双线路不同运营商上网配置

组网需求

防火墙到电信和联通分别有一条链路,去往电信的IP,通过wan1(port2)口;去往联通的IP,通过wan2(port3)口。

  • 电信:wan1(port2)口:202.1.1.2/30,网关为202.1.1.1,NAT地址池:202.1.1.1-10
  • 联通:wan2(port3)口:102.1.1.2/30,网关为102.1.1.1,NAT地址池:200.0.0.1-10

网络拓扑

image-20240103172605188

配置要点

  • 配置接口IP
  • 配置路由
  • 配置地址池
  • 配置策略
  • 注意:部分低端型号路由表规格有限,不适用导入运营商路由表的方法

配置步骤

  1. 配置接口IP,进入网络→接口页面,编辑wan1(port2)、wan2(port3)internal(port4),分别配置为 202.1.1.2/30、202.1.1.6/30、192.168.1.99/24。

    image-20230106173356523

  2. 配置静态路由,创建电信链路(wan1)的默认路由。

    image-20230106174205271

    config router static
        edit 1
            set gateway 202.1.1.1
            set device "port2"
        next
    end
    
    • 目的的IP/子网掩码:由于是默认网关,使用默认的0.0.0.0/0.0.0.0即可
    • 接口:该路由所关联的接口,wan1口,必须正确填写,否则该路由无法工作
    • 网关:下一跳IP地址, 即wan1口对端运营商设备接口的ip地址
    • 管理距离:默认10
    • 高级选项-优先级:默认1,优先级小的优先使用
    • 注意:
      • 要想实现两个出口线路同时工作,两条路由表的管理距离必须相同。否则路径长度长的路由条目,不会装入路由表
      • 管理距离相等的同时,优先级必须相同。 如果路径相等优先级不同,则虽然两条路由都会被装入路由表,防火墙会优先采用优先级数值较小的路由工作,无法实现两条链路的流量均担
  3. 参照附件→命令行脚本批量转换工具说明附件→FortiGate通用多运营商路由导入脚本附件章节,将联通明细路由导入FortiGate(注意脚本中要开启允许静态路由引用地址对象)。

  4. 配置地址池,进入策略&对象→IP池,新建两个运营商的地址池。

    注意:如果在SD-WAN中使用ippool的方式做SNAT,一定要在ippool下配置绑定接口,防止ippool在SD-WAN成员中转换错误。
    config firewall ippool
        edit xxxx
            set associated-interface port2
        next
    end
    

    💡注意:IPPool配置中的外部IP范围不能配置为现有网络中其他设备的IP、FortiGate的网关IP,也不能配置为内网客户端正常上网可能访问的IP地址。这是由于FortiGate配置IPPool后,IPPool中的地址属于FortiGate自身的IP地址,所有访问该IP的流量经过FortiGate时都会被FortiGate引流到自身,影响正常的业务。

    image-20230106191746833

    image-20230106191831195

    • 类型:"超载",动态的从地址池中分配
    • 外部IP范围/子网:NAT转换后的源地址池
    • 地址解析协议回复:启用,地址池会回应ARP请求
    config firewall ippool
        edit "telcom100.0.0.1-10"
            set startip 100.0.0.1
            set endip 100.0.0.10
        next
        edit "unicom200.0.0.1-10"
            set startip 200.0.0.1
            set endip 200.0.0.10
        next
    end
    
  5. 配置上网放通策略,进入策略&对象→防火墙策略,新建安全策略。分别创建internal到wan1和internal到wan2的上网策略。

    image-20230106192301907

    image-20230106192410294

    config firewall policy
        edit 1
            set name "outside_电信"
            set srcintf "port4"
            set dstintf "port2"
            set action accept
            set srcaddr "lan"
            set dstaddr "all"
            set schedule "always"
            set service "ALL"
            set nat enable
            set ippool enable
            set poolname "telcom100.0.0.1-10"
        next
        edit 2
            set name "outside_联通"
            set srcintf "port4"
            set dstintf "port3"
            set action accept
            set srcaddr "lan"
            set dstaddr "all"
            set schedule "always"
            set service "ALL"
            set nat enable
            set ippool enable
            set poolname "unicom200.0.0.1-10"
        next
    end
    
    • 流入接口:选择internal
    • 源地址:选择刚才定义的地址资源lan上网网段
    • 流出接口:wan1或wan2
    • 目的地址选择: all,代表所有的地址
    • 时间表:always
    • 服务: ALL
    • 动作:ACCEPT
    • NAT:选择 "启用NAT", 勾选" 动态IP地址池",并选择相应的地址池进行互联网访问
    • 点击确定按钮后,系统自动保存配置,策略生效
    • 注意:启用"记录允许流量(记录流日志)"将会给系统带来额外的资源消耗,所以非必要情况下请不要启用记录日志

结果验证

客户端上网测试,通过tracert命令,检测去往不同运营IP的路径是否正确。

注意事项

  1. IPPool配置中的外部IP范围不能配置为现有网络中其他设备的IP、FortiGate的网关IP,也不能配置为内网客户端正常上网可能访问的IP地址。这是由于FortiGate配置IPPool后,IPPool中的地址属于FortiGate自身的IP地址,所有访问该IP的流量经过FortiGate时都会被FortiGate引流到自身,影响正常的业务。
  2. 如果在SD-WAN中使用ippool的方式做SNAT,一定要在ippool下配置绑定接口,防止ippool在SD-WAN成员中转换错误。

Copyright © 2024 Fortinet Inc. All rights reserved. Powered by Fortinet TAC Team.
📲扫描下方二维码分享此页面👇
该页面修订于: 2024-01-03 17:26:18

results matching ""

    No results matching ""