FortiGate在AWS上配置SD-WAN方法
- 项目背景
- 需求描述
架构图
如架构图所示,客户有北京和香港两个AWS环境,已经通过专线打通。现在需求是在北京和香港各部署一台Fortigate作为分流使用,北京客户的访问流量如果是要到海外则通过专线到香港的Fortigate出去。
- 测试步骤
- 北京区和宁夏区部署Fortigate节点
- 打通北京和宁夏两个Fortigate节点的IPSec VPN
- 配置SSLVPN、PPTP、L2TP、安卓或IOS客户端到北京区Fortigate
- 配置SD-WAN用于分流去往海外的流量
- 测试环境=====北京区=====
54.223.163.85
10.0.1.202
instance-id: i-0852bc90ebdfb348a
=====香港区=====
18.166.81.208
10.1.0.62
instance-id:i-0bb69c9c7ae9afefc
安全组
ipsec vpn隧道建立,需要开放udp 500和4500
两台Fortigate关闭源和目标检查 - 修改Fortigate时区和语言选择左侧System-Settings,在右侧修改时区为北京
如果想要修改语言可以往下拉修改
- 创建用户和组
- 创建用户选择左侧User&Device- User Definition- Create New
选择Local User
输入用户名密码
后面都默认即可
- 创建组创建用户组
起个名字,添加刚才创建的用户即可
- 配置FortigateDNS配置显示DNSDatabase,选择左侧特性可见,选择DNSDatabase
创建一个DNS服务
选择接口为Port1
创建一个DNS Database
配置一个google的测试环境
指定DNS地址
登陆命令行指定一个forwarder
- 配置SD-WAN建议可以提前加上一条静态路由指向默认网关
之后左侧选择网络,SD-WAN,状态Enable,创建一个新的SD-WAN接口
选择Port1,网关选择自动获取,如果之前没有手动添加静态路由指定默认网关的话,这样确定之后由于Port1加到了SD-WAN,可能会导致Fortigate无法找到默认路由造成无法连接Fortigate。
添加后可以改掉刚才的默认路由,选择SD-WAN接口,因为已经把Port1加到了SD-WAN了
添加VPN接口到SD-WAN
指定VPN接口和网关
配置SD-WAN规则
创建一个新的地址段
创建8.8.8.8地址段
指定源地址为所有,目标地址为刚才创建的googledns,下面手动指定接口为VPN接口
配置完成
添加一条规则,所有salesforce的流量走VPN接口
可以直接拖顺序,顺序从上到下匹配
添加另一条规则,所有google的流量手动指定走VPN接口
配置完成
添加一条默认的流量走Port1
可以修改SSL-VPN的策略目标到SD-WAN
添加SSL-VPN接口监听
选择SSL-VPN接口
- 备份和恢复配置方式
- 项目测试
右上角选择备份或者恢复
指定位置保存即可