iT邦幫忙

0

Fortigate 50E*2 Lab的SD WAN、VPN 、vdom、政策路由、...等問題請教

fortigate fortianalyzer fortimanager sd wan 政策路由
唬爛 2024-08-05 09:46:52382 瀏覽

  • 分享至 

  • xImage

承之前的發問
Fortigate VM
發現Fortigate VM真的閹割功能到極致...,導致無法測試...
由於有商借到Fortigate 50Ex2(無對外IP,在4G分享器內架設Lab),因此測試了

  1. SD WAN,有設定成功site to site VPN,使用兩端site PC互ping
    a. SD WAN(wan1+wan2) to SD WAN(wan1+wan2),拔線wan1,會斷線!
    b. 建4四條site to site VPN(wan1、2 to wan1、2),拔線wan1,仍會斷線!?
    c. 觀察4條site to site VPN,只有wan1 to wan1與wan1 to wan2有流量!?因此拔線wan1,一定斷線...,另外的wan2 to wan1與wan2 to wan2完全沒流量!是哪裡設定錯誤嗎?
    d. 想模擬兩個site透過兩線建立site to site VPN,其中任一條線路如果異常?不會中斷連線
  2. sslvpn架設順利
  3. vdom?有邦友建議要熟悉vdom,之前操作過Fortigate,在左下角的最底下有vdom,但Fortigate 50E沒有vdom?不知道是硬體規格限制?還是韌體版本(6.2.15)限制?
  4. 政策路由預設是「關閉」?手動開啟後,感覺介面就是熟悉的防火牆介面!?是我的錯覺嗎!?請教靜態路由與政策路由,如果有衝突?誰優先!?
  5. FortiAnalyzer(VM,7.x),載入裝置(輸入序號),即可自動判別型號,但發現無法設定IP address!?無法設定IP address是要怎麼收集log ?目前只能熟悉操作介面
  6. FortiManager(VM,7.x),可能版本差異太大?Fortigate 50E是6.2.15,目前只能熟悉操作介面

Fortigate雖然之前有接觸過,但僅限於維護(前人已經設定好),透過朋友提供公司的101F介面參考(截圖),才能快速上手,但Fortigate 50E沒vdom?這個就無法測試練習...,此部分有請熟悉Fortigate的大大回覆
另FortiAnalyzer(VM)、FortiManager(VM)學習上,有什麼建議嗎?目前看來只能熟悉操作介面...
+++++++++++++++++++++
補SD WAN截圖
https://ithelp.ithome.com.tw/upload/images/20240805/20035684UWwaWVA3bs.jpg
https://ithelp.ithome.com.tw/upload/images/20240805/20035684E4gAEVPVir.jpg
https://ithelp.ithome.com.tw/upload/images/20240805/20035684k8IrjgH5Nu.jpg
https://ithelp.ithome.com.tw/upload/images/20240805/20035684dRvLEub4RJ.jpg
不知道這樣設定SD WAN是否正確!?
+++++++++++++++++++++
補vdom截圖,這樣算是設定成功了嗎?
https://ithelp.ithome.com.tw/upload/images/20240805/20035684i3TKfsC0aR.jpg

看更多先前的討論...收起先前的討論...
rb1102 iT邦研究生 3 級 ‧ 2024-08-05 11:33:49 檢舉
1.可能要貼一下SDWAN的設定才知道問題出在哪
https://www.youtube.com/watch?v=mIxKCBprgjs&t=748s
4.政策路由會優先,不過SDWAN就是取代政策路由的
5.從Fortigate裡面的織網連接器去輸入FAZ的ip
唬爛 iT邦好手 1 級 ‧ 2024-08-05 12:12:47 檢舉
感謝回覆
1. 回去截圖
4. 朋友告知,靜態路由優先於政策路由!?由於他的底子不夠...+Fortigate我不熟悉,所以才要確認優先順序
5. 會嘗試在Fortigate 50E設定FAZ的IP測試
rb1102 iT邦研究生 3 級 ‧ 2024-08-05 15:08:13 檢舉
你可以照著教學影片裡面設定,應該沒什麼大問題
唬爛 iT邦好手 1 級 ‧ 2024-08-05 15:14:21 檢舉
沒看影片的習慣!主要原因
1. 英文程度太差,聽不懂
2. 聽力障礙
所以以爬文為主
唬爛 iT邦好手 1 級 ‧ 2024-08-05 20:46:16 檢舉
已補SD WAN截圖
由於對於SD WAN沒概念?
所以是按照自己的認知去設定
FAZ已成功加入50E的IP
登入發表討論
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

0
bluegrass
iT邦高手 1 級 ‧ 2024-08-05 14:08:20
  1. SD WAN , 什麼 a b c d 亂七八糟的

Performance SLA 有沒啟用? 你VPN INTERFACE 兩邊有設IP互PING檢查?

  1. 50E 有vdom, 自己GOOGLE去, 輸入CLI指令啟用

  2. 政策路由優先於靜態路由. 旦正常用FORTIGATE的人都不會去使用.上世代的技術. 正常人都用SDWAN RULE

  3. 正常人是在FORTIGATE上輸入FAZ的IP, 再到FAZ上授權. 你反過來也可以

  4. FortiManager要先設好ADOM, ADOM VERSION對應你FORTIGATE的OS VERSION

看更多先前的回應...收起先前的回應...
唬爛 iT邦好手 1 級 ‧ 2024-08-05 14:51:07 檢舉

抱歉
鵝是Fortigate的菜鳥...,應出題者要求練習Fortigate,這個只是其中一個項目

  1. SD WAN是第一次接觸,出題者的意思應該是要求其中一條線路中斷,不能中斷服務吧?所以才設定4條site to site VPN(由於沒有足夠的對外實體IP,只能使用內部IP模擬),有建立兩台PC VM(分別在兩個site)互相ping,VPN有通,目前測試拔線(wan1)還是會斷線...
  2. 50E有vdom?請問有關鍵字嗎?有嘗試Google與爬文,都沒找到相關連結...,若方便提供連結,更佳
  3. Fortigate的菜鳥,第一次從無到有自己完成設定,很多都是第一次接觸/設定
  4. Fortigate的菜鳥,第一次接觸,在FAZ增加裝置,似乎不可行!?樓上有建議從防火牆輸入FAZ的IP
  5. 50E是6.2.15,FortiManager最舊的版本是7.0.x,可能無法對應版本!?昨天實際操作,發現版本無法對應

以上,謝謝您的回覆

bluegrass iT邦高手 1 級 ‧ 2024-08-05 17:21:11 檢舉

不是PC VM互相ping, FORTIGATE的VPN INTERFACE可以設IP, 用那個來決定生死, 而不是拔WAN線, 拔了WAN線後一段時間內, 相關的VPN還是判定為UP的

https://community.fortinet.com/t5/FortiGate/Technical-Tip-How-to-enable-multiple-VDOMs/ta-p/193601

config sys global
set vdom-mode multi-vdom
end

  1. 別用PBR,用SDWAN RULE.

  2. 因為你FAZ太新要用HTTPS連接, 6.2好像不支持, 你改安裝用6.2版的FAZ就可以了

  3. 一樣道理. 一般支持向下兩個版. 比如7.0就支持7.0, 6.4, 6.2

唬爛 iT邦好手 1 級 ‧ 2024-08-05 19:07:29 檢舉
  1. 不能理解兩個不同site的PC互ping與VPN Interface互ping有何差別?
  2. 感謝提供連結,回家後立即測試
  3. 我再理解、思考一下
  4. 4.&5. 這個無解!官網(VM)最舊的版本就是7.0.x,回家後,會嘗試從50E指定FAZ的IP試試
唬爛 iT邦好手 1 級 ‧ 2024-08-05 20:44:24 檢舉
  1. 已開啟,但不確定是否算成功?詳見截圖
    https://ithelp.ithome.com.tw/upload/images/20240805/20035684tjJPUzotnR.jpg
    四. 已成功將50E的IP輸入到FAZ
唬爛 iT邦好手 1 級 ‧ 2024-08-05 21:26:01 檢舉

啟動Performance SLA之後
測試拔線(wan1),出現一個很弔詭的現象!?
一個site的PC的ping沒中斷
一個site的PC的ping中斷大概一兩分鐘後,自動恢復連線!?
所以這樣算是達到指定的需求嗎?

bluegrass iT邦高手 1 級 ‧ 2024-08-06 09:00:22 檢舉

其實你應該試把線試去一個不通網旦能點亮LAN的地方來試-.-
比方FORTIGATE的DMZ口-.- 把WAN1跟DMZ互接.

然後學習觀察Performance SLA的表現
來模擬你FORTIGATE接MODEM沒事
旦ISP那邊出事上不了網的情況

ping中斷一兩分鐘有點久
可能是SESSION CACHE問題
你可以試試手動斷PING再PING另一個IP測試效果

BTW, 兩個不同site的PC互ping與VPN Interface互ping有何差別?
搞FORTIGATE快十年了, 你還真第一個用PC PING不用VPN IP PING的

PC關機了怎麼辦-.-
沒網路你又用什麼PC-.-
這是先有雞還是先有蛋?

唬爛 iT邦好手 1 級 ‧ 2024-08-06 10:40:13 檢舉

會拔線測試,是因為直覺認為這樣最簡單...,由於我的Lab環境都是在內網(wan是DHCP...)...,無法模擬您想像中的情境
由於是Lab環境,PC是可確認在開機狀態,實務上,會聽從您的建議,由Interface介面ping

登入發表回應
0
mytiny
iT邦超人 1 級 ‧ 2024-08-06 09:59:46

由於bluegrass大大已經持續解答互動
在下還是別太多意見為好
其實Fortigate的功能越來越多
以SD-WAN而言算較新的功能
應該很多SE都不熟,資料較難爬到

整個樓主的要點其實在SD-WAN優先等級規則
如果不想用SLA
其中的策略及偏好介面是其中的訣竅
喜歡用拔線測試的方式
或許可以拆分用成每條線就一個規則
改用先後次序來解決

概略來說
因不了解測試的架構環境
如果沒有長時間對談很難明白點在哪裡
樓主身為SI工程師應該會深有體會
SD-WAN設定其實在觀念(千萬少用PBR)
而且設計架構與規則很吃經驗
建議先把原文手冊看過再慢慢研究
要不就花錢去原廠上課吧
至少可以知道正規的設計步驟

唬爛 iT邦好手 1 級 ‧ 2024-08-06 10:34:57 檢舉

唉!
說到痛處了!
Fortigate官網、Google都找不到50E的完整操作手冊...
鵝不奢求一定要50E的操作手冊!可以提供任何機型(E之後的版本)的完整操作手冊下載的連結嗎?
朋友的公司的Fortigate(101F)還在保固期內,跟中華電信要操作手冊也要不到!!!
由於是Fortigate的菜鳥+SD WAN之前沒接觸過
無人指導+憑自己的經驗去架設Lab,即使有錯誤!?也無人可糾正或驗證...
目前會練習就是為了面試複試,如果蒙錄取?原廠訓練課程,會主動爭取

登入發表回應

我要發表回答

立即登入回答
iThome鐵人賽
參賽組數
174
團體組數
3
累計文章數
299
最後報名日
9/15
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 2018鐵人賽 javascript 2017鐵人賽 python windows php c# windows server linux css react 程式設計 vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙