admin 02/02/2026

Hướng dẫn cấu hình SD-WAN trên FortiGate chi tiết từ NAMHI

Bạn đang vận hành hệ thống mạng đa chi nhánh và gặp phải các bài toán khó:

Chi phí thuê kênh truyền riêng (MPLS) cao nhưng băng thông hạn chế.
Kết nối Internet tại chi nhánh thiếu ổn định, ảnh hưởng trực tiếp đến các ứng dụng quan trọng như Zoom, Microsoft 365, ERP.
Có nhiều đường truyền Internet (FTTH) nhưng không biết cách điều phối và tối ưu lưu lượng.

Công nghệ SD-WAN (Software-Defined Wide Area Network) tích hợp sẵn trên FortiGate là giải pháp hiệu quả cho bài toán này. Trong bài viết này, đội ngũ kỹ thuật NAMHI sẽ hướng dẫn bạn cấu hình SD-WAN trên FortiGate theo đúng chuẩn triển khai thực tế, giúp doanh nghiệp tối ưu hiệu suất mạng và giảm đáng kể chi phí vận hành.

1. Vì sao doanh nghiệp nên triển khai SD-WAN của Fortinet?

Fortinet được đánh giá cao trên thị trường nhờ mô hình Secure SD-WAN – kết hợp chặt chẽ giữa tối ưu đường truyền và bảo mật.

Tối ưu chi phí: Kết hợp nhiều đường Internet phổ thông (FTTH) để đạt hiệu quả gần tương đương MPLS với chi phí thấp hơn.
Điều hướng lưu lượng thông minh: Tự động chọn đường truyền tốt nhất dựa trên độ trễ (Latency), jitter và tỷ lệ mất gói.
Quản lý tập trung: Phù hợp cho doanh nghiệp có nhiều chi nhánh, dễ mở rộng và vận hành.

2. Chuẩn bị trước khi cấu hình SD-WAN

Lưu ý từ kinh nghiệm triển khai thực tế:

Firmware: Khuyến nghị FortiGate chạy FortiOS 7.x để sử dụng đầy đủ giao diện và tính năng SD-WAN mới.
Dọn dẹp Static Route cũ: Bắt buộc xóa các static route trỏ trực tiếp ra WAN1/WAN2. Nếu còn route cũ, FortiGate sẽ ưu tiên định tuyến truyền thống và SD-WAN sẽ không hoạt động đúng.
DNS đồng nhất: Nên sử dụng DNS chung (8.8.8.8, 1.1.1.1…) cho tất cả các WAN để tránh lỗi phân giải khi chuyển đổi đường truyền.

3. Quy trình cấu hình SD-WAN trên FortiGate (Chuẩn GUI FortiOS 7.x)

Bước 1: Tạo SD-WAN Zone và Member

Vào Network → SD-WAN.

Chọn Create New → SD-WAN Member.

Chọn Interface (WAN1, WAN2…), nhập Gateway IP tương ứng của từng ISP.
Các WAN sẽ được gom vào zone mặc định virtual-wan-link.

Lưu ý: Với các WAN nhận IP động từ ISP (DHCP), Gateway có thể để mặc định là 0.0.0.0

Bước 2: Cấu hình Performance SLA (Theo dõi chất lượng đường truyền)

Performance SLA là thành phần quyết định việc FortiGate đánh giá “WAN nào đang tốt”.

Vào Network → SD-WAN → Performance SLA → Create New.
Detect Server: IP tin cậy (ví dụ: 8.8.8.8 hoặc 1.1.1.1).
Protocol: Ping hoặc HTTP (khuyến nghị Ping cho triển khai cơ bản).
SLA Target: Ví dụ: Latency < 50ms, Packet Loss < 1%. Khi một WAN vượt ngưỡng này, FortiGate sẽ đánh dấu là không đạt SLA.

Bước 3: Tạo SD-WAN Rules (Điều hướng theo ứng dụng)

SD-WAN Rule quyết định lưu lượng nào sẽ đi qua WAN nào.

Ứng dụng quan trọng (Zoom, Teams, ERP): Chọn chiến lược SLA-based (Best Quality) để luôn ưu tiên đường truyền đạt SLA tốt nhất.
Lưu lượng thông thường (Web, mạng xã hội): Sử dụng Load Balance để tận dụng tổng băng thông.

Bước 4: Định tuyến & Firewall Policy

Static Route: Chỉ tạo 1 default route duy nhất (0.0.0.0/0) trỏ về SD-WAN Zone.
Firewall Policy: Tạo policy cho phép LAN → SD-WAN Zone. Toàn bộ traffic sẽ được điều phối theo SD-WAN Rules.

4. Những lỗi phổ biến cần tránh khi triển khai SD-WAN

Flapping đường truyền: SLA đặt quá khắt khe khiến WAN bị bật/tắt liên tục, làm gián đoạn phiên làm việc.
Quên kiểm tra Implicit Rule: Rule mặc định ở cuối bảng SD-WAN đảm bảo các lưu lượng không match rule cụ thể vẫn được xử lý.
Không kết hợp ADVPN: Với mô hình nhiều chi nhánh, không dùng ADVPN sẽ làm việc quản lý tunnel VPN trở nên phức tạp.

Kết luận

SD-WAN trên FortiGate không chỉ là một tính năng mạng, mà là công cụ giúp doanh nghiệp tối ưu chi phí, nâng cao trải nghiệm ứng dụng và đảm bảo tính sẵn sàng của hệ thống. Nhờ kiến trúc phần cứng và Network Processor chuyên dụng của Fortinet, FortiGate mang lại hiệu năng SD-WAN ổn định và nhất quán trong môi trường doanh nghiệp.