一般企业通常都会有多条宽带,我们可以利用FortiGate防火墙的SD-WAN功能,均衡多条宽带的流量,以保证网络的正常工作。

防火墙两个vlanif能配两网关吗_SD-WAN

防火墙两个vlanif能配两网关吗_防火墙两个vlanif能配两网关吗_02

 在HA的模式下,两台防火墙所有的接口都是相同的,那么在宽带线路只有一根线的情况,要分别接入到两台防火墙,就需要在交换机上划分VLAN,输入一条宽带,输出两条线路分别接入到两台防火墙。这里有两条宽带,就需要划分两个不同的VLAN。

防火墙两个vlanif能配两网关吗_防火墙两个vlanif能配两网关吗_03

防火墙两个vlanif能配两网关吗_SD-WAN_04 防火墙A和B的Port1、Port2口,分别接入交换机分流出的电信和移动宽带。

防火墙两个vlanif能配两网关吗_HA_05

防火墙两个vlanif能配两网关吗_HA_06

 登录主防火墙,选择菜单【网络】-【接口】,选择port1口,点击【编辑】。

防火墙两个vlanif能配两网关吗_SD-WAN_07

   ① 在接口模式里,竟然看不到PPPoE选项,这是因为FortiGate防火墙中高端系列,不太建议使用ADSL拨号宽带,建议使用固定IP宽带,因此PPPoE选项没有开放。

防火墙两个vlanif能配两网关吗_SD-WAN_08

  ② 在右上角点击 >_ 图标,打开CLI控制台,这里可以用命令进配置。

防火墙两个vlanif能配两网关吗_主备_09

  ③ 输入命令config system interface配置系统接口,edit port1编辑port1接口,set mode pppoe将接口模式设置为pppoe,用相同的命令把port2接口也设为pppoe模式,最后用end保存退出。

防火墙两个vlanif能配两网关吗_SD-WAN_10

  ④ 再次编辑port1接口,在接口模式里就有PPPoE选项了。输入接口别名,角色选择【WAN】,输入电信ADSL拨号宽带的帐号和密码。将管理距离由默认的5改成10,因为新建路由的管理距离默认是10,如果要通过电信ADSL宽带远程登录防火墙的话,访问协议启用HTTPS。

防火墙两个vlanif能配两网关吗_防火墙两个vlanif能配两网关吗_11

  ⑤ 用同样的方法设置Port2接口,配置移动ADSL拨号宽带。

防火墙两个vlanif能配两网关吗_SD-WAN_12

  ⑥ 拨号成功后,在接口列表中可以看到生成的IP地址。

防火墙两个vlanif能配两网关吗_SD-WAN_13

  ⑦ 选择菜单【网络】-【SD-WAN】,在默认的SD-WAN区域,点击【新建】-【WAN成员】。

防火墙两个vlanif能配两网关吗_HA_14

  ⑧ 默认的SD-WAN区域是virtual-wan-link,接口选择port1口,点击【应用】。

防火墙两个vlanif能配两网关吗_防火墙两个vlanif能配两网关吗_15

  ⑨ 同样方法将port2也加入同一个SD-WAN区域。 

防火墙两个vlanif能配两网关吗_SD-WAN_16

  ⑩ 可以看到两条宽带都加入了SD-WAN的虚拟接口。

防火墙两个vlanif能配两网关吗_防火墙两个vlanif能配两网关吗_17

防火墙两个vlanif能配两网关吗_防火墙两个vlanif能配两网关吗_18

 接口配置完后,我们再来看看路由。选择菜单【仪表板】-【Network】,点击【路由】。

防火墙两个vlanif能配两网关吗_防火墙两个vlanif能配两网关吗_19

   ① 在路由列表中,可以看到两条ADSL拨号宽带都有自动生成默认路由,管理距离是我们前面设定的10。 

防火墙两个vlanif能配两网关吗_主备_20

  ② 我们也可以给SD-WAN虚拟接口单独建立路由,选择菜单【网络】-【静态路由】,点击【新建】。

防火墙两个vlanif能配两网关吗_HA_21

  ③ 关闭自动网关检索,接口选择【virtual-wan-link】,目标地址为默认的0.0.0.0/0.0.0.0。点击【应用】。

防火墙两个vlanif能配两网关吗_防火墙两个vlanif能配两网关吗_22

  ④ 静态路由建好后的样子,你们可能会奇怪,为什么ADSL拨号明明生成了两条默认路由,而这里却看不到。这是因为所有自动生成的路由都不会在静态路由表里显示。

防火墙两个vlanif能配两网关吗_防火墙两个vlanif能配两网关吗_23

   ⑤ 再次查看路由表,两条ADSL拨号宽带的默认路由,管理距离都变成1了,这说明防火墙的静态路由已经代替了ADSL拨号自动生成的默认路由了。

防火墙两个vlanif能配两网关吗_主备_24

防火墙两个vlanif能配两网关吗_主备_25

 在很多应用场情中,会有这种情况,就是宽带线路因为挖路断了,但防火墙和猫这里物理连接都是正常的,这种情况下,可不可以及时判断并切换到正常的宽带呢?这是可以的,选择菜单【网络】-【SD-WAN】,选择【性能SLA】,里面已经有几个模块,点击【新建】。

防火墙两个vlanif能配两网关吗_HA_26

  ① 输入新建名称,协议选择【Ping】,服务器输入常用的公网IP地址,这里输入的是114.114.114.114,可以输入多个IP地址。参与接口选择port1和port2。更新静态路由为启用。

防火墙两个vlanif能配两网关吗_主备_27

  ② 两条线路分别向114.114.114.114 Ping包,得到宽带的丢包、延迟、抖动状态。

防火墙两个vlanif能配两网关吗_防火墙两个vlanif能配两网关吗_28

  ③ 在SD-WAN界面,选择【SD-WAN规则】,点击【新建】。

防火墙两个vlanif能配两网关吗_主备_29

   ④ 输入规则名称,源地址选择【all】,目标地址也是选择【all】,选择【最佳质量】,接口选择加入两条宽带接口,SLA衡量标准选择刚才建立的性能SLA。质量标准默认为延迟。

防火墙两个vlanif能配两网关吗_SD-WAN_30

  ⑤ 这条规则的作用就是,所有访问都会经过两条宽带,但具体走哪一条,就要看性能SLA检测出来的数据,哪条宽带延迟更少,就会走哪条。如果不区配这条规则,就会走隐含的规则。

防火墙两个vlanif能配两网关吗_SD-WAN_31

防火墙两个vlanif能配两网关吗_HA_32

 接口和路由都配置完成,那么要就要配置上网策略了。前面我们有设置port7号口作为内网口,这里选择【策略&对象】-【防火墙策略】,点击【新建】。

防火墙两个vlanif能配两网关吗_HA_33

  ① 输入策略名称,流入接口选择port7,流出接口选择SD-WAN虚拟接口,源地址、目标地址和服务都选择【all】,启用NAT,一条上网策略就建好了。在port7口接入电脑,配置好IP地址、网关和DNS,就可以正常上网了。

防火墙两个vlanif能配两网关吗_主备_34

  ② 我们也可以查看每条宽带的流量情况,选择菜单【仪表板】-【Status】,点击【添加微件】。

防火墙两个vlanif能配两网关吗_HA_35

  ③ 弹出界面选择【网络】下的【接口带宽】。

防火墙两个vlanif能配两网关吗_主备_36

  ④ 选择port1接口,点击【添加微件】。

防火墙两个vlanif能配两网关吗_HA_37

  ⑤ 同样的方法添加port2接口。

防火墙两个vlanif能配两网关吗_SD-WAN_38

  ⑥ 在Status界面,就可以看到电信宽带和移动宽带的进出数据流量了。

防火墙两个vlanif能配两网关吗_SD-WAN_39

防火墙两个vlanif能配两网关吗_主备_40

 我们来模拟一下宽带被挖路挖断的情况,把猫上的光纤接口拨掉,这样电信宽带是断开的,但是猫和防火墙的物理连接是好的。

防火墙两个vlanif能配两网关吗_HA_41

  ① 由于配置了性能SLA,两条宽带一直在Ping包,现在电信宽带断网了,也就Ping不通了,出现红色提示图标。这种情况下,就会切换静态路由,移动宽带替代电信宽带开始工作。

防火墙两个vlanif能配两网关吗_HA_42

  ② 再看路由表,果然只剩一条移动宽带的默认路由了。

防火墙两个vlanif能配两网关吗_SD-WAN_43

  ③ 查看接口图,电信宽带没有数据,而移动宽带有数据了,说明在走移动宽带上网。

防火墙两个vlanif能配两网关吗_HA_44

  ④ 我们也可以查看具体的某个IP的上网情况,选择菜单【仪表板】-【FortiView Sources】,可以查到内网IP地址,选择其中一个双击。

防火墙两个vlanif能配两网关吗_FortiOS_45

  ⑤ 点击【目标】,可以看到该IP访问了哪些内容。在菜单上点击鼠标右键。

防火墙两个vlanif能配两网关吗_HA_46

   ⑥ 弹出窗口选择【目标接口】。

防火墙两个vlanif能配两网关吗_防火墙两个vlanif能配两网关吗_47

    ⑦ 可以看到所有的访问目标,都是走移动宽带出去的。

  以上实验证明:FortiGate防火墙的SD-WAN功能,可以实时查看每条宽带的质量情况,并根据质量情况进行路由切换,以保证网络的正常运行。

  两条线路都是拨号宽带,那么主备防火墙切换的话,不是宽带都断了?经实验证明,防火墙主备切换后,ADSL拨号宽带会断开,但在丢失十几个数据包后,新的主机又会拨号成功。

防火墙两个vlanif能配两网关吗_防火墙两个vlanif能配两网关吗_48