FortiGate-SD-WAN介紹與設定

作者: 發佈日期:

前言:

SD-WAN是FortiGate內建功能中強大的WAN優化解決方案,SD-WAN透過virtual wan link技術把多個介面成員組合成一個虛擬接口,SD-WAN一大好處是可以簡化外網線路配置只需設定統一的路由和防火牆策略就可以應用到所有成員接口上。

部署SD-WAN的另一個好處是在擁有多條WAN線路的企業環境有效提升線路穩定性。SD-WAN透路負載平衡演算法實現穩定性,例如Bandwith使用量、會話或應用程式感知路由。SD-WAN另一個重要特性是線路品質測量支援以PingHTTPDNS等協定測量線路的LatencyJitterPacket Loss數值。並根據這些數值動態選擇線路。確保企業營運穩定不會因網路連線中斷而受到影響。

環境說明

FortiOS版本:After 6.2(Ps.不同版本的操作介面會稍有不同)

SD-WAN設定:

SD-WAN Zone

FortiGate SD-WAN
新增SD-WAN Zone,可依不同線路功能設定多組Zone
給SD-WAN Zone設定一個名稱
新增成員介面,設定介面和Gateway IP,依同樣步驟新增其他介面
SD-WAN Zone設定完成

Performance SLAs

新增Performance SLA
1.使用Ping協定並主動測量線路品質
2.設定SLA Target,以Latency、Jitter大於10ms和Packet Loss大於50%做為線路切換目標
3.設定Link Status,每500ms5次的頻率測量線路品質,如果斷線更新路由表移除線路
Performance SLAs設定完成,可即時觀看線路品質

SD-WAN Rules

新增SD-WAN Rule
設定來源與目的地(可以基於ApplicationInternet Service)
SD-WAN演算法選擇Best Quality(使用品質最佳的線路), Measured SLA選擇PingTest, Quality criteria選擇Packet Loss
FortiGate SD-WAN
SD-WAN Rules設定完成,Rules規格為由上往下比對,預設有一條Implicit規格符合流量

Implicit SD-WAN Rule

FortiGate SD-WAN
負載平衡演算法說明
1.Source IP:依相同來源IP的連線Sessions使用相同的介面
2.Sessions:依每個介面的連線數(Sessions)設定使用權重分佈
3.Spillover:依介面設定Bandwith使用上限分配流量
4.Source-Destination IP:依相同來源和目的IP的連線Sessions使用相同的介面
5.Volume:依每個介面的累積位元組數(Bytes)設定使用權重分佈

Static route and Policy

FortiGate SD-WAN
設定Default Route介面選擇SD-WAN
FortiGate SD-WAN
設定policy放行流量。如需啟用Central NAT請參考Central NAT設定介紹

到這個步驟SD-WAN就設定完成了是不是非常簡單好用呢?

Associated-interface

在啟用SD-WAN的環境下在policy設定兩個不同Wan以上的ippool,會發生Source IP拿到不對應的Wan IP上網造成對外連線異常的問題,這時可以在ippool設定associated-interface以關聯到正確的Wan IP。

#config firewall ippool
    edit <Wan1>
        set associated-interface <interface>
    next
    edit <Wan2>
        set associated-interface <interface>
    next
end

更多SD-WAN詳細內容請見Fortinet Taiwan官方頻道

作者: Andy

Andy目前在台灣最大的Fortinet代理商聯達資訊工作,熱愛IT技術與經驗分享,經營這個網站與大家一起學習成長