Fortigate 研究 - 雙WAN 到同一部 Server 負載平衡的可能性 - iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

Fortigate 研究 - 雙WAN 到同一部 Server 負載平衡的可能性

fortigate 負載平衡雙wan

bluegrass 2020-03-21 21:50:01 ‧ 3366 瀏覽

Firmware: 6.0.6

這是一個小實驗, 先來說說目標:

ISP A 跟 B 要同時運行的
用戶可以同時使用 ISP A 跟 B 的 WAN IP 來抓到同一部服務器192.168.0.168, 如圖

我試過如果啟用SDWAN, 把WAN1+2放到SDWAN

再建立兩個VIRTUAL IP如圖:

然後問題就出現了, 也其實符合我預期就是了.....

有時SESSION從WAN1跑進來的TRAFFIC,
SESSION在回程REPLY的時候會跑到WAN2去

拿著WAN1的SRC IP去WAN2, 不掉線才有鬼

沒記錯就PaloAlto可以用POLICY BASED ROUTE解決以上問題
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClF5CAK

但FORTIGATE可以嗎?

坐等大佬解答問題, 謝謝

我宅我驕傲.. iT邦新手 4 級 ‧ 2020-03-23 15:14:12 檢舉

我以前用FORTI200B 可以他是雙WAN孔...很好設定 ...

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

3 個回答

yesongow

iT邦大師 1 級 ‧ 2020-03-22 00:51:57

只好幫Inside Server多加一張網路卡了（192.168.0.169）
WAN 1 to 192.168.0.168
WAN 2 to 192.168.0.169
Default GW = FTG IP

回應 7
分享
檢舉

看更多先前的回應...收起先前的回應...

yesongow iT邦大師 1 級 ‧ 2020-03-22 00:52:58 檢舉

不多加網路卡的方式，那就是Inside Server 網路卡Bonding 兩個IP
WAN1 to 192.168.0.168
WAN2 to 192.168.0.169

mytiny iT邦超人 1 級 ‧ 2020-03-23 11:14:45 檢舉

猜想bluegrass大大的意思是要
自動雙WAN到Server負載平衡
多設一組IP只是多對應一組外部IP而已
並不是負載平衡
也不是multihoming

yesongow iT邦大師 1 級 ‧ 2020-03-23 11:27:11 檢舉

從wan1來的連線，server的回復封包，也應該從wan1送出！
從wan2來的連線，server的回復封包，也應該從wan2送出！

bluegrass iT邦高手 1 級 ‧ 2020-03-23 16:23:23 檢舉

多加網路卡的想法很不錯

可惜我部份設備實在是太垃圾了
沒能有SECOND IP在同一INTERFACE上
更別說加網路卡

yesongow iT邦大師 1 級 ‧ 2020-03-23 23:24:51 檢舉

我不知道你的server是哪種作業系統！
我的PC都能在網路卡設定的部份，IPv4新增第二個IP了！

你還是找一找，不難！

bluegrass iT邦高手 1 級 ‧ 2020-03-24 09:57:05 檢舉

不是WINDOWS, 是IP_PHONE....

yesongow iT邦大師 1 級 ‧ 2020-03-24 12:26:34 檢舉

除非你能請製造商用SSH連線，並使用root身分登入！

不然，無解！
(換防火牆設備，傷錢)

登入發表回應

mytiny

iT邦超人 1 級 ‧ 2020-03-23 11:28:14

如果bluegrass大大想要達成的是Multihoming
在下知道的是：Fortigate目前不提供該功能
請改用FortiADC可以達成

如果只是想線路回應時來源與目的都鎖定原先的路徑
請在SD-WAN rule的Implicit Rule
選用Source-Destination IP
看看是否能解想要的答案
(結果還請回應告知，在下也想知道)

當初PA沒有SD-WAN，都是用路由的方式
如果要不對稱路由，Fortigate另有指令可下
PA現在有SD-WAN了，不知他們要怎樣解

回應 2
分享
檢舉

bluegrass iT邦高手 1 級 ‧ 2020-03-23 16:21:17 檢舉

正是想線路回應時來源與目的都鎖定原先的路徑

暫時初步有個LAB成功了, 但要廢了SDWAN

之後如果驗證OK我再說明吧

Source-Destination IP 不行, 都是會有WAN1進但WAN2出的問題
當時不對稱路由COMMAND已有啟用的 - 話說PA都有的

mytiny iT邦超人 1 級 ‧ 2020-03-23 18:25:04 檢舉

廢了SD-WAN也不是不行
就是變成走回ECMP的方式
但這樣解了來源目的都走Wan1
卻是要等到wan1線路死了才會改走wan2
還有要注意一下內到外的網路還會不會負載平衡
已經太久沒用這ECMP的方法了(客戶都改成SD-WAN)
有些都記不清楚啦！

登入發表回應

benny1217

iT邦新手 5 級 ‧ 2020-03-24 17:35:46

在
config system interface
edit XXX
"set preserve-session-route enable"
下上面這行指令試試

回應
分享
檢舉

登入發表回應

我要發表回答

立即登入回答

參賽組數

1123 組

團體組數

52 組

累計文章數

23096 篇

完賽人數

656 人

15th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 2018鐵人賽 javascript 2017鐵人賽 python windows php c# windows server linux css react 程式設計 vue.js

IT邦幫忙