【Fortigate】WAN回線分散(ECMP)FortiOS6.4.2

Fortigateでは、複数のWAN回線(インターネット回線)を冗長化や通信のロードバランス(負荷分散)することができます。 ここでは、インターネット回線2本に対して、ECMP (Equal Cost Multiple Path)によりロードバランスされる動作を確認します。

WAN回線の分散は、SD-WAN機能でも実現できます。下記記事もあわせて参考にしてください。

  >> 参考記事 :  SD-WAN機能(WAN回線分散)の動作確認
スポンサーリンク

初期設定

Fortigateにインターネット回線2本(プライマリ回線,セカンダリ回線)を接続後、基本設定をします。

エイリアスの設定

分かりやすいように、各ポートにエイリアス(別名)を設定します。GUIより、ネットワーク-インタフェースから、インターネット回線接続のポートをクリックし、WAN-Primary、およびWAN-Secondaryを設定します。

WANプライマリー回線

WANセカンダリー回線

ルーティング情報

それぞれのインターネット回線向けにデフォルトルートが設定されています。 ルーティングテーブルはCLIで確認できます。

# get router info routing-table all
Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP
       O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default

Routing table for VRF=0
S*      0.0.0.0/0 [5/0] via 10.0.0.1, port1
                         [5/0] via 10.0.2.1, port3
C       10.0.0.0/24 is directly connected, port1
C       10.0.1.0/24 is directly connected, port2
C       10.0.2.0/24 is directly connected, port3

ファイアウォールポリシー設定

LANからWAN Primary、およびLANからWAN Secondaryそれぞれに対して、すべての通信を許可するポリシーを設定します。

アプリケーション識別できるように、SSLインスペクション(deep-inspection)アプリケーションコントロールを有効にしておきます。 ログはすべてのセッションを取得するようにします。

SSLインスペクションアプリケーションコントロールは以下の記事を参考にしてください。

>> 参考記事 : SSLインスペクション(deep-inspection)設定と動作確認 FortiOS6.2.4
>> 参考記事 : アプリケーションコントロールの設定と動作確認 FortiOS6.2.4

ポリシー設定の外観は以下の通りです。

スポンサーリンク

動作確認

端末からGoogleやYahooなど複数サイトへアクセスし、ログ&レポート転送トラフィックを確認します。

すべてのサイトが、WANのプライマリ回線を使用していることがわかります。Fortigateのデフォルトとして、複数経路へロードバランス(ECMP)では、送信元IPアドレスの振り分けを行います。そのため、同一送信元では、同一の経路(今回ならWANのプライマリ回線向け)を使用します。

ただし、プロキシサーバ等の経由する場合には、すべてのWeb通信の送信元IPアドレスが固定されてしまうため、送信元IPアドレスと宛先のIPアドレスのペアを元に、ロードバランス(ECMP)することもできます。設定は、CLIにて実施します。

# config system settings
(settings) # set v4-ecmp-mode
source-ip-based         Select next hop based on source IP.
weight-based            Select next hop based on weight.
usage-based             Select next hop based on usage.
source-dest-ip-based    Select next hop based on both source and destination IPs.
(settings) # set v4-ecmp-mode source-dest-ip-based
(settings) # end

端末から再度GoogleやYahooなど複数サイトへアクセスし、ログ&レポート転送トラフィックを確認します。

送信元IPアドレスは固定されていますが、宛先IPアドレスはバラバラのため、WAN回線のプライマリ、セカンダリの両方が使用されています。

スポンサーリンク

参考資料

Technical Tip : Configuring link redundancy - Traffic load-balancing / load-sharing - ECMP (Equal Cost Multiple Path) - Dual Internet or WAN scenario
Purpose This article describes how to configure load-balancing over multiple interfaces (multiple ISPs - dual WAN connec...

コメント