SD-WAN篇(7.0) ❀ 01. 怎样将正在使用的两条宽带配置成SD-WAN?

Posted meigang2012

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了SD-WAN篇(7.0) ❀ 01. 怎样将正在使用的两条宽带配置成SD-WAN?相关的知识,希望对你有一定的参考价值。

  SD-WAN是FortiGate非常有特色的功能,可以将多条宽带集合成一个虚拟接口,简化配置的同时还能更好的利用宽带。

 Fortios 7.0版对SD-WAN配置界面做了很大的改动,选择菜单 【网络】-【SD-WAN】,点击【新建】-【SD-WAN】成员。

  ① 当我们对接口下拉的时候,发现可以选择的接口里并没有我们正在使用的Wan口。这是因为SD-WAN的接口必须“很干净”,没有被策略或路由引用。

  ③ 选择菜单【网络】-【接口】,这里我们为了接口窗口内容更简捷,鼠标右击小标题,弹出菜单里选择显示的项目,这里我们只保持简单的四项。一定要有关联项。

   ④ 由于前期已经配置了Wan1、Wan2上网,所以看到Wan1口有6个关联。象这种情况在SD-WAN里是无法选择的,需要把关联去除,把接口空出来。点击关联的数字。

  ⑤ 我们可能看到具体的关联内容,并且可以快速的将所有的关联删除。然后再重新配置关于SD-WAN虚拟接口的内容。如果对业务不熟悉,或者想保留这些配置,可以进入这些配置,将Wan1口修改成其它没有使用的接口。

  ⑥ 所有关联删除完后,只有一个VPN SSL设置的关联无法删除,这是因为SSL VPN设置不能选择SD-WAN接口,只能选择独立的Wan口,这里并不会影响SD-WAN的配置。

  ⑦ 回到SD-WAN界面,新建SD-WAN成员,这个时候发现Wan1出现在可选接口中,这是因为我们已经把它的其它关联删除了,而SSL VPN设置的关联并不影响。

   ⑧ FortiOS 7.0版会自动判断Wan1是PPPoE拨号,网关为动态。选择【确认】。

  ⑨ 在SD-WAN的虚拟接口virtual-wan-link中,出现了我们指定的Wan1接口。这里可以再加入多条宽带接口,当然,如果只有一条宽带,也可以建立SD-WAN,方便以后随时加入其它宽带,而尽量原有配置不做大的改变。

 Wan2接口是连接了专线,同样也配置了策略和路由等,在接口界面中可以看到Wan2接口有5个关联,点击关联数。

  ① 关联包括策略路由、策略以及静态路由,一一选择并删除,这是因为已经用不上这些了,需要针对SD-WAN虚拟接口重新配置过。

  ② 看到Wan2关联数已经是0了。

  

  ③ 再次回到SD-WAN界面,新建SD-WAN成员,可以看到Wan2接口可以被选择了。

  ④ 由于Wan2接口是手动输入的IP地址,因此也需要手动设置网关。Cost是FortiOS特有的设置,这里我们设置为5,在后面会讲到它的作用。点击【确认】。

  ⑤ 这样成功能将Wan1和Wan2接口加入了SD-WAN的虚拟接口virtual-wan-link中。

  如果你仔细一点的话就会发现,刚才我们已经删除了Wan2的静态默由,没有默认路由是不行的。ADSL拨号宽带不影响,因为会自动生成默认路由,这也就是为什么上上图中Wan1口有流量的原因。但是Wan2没有路由不行,所以我们要建立一个新的路由。点击菜单【网络】-【静态路由】,点击【新建】,接口选择virtual-wan-link,有没有注意到,这里已经没有路径距离和优先级的选项了。

  ① 新建好的virtual-wan-link路由也没有网关IP,这是因为在新建接口时已经设置好了。

  ② 选择菜单【仪表板】-【network】,点开【路由】,可以看到当前出现了两条默认路由。为了避免和手动设置以及自动生成的路由发生冲突,SD-WAN设置的路由的管理距离是1,我们已经知道,管理距离最小的路由是活动路由,其它路由是非活动路由。这样就保证了只有SD-WAN建立的路由是活动的。

  ③ 在命令窗口用命令get router info routing-table database 和 get route info routing-table all,都可以看到两条活动的默认路由。这就说明两条宽带都可以同时使用。

  SD-WAN的接口和路由都配置好了,还需要建立上网策略,新建上网策略,流出接口选择virtual-wan-link,其它和单接口上网策略一样。 

  ① 再次回到SD-WAN界面,可以看到两个接口都有流量了。

  ② 选择菜单【策略&对象】- 【地址】,点击【新建】,输入地址名称,选择颜色为红色,类型选择地址,国家选择China,点击【确认】,这个地址对象后面会用上。

  在没有做更细致的配置前,防火墙随机选择走哪条宽带上网。如果我们要控制访问流量的走向,就需要用到SD-WAN规则功能。选择【SD-WAN规则】,点击【新建】。

  ① 输入规则名称,源地址选择ALL,目标地址选择对象China,出口选择手工,接口选择Wan1,这个规则的作用是,当访问的IP地址是中国的IP地址时,走Wan1出去。

   ② 再新建一条规则,输入规则名称,源地址选择ALL,目标地址选择ALL,出口选择手工,接口选择Wan2,这个规则的作用是,所有的访问都走Wan2出去。

  ③ SD-WAN规则和策略路由一样,是可以调整上下顺序的,方法也是点击第一个数字,拖动调整顺序。执行顺序是从上到下,匹配到了第一条后,下面的就不再匹配了。这两条规则的作用是,当访问国内IP时走Wan1,其它IP则走Wan2。

以上是关于SD-WAN篇(7.0) ❀ 01. 怎样将正在使用的两条宽带配置成SD-WAN?的主要内容,如果未能解决你的问题,请参考以下文章

SD-WAN篇(7.0) ❀ 04. 怎样判断宽带的质量?

系统篇(7.0) ❀ 05. 怎样在HA下配置SD-WAN?

SD-WAN篇(7.0) ❀ 05. 怎样指定某台电脑走某条宽带上网?

教程篇(7.0) 02. FortiGate基础架构 & SD-WAN本地分汇 ❀ Fortinet 网络安全专家 NSE 4

SD-WAN篇(7.0) ❀ 06. 如何选择合适的DNS?

SD-WAN篇(7.0) ❀ 03. SD-WAN负载均衡有哪些模式?