ในปัจจุบัน การเชื่อมต่อระหว่างสำนักงานใหญ่และสาขาถือเป็นหัวใจสำคัญของการดำเนินงานในหลายองค์กร ไม่ว่าจะเป็นการใช้งานระบบ ERP, File Server, กล้องวงจรปิด, VoIP หรือบริการภายในอื่น ๆ ที่ต้องอาศัยการรับส่งข้อมูลข้ามไซต์อย่างต่อเนื่องและมีเสถียรภาพ
อย่างไรก็ตาม การพึ่งพาอินเทอร์เน็ตเพียงเส้นทางเดียว หรือการทำ Site-to-Site VPN แบบเส้นเดียว อาจทำให้เกิดความเสี่ยงเมื่อวงจรหรือผู้ให้บริการเกิดปัญหา ส่งผลให้การเชื่อมต่อระหว่างสาขาและสำนักงานใหญ่หยุดชะงักได้ทันที
FortiGate จึงมีความสามารถในการผสานการทำงานระหว่าง IPsec Site-to-Site VPN และ SD-WAN เพื่อสร้างโครงสร้างการเชื่อมต่อแบบ Redundant รองรับหลาย WAN และหลาย Tunnel ได้อย่างยืดหยุ่น ช่วยให้สามารถสลับเส้นทางอัตโนมัติเมื่อเกิดปัญหา รวมถึงเลือกใช้เส้นทางที่เหมาะสมตามนโยบายที่กำหนดไว้
บทความนี้จะอธิบายขั้นตอนการตั้งค่า Site-to-Site VPN Redundant ผ่าน SD-WAN บน FortiGate เพื่อให้สามารถนำไปประยุกต์ใช้งานได้จริงในสภาพแวดล้อมขององค์กรครับผม
โดย Step คร่าวๆ จะมีประมาณนี้ครับ
1. สร้าง SD-WAN interface สร้าง tunnel vpn แล้วเอาไปใส่ใน sd-wan interface
2. ใส่ ip ให้กับ ipsec tunnel (เพื่อเอาไป probe ทำ SLA)
3. คอนฟิก phase 2 vpn tunnel
4. ทำ SLA
5. คอนฟิก routing
6. สร้าง policy
7. ทดสอบการใช้งาน
1. ไปที่ network –> SD-WAN –> SD-WAN Zones –> Create New –> SD-WAN Zone
2. ตั้งชื่อตามที่ต้องการ — > คลิก OK
3. คลิกที่ Create New –> SD-WAN Member
4. เลือกที่ Interface –> คลิกที่ + VPN
5. เลือก Authentication method เป็น Pre-shared key และตั้งค่า Pre-Shared key (หากเพื่อนๆ peer กันด้วย signature ก็สามารถใช้ได้เหมือนกันนะครับ) –> Next
6. ตั้งค่า remote site ตั้งชื่อ tunnel interface, ip/fqdn ของ peer site
7. เลือก interface ที่ผูกกับ tunnel ipsec vpn (เลือกเป็น wan1)
8. เมื่อสรุปเรียบร้อยแล้ว กด submit เพื่อสร้าง tunnel ได้เลยย
9. เลือก interface เป็น tunnel sd-wan และเลือก SD-WAN Zone เป็น Zone สำหรับ Site-to-Site VPN
10. ทำซ้ำกับอีก 1 wan
11. ไปที่ Static Route เพื่อทำ Routing ไปหาอีก Site ครับ (ถ้ามีหลาย subnet ต้องทำทีละ subnet นะครับ เนื่องจากถ้าใช้ name address แล้วจะไม่มี sd-wan interface ให้เลือก แอบเสียดายเหมือนกันครับ)
12. ทำการใส่ IP ให้กับ tunnel ipsec (ตรงนี้เอาไว้ทำ SLA ครับ) ควรเลือกเป็น ip ที่ไม่มีใช้งานในระบบนะครับ
13. ทำการตั้งค่า tunnel vpn phase 2 โดยเพิ่ม ip ของ tunnel vpn ไว้ด้วย เพื่อเอาไว้เช็ค ip sla ครับ
14. ทำ IP SLA Check โดยให้ probe ไปที่อุปกรณ์ที่อยู่ด้านหลัง S2S จริงๆ เพื่อให้ได้ค่า sla ตามความจริง
15. ตั้งค่า sd-wan Rules ให้วิ่ง s2s โดยเลือกเส้นทางที่เสถียรที่สุด
16. ตั้งค่า Policy จาก LAN to S2S และขากลับ
ทดสอบการใช้งาน
