說到SDWAN這個名詞應該不陌生,在企業所建立的網路上除了昂貴的專用線路之外不外乎就是使用VPN進行點對點(Site to Site)來進行企業網路整合,同樣是VPN架構到底SDWAN差在哪裡?
我們知道VPN的服務所屬OSI裡的第三層,其中就有包括 MPLS L3VPN 和 IPsec VPN 和 SD WAN ,以Fortinet的SD-WAN是基於IPsec的方式再延伸出Fortinet自己的架構,來達成高效能 低延遲 容錯切換,本次利用LAB環境簡單實作一下SD-WAN,模擬外點單位要連上級主要單位的內部網頁伺服器。
準備如下:
- (主節點)FortiGateVM01_v7.4.1-WAN:10.100.253.101 LAN:192.168.10.254
- (外點端)FortiGateVM02_v7.4.1-WAN:10.100.253.102 LAN:192.168.20.254
- (中繼路由)FortiGate 90E_v7.4.0-Router:10.100.253.254
- Windows Server 2019 VM-WebServer:192.168.10.100
- Windows 10 VM-Client:192.168.20.50
在這之前我們要先確保防火牆之間到底能不能碰到,我們可以用Fortigate CLI功能去PING 對方有沒有回應,在測試環節記得要把WAN的介面開PING喔!
首先在FortiGateVM01這台在SD-WAN 新增一個區域
再來新增成員在剛剛建立好的區域,記得這一步就要開始建立VPN
這邊要記的要輸入外點端FortiGateVM02的WANIP
建立完成後接著去FortiGateVM02按照剛剛步驟再走一次,只不過VPN那邊要輸入FortiGateVM01的WAN IP
接著回到主節點,我們看IPsec監視器,檢視一看發現P1通道怎麼沒上線
先別緊張我們只要把剛剛建立好的成員加入剛剛建立的區域就可以了,這部份很多人常常漏掉要特別注意。
這時候我們就看到P1通道上線了,但是P2還沒上
P2我們手動上線,這樣都會起來了
接著在FortiGateVM01建立路由將外點來的封包往ZengLAB SD-WAN丟
同理在FortiGateVM02建立路由將主節點來的封包往ZengLAB SD-WAN丟
路由設定好的話在FortiGateVM02可以用FortiGate CLI 直接去Ping 網頁伺服器
接著在FortiGateVM01上建立一個放行的政策
接著在FortiGateVM02 上建立一個通行的政策
接者我們去Client電腦測試,就會發現有通了
在SD-WAN的設定中具有很大的彈性,除了部屬速度快成本低之外,不外乎是整個的邏輯性非常明明白白,在我工作上的客戶我也慢慢地幫單位架構上修改成SD-WAN放棄使用早期的Site To Site的連線方式,阿俊之前還遇到一個客戶有30幾個外點也是連回主要節點的單位,後來導入SD-WAN後很多地方簡潔了不少XD
這單位有主要節點有3條專用外線,每個外點都與這主要節點3條專線進行容錯與線路偵測優化。
別看路由這麼多這麼嚇人,這部分都是設定完後自動出現的東西
之後我再來說在SD-WAN的基礎上來更進階的實作來進行線路偵測來動態調整與線路異常時自動切換線路的部分,我是阿俊謝謝觀看~
