MPLS + Internet IPSEC SDWAN 設定

設計概念 ： 

 

 HQ透過MPLS連線到各分點，同時針對某些較重要的分點透過MPLS+Internet 建立雙線備援，以防網路連線中斷。 

 一、 概念架構圖。 

 

 

 

 二、先設定好 MPLS 、 Internet Interface 與路由。 

 HQ Interface設定: 

 

 

 HQ 路由: 

 

 

 Internet Interface與路由請比照MPLS設定，DR端亦然 

 至於到其他分點的路由就照常設定MPLS的Static Route即可 

 

 三、設定 MPLS 、 Internet 到 DR 的 IPSEC VPN ，使用自定義模式。 

 

 以下僅用MPLS IPSEC示範，Internet IPSEC請自行比照設定 

 

 

 

 兩條IPSEC建立好之後如下圖 

 

 

 五、至 Interface 將 VPN 介面設定 IP ，兩邊的設備互相設 定 

 

 

 FortiOS 7.0 版會出現錯誤，使用 CLI 設定 

 

 

 注意 !! 此處設定IPSEC VPN Interface的 IP是用來作路由使用，上圖為HQ端設定，DR端請自行比照設定 

 以此範例為例 

 HQ Internet IPSEC VPN Interface 為 10.1.1.14、DR Internet IPSEC VPN Interface 為 10.1.1.13 

 HQ MPLS IPSEC VPN Interface 為 10.1.1.10、DR MPLS IPSEC VPN Interface 為 10.1.1.9 

 

 六、建立 SDWAN Zone ，將兩個 IPSEC VPN Interface 加進去 Member 

     完成HQ與DR的上述設定後並加完之後應該就可以正常將IPSEC VPN Turnnel 帶起來，此時互 Ping 對方的 IPSEC VPN Interface IP 應該就要會通了。 

 

 

 

 

 

 七、設定 SDWAN Rule 

 

 下圖為HQ端SDWAN Rule，DR端請自行比照設定 

 

 

 八、設定 Firewall Policy 、 Static Route 

 

 

 

 

 

 

     設定完成後Ping DR LAN Interface 應該就要會通了。 

 

 

 注意 !! 一樣HQ、DR都要設定，否則也不會通 

 

 九、設定 SDWAN 線路偵測機制，互相指對方的 LAN Interface 即可。 

 

 透過兩條線路去跟對方的LAN Interface作Health Check，如果Check異常則將線路直接下線，用以確保資料傳輸的正確性。