【高级篇 / System】(7.0) ❀ 05. HA 下配置 SD-WAN ❀ FortiGate 防火墙

本文详细介绍了如何利用FortiGate防火墙的SD-WAN功能,配置拨号宽带,设置多线路负载均衡,实现故障切换,确保网络连续性。通过实例演示了如何配置接口、路由、性能SLA和策略,展示其在实时监控和质量路由选择中的作用。
摘要由CSDN通过智能技术生成

  一般企业通常都会有多条宽带,我们可以利用FortiGate防火墙的SD-WAN功能,均衡多条宽带的流量,以保证网络的正常工作。

 在HA的模式下,两台防火墙所有的接口都是相同的,那么在宽带线路只有一根线的情况,要分别接入到两台防火墙,就需要在交换机上划分VLAN,输入一条宽带,输出两条线路分别接入到两台防火墙。这里有两条宽带,就需要划分两个不同的VLAN。

 防火墙A和B的Port1、Port2口,分别接入交换机分流出的电信和移动宽带。

 登录主防火墙,选择菜单【网络】-【接口】,选择port1口,点击【编辑】。

   ① 在接口模式里,竟然看不到PPPoE选项,这是因为FortiGate防火墙中高端系列,不太建议使用ADSL拨号宽带,建议使用固定IP宽带,因此PPPoE选项没有开放。

  ② 在右上角点击 >_ 图标,打开CLI控制台,这里可以用命令进配置。

  ③ 输入命令config system interface配置系统接口,edit port1编辑port1接口,set mode pppoe将接口模式设置为pppoe,用相同的命令把port2接口也设为pppoe模式,最后用end保存退出。

  ④ 再次编辑port1接口,在接口模式里就有PPPoE选项了。输入接口别名,角色选择【WAN】,输入电信ADSL拨号宽带的帐号和密码。将管理距离由默认的5改成10,因为新建路由的管理距离默认是10,如果要通过电信ADSL宽带远程登录防火墙的话,访问协议启用HTTPS。

  ⑤ 用同样的方法设置Port2接口,配置移动ADSL拨号宽带。

  ⑥ 拨号成功后,在接口列表中可以看到生成的IP地址。

  ⑦ 选择菜单【网络】-【SD-WAN】,在默认的SD-WAN区域,点击【新建】-【WAN成员】。

  ⑧ 默认的SD-WAN区域是virtual-wan-link,接口选择port1口,点击【应用】。

  ⑨ 同样方法将port2也加入同一个SD-WAN区域。 

  ⑩ 可以看到两条宽带都加入了SD-WAN的虚拟接口。

 接口配置完后,我们再来看看路由。选择菜单【仪表板】-【Network】,点击【路由】。

   ① 在路由列表中,可以看到两条ADSL拨号宽带都有自动生成默认路由,管理距离是我们前面设定的10。 

  ② 我们也可以给SD-WAN虚拟接口单独建立路由,选择菜单【网络】-【静态路由】,点击【新建】。

  ③ 关闭自动网关检索,接口选择【virtual-wan-link】,目标地址为默认的0.0.0.0/0.0.0.0。点击【应用】。

  ④ 静态路由建好后的样子,你们可能会奇怪,为什么ADSL拨号明明生成了两条默认路由,而这里却看不到。这是因为所有自动生成的路由都不会在静态路由表里显示。

   ⑤ 再次查看路由表,两条ADSL拨号宽带的默认路由,管理距离都变成1了,这说明防火墙的静态路由已经代替了ADSL拨号自动生成的默认路由了。

 在很多应用场情中,会有这种情况,就是宽带线路因为挖路断了,但防火墙和猫这里物理连接都是正常的,这种情况下,可不可以及时判断并切换到正常的宽带呢?这是可以的,选择菜单【网络】-【SD-WAN】,选择【性能SLA】,里面已经有几个模块,点击【新建】。

  ① 输入新建名称,协议选择【Ping】,服务器输入常用的公网IP地址,这里输入的是114.114.114.114,可以输入多个IP地址。参与接口选择port1和port2。更新静态路由为启用。

  ② 两条线路分别向114.114.114.114 Ping包,得到宽带的丢包、延迟、抖动状态。

  ③ 在SD-WAN界面,选择【SD-WAN规则】,点击【新建】。

   ④ 输入规则名称,源地址选择【all】,目标地址也是选择【all】,选择【最佳质量】,接口选择加入两条宽带接口,SLA衡量标准选择刚才建立的性能SLA。质量标准默认为延迟。

  ⑤ 这条规则的作用就是,所有访问都会经过两条宽带,但具体走哪一条,就要看性能SLA检测出来的数据,哪条宽带延迟更少,就会走哪条。如果不区配这条规则,就会走隐含的规则。

 接口和路由都配置完成,那么要就要配置上网策略了。前面我们有设置port7号口作为内网口,这里选择【策略&对象】-【防火墙策略】,点击【新建】。

  ① 输入策略名称,流入接口选择port7,流出接口选择SD-WAN虚拟接口,源地址、目标地址和服务都选择【all】,启用NAT,一条上网策略就建好了。在port7口接入电脑,配置好IP地址、网关和DNS,就可以正常上网了。

  ② 我们也可以查看每条宽带的流量情况,选择菜单【仪表板】-【Status】,点击【添加微件】。

  ③ 弹出界面选择【网络】下的【接口带宽】。

  ④ 选择port1接口,点击【添加微件】。

  ⑤ 同样的方法添加port2接口。

  ⑥ 在Status界面,就可以看到电信宽带和移动宽带的进出数据流量了。

 我们来模拟一下宽带被挖路挖断的情况,把猫上的光纤接口拨掉,这样电信宽带是断开的,但是猫和防火墙的物理连接是好的。

  ① 由于配置了性能SLA,两条宽带一直在Ping包,现在电信宽带断网了,也就Ping不通了,出现红色提示图标。这种情况下,就会切换静态路由,移动宽带替代电信宽带开始工作。

  ② 再看路由表,果然只剩一条移动宽带的默认路由了。

  ③ 查看接口图,电信宽带没有数据,而移动宽带有数据了,说明在走移动宽带上网。

  ④ 我们也可以查看具体的某个IP的上网情况,选择菜单【仪表板】-【FortiView Sources】,可以查到内网IP地址,选择其中一个双击。

  ⑤ 点击【目标】,可以看到该IP访问了哪些内容。在菜单上点击鼠标右键。

   ⑥ 弹出窗口选择【目标接口】。

    ⑦ 可以看到所有的访问目标,都是走移动宽带出去的。

  以上实验证明:FortiGate防火墙的SD-WAN功能,可以实时查看每条宽带的质量情况,并根据质量情况进行路由切换,以保证网络的正常运行。

  两条线路都是拨号宽带,那么主备防火墙切换的话,不是宽带都断了?经实验证明,防火墙主备切换后,ADSL拨号宽带会断开,但在丢失十几个数据包后,新的主机又会拨号成功。


评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

飞塔老梅子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值