W naszym przypadku, ze względu na brak dedykowanego interfejsu, wykorzystamy jeden z portów należących do Software Switch’a o nazwie internal.
Będzie to port 9.
Edytujemy ustawienia interfejsu internal i wyłączamy port 9 z grupy interfejsów, które go tworzą.
Zapisujemy ustawienia i podłączamy kabel sieciowy do portu 9.
Po odświeżeniu danych dotyczących interfejsu widzimy, że połączenie fizyczne jest już aktywne, ale nasz interfejs nie posiada jeszcze przypisanego adresu IP.
Przechodzimy do edycji ustawień portu 9.
Tutaj możemy podać właściwe ustawienia adresacji naszego dodatkowego łącza WAN.
W naszym przypadku, będą to ustawienia pobierane z serwera DHCP.
Przy okazji ustanowimy alias dla interfejsu. Będzie to WAN2.
Po chwili zostaje nam przydzielony adres dla nowo skonfigurowanego interfejsu.
FortiGate konfiguracja SD-WAN: edycja istniejących polityk zapory
Aby móc zdefiniować interfejs SD-WAN musimy w pierwszej kolejności zmienić wszystkie istniejące polityki zapory, w których jest on wykorzystywany lub po prostu usunąć je.
Przechodzimy do sekcji Policy & Objects > Firewall Policy.
Odnajdujemy polityki, w których występuje interfejs WAN1 i zamieniamy go na dowolny inny, najlepiej nieużywany, lub, jak zostało wspomniane wcześniej, usuwamy je.
Należy pamiętać, że na czas wykonywania zmian utracimy połączenie do internetu.
Dobrze jest zatem wykonywać je w zaplanowanym okienku serwisowym tak, aby zachować ciągłość działania naszej organizacji.
Po zmianie polityk zapory możemy przejść do sekcji Network > SD-WAN, aby wskazać, jakie porty utworzą nasz interfejs SD-WAN.
Klikamy Create new i wybieramy z listy SD-WAN Member.
W polu Interface wskazujemy pierwszy interfejs. W naszym przypadku będzie to interfejs WAN1 (port1).
Pole SD-WAN Zone możemy pozostawić z domyślną nazwą.
W sekcji Gateway podajemy adres IP bramy dla wybranego wcześniej interfejsu. My wpisujemy 192.168.198.2.
Pola Cost i Priority pozostawiamy bez zmian.
Teraz dodamy do naszej strefy SD-WAN kolejny interfejs.
Ponownie klikamy Create new i wybieramy z listy SD-WAN Member.
W polu Interface wskazujemy kolejny interfejs. W naszym przypadku będzie to interfejs WAN2 (port9).
Pola SD-WAN Zone, Cost i Priority pozostawiamy niezmienione.
Ze względu na to, że interfejs WAN2 jest skonfigurowany do otrzymywania adresacji z serwera DHCP, pojawiają nam się dodatkowe ustawienia dla sekcji Gateway, dzięki którym możemy przyjąć, że brama dla interfejsu definiowania jest dynamicznie lub, po przestawieniu opcji na Specify, możemy podać tę wartość ręcznie.
My pozostaniemy przy ustawieniach automatycznych.
Po zatwierdzeniu zmian nasza konfiguracja SD-WAN jest prawie gotowa.
FortiGate SD WAN: zmiana domyślnej trasy routingu i polityki firewall
Pozostaje jeszcze zmienić domyślną trasę routingu oraz poprawić polityki firewall tak, aby wskazywały interfejs SD-WAN w miejscu dotychczas używanego WAN1.
Przechodzimy zatem do sekcji Network > Static Routes.
Odnajdujemy wpis domyślnego routingu i wyłączamy go lub usuwamy.
Klikamy Create new i tworzymy nową regułę trasy domyślnej poprzez interfejs SD-WAN. W naszym przykładzie virtual-wan-link.
Zapisujemy zmiany i przechodzimy do sekcji Policy & Objects > Firewall Policy.
Odnajdujemy polityki zapewniające hostom w naszej sieci wyjście na świat i zmieniamy interfejs wychodzący na interfejs SD-WAN lub tworzymy nowe polityki, jeżeli zdecydowaliśmy się uprzednio na ich usunięcie.
Po zapisaniu powyższych zmian możemy udać się ponownie do sekcji Network > SD-WAN i odświeżając ręcznie lub ustawiając automatyczne odświeżanie w wybranym odstępie czasu zaobserwujemy jak rozkłada się ruch pomiędzy naszymi łączami WAN.