一般企业通常都会有多条宽带,我们可以利用FortiGate防火墙的SD-WAN功能,均衡多条宽带的流量,以保证网络的正常工作。
在HA的模式下,两台防火墙所有的接口都是相同的,那么在宽带线路只有一根线的情况,要分别接入到两台防火墙,就需要在交换机上划分VLAN,输入一条宽带,输出两条线路分别接入到两台防火墙。这里有两条宽带,就需要划分两个不同的VLAN。
防火墙A和B的Port1、Port2口,分别接入交换机分流出的电信和移动宽带。
登录主防火墙,选择菜单【网络】-【接口】,选择port1口,点击【编辑】。
① 在接口模式里,竟然看不到PPPoE选项,这是因为FortiGate防火墙中高端系列,不太建议使用ADSL拨号宽带,建议使用固定IP宽带,因此PPPoE选项没有开放。
② 在右上角点击 >_ 图标,打开CLI控制台,这里可以用命令进配置。
③ 输入命令config system interface配置系统接口,edit port1编辑port1接口,set mode pppoe将接口模式设置为pppoe,用相同的命令把port2接口也设为pppoe模式,最后用end保存退出。
④ 再次编辑port1接口,在接口模式里就有PPPoE选项了。输入接口别名,角色选择【WAN】,输入电信ADSL拨号宽带的帐号和密码。将管理距离由默认的5改成10,因为新建路由的管理距离默认是10,如果要通过电信ADSL宽带远程登录防火墙的话,访问协议启用HTTPS。
⑤ 用同样的方法设置Port2接口,配置移动ADSL拨号宽带。
⑥ 拨号成功后,在接口列表中可以看到生成的IP地址。
⑦ 选择菜单【网络】-【SD-WAN】,在默认的SD-WAN区域,点击【新建】-【WAN成员】。
⑧ 默认的SD-WAN区域是virtual-wan-link,接口选择port1口,点击【应用】。
⑨ 同样方法将port2也加入同一个SD-WAN区域。
⑩ 可以看到两条宽带都加入了SD-WAN的虚拟接口。
接口配置完后,我们再来看看路由。选择菜单【仪表板】-【Network】,点击【路由】。
① 在路由列表中,可以看到两条ADSL拨号宽带都有自动生成默认路由,管理距离是我们前面设定的10。
② 我们也可以给SD-WAN虚拟接口单独建立路由,选择菜单【网络】-【静态路由】,点击【新建】。
③ 关闭自动网关检索,接口选择【virtual-wan-link】,目标地址为默认的0.0.0.0/0.0.0.0。点击【应用】。
④ 静态路由建好后的样子,你们可能会奇怪,为什么ADSL拨号明明生成了两条默认路由,而这里却看不到。这是因为所有自动生成的路由都不会在静态路由表里显示。
⑤ 再次查看路由表,两条ADSL拨号宽带的默认路由,管理距离都变成1了,这说明防火墙的静态路由已经代替了ADSL拨号自动生成的默认路由了。
在很多应用场情中,会有这种情况,就是宽带线路因为挖路断了,但防火墙和猫这里物理连接都是正常的,这种情况下,可不可以及时判断并切换到正常的宽带呢?这是可以的,选择菜单【网络】-【SD-WAN】,选择【性能SLA】,里面已经有几个模块,点击【新建】。
① 输入新建名称,协议选择【Ping】,服务器输入常用的公网IP地址,这里输入的是114.114.114.114,可以输入多个IP地址。参与接口选择port1和port2。更新静态路由为启用。
② 两条线路分别向114.114.114.114 Ping包,得到宽带的丢包、延迟、抖动状态。
③ 在SD-WAN界面,选择【SD-WAN规则】,点击【新建】。
④ 输入规则名称,源地址选择【all】,目标地址也是选择【all】,选择【最佳质量】,接口选择加入两条宽带接口,SLA衡量标准选择刚才建立的性能SLA。质量标准默认为延迟。
⑤ 这条规则的作用就是,所有访问都会经过两条宽带,但具体走哪一条,就要看性能SLA检测出来的数据,哪条宽带延迟更少,就会走哪条。如果不区配这条规则,就会走隐含的规则。
接口和路由都配置完成,那么要就要配置上网策略了。前面我们有设置port7号口作为内网口,这里选择【策略&对象】-【防火墙策略】,点击【新建】。
① 输入策略名称,流入接口选择port7,流出接口选择SD-WAN虚拟接口,源地址、目标地址和服务都选择【all】,启用NAT,一条上网策略就建好了。在port7口接入电脑,配置好IP地址、网关和DNS,就可以正常上网了。
② 我们也可以查看每条宽带的流量情况,选择菜单【仪表板】-【Status】,点击【添加微件】。
③ 弹出界面选择【网络】下的【接口带宽】。
④ 选择port1接口,点击【添加微件】。
⑤ 同样的方法添加port2接口。
⑥ 在Status界面,就可以看到电信宽带和移动宽带的进出数据流量了。
我们来模拟一下宽带被挖路挖断的情况,把猫上的光纤接口拨掉,这样电信宽带是断开的,但是猫和防火墙的物理连接是好的。
① 由于配置了性能SLA,两条宽带一直在Ping包,现在电信宽带断网了,也就Ping不通了,出现红色提示图标。这种情况下,就会切换静态路由,移动宽带替代电信宽带开始工作。
② 再看路由表,果然只剩一条移动宽带的默认路由了。
③ 查看接口图,电信宽带没有数据,而移动宽带有数据了,说明在走移动宽带上网。
④ 我们也可以查看具体的某个IP的上网情况,选择菜单【仪表板】-【FortiView Sources】,可以查到内网IP地址,选择其中一个双击。
⑤ 点击【目标】,可以看到该IP访问了哪些内容。在菜单上点击鼠标右键。
⑥ 弹出窗口选择【目标接口】。
⑦ 可以看到所有的访问目标,都是走移动宽带出去的。
以上实验证明:FortiGate防火墙的SD-WAN功能,可以实时查看每条宽带的质量情况,并根据质量情况进行路由切换,以保证网络的正常运行。
两条线路都是拨号宽带,那么主备防火墙切换的话,不是宽带都断了?经实验证明,防火墙主备切换后,ADSL拨号宽带会断开,但在丢失十几个数据包后,新的主机又会拨号成功。