将已关联接口移至 SD-WAN 区域

网络需求

某台 FortiGate 已经部署上线，上线时没有使用 SD-WAN 功能，公网接口已被其他配置引用。现在客户想在这台 FortiGate 上开启 SD-WAN 功能，但删除接口关联的配置太过麻烦，容易出现意外，同时影响业务的时间也较长。

解决方法

从 FortiOS 7.0 版本开始，FortiGate 支持将已被其他配置关联的接口直接加入 SD-WAN 区域（不需要删除接口关联的配置）。并自动修改关联配置中引用的接口为 SD-WAN 区域。

配置步骤

重要

如果 FortiGate 为 HA 模式，且需要加入 SD-WAN 区域的接口被 HA 监控接口引用，请先手动将该接口从 HA 监控接口移除。将接口加入 SD-WAN 区域后，再手动将接口加回 HA 监控接口。

1. 在一台 wan1、wan2 接口已经被其他配置引用的 FortiGate 上，想要将 wan1 和 wan2 加入 SD-WAN 区域。查看 wan1 和 wan2 的接口引用，此时直接在 SD-WAN 区域中加入 wan1 和 wan2 是无法执行的。

   

2. 右键点击要加入 SD-WAN 区域的接口（这里以 wan2 为例），然后在“设置状态”中选择“移动接口”。

   

3. 在右侧弹出的窗口中，选择“移动到 SD-WAN”选项，点击下一步。

   

4. 选择要加入的 SD-WAN 区域，这里以“virtual-wan-link 为例”，点击下一步。

   

5. “检查设置”步骤中显示关联的配置中的接口将从 wan2 替换为 SD-WAN 区域 virtual-wan-link（也可以修改为“删除”操作）。检查无误后，点击应用按钮。

   

6. 随后会弹出确认窗口，点击 OK。

   

7. 执行完成后会显示执行结果，不需要取消关联的配置会显示“无更改”，已经替换为 SD-WAN 区域的配置会显示“更新条目”。

   

结果验证

1. 查看 SD-WAN 区域的成员，wan2 已经成功加入（需要手动配置成员的网关）。

   

   config system sdwan
       set status enable
       config zone
           edit "virtual-wan-link"
           next
       end
       config members
           edit 2
               set interface "wan2"
           next
       end
   end

2. 查看防火墙策略，所有原来 wan2 关联的策略中，wan2 都被替换为 SD-WAN 区域“virtual-wan-link”。

   

3. 其他不需要替换的关联配置或没有引用 wan2 的配置不会有变化。