iT邦幫忙

0

使用Fortigate上SD-WAN做負載平衡問題

FortiOS:6.0.4
WAN1:HINET固定制
WAN2:HINET PPPOE

我在Fortigate 92D上使用SD-WAN將WAN1與WAN2合併做負載平衡,也透過CLI方式對SD-WAN做WAN1接口的IPv6的gateway等設定,WAN2因為是pppoe連線gateway只維持0.0.0.0,當WAN2透過pppoe連線並設定config ipv6 => set autoconf enable後此線路可以取得到IPv6的IP與相關的gateway設定...
但如果這樣設定的情況下Fortigate後方的電腦每次連IPv6出去都只會用WAN2的IP出去不會使用WAN1(PPPOE距離預設5、SD-WAN距離也是5或1都會發生此狀況,只有PPPOE單獨改成6以上才不會啟用WAN2而只走WAN1),若兩WAN都開啟外部HTTP、HTTPS存取的話,用IPv6從外部存取只有WAN2的可以成功連上登入管理的頁面,WAN1的IPv6不能,同樣的設定IPv4並沒有這類的事情發生且SD-WAN的負載平衡在IPv4上是正常的,
是否因為PPPOE使用autoconf蓋掉了WAN1的路由?還是其他原因造成的?
但不設定autoconf,PPPOE將無法取得IPv6的IP,或是通常此狀況PPPOE這端要如何設定呢?
另外internal(Lan)部分DHCPv6使用的是固定制提供的LAN網段來配置

bluegrass iT邦研究生 2 級 ‧ 2019-01-17 16:24:23 檢舉
不如你簡單點, 隋便安裝個支持IPV6的家用 ROUTER 在 PPPOE MODEM 和 FORTIGATE 之間

由ROUTER去處理DYNAMIC GATEWAY的問題

ROUTER LAN接你FORTIGATE 的WAN, ROUTER 上設定FORTIGATE的IP是DMZ

不就好!?

2 個回答

0
mytiny
iT邦大師 1 級 ‧ 2019-01-17 23:48:23

看了半天,是不是樓主的wan1距離值與wan2不同
距離值一定要一樣的狀況下
才可以由外部http(s)登入Wan1及Wan2

建議樓主請去CLI命令下相關參數
config system virtual-wan-link
若仍不清楚相關設定
請找FG-92D銷售廠商提供技術服務(猜是中華)
產品銷售後續的技術服務有一定的管道
SI有責任替客戶解決(收費與否是另一件事)

max8154 iT邦新手 5 級 ‧ 2019-01-18 03:25:12 檢舉

您好,有向中華詢問過他們工程師也找了半天都無法解決此問題,上次92D預設阻擋ipv6封包那設定也是我自行找到的= ="|
目前不管怎樣調整距離等等都也無法解決此問題,設定參數如下:


edit "wan1"
set vdom "root"
set ip 211.75.xxx.xxx 255.255.255.0
set type physical
set estimated-upstream-bandwidth 40000
set estimated-downstream-bandwidth 100000
set role wan
set snmp-index 1
config ipv6
set ip6-address 2001:b030:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx/64
set ip6-allowaccess https http
end
next
edit "wan2"
set vdom "root"
set mode pppoe
set type physical
set estimated-upstream-bandwidth 40000
set estimated-downstream-bandwidth 100000
set role wan
set snmp-index 2
config ipv6
set ip6-mode pppoe
set autoconf enable
end
set username "xxxx"
set password xxxxx
set dns-server-override disable
next


config system virtual-wan-link
set status enable
set load-balance-mode measured-volume-based
config members
edit 1
set interface "wan1"
set gateway 211.75.xxx.xxx
set gateway6 2001:b030:x:x::x
set volume-ratio 1
next
edit 2
set interface "wan2"
set volume-ratio 1
next
end
config health-check
edit "Google DNS"
set server "8.8.8.8"
set interval 3
set members 1 2
next
edit "IPv6_CK"
set addr-mode ipv6
set server "2001:b000:168::1"
set protocol ping6
set interval 3
set members 1 2
next
end
end
只要wan2的IPv6一通,所有流量只會走wan2,外部連Wan1的任何IPv6或虛擬ipv6的伺服器都不會通

mytiny iT邦大師 1 級 ‧ 2019-01-18 19:05:14 檢舉
中華詢問過他們工程師也找了半天都無法解決此問題

其實,不用猜也知道他們是這樣的
他們是賣線的,不是賣服務的,解決問題不是他們的長才
網路設備沒事就大家都好,有狀況需要很耐心很專業的找答案

因為小弟不在現場,很多事要討論及測試才能了解狀況
正常的處理步驟應該如下:

  1. SI提供到場服務(不是遠端),仔細觀察狀況所在
  2. 與客戶確認網路環境,並能進行某些測試
  3. 在不能解決的情況下,做好描述資料含截圖回報代理商
  4. 代理商應協助SI到場確認是否為設定有誤或原廠BUG
  5. 代理商不能解決時應開Ticket,請原廠(國外)支援
  6. 確立Ticket後,原廠會於14天內完成解決方法
    以上是正常處理程序,供樓主參考(當然也有捷徑)

因樓下zyman2008大提到重要multihome觀念
當然可以開asymroute6解決左去右回(因為IPv6不用NAT)
也可能仍然外部連虛擬ipv6的伺服器都不會通
不過建議樓主再試試以下幾個

  1. member中將v4與v6分開來設
  2. distance值在routing裡,V4很好設
    請問router static6裡面也有設一樣嗎?
  3. 官網有CLI可下載,仔細看一下關於v6路由部分
    不糾結的話,也可以改用FortiWan來解決
0
zyman2008
iT邦大師 8 級 ‧ 2019-01-18 15:41:15

這裡說明一些狀況,讓大家清楚要如何解決IPv6 multihome的routing問題.
再跟路由器/防火牆服務廠商確認要如何設定.

首先這個問題是,假如你有兩條電路.ISP在兩條電路上各會給你不同的IPv6 Global Unicast address(GUA) space,且路由也不同.
所以你內部的主機上,是只有其中一條的IPv6 GUA IP,還是有兩個IPv6 GUA IP.
1.如果內部主機只有第一條電路的GUA IP,如果從防火牆第二個WAN出去,回來時依照ISP路由,還是會從第一個WAN回來.那你的stateful防火牆會不會擋 ?
2.如果內部主機有兩個IPv6 GUA,那主機連出去時會帶哪一個IP ?

目前已知要解決 multihome IPv6的方式,
1.和ISP跑BGP - 實務上不可行
你公司如果不是大企業,買專線電路.你自己去問問你的ISP,他會不會support這種方式.
如果兩條電路又分屬不同家,又更複雜.
2.NPTv6(RFC6296)
類似IPv4的做法,是比較可行的.
但就無法達成IPv6不做NAT的夢想.和IPv4 NAT一樣,要解決某些應用程式NAT traversal的問題.
3.IPv6 Multihoming without Network Address Translation(RFC7157)
不知會不會成,被接受與實作到client OS.

所以NPTv6是目前比較可行的做法.

max8154 iT邦新手 5 級 ‧ 2019-01-18 19:15:40 檢舉

請問電信業者給的"LAN Port IPv6 網段"是用來做第二點的NPT使用的嗎?這點就像IPv4時候的私有IP一樣用法嗎?,還是這組網段也會認出去的電路,那NPT內部是需使用哪種IP?

zyman2008 iT邦大師 8 級 ‧ 2019-01-18 21:32:32 檢舉

電信業者給你的都是Global Unicast Address(就像是IPv4的Public IP)
要做NPTv6內網可以使用Unique local address(ULA,就像是IPv4的Private IP)的FD00::/8那一段,每個site取一段/48來使用.
就我所知,目前Cisco和Paloalto firewall都有支援NPTv6了.
Fortigate目前好像還沒支援.不過IPv6若開始普及的話,我想這些firewall廠商都會開始支援的,只是誰出得比較早而已.

我要發表回答

立即登入回答