เมื่อไม่นานมานี้ ผมได้ตั้งค่า FortiGate ให้กับหน่วยงานหนึ่ง เขาต้องการตั้งค่า Load-Balancing ระหว่างผู้ให้บริการอินเทอร์เน็ต (ISP) สองราย โดยใช้ฟีเจอร์ SD-WAN ที่มีอยู่ใน FortiGate ในบทความนี้ จะพาไปดูขั้นตอนการตั้งค่า เมื่อต้องการใช้งานกับผู้ให้บริการอินเทอร์เน็ตสองเจ้า และต้องการให้การเชื่อมต่อมีความเสถียร สามารถติดตามได้จากบทความนี้ได้เลยครับ
เป้าหมายของการคอนฟิกนี้คือการใช้การเชื่อมต่ออินเทอร์เน็ตทั้งสองเส้น (WAN1 และ WAN2) ให้ใช้งานได้พร้อมๆกัน เพื่อกระจายปริมาณทราฟฟิกให้มีประสิทธิภาพมากขึ้น และต้องการตรวจสอบการทำงานของลิงก์ทั้ง 2 ผ่าน SLA (Service Level Agreement) ด้วย
ถ้าลิ้งค์ใดลิ้งค์หนึ่งเริ่มมีปัญหา ระบบจะสามารถสลับการใช้งานไปยังลิงก์ที่ใช้งานได้ปกติโดยอัตโนมัติ เพื่อให้การใช้งานอินเทอร์เน็ตใช้งานได้อย่างต่อเนื่อง
WAN Interface Configuration
ในตัวอย่างการตั้งค่า SD-WAN สำหรับ FortiGate ที่เชื่อมต่อ ISP สองค่าย เริ่มจากการตั้งค่า WAN1 และ WAN2 ซึ่งเชื่อมต่อกับ ISP ทั้งสอง โดยทำการ Fix Static IP ไปที่ขา WAN
SD-WAN Members และ Zone
ใน SD-WAN Member และ Zone โดย FortiGate จะรวม Interface ต่างๆ เข้าไว้ใน Zone ที่เรียกว่า virtual-wan-link ซึ่งคุณสามารถใช้ Zone นี้ใน Firewall policy, Routing และ SD-WAN Rule ได้
เมื่อสร้าง SD-WAN Member จะต้องแน่ใจว่า: Interface นั้น ไม่ได้ถูกใช้ที่อื่นอยู่ เช่น WAN1 มีการใช้งานใน Default Policy จะต้องลบ Policy เก่าก่อนจึงจะนำมาเป็น Member ได้
Performance SLA
Performance SLA คือระบบที่ใช้ตรวจคุณภาพของลิงก์อินเทอร์เน็ต โดยจะส่งข้อมูลไปทดสอบปลายทางที่เรากำหนด เช่น 8.8.8.8 เพื่อตรวจสอบ:
- Latency
- Jitter
- Packet Loss
หากคุณภาพของลิงก์ไม่ผ่านข้อกำหนด ระบบจะถอดลิงก์นั้นออกจากกลุ่มที่ใช้ Load-Balance ชั่วคราว และจะนำกลับมาใช้เมื่อคุณภาพของลิ้งนั้นดีขึ้น ทำให้การใช้อินเทอร์เน็ตยังคงใช้งานได้ต่อเนื่องแม้ลิงก์ใดลิงก์หนึ่งจะมีปัญหา
Static Route และ Firewall Policies
ขั้นตอนสุดท้ายคือการเพิ่ม Static Route ที่ชี้ไปยัง Zone virtual-wan-link เพื่อให้ FortiGate รู้ว่าต้องส่ง Traffic ออกทาง SD-WAN
สร้าง Firewall Policy เพื่ออนุญาติให้ Firewall ส่งข้อมูลออกทาง virtual-wan-link เป็น Outgoing Interface
การตั้งค่า SD-WAN สำหรับ FortiGate ที่เชื่อมต่ออินเทอร์เน็ตสองเส้นนั้นเข้าใจได้ง่าย หากมีคำถามหรือข้อสงสัยเพิ่มเติมสามารถสอบถามได้เลยครับ
