Lỗi SD-WAN thường gặp và cách xử lý trên FortiGate

/in /by

Trả lời nhanh: Các lỗi SD-WAN FortiGate phổ biến gồm: SLA violation do jitter cao, asymmetric routing giữa các member, load balancing không cân đối, health-check sai target, và policy route conflict. Xác định qua diagnose sd-wan health-check và fix bằng cách tinh chỉnh SLA threshold hoặc chuyển strategy.

1. SLA Violation – Member WAN bị loại khỏi vòng quay

FortiGate SD-WAN dùng health-check để gửi probe đến target IP. Nếu latency > threshold hoặc jitter quá cao, member được đánh dấu dead và traffic không qua member đó. Nhiều admin chọn target là DNS Google (8.8.8.8) nhưng Google DNS có thể bị block hoặc rate-limit.

Dùng target là IP nội bộ của ISP gateway hoặc server riêng. Set set probe-packet-size 64set probe-timeout 500 cho phù hợp.

2. Asymmetric Routing – Gói đi một đường về một đường

SD-WAN load-balance strategy “source-dst-ip” có thể gửi gói ra WAN1 nhưng gói về qua WAN2, gây asymmetric routing. FortiGate stateful sẽ drop gói về.

Kiểm tra bằng cách chạy diagnose sniffer trên hai interface và so sánh IP nguồn. Khắc phục bằng strategy “best-quality” hoặc “static”, hoặc bật session-pickup.

3. Policy Route và SD-WAN rule conflict

Nhiều doanh nghiệp có cả policy route cũ và SD-WAN rules mới, dẫn đến conflict. FortiOS 7.x ưu tiên policy route trước SD-WAN. Kết quả: traffic không qua SD-WAN strategy, mất tính năng load balance.

Giải pháp là review và xóa các policy route cũ không cần thiết. Dùng show router policyshow system sdwan để so sánh.

4. Load Balancing không cân đối giữa các member

Strategy “volume” chia session mới theo round-robin nhưng session cũ vẫn stick. Kết quả: WAN1 full 90%, WAN2 chỉ 10%.

Dùng “session-based” với set load-balance-mode session giúp cân bằng hơn. Với ứng dụng realtime, “best-quality” là tối ưu. Kiểm tra bandwidth usage từng member bằng diagnose sys sdwan info.

5. Application Steering không hoạt động

Ưu tiên Office 365 ra WAN2, còn lại ra WAN1. Nhưng traffic Office 365 vẫn chạy qua WAN1. Nguyên nhân: SD-WAN rule chưa match đúng application signature.

FortiGate cần bật Application Control và có bản update signature mới nhất. Kiểm tra diagnose sys sdwan service list. Tham khảo tối ưu mạng doanh nghiệp tại tongdaidoanhnghiep.vn.

Kết luận

SD-WAN trên FortiGate là giải pháp mạnh nếu cấu hình đúng. Phần lớn lỗi đến từ health-check target không phù hợp, conflict với policy route cũ, hoặc SLA threshold quá thấp. Audit toàn bộ cấu hình SD-WAN và fix từng điểm để tận dụng tối đa băng thông sẵn có.

Câu hỏi thường gặp

Wise Tech cung cấp dịch vụ này ở đâu?

Wise Tech cung cấp dịch vụ trên toàn quốc, với văn phòng tại Hà Nội (Thang Long GTC Building, 113-115 Lê Duẩn) và TP.HCM (The Sun Building, 36/6A Nguyễn Gia Trí).

Chi phí dịch vụ của Wise Tech như thế nào?

Wise Tech luôn cam kết báo giá cạnh tranh nhất thị trường. Liên hệ hotline 0869313169 hoặc 0917323637 để được tư vấn và ép giá tốt nhất.

Làm thế nào để liên hệ Wise Tech?

Liên hệ ngay hotline 0869313169 / 0917323637, email sales@wisetech.com.vn hoặc truy cập website wisetech.com.vn để được tư vấn miễn phí 24/7.

Tham khảo thêm giải pháp công nghệ tại ICTSolution.net — Khám phá giải pháp tổng đài thông minh tại TongDaiDoanhNghiep.vn — Xem thêm dự án ICT tiêu biểu tại WiseTech.com.vn

Liên hệ để ép giá:
Wise Tech Company Limited
Hotline (+84): 0869313169 / 0917323637
HNO: Thang Long GTC Building, 113-115 Le Duan Street, Cua Nam Ward, Ha Noi City (Near Ha Noi Station)
HCMO: The Sun Building, 36/6A Nguyen Gia Tri, Thanh My Tay Ward, Ho Chi Minh City
TAX: 0109864745
Email: sales@wisetech.com.vn
Website: https://www.wisetech.com.vn
Website: https://www.ictsolution.net
Website: https://www.tongdaidoanhnghiep.vn
Website: https://flukenetwork.com.vn
Website: https://ai-solutions.com.vn
Website: https://ruijienetwork.net