Redundant Internet กับ SD-WAN
ในตัวอย่างนี้จะให้วิธีที่คุณสามารถกำหนดค่าการเชื่อมต่ออินเทอร์เน็ตที่ซ้ำซ้อน (Redundant Internet) สำหรับเครือข่ายของคุณ โดยใช้ SD-WAN สิ่งนี้ช่วยให้คุณสามารถ Load balance การรับส่งข้อมูลทางอินเทอร์เน็ตระหว่าง ISP link หลายรายการ และให้ Redundancy สำหรับการเชื่อมต่ออินเทอร์เน็ตของเครือข่ายของคุณหาก ISP หลักของคุณไม่พร้อมใช้งาน
1. เชื่อมต่อ FortiGate กับอุปกรณ์ ISP ของคุณ
1.1 => เชื่อมต่อ Port อินเทอร์เน็ต (Port WAN) บน FortiGate กับอุปกรณ์ ISP ของคุณ เชื่อมต่อ WAN1 กับ ISP ที่คุณต้องการใช้สำหรับการรับส่งข้อมูลส่วนใหญ่ และเชื่อมต่อ WAN2 กับ ISP อื่น ๆ
2. ลบการอ้างอิงการกำหนดค่าที่มีอยู่ (Existing configuration references) ไปยัง Interface
2.1 => ก่อนที่คุณจะสามารถกำหนดค่า FortiGate interface ในฐานะ SD-WAN members คุณต้องลบหรือเปลี่ยนเส้นทางการอ้างอิงการกำหนดค่าที่มีอยู่ไปยัง Interface เหล่านั้นใน Route และ Security policy ซึ่งรวมถึง Default Internet access policy ที่มาพร้อมกับ FortiGate หลายรุ่น โปรดทราบว่าหลังจากคุณลบ Route และ Security policy แล้ว Traffic จะไม่สามารถเข้าถึง Port WAN ผ่าน FortiGate => การเปลี่ยน Route และ Policy เพื่ออ้างอิง Interface อื่นๆ หลีกเลี่ยงการสร้างอีกครั้งในภายหลัง หลังจากที่คุณกำหนดค่า SD-WAN คุณสามารถกำหนดค่า Route และ Policy ใหม่เพื่ออ้างอิง SD-WAN interface
2.2 => ไปที่ “Network > Static Routes” และลบเส้นทางใดๆ ที่ใช้ WAN1 หรือ WAN2
2.3 => ไปที่ “Policy & Objects > IPv4 Policy” และลบ Policy ใดๆ ที่ใช้ WAN1 หรือ WAN2
3. สร้าง SD-WAN interface
3.1 => ไปที่ “Network > SD-WAN” และตั้งค่า “Status” เป็น Enable => ภายใต้ “SD-WAN Interface Members”, เลือก + และเลือก wan1 ตั้งค่า Gateway เป็น Default gateway สำหรับ Interface นี้ นี่คือ Default gateway IP address ตามปกติของ ISP ที่เชื่อมต่อกับ Interface นี้ จากนั้นทำซ้ำขั้นตอนเหล่านี้เพื่อเพิ่ม wan2
3.2 => ไปที่ “Network > Interfaces” และตรวจสอบว่า Virtual interface สำหรับ SD-WAN ปรากฏในรายการของ Interface คุณสามารถขยาย SD-WAN เพื่อดู Port ที่รวมอยู่ใน SD-WAN interface
4. กำหนดค่า SD-WAN load balance
4.1 => ไปที่ “Network > SD-WAN Rules” และแก้ไขกฎที่ชื่อ sd-wan => ในฟิลด์ “Load Balancing Algorithm” เลือก Volume และจัดลำดับความสำคัญ WAN1 เพื่อให้รับส่งข้อมูลมากขึ้น => ในตัวอย่าง ISP ที่เชื่อมต่อกับ WAN1 เป็นลิงค์ 40Mb และ ISP ที่เชื่อมต่อกับ WAN2 เป็นลิงค์ 10Mb ดังนั้นเราจึงปรับสมดุลน้ำหนัก 75% ต่อ 25% เพื่อสนับสนุน WAN1
5. สร้าง Static route สำหรับ SD-WAN interface
5.1 => ไปที่ “Network > Static Routes” และสร้างเส้นทางใหม่ => ในส่วน “Destination”, เลือก Subnet และปล่อยให้ Destination IP address และ Subnet mask เป็น 0.0.0.0/0.0.0.0 => ในส่วน “Interface”, เลือก SD-WAN interface จากเมนูแบบเลื่อนลง (Drop-down menu) => ตรวจสอบให้แน่ใจว่า “Status” ถูกตั้งเป็น Enable
=> หากก่อนหน้านี้คุณลบหรือเปลี่ยนเส้นทางการอ้างอิงที่มีอยู่ (Redirected existing references) ใน Route ไปยัง Interface ที่คุณต้องการเพิ่มเป็น SD-WAN interface members, คุณสามารถกำหนดค่าเส้นทางเหล่านั้นใหม่เพื่ออ้างอิง SD-WAN interface
6. กำหนดค่า Security policy สำหรับ SD-WAN6.1 => กำหนดค่า Security policy ที่อนุญาตการรับส่งข้อมูลจากเครือข่ายภายในองค์กรของคุณไปยัง SD-WAN interface
=> ไปที่ “Policy & Objects > IPv4 Policy” และสร้าง Policy ใหม่
=> ตั้งค่า “Incoming Interface” เป็น Interface ที่เชื่อมต่อกับเครือข่ายภายในขององค์กรของคุณ และตั้งค่า “Outgoing Interface” เป็น SD-WAN interface
=> เปิดใช้งาน “NAT” และใช้ Security Profiles ตามต้องการ
=> เปิดใช้งาน “Log Allowed Traffic” สำหรับ All Sessions เพื่อให้คุณสามารถตรวจสอบผลลัพธ์ได้ในภายหลัง
=> หากก่อนหน้านี้คุณลบหรือเปลี่ยนเส้นทางการอ้างอิงที่มีอยู่ (Redirected existing references) ใน Security policy ไปยัง Interface ที่คุณต้องการเพิ่มเป็น SD-WAN interface members, คุณสามารถกำหนดค่า Policy เหล่านั้นใหม่เพื่ออ้างอิง SD-WAN interface
7. กำหนดค่า Link health monitoring
7.1 => คุณสามารถกำหนดค่า Link health monitoring เพื่อตรวจสอบ Health และ Status ของลิงค์ที่ประกอบขึ้นเป็น SD-WAN link => ไปที่ “Network > Performance SLA” และสร้าง Performance SLA ใหม่ => ตั้งค่า Protocol สำหรับ Health check. ในส่วน “Server” ให้ป้อน IP address ของเซิร์ฟเวอร์สูงสุดสองเครื่องที่คุณต้องการใช้เพื่อทดสอบสภาพการทำงานของแต่ละ SD-WAN member interface. ในส่วน “Participants” ให้เลือก SD-WAN interface members ที่คุณต้องการ Health check เพื่อนำไปใช้ต่อไป
7.2 => คุณสามารถดูการวัดคุณภาพลิงค์ในหน้า Performance SLA ตารางจะแสดงข้อมูลเกี่ยวกับ Health checks ที่กำหนดค่าไว้ ค่าในคอลัมน์ Packet Loss, Latency และ Jitter จะใช้กับเซิร์ฟเวอร์ที่ FortiGate ใช้เพื่อทดสอบสถานะของ SD-WAN member interfaces => ลูกศรสีเขียว (ขึ้น) บ่งบอกว่าเซิร์ฟเวอร์ตอบสนองต่อการ Health checks โดยไม่คำนึงถึงค่า Packet loss, latency, และ jitter และไม่ได้ระบุว่ากำลังมีการ Health checks อยู่
8. ผลลัพธ์=> ท่องอินเทอร์เน็ตโดยใช้คอมพิวเตอร์บนเครือข่ายภายในของคุณ จากนั้นไปที่ “Network > SD-WAN”=> ในส่วน “SD-WAN Usage” คุณสามารถดู Bandwidth, volume และ sessions สำหรับการรับส่งข้อมูลบน SD-WAN interfaces
=> ไปที่ “Monitor > SD-WAN Monitor” เพื่อดูจำนวน sessions, Bit rate และข้อมูลเพิ่มเติมสำหรับแต่ละ Interface
9. ทดสอบ Failover
9.1 => เพื่อทดสอบความล้มเหลว (Failover) ของการกำหนดค่าอินเทอร์เน็ตที่ซ้ำซ้อน (Redundant Internet) คุณต้องจำลองการเชื่อมต่ออินเทอร์เน็ตที่ล้มเหลวกับ 1 Port ทำได้โดยการถอดสาย Ethernet ที่เชื่อมต่อกับ WAN1
9.2 => ตรวจสอบว่าผู้ใช้ยังคงสามารถเข้าถึงอินเทอร์เน็ตได้โดยไปที่ “Monitor > SD-WAN Monitor” ค่าอัพโหลด และดาวน์โหลดสำหรับ WAN1 จะแสดงว่าการรับส่งข้อมูลไม่ผ่าน Interface นั้น
9.3 => ไปที่ “Network > SD-WAN” ในส่วน “SD-WAN Usage”, คุณจะเห็นว่า Bandwidth, volume และ sessions นั้นเบี่ยงเบนผ่าน WAN2 ไปทั้งหมด
9.4 => ผู้ใช้ในเครือข่ายภายในไม่ควรสังเกตเห็นความล้มเหลวของ WAN1 เช่นเดียวกันหากคุณใช้ IP address ของ Gateway WAN1 เพื่อเชื่อมต่อกับ Dashboard ของผู้ดูแลระบบ คุณไม่ควรเปลี่ยนแปลงอะไรจากมุมมองของคุณ ดูเหมือนว่าคุณยังคงเชื่อมต่อผ่าน WAN1หลังจากที่คุณตรวจสอบความล้มเหลวที่ประสบความสำเร็จแล้ว ให้เชื่อมต่อสายเคเบิล Ethernet WAN1 อีกครั้ง
credit:
www.tlogical.com