【高级篇 / SDWAN】(6.0) ❀ 01. 三条宽带做负载均衡 ❀ FortiGate 防火墙

已于 2022-08-03 16:10:52 修改
阅读量2w 收藏 35
点赞数 7
CC 4.0 BY-SA版权
分类专栏: # SDWAN 文章标签: FortiGate SD-WAN 宽带负载均衡 6.0 飞塔
于 2018-07-31 13:35:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/meigang2012/article/details/81298312
本文详细介绍如何利用飞塔防火墙的SD-WAN功能实现三条不同宽带(两条固定,一条拨号)的负载均衡配置过程。包括宽带设置、SD-WAN规则、状态检查、监控等功能详解。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  【简介】某企业有两条固定宽带,一条拨号宽带,为了充分利用宽带的性能,打算使用飞塔防火墙的SD-WAN宽带负载均衡功能。防火墙固件版本为6.0.2。

宽带设置

   首先我们分别在接口上设置三条上网宽带。

   ① 将port1接口配置为第一条30M上下行的固定宽带。

   ② 将port2接口配置为第二条30M上下行的固定宽带。

   ③ 将port3接口配置为第三条上行10M下行200M的拨号宽带。拨号宽带的管理距离默认是5,这里需要改成10,与固定宽带相同。

   ④ 有的中、高端型号防火墙会隐藏PPPoE设置,需要通过上面的命令来配置PPPoE拨号。

SD-WAN 设置

   在把宽带设置成为负载均衡之前,一定要保证没有任何策略使用这些宽带接口,不然在宽带选择时将不会出现。

   ① 选择菜单【网络】-【SD-WAN】,选择三条宽带的接口,并输入固定宽带的网关,拨号宽带网关默认为0.0.0.0。

   ② 通常我们在接口设置了固定宽带的IP地址后,还需要建立一条静态路由,用来设置固定宽带的网关,刚才建立SD-WAN的时候,我们已经输入了各条宽带的网关,可以认为与静态路由等效。这里再建立一条静态路由,让所有数据走SD-WAN虚拟接口。

SD-WAN 状态检查

   状态检查有二个功能,一个是判断宽带是否断开,断开的话就切换路由,走其它正常的宽带上网。另一个功能就是区分宽带质量的好坏,使IP可以自动选择线路。

   ① 选择菜单【网络】-【SD-WAN状态检查】,点击【新建】,输入名称,通常我们会将宽带Ping常用的DNS服务器地址,通过返回信息来判断宽带的质量,以及做出相应的处理。

   ② 可以根据丢包、延迟、抖动等情况,判断走哪条宽带。

SD-WAN 规则

   在宽带没有做SD-WAN的情况下,通常我们是采用策略路由指定哪些IP走哪条宽带。SD-WAN规则和策略路由的功能一样。

   ① 选择菜单【网络】-【SD-WAN规则】,可以看到有一条默认规则,源和目标地址都为ALL,这条默认规则可以修改。

   ② 默认规则里可以选择哪一种负载均衡方式,并根据使用情况设置三条宽带不同的参数。例如第三条拨号宽带的带宽比较高,可以设置多跑流量。

   ③ 可以直接指定某些IP走哪一条宽带出去,如果这条宽带断开,这条规则将失效。由于还有默认规则,仍可以从其它宽带出去。

   ④ 也可以指定某些IP动态选择哪条宽带出去,这个时候链路质量就会起作用了。

SD-WAN 监控

   配置完SD-WAN后,我们希望能直观的看到宽带的流入、流出情况。

   ① 选择菜单【监视器】-【SD-WAN监视器】,可以看到所有宽带的会话数及上传、下载情况。

   ② 选择菜单【仪表板】-【Main】,点击【添加微件】-【接口带宽】,选择三条宽带接口。这样就可以看在仪表板里看到宽带接口流量了。建议尽量使用相同带宽的宽带做负载均衡,如果相差太大的话,带宽高的那条宽带发挥不出本来的优势。示例中的拨号宽带最高到约150M,做了SD-WAN后,速度明显下降了。

   ③ 早期版本建完SD-WAN后,映射服务器以及建立SSL VPN时仍需要指定具体的宽带接口,现在映射服务器,只需要选择SD-WAN虚拟接口就可以了。

FortiGate之多链路负载均衡及冗余设定
05-25
摘自网友文档, 本文档针对FortiGate在具有两条或两条以上出口时的负载均衡及链路冗余配置进行说明。Fortigate在多链路可以支持丌同方式的负载均衡,在链路负载均衡的同时,也可以实现链路的冗余
FortiGate FortiOS 6.0 SD-WAN Demo.mp4
10-02
SD-WAN培训录像,进行了架构和实际使用的讲解。 希望了解Fortinet SD-WAN的朋友们可以看看。
教程(7.6) 12. SD-WAN配置和监视 & FortiGate管理员 Fortinet网络安全专家 NSE4
最新发布
防火墙技术专栏
05-09 380
在本课中,你将了解FortiGate上可用的SD-WAN功能。
高级 / SDWAN(7.0) 03. SD-WAN 链路负载均衡的模式 FortiGate 防火墙
防火墙技术专栏
08-25 3507
  经过内网接口、SD-WAN接口、路由和策略的配置后,我们就可以利用SD-WAN上网了。而且也看到两条宽带都有流量,那么这些流量是怎么分配的呢?我们可以控制每条宽带流量的大小吗? 选择菜单【网络】-SD-WAN】,选择【SD-WAN规则】,有一条默认的隐含规则,也就是说,当没有任何规则匹配时,隐含规则生效。点击隐含规则,点击【编辑】。 缺省情况下,负载均衡模式为【源IP】,一个源IP的所有流量都被发送到同一个接口。当然,也可以改变负载均衡模式。 负载均衡模式【会话】,权重值越高的
教程(7.2) 04. 路由和会话 & SD-WAN Fortinet 网络安全架构师 NSE7
防火墙技术专栏
09-11 1489
在本课中,你将了解FortiGate如何执行路由和处理SD-WAN流量的会话。
教程(7.2) 05. 规则 & SD-WAN Fortinet 网络安全架构师 NSE7
防火墙技术专栏
09-15 1408
在本课中,你将了解SD-WAN规则如何根据使用的标准和策略工作。
【接口 / Wan(5.4) 02. 多条宽带负载均衡 FortiGate 防火墙
热门推荐
防火墙技术专栏
03-14 1万+
虽然100M宽带比较普遍,但是在公司里人员比较多的情况下,一根宽带显然非常吃力。如果有二条或更多的宽带,我们就可以利用防火墙将多条宽带负载均衡,使得大家都能快速上网。
防火墙 -- 负载均衡
thj_blog
10-30 5028
实验要求: 实验步骤: 1.准备两台防火墙,一台XP为员工,一台2003为外网。 2.四台虚拟机还原快照,把两台防火墙网卡设置为如下,其中网卡4、5不勾选启动时自动连接。把XP网卡置于V1,2003网卡置于V3。 3.开机,配XP和03 的ip。 如下: 4.关闭第二个防火墙的V1,即取消勾选上启动时自动连接。 5.打开真实机V1的虚拟网卡,并配上192.168....
从网络层面谈谈负载均衡的各种实现、原理、优缺点
互联网架构小马的博客
10-27 1257
HTTP协议层 HTTP网络协议位于应用层,所以这个属于应用的负载均衡; 实现方式很简单,基于HTTP重定向即可。 当一个请求到达负载均衡服务器之后,负载均衡服务器根据某种负载均衡算法计算得到一个应用服务器的地址,通过 HTTP 状态码 302 重定向响应,将新的 IP 地址发送给用户浏览器,用户浏览器收到重定向响应以后,重新发送请求到真正的应用服务器,以此来实现负载均衡。 HTTP 负载均衡 优点:实现方式简单 缺点:对于用户来说,需要两次HTTP请求,性能上稍有影响;另外,应用服务器的I
CCIE-DC vSphere6.0专题视频.zip
05-27
6-vSphere6.0-设计和部署ESXi6.0 7-vSphere6.0-vCenter设计和部署 8-vSphere6.0-共享存储和FC存储介绍 9-vSphere6.0-OpenFiler安装 10-vSphere6.0-设置iSCSI网络 11-vSphere6.0-虚拟网络术语介绍 12-vSphere6.0-标准...
FortiOS管理员手册606-04章-SD-WAN.pdf
09-12
FortiOS 6.0.6 SD-WAN宽带链路负载均衡,官译,描述了SD-WAN的原理及配置。
关于华斧网络引领全新一代SDWAN的介绍说明.zip
11-07
关于华斧网络引领全新一代SDWAN的介绍说明.zip
FortiGate SDWAN.pptx
11-15
FortiGate SD-WANSolution SD-WAN(Software-Defined WAN)是一种基于软件定义的广域网解决方案,它可以将多个网络链路聚合成一个虚拟接口,以提高 WAN 链路的可用性和带宽利用率。FortiGate SD-WAN 解决方案可以...
PyPI 官网下载 | cisco-sdwan-0.37.tar.gz
02-11
**PyPI官网下载 | cisco-sdwan-0.37.tar.gz** PyPI(Python Package Index)是Python编程语言的官方软件包仓库,开发者可以在这里发布他们编写的Python库,供其他用户下载和使用。"cisco-sdwan-0.37.tar.gz"是一个...
高级 / System】(7.0) 05. HA 下配置 SD-WAN FortiGate 防火墙
防火墙技术专栏
10-27 4005
  一般企业通常都会有多条宽带,我们可以利用FortiGate防火墙SD-WAN功能,均衡多条宽带的流量,以保证网络的正常工作。 在HA的模式下,两台防火墙所有的接口都是相同的,那么在宽带线路只有一根线的情况,要分别接入到两台防火墙,就需要在交换机上划分VLAN,输入一条宽带,输出两条线路分别接入到两台防火墙。这里有两条宽带,就需要划分两个不同的VLAN。 防火墙A和B的Port1、Port2口,分别接入交换机分流出的电信和移动宽带。 登录主防火墙,选择菜单【网络】-【接口】,选择...
教程(7.0) 02. FortiGate基础架构 & SD-WAN本地分汇 Fortinet 网络安全专家 NSE 4
防火墙技术专栏
02-25 4345
在本课中,你将了解FortiGate上可用的SD-WAN功能。通过展示SD-WAN中的能力,你应该能够配置SD-WAN区域、成员和流量负载均衡,以便在FortiGate上有效地使用多个WAN链路。
Fortinet:SD-WAN &&&防特网:负载均衡(实验持续更新)
Aggy阿吉的博客
01-23 6669
本文主要介绍了SD-WAN在FortiOS 6.0中的功能。 文章 SD-WAN规则中的应用程序控制设置 您可以在SD-WAN规则中配置应用程序控制和应用程序控制组。 在SD-WAN规则中配置应用程序控制 - GUI: 1.转到网络> SD-WAN规则。 2.选择“新建”或“编辑现有规则”。 3.在“目标”部分的“目标类型”字段中,选择“Internet服务”。 4.在Sele...
教程(7.4) 12. SD-WAN配置和监控 & FortiGate管理员 Fortinet网络安全专家 NSE4
防火墙技术专栏
04-04 2592
在本课中,你将了解FortiGate上可用的SD-WAN功能。
高级 / SDWAN(7.0) 01. 如何将正在使用的宽带加入 SD-WAN FortiGate 防火墙
防火墙技术专栏
08-04 7342
  SD-WANFortiGate非常有特色的功能,可以将多条宽带集合成一个虚拟接口,简化配置的同时还能更好的利用宽带。 FortiOS 7.0版对SD-WAN配置界面了很大的改动,选择菜单 【网络】-SD-WAN】,点击【新建】-SD-WAN】成员。   ① 当我们对接口下拉的时候,发现可以选择的接口里并没有我们正在使用的Wan口。这是因为SD-WAN的接口必须“很干净”,没有被策略或路由引用。   ③ 选择菜单【网络】-【接口】,这里我们为了接口窗口内容更简捷,鼠标右击小标题,
fortigate vxlan sdwan ipsec
12-28
### FortiGate 设备上的 VXLAN、SD-WAN 和 IPSec 配置 #### 1. 创建 VXLAN 接口 为了创建 VXLAN 接口,在 FortiGate 上需进入网络界面并定义新的虚拟接口。 ```bash config system interface edit "vxlan-tunnel" set vdom root set type vxlan set remote-IP> set local-ip <Local-IP> set interface "port1" # 物理端口名称 next end ``` 此命令序列用于指定本地 IP 地址以及远程 IP 地址来构建 VXLAN 隧道[^1]。 #### 2. 设置 SD-WAN 成员和健康检测 接下来,配置 SD-WAN 并加入成员路径。这一步骤涉及设定优先级和服务质量 (QoS),以确保流量按预期分配给不同链路。 ```bash config router sdwan config members edit 1 set interface "pppoe-interface" set priority 50 set health-check "hc_pppoe" next edit 2 set interface "ipsec_tunnel_interface" set priority 70 set health-check "hc_ipsec" next end end ``` 上述脚本设置了两条不同的路径——PPPoE 连接与 IPSec 隧道,并分别为其指定了健康检查机制[^2]。 #### 3. 定义防火墙策略 对于访问控制列表(ACL),即防火墙规则,则应区分内外网请求: 针对外部互联网流量: ```bash config firewall policy edit 1 set srcintf "any" set dstintf "pppoe-interface" set action accept set schedule "always" set service "ALL" set utm-status enable next end ``` 而对公司内部资源的访问则通过 IPSec 隧道转发: ```bash edit 2 set srcintf "internal-network-interface" set dstintf "ipsec_tunnel_interface" set action accept set schedule "always" set service "ALL" set nat enable next ``` 这些设置允许来自特定源接口的数据包仅能经由指定的目的接口传输出去,从而实现了基于目的地址的选择性路由功能。 #### 4. 启用 NAT 转换 当数据流经过私有网络边界时,通常需要启用 Network Address Translation (NAT) 来隐藏真实的内部 IP 地址结构。 ```bash set ip.Pool "ippool-name" set outbound-dnat disable set inbound-snat enable ``` 以上参数调整可以保证从企业内网发出的数据报文能够顺利穿越公共 Internet,同时也保护了内部系统的安全性。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

飞塔老梅子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值