🗺️ Sơ đồ – DHCP, DNS và SD-WAN
graph TD
subgraph FGT["FortiGate VM 7.6.6"]
subgraph DHCP["DHCP Server"]
D1["VLAN10 Pool\n10.10.10.100 - 200\nGW: 10.10.10.1\nDNS: 8.8.8.8"]
end
subgraph DNS_FWD["DNS Forwarder"]
DNS["Primary: 8.8.8.8\nSecondary: 1.1.1.1"]
end
subgraph SDWAN["SD-WAN - Can bang tai WAN"]
ISP1["port2 - ISP1\nGW: 192.168.1.254\nSLA: ping 8.8.8.8"]
ISP2["port5 - ISP2\nGW: 10.0.0.1\nSLA: ping 1.1.1.1"]
Rule["SD-WAN Rule\nVideo/Streaming to ISP2\nKhac to ISP1"]
end
end
PC["PC-Client\nNhan IP tu dong tu DHCP"]
SRV["Server\nIP tinh 10.10.20.100"]
Internet(["Internet"])
D1 -->|"Cap IP tu dong"| PC
DNS -->|"Phan giai ten mien"| Internet
ISP1 -->|"Traffic thong thuong"| Internet
ISP2 -->|"Traffic video/backup"| Internet
Rule --> ISP1
Rule --> ISP2
📚 Lý thuyết cơ bản
🔰 DHCP là gì?
DHCP (Dynamic Host Configuration Protocol) = Giao thức cấp phát địa chỉ IP tự động.
💡 Hãy tưởng tượng bạn đến khách sạn:
- Lễ tân (DHCP server) trao cho bạn chìa khóa phòng (địa chỉ IP).
- Phòng có số phòng (IP), wifi riêng (gateway), bảng chỉ dẫn (DNS).
- Khi bạn trả phòng (ngắt kết nối), phòng được trao cho người khác.
Thông tin DHCP cấp cho mỗi máy: địa chỉ IP, subnet mask, default gateway (10.10.10.1), DNS server (8.8.8.8), thời gian thuê IP (lease time).
🔰 DNS là gì?
DNS (Domain Name System) = "Danh bạ điện thoại" của Internet.
💡 Bạn nhớ
google.comdễ hơn nhớ142.250.185.46. Khi bạn gõgoogle.com, DNS tìm và trả về địa chỉ IP tương ứng.
FortiGate DNS Forwarder = Nhận yêu cầu DNS từ máy nội bộ, chuyển tiếp ra DNS server bên ngoài.
🔰 SD-WAN là gì?
SD-WAN (Software-Defined Wide Area Network) = Quản lý nhiều đường WAN bằng phần mềm thông minh.
💡 Giống như GPS thông minh chọn đường:
- Có 2 đường (ISP1 và ISP2). Tắc đường (đứt cáp) → tự động chuyển sang đường khác.
- Có thể ưu tiên: Zoom call đi ISP1, tải file đi ISP2.
SLA Health Check = Kiểm tra "sức khỏe" của đường WAN: FortiGate liên tục ping 8.8.8.8 qua ISP1. Nếu ping thất bại → ISP1 bị coi là "chết" → chuyển sang ISP2.
🛠️ Thực hành
DHCP Server cho VLAN10
config system dhcp server
edit 1
set interface "port3.10"
set default-gateway 10.10.10.1
set netmask 255.255.255.0
set dns-server1 8.8.8.8
set dns-server2 1.1.1.1
config ip-range
edit 1
set start-ip 10.10.10.100
set end-ip 10.10.10.200
next
end
next
endDNS Forwarder
config system dns
set primary 8.8.8.8
set secondary 1.1.1.1
endSD-WAN cơ bản (2 ISP)
config system sdwan
set status enable
config members
edit 1
set interface "port2"
set gateway 192.168.1.254
next
edit 2
set interface "port5"
set gateway 10.0.0.1
next
end
config health-check
edit "Check-ISP1"
set server "8.8.8.8"
set members 1
next
edit "Check-ISP2"
set server "1.1.1.1"
set members 2
next
end
endKiểm tra DHCP
# Xem các IP đã cấp
get system dhcp lease-list
diagnose debug application dhcp -1🔒 Bảo mật cần nhớ
- ✅ Giới hạn DHCP pool đúng số thiết bị cần thiết.
- ✅ Kết hợp DHCP snooping trên Switch Cisco để chặn DHCP giả mạo.
- ✅ Dùng DNS-over-TLS để bảo vệ truy vấn DNS.
📖 Case thực tế
Công ty có 2 ISP: Viettel (chính) và VNPT (dự phòng). Cài SD-WAN để:
- Tự động chuyển sang VNPT khi Viettel bị đứt cáp.
- Chia tải: Zoom/Teams đi Viettel (độ trễ thấp), download file đi VNPT.
- Uptime mạng tăng từ 95% lên 99.9%.
📅 Tuần 9/12 – FortiOS 7.6.6 Administration Lab