将已关联接口移至SD-WAN区域

网络需求

某台FortiGate已经部署上线,上线时没有使用SD-WAN功能,公网接口或IPSec接口已被其他配置引用。现在客户想在这台FortiGate上开启SD-WAN功能,但删除接口关联的配置太过麻烦,容易出现意外,同时影响业务的时间也较长。

解决方法

从FortiOS 7.0版本开始,FortiGate支持将已被其他配置关联的接口直接加入SD-WAN区域(不需要删除接口关联的配置)。并自动修改关联配置中引用的接口为SD-WAN区域。

配置步骤

  1. 在一台wan1、wan2接口已经被其他配置引用的FortiGate上,想要将wan1和wan2加入SD-WAN区域。查看wan1和wan2的接口引用,此时直接在SD-WAN区域中加入wan1和wan2是无法执行的。

    image-20240304173304544

  2. 右键点击要加入SD-WAN区域的接口(这里以wan2为例),然后在“设置状态”中选择“移动接口”。

    image-20240304173609485

  3. 在右侧弹出的窗口中,选择“移动到SD-WAN”选项,点击下一步。

    image-20240304174004645

  4. 选择要加入的SD-WAN区域,这里以“virtual-wan-link为例”,点击下一步。

    image-20240304174110527

  5. “检查设置”步骤中显示关联的配置中的接口将从wan2替换为SD-WAN区域virtual-wan-link(也可以修改为“删除”操作)。检查无误后,点击应用按钮。

    image-20240304174209835

  6. 随后会弹出确认窗口,点击OK。

    image-20240304174456552

  7. 执行完成后会显示执行结果,不需要取消关联的配置会显示“无更改”,已经替换为SD-WAN区域的配置会显示“更新条目”。

    image-20240304174935627

结果验证

  1. 查看SD-WAN区域的成员,wan2已经成功加入(需要手动配置成员的网关)。

    image-20240304175133830

    config system sdwan
        set status enable
        config zone
            edit "virtual-wan-link"
            next
        end
        config members
            edit 2
                set interface "wan2"
            next
        end
    end
    
  2. 查看防火墙策略,所有原来wan2关联的策略中,wan2都被替换为SD-WAN区域“virtual-wan-link”。

    image-20240304175545948

  3. 其他不需要替换的关联配置或没有引用wan2的配置不会有变化。

Copyright © 2024 Fortinet Inc. All rights reserved. Powered by Fortinet TAC Team.
📲扫描下方二维码分享此页面👇
该页面修订于: 2024-03-07 17:57:58

results matching ""

    No results matching ""