最近上线SAP,需要使用公司飞塔防火墙连接中国联通SDWAN,记录下过程吧。
飞塔防火墙型号F200E,有2条互联网带宽,需要分别与联通建立IPSEC+BGP连接。
联通会提供2个IPSEC配置信息+2个BGP配置信息
1,在飞塔完成2条IPSEC链路的配置,分别绑定2个公网端口
2,在策略放通本地与对端(SAP网络环境)的来回通讯,放通之后理论上IPSEC链路就能显示连接正常
3, 为2条IPSEC隧道分别配置通讯地址(接口—选择隧道名称—编辑)
4,建立1个SDWAN区域,将两个IPSEC隧道作为成员加入
5,创建SD-WAN规则,指定成员,接口选择策略选择“手动”即可
6,创建SD-WAN性能SLA ,因为第五步没有采用的是手动,因此这里的SLA仅作为管理员监控链路使用。
7,配置BGP,为2条隧道分别配置BGP
这里注意:因为中国联通SDWAN自研平台路由切换能力的问题,必须额外指定备用线路的metric(可以理解为开销)这样才能手动指定为备用线路,所以这里必须要在飞塔防火墙命令行创建一条200的metric
config router route-mapedit "route-map-med-200"config ruleedit 1set set-metric 200nextendnext end
在备用线路的Route map out调用刚才创建的metric
8,为了更好匹配中国联通SDWAN平台,还需要在飞塔开启bfd支持 -_-!!
开启全局bfd支持
config system setting set bfd en end
以下命令查看bgp邻居信息
# config router bgp
(bgp) # config neighbor
(neighbor) # show
开启BGP主链路bfd支持 (注意,命令行里不需要引号)
edit 169.254.X.XX3 set bfd en next
开启BGP备链路bfd支持 (注意,命令行里不需要引号)
edit 169.254.x.xx7 set bfd en next
9,最后,为了链路故障后的回切,需要再单独配置一条去往对端(SAP网络环境)的黑洞路由
通过以下命令可以查看到bfd邻居
get router info bfd nei
通过以下命令查看bgp路由信息
get router info bgp summary