SD-WAN篇(7.0) ❀ 02. 怎样将两条ADSL宽带配置成SD-WAN上网？

Posted 2021-09-09 meigang2012

　　ADSL拨号宽带由于价廉物美使得应用非常广泛，很多企业会安装二条或更多的ADSL拨号宽带以应对上网需求。Fortinet防火墙自带免费的SD-WAN功能，可以高效的利用多条宽带上网。为了学习SD-WAN的配置方法，我们用真实的网络环境来一步一步进行操作。

现有的环境是：一条电信500M的ADSL拨号宽带，一条移动300M的ADSL拨号宽带，一台FortiWiFi 60E防火墙。防火墙的固件已经升级到了Fortios 7.0.1，两条ADSL拨号宽带分别从光猫接入到Wan1、Wan2口，电脑网线连接1号口。首先将电脑网卡的IP地址设置为192.168.1.168。

　　① 打开浏览器（建议用火狐或谷歌），输入地址 https://192.168.1.99，第一次登录时会出现提示信息，显示不是安全访问，点击【高级】。

　　② 弹出内容选择【继续前往192.168.1.99】，之后防火墙会将证书上传到浏览器，下次登录时就不会再出现这个提示了。

 　　③ 出现登录窗口，默认管理员帐号为admin，默认密码为空，这里输入admin，不用输入密码，点击【Login】。

　　④ 初次登录必须修改密码，由于初始密码为空，所以第一行不用输入，在第二行和第三行输入两次新的密码，点击【OK】。

　　⑤ 再次出现登录窗口，输入管理员帐号admin和新的密码，点击【Login】。

　　⑥ 出现需要完成设置步骤的提示，包括规定主机名、修改密码、设置仪表板内容、升级固件以及注册设备。打钩的是已经设置完成的，这里我们选择【Later】，以后再设置这些内容。

　　⑦ 出现FortiOS 7.0.0 新功能窗口，由于设备还没上网(要求能访问国际网)，所以没有显示视频内容，启用【Don‘t show again】，以后不再显示，点击【OK】。

登录到防火墙的管理界面，默认界面是英文。我们还需要做一些小小的设置以适应现有环境。

　　① 选择菜单【System】-【Settings】，首先在Host name输入主机名称，然后在Time zone将时区改成北京时间。将Idle timeout由默认的5分钟改为30分钟，这样避免短时间没有操作时退出管理界面。

　　② 最后是将语言更改成简体中文，点击【Apply】。

　　③ 再次刷新界面后，所有显示内容都是中文的了。

内网接口的默认IP是192.168.1.99，由于这个网段很多设备都在使用，因此建议内网使用其它网段。选择菜单【网络】-【接口】，选择接口lan，这是个软交换接口，包含了Internal和wifi。点击【编辑】。

　　① 输入接口别名，用来区分接口的作用。将IP地址修改为172.16.1.1。

　　② 在DHCP设置里，修改地址范围为172.16.1.20-172.16.1.200，预留一些IP给其它设备使用。DNS服务器选择【指定】，由于电信和移动使用的是不同的DNS，因此这里输入通用DNS 8.8.8.8和114.114.114.114，两条宽带都可以使用，点击【确认】。

　　③ 修改地址后防火墙就登录不了。再次修改网卡的IP地址。可以手动设置，也可以DHCP自动获取。

使用新的地址 https://172.16.1.1 登录防火墙。内网接口配置好了，下一步就是配置外网接口了。选择菜单【网络】-【接口】，选择接口Wan1，点击【编辑】。

　　① 输入接口别名，Wan1接口模式默认为DHCP，由于接了光猫，所以会获得IP地址。这里选择【PPPoE】，输入ADSL拨号宽带的帐号和密码。点击【确认】。

　　② 选择Wan2接口，点击【编辑】。

　　③ 输入接口别名，选择接口模式为【PPPoE】，输入宽带帐号和密码。

下一步的动作是将两个Wan口加入虚拟SD-WAN接口，但是Wan1口被一条默认策略关联了。所以需要先清除这个关联。选择菜单【策略&对象】-【防火墙策略】，可以看到有一条默认lan到Wan1的策略，选择这条策略，点击【删除】。

　　① 选择菜单【网络】-【接口】，选择Wan1，点击【合并接口】，这个功能是FortiOS 7.0才有的。

　　② 选择移动到SD-WAN，点击【下一步】。

　　③ 目标接口选择【virtual-wan-link】，这是SD-WAN的虚拟接口名称。点击【下一步】。

　　④ 加入SD-WAN的接口必须没有被路由或策略关联，点击【创建】。

　　⑤ 经过再次确认后，Wan1接口加入到SD-WAN接口中，点击【关闭】。

　　⑥ 用同样的方法，将Wan2接口也加入SD-WAN接口。这里不再重复加入步骤了。

　　⑦ 选择菜单【网络】-【SD-WAN】，可以看到SD-WAN虚拟接口virtual-wan-link下已经有两个Wan接口了。但是大家有没有注意到，virtual-wan-link接口是灰色的，这表明SD-WAN接口没有启用。

　　⑧ 选择右上角的>_命令图标，打开CLI控制台，输入命令config system sdwan，配置SDWAN，命令set status enable，设置SDWAN的状态为启用，最后用命令end保存配置。

　　⑨ 再次回到SD-WAN菜单，可以看到virtual-wan-link接口是绿色，说明接口已经启用了。

  内网接口和SD-WAN接口都配置完了，下面我们来配置路由。选择菜单【仪表表】-【Network】，进入【路由】窗口，由于Wan1和Wan2都是ADSL拨号宽带，因此自动生成了两条默认路由，管理距离都是5，优先级默认都是0。

　　① 除了宽带自动生成默认路由外，我们还可以给整个SD-WAN接口建立一条默认路由，让我们看看新建的路由有什么不同。选择菜单【网络】-【静态路由】，点击【新建】。

　　② 在新建静态路由窗口，接口选择【virtual-wan-link】，目标地址默认为0.0.0.0/0.0.0.0，点击【确认】。这条路由的作用是：访问所有IP地址都会走SD-WAN接口出去。

　　③ 选择菜单【仪表板】-【Network】，进入路由窗口，可以看到还是有两条ADSL拨号宽带的默认路由，只是管理距离都是1。我们知道，管理距离越小，路由越优先，在路由表上已经看不到自动拨号生成的管理距离为5的默认路由了。新建的路由代替了自动生成的路由。

接口和路由都配置完成，最后一步就是配置上网策略了，选项菜单【策略&对象】-【防火墙策略】，点击【新建】。

　　① 输入策略名称，流入接口选择内网口，流出接口选择SD-WAN接口virtual-wan-link，源地址、目标地址、服务都是选择ALL，上网策略一定要启用NAT，点击【确认】。

　　② 验证是否可以上网的简单方法，就是在DOS窗口Ping百度的域名，能解析出IP地址并且能Ping通，说明上网是正常的。

  虽然是可以上网了，但是我们还是想知道每条宽带跑了多少流量，这应该怎么办？选择菜单【仪表板】-【Status】，点击【添加微件】。

　　① 找到网络分类，点击【接口带宽】。

　　② 接口选择Wan1接口，点击【添加微件】。

　　③ 同样的方法加入Wan2接口。

　　④ 将状态窗口拉到最下面，可以看到两个Wan接口的流量进出情况了。两个接口都有流量产生，说明SD-WAN功能是起作用的。

---