Fortigate SD-WAN failover

woensdag 6 juli 2022 11:58

Acties:

0 Henk 'm!

Topicstarter

Ik ben bezig met een SD-WAN verbinding opzetten. De basis is me duidelijk maar ik kom er niet helemaal uit, en de online voorbeelden zijn niet helemaal van toepassing op hetgeen ik voor ogen heb. Deze zijn vooral gericht op load-balancing.

Ik heb 2 WAN verbindingen als VLAN's over een LACP interface. Default moet alle verkeer gerouteerd worden over de www-primary. De andere verbinding www-backup moet alleen worden gebruikt i.g.v. downtime, of als ik specifiek verkeer selecteer dat over deze verbinding moet (bijv. Facebook). Maar als die backup verbinding down gaat moet het Facebook verkeer uiteraard wel over de hoofdverbinding lopen.

Nu heb ik een Performance SLA aangemaakt die pingt naar 2 adressen. Moet ik hier dan beide WAN verbindingen in toevoegen? In de SD-WAN rule heb ik gekozen voor Lowest Cost (beiden costs zijn identiek), preferred interface www-backup, SLA de ping SLA. Wederom beide verbindingen toevoegen of 1?

Wat gebeurt er als de verbinding down gaat in de afhandeling van de SD-WAN regels?

Afbeeldingslocatie: https://tweakers.net/i/mlNaITOp4w0l9V_TBXPN9j96ZpY=/800x/filters:strip_exif()/f/image/gQwnryWzNr6qHpqhijfmejAY.png?f=fotoalbum_large

Afbeeldingslocatie: https://tweakers.net/i/UQHrribHDFnS-trbB9CF3068k7A=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/105k66NJwoDYVwiVtBi3ImNa.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/J-io-1yYCDNJ_FUbywZCOA5EC4Q=/800x/filters:strip_exif()/f/image/pKRXCtgULa1pmQZlKKZPPOFJ.png?f=fotoalbum_large

[ Voor 16% gewijzigd door fRiEtJeSaTe op 06-07-2022 12:03 ]

woensdag 6 juli 2022 21:47

Acties:

0 Henk 'm!

mash_man02

Volgens mij bepaal je puur met je SD-WAN rules hoe je verkeer afhandelt, daar koppel je ook je machine SLA criteria.

Deze SLA'a zijn bedoeld om bijvoorbeeld heel specifiek VOIP verkeer te sturen over een link waar de kwaliteit naar de PABX aan bepaalde criteria voldoet. En kun je dus afhankelijk van applicaties andere combinaties moeten kiezen.

In jou geval test je specifiek op internet beschikbaarheid en kun je deze criteria dus voor beide rules gebruiken.

Als een regel niet uitvoerbaar is doordat er geen available interface in zot of deze niet aan de gestelde kwaliteit voldoet gaan we door naar de volgende regel. De implicit regel is stuur maar weg over welke verbinding dan ook die onder SD-WAN valt en kun je verder alleen nog kiezen hoe eer bij meerdere beschikbare interfaces gebalanceerd moet worden/

Asus X570-E AMD ryzen 5800x3D 64Gb Sapphire 7900xtx X-vapor nitro+

woensdag 6 juli 2022 21:57

Acties:

0 Henk 'm!

nelizmastr

Goed wies kapot

Is dit iets?

Simpele failover configuratie op basis van priority. Zo doen we dat ook ongeveer (maar dan metric ipv priority) bij een concurrerend merk uit Scandinavië.

https://community.fortine...-without-load/ta-p/197694

I reject your reality and substitute my own

woensdag 6 juli 2022 22:02

Acties:

0 Henk 'm!

PisPix

Je maakt per wan verbinding een Performance SLA zodat de FG weet welk pad de voorkeur heeft. Jij gebruikt het als active/standby, zorg ook dat je sdwan rules dan in de juiste volgorde staan. Je kan in de sdwan rules zien middels het vinkje welk pad gekozen wordt. Wanneer je primaire lijn uitvalt zou de secondaire het moeten overnemen. In elke rule zullen dus beide paden (members) aanwezig moeten zijn.

Begin eenvoudig met alleen ‘t internet verkeer naar buiten op active/standby laten functioneren. Bouw ‘t daarna verder uit met specifieke applicatie stromen oid.

[ Voor 18% gewijzigd door PisPix op 06-07-2022 22:09 ]

Vraag

Alle reacties