2022年11月15日 星期二

Fortigate v7 防火牆 SD-WAN 負載平衡線路檢測設定 (圖文說明)

為了避免單一 WAN 線路斷線造成網路中斷,通常企業會選擇在 WAN 建置負載平衡策略,以確保同時有兩條以上的 WAN 線路可用,在多條線路可用的環境下,因為不同線路對某些站點或服務的效能也有所差異,透過 fortigate 自訂 SD-WAN 線路檢測功能,能盡量提供較好的線路品質連線,本文介紹如何設定 Fortigate 的 SD-WAN 線路檢測功能,請繼續閱讀。


環境:

Fortigate 61F,韌體版本:v7.2.2,四條 WAN 線路。


建立線路的服務品質檢測規則,[網路] > [SD-WAN] > [服務品質檢測規則] > [+ 新增]。

這部分可以新增多條規則,假設有需要指定某些網站只走某些 WAN 線路來提供較好的網路速度,或者全部的 WAN 放進去但是如果某個線路延遲過長,就盡量避開使用等等。


線路服務品質檢測規則,本示範是去探測 Google DNS 8.8.8.8,成員全選,SLA 則是指延遲、抖動、遺失封包的門檻值,這部分依實際線路狀況決定。

可以用於線路服務品質檢測規則的協議,包括:Ping、HTTP、DNS、TCP echo、UDP echo、雙向主動測量協議 (TWAMP)、TCP 連接和 FTP。在 GUI 中,只有 Ping、HTTP 和 DNS 可用。

線路延遲門檻:測試封包送出至收到回應封包的時間,通常用以決定線路速度高低,如果是指定站點時,可以讓送出流量盡量走到較快的線路上。(依據最近三十次探測結果平均值計算)

線路抖動門檻:測試封包送出至收到回應封包的時間的最大與最小值的差,通常用以決定線路速度穩定度,如果是指定站點時,可以讓送出流量盡量走到較穩定的線路上。(依據最近三十次探測結果平均值計算)

封包遺失門檻:測試封包送出卻未收到回應封包的次數,通常用以決定線路穩定度,如果是指定站點時,可以讓送出流量盡量走到不會斷線的線路上。(依據最近一百次探測結果計算)


建立線路的 SD-WAN 優先等級規則,[網路] > [SD-WAN] > [SD-WAN 優先等級規則] > [+ 新增]。

這部分可以新增多條規則,依不同的來源或目的地去套用不同的線路服務品質檢測規則。


SD-WAN 優先等級規則,先填入名稱,來源位址物件,如果是做為某個站點使用,則目的位址物件選擇站點,否則選擇 ALL;輸出介面則有下面四種模式,依需求選擇。

Manual (手動選擇):手動指定一個或多個 WAN 介面輸出,不論品質檢測結果如何。

Best quality (最佳品質):指定多條 WAN 線路,在 [偏好 SDWAN 區域] 選擇要應用的規則,通常直接選擇 virtual-wan-link 就可以了,服務品質檢測規則選一條有包含全部偏好介面的規則,最後 [連線品質條件依據] 看是要依延遲、抖動或封包遺失作為準則,設定好後,流量會依最佳品質走其中一條線路。

Lowest cost (最低成本):指定多條 WAN 線路,在偏好 SDWAN 區域選擇要應用的規則,通常直接選擇 virtual-wan-link 就可以了,[須滿足之 SLA 標的] 選一條有包含全部偏好介面的規則,設定好後,此時流量僅會走在滿足線路服務品質檢測規則且成本最低的一條線路上。( 關於介面成本則是在設定 SD-WAN 成員時進行填入設定。)

Maximize bandwidth (最大頻寬):這是唯一一條有負載平衡且頻寬合併的規則,指定多條 WAN 線路,在偏好 SDWAN 區域選擇要應用的規則,通常直接選擇 virtual-wan-link 就可以了,[須滿足之 SLA 標的] 選一條有包含全部偏好介面的規則,設定好後,此時流量會走在滿足線路服務品質檢測規則的所有線路上,此時套用的負載平衡規則會是 round-robin。(網頁設定方式僅提供 round-robin。) ( 關於 CLI 調整負載平衡規則的方法請見下方連結。)


以上是 Fortigate 手動調整負載平衡線路檢測設定的方式。


如果是要找如何進行首次 SD-WAN 的設定,請參考另一篇 Blog:http://blog.esafe360.com/2022/11/fortigate-sd-wan.html


如果手動建置 SD-WAN 時,需要透過 CLI 介面進行負載平衡演算法調整,請參考另一篇 Blog:http://blog.esafe360.com/2022/05/fortigate-sd-wan.html



沒有留言:

張貼留言