当前位置: 首页 > news >正文

FortiGate连接中国联通SDWAN

最近上线SAP,需要使用公司飞塔防火墙连接中国联通SDWAN,记录下过程吧。

飞塔防火墙型号F200E,有2条互联网带宽,需要分别与联通建立IPSEC+BGP连接。

联通会提供2个IPSEC配置信息+2个BGP配置信息

1,在飞塔完成2条IPSEC链路的配置,分别绑定2个公网端口

图片

 2,在策略放通本地与对端(SAP网络环境)的来回通讯,放通之后理论上IPSEC链路就能显示连接正常

图片

3, 为2条IPSEC隧道分别配置通讯地址(接口—选择隧道名称—编辑)

图片

4,建立1个SDWAN区域,将两个IPSEC隧道作为成员加入

图片

5,创建SD-WAN规则,指定成员,接口选择策略选择“手动”即可

图片

6,创建SD-WAN性能SLA ,因为第五步没有采用的是手动,因此这里的SLA仅作为管理员监控链路使用。

图片

7,配置BGP,为2条隧道分别配置BGP

图片

这里注意:因为中国联通SDWAN自研平台路由切换能力的问题,必须额外指定备用线路的metric(可以理解为开销)这样才能手动指定为备用线路,所以这里必须要在飞塔防火墙命令行创建一条200的metric

config router route-mapedit "route-map-med-200"config ruleedit 1set set-metric 200nextendnext
end

在备用线路的Route map out调用刚才创建的metric

图片

8,为了更好匹配中国联通SDWAN平台,还需要在飞塔开启bfd支持 -_-!!

开启全局bfd支持

config system setting
set bfd en
end

以下命令查看bgp邻居信息

# config router bgp
(bgp) # config neighbor
(neighbor) # show

图片

开启BGP主链路bfd支持 (注意,命令行里不需要引号)

edit 169.254.X.XX3
set bfd en
next

开启BGP备链路bfd支持 (注意,命令行里不需要引号)

edit 169.254.x.xx7
set bfd en
next

9,最后,为了链路故障后的回切,需要再单独配置一条去往对端(SAP网络环境)的黑洞路由

图片

 

通过以下命令可以查看到bfd邻居

get router info bfd nei

图片

 通过以下命令查看bgp路由信息

get router info bgp summary

图片

 

http://www.hskmm.com/?act=detail&tid=16146

相关文章:

  • 第五章 运算符、表达式和语句
  • 学习问题日记-2
  • 封神台复现
  • 李之一的Java第一作
  • 2025.9.24 闲话:Lucas 定理究极证明
  • Are English people good or bad
  • 9
  • Lampiao靶场渗透wp-脏牛提权
  • 画矩形
  • NOIP 模拟赛八
  • 第三篇
  • 基于cloacked-pixel隐写工具爆破项目
  • 随便写的
  • Bcliux-docker-nacos2.2.0升级至2.2.3版本
  • 社交网络架构。京东场景题:亿级用户100Wqps 社交关系如何设计?如何查看我的关注,关注我的?
  • go 面试题
  • 事件和图形界面(暂未完成)
  • 什么是sql 慢日志。哈罗面试:没开sql慢日志,怎么发现慢 sql?
  • Spring连环炮。哈罗面试:Spring Bean生命周期,Spring怎么创建Bean的,BFPP和BPP的x别
  • redis 大 key 优化。哈罗面试:redis 有个大 key需要在线优化, 不能影响现有业务,请求不能大量到库,怎么优化?
  • ACL高可用架构。希音面试:第三方挂了,我们总在背锅。来一 靠谱的 高可用方案,让 外部依赖 稳如泰山
  • 软工9.24
  • 2025CSP-S模拟赛51
  • 2025年9月24日 - 20243867孙堃2405
  • 【星海随笔】RabbitMQ开发篇 - 教程
  • P13754 【MX-X17-T3】Distraction
  • 2025.9.24
  • 初学汇编
  • 架构图设计还得是华为 - 智慧园区
  • 解决zsh: corrupt history file /home/sgud4h5gh/.zsh_history的办法