểm tra.
• Nhập Domain hoặc địa chỉ IP thuộc dải mạng của Spoke cần kiểm tra.
• Nhấp vào Run để bắt đầu kiểm tra kết nối.

Như hình minh họa, kết nối từ Hub đến site 10_7206v2 trên dải mạng 192.168.10.1/24 hoạt động bình thường.

Bước 3: Kiểm tra kết nối Spoke-Hub-Spoke

Truy cập vào trang Network Tools tại một site Spoke để thực hiện kiểm tra kết nối.

• Chọn Network Check như trong hình minh họa.
• Chọn dải mạng của Spoke đang tham gia vào mạng SD-WAN.
• Nhập Domain hoặc địa chỉ IP thuộc dải mạng của một Spoke khác cần kiểm tra kết nối.
• Nhấn Run để bắt đầu kiểm tra.

Như hình minh họa, kết nối từ Spoke đến site 40_7206v2 trên dải mạng 192.168.40.1/24 hoạt động bình thường.

Kết luận: Bạn đã cấu hình thành công SD-WAN trên Omada Controller.

Để tìm hiểu thêm chi tiết về từng chức năng và cấu hình, vui lòng truy cập Download Center để tải hướng dẫn sử dụng của sản phẩm bạn đang dùng.

Hỏi & Đáp (QA)

Q1: Gateway Omada có hỗ trợ máy chủ đám mây AWS cho SD-WAN không?
A1: Không. Hiện tại, Gateway Omada chưa hỗ trợ thiết lập kết nối trực tiếp với các nền tảng đám mây lớn như AWS, Azure hoặc Google Cloud.