Subskrybuj
FortiGate: Jak skonfigurować tryb failover?
W poradniku dowiemy się w jaki sposób skonfigurować tryb failover dla dostępu do internetu przy wykorzystaniu SD-WAN.
Na potrzeby naszego scenariusza przyjmiemy założenie, że nasze dane wysyłamy dowolnym łączem, które spełnia wymagania co do jakości połączenia.
Finalnie jednak chcemy doprowadzić do takiej sytuacji, w której w przypadku awarii jednego łącza, jego funkcje przejmuje łącze, które pozostaje sprawne.
Logujemy się zatem do naszej jednostki FortiGate.
Przechodzimy do sekcji Network > SD-WAN gdzie wskazujemy zakładkę Performance SLAs.
Musimy bowiem określić metodę, która sprawdzi parametry naszego łącza takie jak utrata, opóźnienie czy zakłócenia w transmisji pakietów.
Klikamy Create new.
Określamy metodę pomiaru. Wykorzystamy do tego celu nową metodę jaką jest pomiar pasywny.
Metoda ta jest dostępna w oprogramowaniu FortiOS od wersji 7.0 i polega na wykorzystaniu do wykonania pomiaru informacji o sesji przechwyconych przez regułę zapory, dla której została włączona opcja Passive Health Check.
Korzystanie z pasywnego pomiaru ogranicza ilość wymaganej konfiguracji i zmniejsza ruch, który jest generowany w przypadku wykonywania pomiaru aktywnego. Dodatkowo zwracane wyniki mogą być bardziej dokładne.
Włączamy opcję SLA Target i ustawiamy poszczególne wartości według własnych potrzeb.
My przyjmiemy Latency na poziomie 50 ms, Jitter 30 ms i Packet lost 1%.
Upewniamy się, że opcja Update static route jest zaznaczona, dzięki czemu trasy statyczne dla nieaktywnego interfejsu będą wyłączane, a następnie przywracane kiedy interfejs będzie funkcjonował prawidłowo.
Na koniec nadamy nazwę dla naszego pomiaru np. PomiarPasywny i zapiszemy wprowadzone zmiany.
FortiGate failover
Pozostając w sekcji Network > SD-WAN przejdziemy do zakładki SD-WAN Rules i klikniemy Create new.
Należy teraz utworzyć regułę, która na podstawie zdefiniowanej przed chwilą metody weryfikacji parametrów łącza będzie w stanie określić, które z nich wykorzystamy do przesyłania danych.
Aby tego dokonać wystarczy nazwać naszą regułę np. NajlepszyWAN.
W polu Address wskazać obiekt ALL.
Należy teraz utworzyć regułę, która na podstawie zdefiniowanej przed chwilą metody weryfikacji parametrów łącza będzie w stanie określić, które z nich wykorzystamy do przesyłania danych.
Aby tego dokonać wystarczy nazwać naszą regułę np. NajlepszyWAN.
Następnie w sekcji Outgoing Interfaces pozostawić zaznaczone pole Best Quality.
W polu Interface preference dodajemy wszystkie interfejsy WAN, pomiędzy którymi będzie mogło następować przełączanie.
W naszym przypadku będą to interfejsy opisane jako WAN1 i WAN2 działające na portach 1 i 9.
Na liście Measured SLA odnajdujemy naszą regułę PomiarPasywny, a z listy Quality criteria wybieramy parametr, który będzie miał decydujący wpływ na wybór łącza.
W naszym przypadku będzie to opóźnienie.
Zapisujemy wprowadzoną regułę.
Następnie przechodzimy do sekcji Policy & Objects > Firewall Policy.
Odnajdujemy politykę gwarantującą nam dostęp do sieci internet i edytujemy ją włączając opcję Passive Health Check.
Po zapisaniu zmian wracamy do sekcji Network > SD-WAN, aby zaobserwować, jak rozkłada się ruch na poszczególnych łączach.
Na zakładce Performance SLAs możemy odczytać zmierzone parametry naszych łącz WAN.
Po zapisaniu zmian wracamy do sekcji Network > SD-WAN, aby zaobserwować, jak rozkłada się ruch na poszczególnych łączach.
A na zakładce SD-WAN Rules sprawdzimy, które łącze WAN zostało wybrane jako preferowane uwzględniając oczywiście skonfigurowane wcześniej parametry pomiaru.
Możemy także przeprowadzić test, który pokaże nam, czy nie utracimy połączenia w wyniku awarii jednego z łącz.
W tym celu uruchamiamy polecenie ping na hoście klienckim.
Następnie odłączamy kabel sieciowy od portu WAN1.
Jak widzimy samo przełączenie na drugie łącze odbywa się prawie niezauważalnie dla klienta końcowego.
Natomiast ruch wychodzi już przez łącze WAN2.
FortiAnalyzer - zapisz się na newsletter i pobierz bezpłatne szkolenie video
