2022年11月1日 星期二

Fortigate v7 防火牆 SD-WAN 負載平衡設定 (圖文說明)

為了避免單一 WAN 線路斷線造成網路中斷,通常企業會選擇在 WAN 建置負載平衡策略,以確保同時有兩條以上的 WAN 線路可用,而 fortigate 目前已經將 WAN 負載平衡改名為 SD-WAN,本文介紹如何設定 Fortigate 的 SD-WAN 功能,請繼續閱讀。


環境:

示範設備為一台 Fortigate 60F,韌體版本為 v7.2.2,設定目的是建置兩條 WAN 的 SD-WAN 規則,讓內網設備能透過兩條外部線路連上 internet。



首先要將 WAN2 放到 SD-WAN 成員中,[網路] > [SD-WAN] > [SD-WAN 區域] > [+新增] > [SD-WAN 成員]。


新增 SD-WAN 成員,介面選擇 wan2,其餘不變動。


接下來要將預設規則的防火牆政策的對外改為 SD-WAN,[政策&物件] > [防火牆政策],點選對 wan1 的預設規則,點擊 [編輯]。


編輯政策,將離開介面改為 [virtual-wan-link],其餘不變動。


再加入對外靜態路由設定,[網路] > [靜態路由] > [+ 新增]。
( 如果已有目的為 0.0.0.0/0 的規則,則是編輯此規則。)


目的地子網路填入 [0.0.0.0/0.0.0.0],介面選擇 [virtual-wan-link]。


回到 SD-WAN 設定介面,將 WAN1 也放到 SD-WAN 成員中,[網路] > [SD-WAN] > [SD-WAN 區域] > [+新增] > [SD-WAN 成員]。


新增 SD-WAN 成員,介面選擇 wan1,其餘不變動。


接下來做預設 SD-WAN 規則調整,[網路] > [SD-WAN] > [SD-WAN 優先等級規則],點選預設規則,點擊 [編輯]。


接下來就可以調整預設 SD-WAN 的負載平衡方式,預設是 Source IP,建議可以調整成 Source-Destination IP,這樣就完成 SD-WAN 設定了。



各項負載平衡演算法說明如下:

Source IP
Traffic is divided equally between members. Sessions that start at the same source address use the same route.
流量在 WAN 的成員之間平均分配。從相同來源 IP 開始的連線使用相同的路由。

Sessions
The traffic is distributed based on the number of sessions that are connected through the member.
流量根據通過 WAN 成員連接的連線數量進行分配。

Spillover
The highest priority member is used until bandwidth exceeds ingress and egress thresholds. Additional traffic is sent through the next SD-WAN member.
使用最高優先級的 WAN 成員,直到流量超過閾值。額外的流量通過下一個 SD-WAN 成員發送。

Source-Destination IP
Traffic is divided equally. Sessions that start at the same source IP address and go to the same destination IP address use the same route.
流量被平均分配。從相同來源 IP 至相同目標 IP 的連線使用相同的路由。

Volume
The workload is distributed based on the number of packets that are going through the member.
流量根據通過 WAN 成員的封包數量進行分配。


步驟中我們先建立 WAN2 做為 SD-WAN 成員,後面才做 WAN1 的部分,是因為 WAN1 在預設狀態下,已經被防火牆政策占用,此時將無法設定為 SD-WAN 成員,需要將防火牆政策調整為透過 [virtual-wan-link],也就是 SD-WAN 線路上網後,才能加入 WAN1 成員。

而如果不先加入 WAN2 作為成員,則防火牆政策無法調整為透過 [virtual-wan-link] 上網,所以才會有這樣奇怪的先後順序。


如果想要手動建置 SD-WAN 規則並調整負載平衡線路檢測設定時,請參考另一篇 Blog:http://blog.esafe360.com/2022/11/fortigate-v7-sd-wan.html


如果手動建置 SD-WAN 時,需要透過 CLI 介面進行負載平衡演算法調整,請參考另一篇 Blog:http://blog.esafe360.com/2022/05/fortigate-sd-wan.html



Posted by at
Labels:

沒有留言:

張貼留言