Fortinet：SD-WAN &&&防特网：负载均衡（实验持续更新）

本文主要介绍了SD-WAN在FortiOS 6.0中的功能。前面会是用大篇幅来介绍SD-WAN的一些使用规则以及一些词语的含义。后面会附上几个实例。
#SD-WAN规则中的应用程序控制设置
您可以在SD-WAN规则中配置应用程序控制和应用程序控制组。
在SD-WAN规则中配置应用程序控制 - GUI：
1.转到网络> SD-WAN规则。

2.选择“新建”或“编辑现有规则”。
3.在“目标”部分的“目标类型”字段中，选择“Internet服务”。

4.在“选择条目”侧面菜单中，选择“应用”。

5.从列表中选择一个或多个应用程序。

By the way，新建优先级规则中，目标地址有三个项，其中选择了“地址”则“Internet服务”和“应用控制”不可用，而“Internet服务”与“应用控制”并无冲突关系，可二选一使用，也可以同时使用，以下三张图为说明。



在SD-WAN规则中配置应用程序控制 - CLI：

config application group 
	edit <name>
		set application <application-ID-list> 
	next
end

#SD-WAN规则中的Internet服务
Internet服务支持从单个Internet服务扩展到支持Internet服务组，自定义Internet服务组，基于控件的应用程序标识和基于控件的Internet服务组。因上小节已经提到过了，就不再上GUI步骤配图了，不过顺便上一张“Internet服务数据库”所在位置的图片。

在SD-WAN规则中配置Internet服务 - GUI：
1.转到网络> SD-WAN规则。
2.创建新建或编辑现有规则。
3.在“目标”部分的“目标类型”字段中，选择“Internet服务”。
4.在“选择条目”侧面菜单中，选择“Internet服务”。
5.从列表中选择一个或多个Internet服务。
在SD-WAN规则中配置Internet服务组 - CLI：

config system virtual-wan-link
	config service
		edit <priority-rule-ID>
			set internet-service enable
			set internet-service-group <Internet-service-group-list>
			set internet-service-custom-group <custom-Internet-service-group-list>
			set internet-service-ctrl <control-based-Internet-service-ID-list>
			set internet-service-ctrl-group <control-based-Internet-service-group-list> 
		next
	end 
end

配置Internet服务组 - CLI：

config firewall internet-service-group 
	edit <Internet-service-group-name>
		set comment [string]
		set member <Internet-service-group-members> 
	next
end

配置自定义Internet服务组 - CLI：

config firewall internet-service-custom-group 
	edit <custom-Internet-service-group-name>
		set comment [string]
		set member <custom-Internet-service-group-members> 
	next
end

#SD-WAN规则中的带宽和自定义配置文件选项
管理者可以根据链路成本配置带宽选项，以便FortiGate根据传入，传出或双向流量的可用带宽选择链路。这对那些主要使用一些主要应用程序来下载和另一些主要应用来上载的用户很有用。
还可以根据链路成本使用自定义配置文件。 FortiGate使用以下公式选择最佳链路：链路质量=（数据包丢失权重*数据包丢失）+（延迟权重*延迟）+（抖动权重*抖动）+（带宽 - 权重/带宽）。
在SD-WAN规则中配置带宽和自定义配置文件选项 - GUI：
1.转到网络> SD-WAN规则。
2.在“传出接口”部分的“策略”字段中，选择“最佳质量”。
3.在“接口”首选项字段中添加接口后，将显示“质量标准”字段。
4.在质量标准字段中，您可以选择下游用于下游带宽，上行用于上行带宽，带宽用于双向带宽，或选择自定义配置文件1以创建自定义配置文件。
5.选择custom-profile-1后，您可以设置延迟权重，抖动权重，数据包丢失权重和带宽量。
在SD-WAN规则中配置带宽选项 - CLI：

config system virtual-wan-link 
	config service
		edit <priority-rule-ID>
			set link-cost-factor inbandwidth 
			set link-cost-factor outbandwidth 
			set link-cost-factor bibandwidth
		next 
	end
end

在SD-WAN规则中配置自定义配置文件 - CLI：

config system virtual-wan-link 
	config service
		edit <priority-rule-ID>
			set link-cost-factor custom-profile-1 
			set packet-loss-weight <integer>
			set latency-weight <integer> 
			set jitter-weight <integer> 
			set bandwidth-weight <integer>
		next
	end
end

其中数据包丢失权重，延迟权重，抖动权重和带宽权重是0到10000000范围内的整数。
#SLA管理
您可以在FortiGate GUI中配置服务级别协议（SLA）管理。
如果所有链接都符合SLA标准，FortiGate将使用第一个链接，即使该链接不是最佳质量链接。如果在任何时候，使用中的链路不符合SLA标准，并且配置中的下一个链路符合SLA标准，FortiGate将更改为该链路。如果下一个链路不符合SLA标准，FortiGate会在配置满足SLA标准时使用配置中的下一个链路，依此类推。
如果没有链路符合SLA标准，FortiGate会使用首选链路，这是配置中的第一个链路。 FortiGate不断检查链接，看它们是否符合SLA标准。
配置SLA - GUI：
1.转到网络>性能SLA。
2.选择“新建”。
3.在“名称”，“协议”，“服务器”和“参与者”字段中，设置适当的值。
4.在“SLA目标”部分中，在“延迟阈值”，“抖动阈值”和“数据包丢失阈值”字段中设置适当的值。选择确定。
Performance SLA页面将更改为显示有关SLA的信息。
5.转到网络> SD-WAN规则。
6.在“名称”字段中，设置规则的名称。
7.在“目标类型”字段中，选择“Internet服务”。在“目标”字段中，选择+。在选择条目中
窗口，选择Internet服务并从列表中选择适当的Internet服务。选择关闭。
8.在“传出接口”部分的“策略”字段中，选择“最低质量（SLA）”。
9.在“接口”首选项字段中，选择+。在“选择条目”窗口中，从列表中选择适当的接口。选择关闭。
10.在Required SLA target（必需SLA目标）字段中，从下拉列表中选择适当的SLA。选择确定。
SD-WAN规则页面将更改为显示有关SD-WAN规则的信息。您可以拖放规则以重新排序。
在运行状况检查中配置SLA - CLI：

config system virtual-wan-link 
	config health-check
		edit <health-check-name> 
			config sla
			edit <SLA-ID>
				set link-cost-factor {latency | jitter | packet-loss} 
				set latency-threshold <milliseconds>
				set jitter-threshold <milliseconds> 
				set packetloss-threshold <percentage>
			next 
		end
end

在服务中配置SLA - CLI：

config system virtual-wan-link 
	config service
		edit <priority-rule-ID> 
			set mode sla
				config sla
				edit <health-check-name> 
				set id <SLA-ID>
				next 
			end
		next 
	end
end

在SD-WAN规则中将链路优先级模式设置为SLA - CLI：

config system virtual-wan-link 
	config service
		edit <priority-rule-ID> 
			set mode sla
			set link-cost-threshold <threshold-change-percentage> 
			set priority-members <member-sequence-list>
		next 
	end
end

#多服务器支持健康检查
您现在可以在SD-WAN中配置多个服务器以进行运行状况检查。
配置服务器支持以进行运行状况检查 - CLI：

config system virtual-wan-link 
	config health-check
		edit <health-check-name> 
			set server <server-list>
		next
	end 
end

其中是服务器的一个或多个IP地址或FQDN名称。
IPv6支持SD-WAN
SD-WAN现在支持IPv6。 它支持所有负载平衡模式，运行状况检查（ping6）以及源地址，源用户和组以及目标地址的服务规则。
FortiOS 6.0还增加了SD-WAN中运行状况检查和优先级规则的配置限制。 健康检查和优先级规则的限制从全局256个增加到4096个，每个VDOM增加512到4096个。
配置SD-WAN成员接口 - CLI：

config system virtual-wan-link 
	config members
		edit <sequence-number>
			set interface <interface-name>
			set {gateway | gateway6} <gateway-address> 
		next
	end 
end

要启用SD-WAN - CLI：

config router {static | static6} 
	edit <sequence-number>
		set virtual-wan-link enable 
	next
end

配置运行状况检查（IPv4） - CLI：

config system virtual-wan-link 
	config health-check
		edit <health-check-name> 
			set address-mode ipv4
			set protocol {ping | tcp-echo | udp-echo | http | twamp} 
		next
	end 
end

配置运行状况检查（IPv6） - CLI：

config system virtual-wan-link 
	config health-check
		edit <health-check-name> 
			set address-mode ipv6 
			set protocol ping6
		next 
	end
end

配置服务规则 - CLI：

config system virtual-wan-link 
	config service
		edit <priority-rule-ID> 
			set name <rule-name>
			set addr-mode {ipv4 | ipv6} 
			set member <sequence-number>
			set {dst | dst6} <destination-address-name> 
			set {src | src6} <source-address-name>
		next 
	end
end

#DSCP在SD-WAN规则中标记转发的数据包
您现在可以根据SD-WAN规则中标识的应用程序配置转发数据包的DSCP标记。
在SD-WAN规则中配置转发数据包的DSCP标记 - CLI：

config system virtual-wan-link 
	config service
		edit <priority-rule-ID>
			set dscp-forward {enable | disable} 
			set dscp-reverse {enable | disable} 
			set dscp-forward-tag <binary>
			set dscp-reverse tag <binary> [6 bits binary, range 000000-111111] 
		next
	end 
end

注意：
l dscp-forward-tag<binary>是转发流量DSCP标记。 它是一个6位二进制值，范围为000000- 111111。
l dscp-reverse tag <binary>是反向流量DSCP标记。 它是一个6位二进制值，范围为000000- 111111。
SD-WAN和动态路由
SD-WAN现在支持动态路由。 您可以使用动态路由和SD-WAN。 使用BGP，SD-WAN可以使用动态路由更新其规则。

在路由映射规则中设置路由标记 - CLI：

config router route-map 
	edit <name>
		config rule
			edit <rule-ID>
				set match-community <BGP-community-list> 
				set set-route-tag <route-tag>
			next 
		end
	next 
end

其中是一个从0到4294967295的数字。
设置运行状况检查成员 - CLI：

config system virtual-wan-link 
	config health-check
		edit <health-check-name>
			set members <member-sequence-number-list> 
		next
	end 
end

在SD-WAN规则中添加路由标记 - CLI：

config system virtual-wan-link 
	config service
		edit <priority-rule-ID>
			set route-tag <route-map-route-tag> 
		next
	end 
end

其中是一个从0到4294967295的数字。

#SD-WAN规则中的链接优先级
您可以在SD-WAN规则中配置链接的优先级。 您可以使用set mode命令控制优先级规则如何设置SD-WAN中接口的优先级。 如果将其设置为优先级，FortiGate将根据您使用set priority-members命令配置的接口顺序为接口分配优先级。
在优先级模式下，当两条链路之间的差异在您为link-cost-threshold配置的数量范围内时，FortiGate使用优先级较高的链路，这是优先级成员列表中的第一个成员。
在SLA模式下，FortiGate根据SLA设置分配链接。
在SD-WAN规则中设置链接优先级模式 - CLI：

config system virtual-wan-link 
	config service
		edit <priority-rule-ID> 
			set mode priority
			set link-cost-threshold <threshold-change-percentage> 
			set priority-members <member-sequence-list>
		next 
	end
end

#用于地址否定的SD-WAN规则
当流量通过FortiGate时，它可以首先匹配软件定义的广域网（SD-WAN）规则，即使它是用于另一个接口，也会导致流量中断。 为避免这种情况，您可以为地址否定配置隐式规则，以便基于SD-WAN策略的路由（PBR）规则与流量不匹配，除非流量用于SD-WAN接口。
您可以为目标和源地址匹配启用地址否定。 在匹配规则的过程中，如果规则是SD-WAN规则，FortiGate首先检查出接口。 如果接口不是SD-WAN成员接口，则忽略该规则。
要启用否定目标地址匹配 - CLI：

config system virtual-wan-link 
	config service
		edit <id>
			set dst-negate enable 
		next
	end

要启用否定源地址匹配 - CLI：

config system virtual-wan-link 
	config service
		edit <id>
			set src-negate enable 
		next
	end

#SD-WAN CLI更改
已对SD-WAN进行了以下CLI更改：
1.从链路健康监视器中删除了超时选项。 您不能再使用config system link-monitor命令下的set timeout命令。
2.从运行状况检查中删除了超时选项。 您不能再使用下面的set timeout命令
config health-check命令。
#实例

这是双固定IP带宽网络的示例，wan1和wan2拥有

（文章实验皆有实例可循，但因各种原因，截图所用数据均为虚构。注意图中说明。欢迎大家指教。QQ79723521）