SD-WAN是FortiGate非常有特色的功能,可以将多条宽带集合成一个虚拟接口,简化配置的同时还能更好的利用宽带。
① 当我们对接口下拉的时候,发现可以选择的接口里并没有我们正在使用的Wan口。这是因为SD-WAN的接口必须“很干净”,没有被策略或路由引用。
③ 选择菜单【网络】-【接口】,这里我们为了接口窗口内容更简捷,鼠标右击小标题,弹出菜单里选择显示的项目,这里我们只保持简单的四项。一定要有关联项。
④ 由于前期已经配置了Wan1、Wan2上网,所以看到Wan1口有6个关联。象这种情况在SD-WAN里是无法选择的,需要把关联去除,把接口空出来。点击关联的数字。
⑤ 我们可能看到具体的关联内容,并且可以快速的将所有的关联删除。然后再重新配置关于SD-WAN虚拟接口的内容。如果对业务不熟悉,或者想保留这些配置,可以进入这些配置,将Wan1口修改成其它没有使用的接口。
⑥ 所有关联删除完后,只有一个VPN SSL设置的关联无法删除,这是因为SSL VPN设置不能选择SD-WAN接口,只能选择独立的Wan口,这里并不会影响SD-WAN的配置。
⑦ 回到SD-WAN界面,新建SD-WAN成员,这个时候发现Wan1出现在可选接口中,这是因为我们已经把它的其它关联删除了,而SSL VPN设置的关联并不影响。
⑧ FortiOS 7.0版会自动判断Wan1是PPPoE拨号,网关为动态。选择【确认】。
⑨ 在SD-WAN的虚拟接口virtual-wan-link中,出现了我们指定的Wan1接口。这里可以再加入多条宽带接口,当然,如果只有一条宽带,也可以建立SD-WAN,方便以后随时加入其它宽带,而尽量原有配置不做大的改变。
① 关联包括策略路由、策略以及静态路由,一一选择并删除,这是因为已经用不上这些了,需要针对SD-WAN虚拟接口重新配置过。
② 看到Wan2关联数已经是0了。
③ 再次回到SD-WAN界面,新建SD-WAN成员,可以看到Wan2接口可以被选择了。
④ 由于Wan2接口是手动输入的IP地址,因此也需要手动设置网关。Cost是FortiOS特有的设置,这里我们设置为5,在后面会讲到它的作用。点击【确认】。
⑤ 这样成功能将Wan1和Wan2接口加入了SD-WAN的虚拟接口virtual-wan-link中。
① 新建好的virtual-wan-link路由也没有网关IP,这是因为在新建接口时已经设置好了。
② 选择菜单【仪表板】-【network】,点开【路由】,可以看到当前出现了两条默认路由。为了避免和手动设置以及自动生成的路由发生冲突,SD-WAN设置的路由的管理距离是1,我们已经知道,管理距离最小的路由是活动路由,其它路由是非活动路由。这样就保证了只有SD-WAN建立的路由是活动的。
③ 在命令窗口用命令get router info routing-table database 和 get route info routing-table all,都可以看到两条活动的默认路由。这就说明两条宽带都可以同时使用。
① 再次回到SD-WAN界面,可以看到两个接口都有流量了。
② 选择菜单【策略&对象】- 【地址】,点击【新建】,输入地址名称,选择颜色为红色,类型选择地址,国家选择China,点击【确认】,这个地址对象后面会用上。
① 输入规则名称,源地址选择ALL,目标地址选择对象China,出口选择手工,接口选择Wan1,这个规则的作用是,当访问的IP地址是中国的IP地址时,走Wan1出去。
② 再新建一条规则,输入规则名称,源地址选择ALL,目标地址选择ALL,出口选择手工,接口选择Wan2,这个规则的作用是,所有的访问都走Wan2出去。
③ SD-WAN规则和策略路由一样,是可以调整上下顺序的,方法也是点击第一个数字,拖动调整顺序。执行顺序是从上到下,匹配到了第一条后,下面的就不再匹配了。这两条规则的作用是,当访问国内IP时走Wan1,其它IP则走Wan2。
388
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
