MPSL and SITE2SITE with Fortigate SD-WAN

MPSL and SITE2SITE with Fortigate SD-WAN

Software-Defined Wide Area Network; Mpls ,adsl, 4g gibi wan bağlantılarının tek bir noktadan daha aktif ,yedekli, güvenli kullanılmasını sağlayan yazılım tabanlı bir teknolojidir. Bu bize maliyet, ölçeklendirme, performans ve güvenlik gibi bir çok artı sağlamaktadır.

Sd wan da wan interfaceleri üzerinde uygulama,web sitesi,servis gibi çok fazla birleşenden yardım alınarak hattın daha etkin, kullanılması sağlanabilir. Yazımda sizlere Merkez ve Şubeleri olan bir organizasyonda MPLS ve Site2Site ile iki lokasyonu nasıl yedekli bir şekilde çalıştırdığımızı göstereceğim.

Yapının anlaşılması için eve-ng üzerindeki topololoji ve ip bilgilerini aşağıda görebilirsiniz.Kendi ortamınızda demo yapmak istersenizde bu çok yardımcı olacaktır.


Topoloji üzerinden ip adreslerini açıklamak gerekirse;

İnternet   10.34.X.X/16

Mpls   172.16.1.x/24

            172.16.2.x/24

            172.16.3.x/24

            172.16.4.x/24

Local   10.10.10.0/24

            10.10.20.0/24

            10.10.30.0/24

            10.10.40.0/24

Tunnel         172.16.16.0/24 Şeklinde temsil etmektedir.

Adım 1: Merkez Firewall üzerinde topolojiye göre ip adreslerini veriyorum daha sonra Sdwan özelliğini açarak gateway tanımlarımı giriyorum.


Adım 2. Route tablosuna internet ve şube için kullanacağım routerları tanımlıyorum.


Adım 3: Mpls ve internet portlarının performaslarını ,hatların kalitesini ölçmek için iki interface yolundaki noktalara doğru SLA tanımlıyorum.


Adım 4: Sdwan kurallarında, merkez-şube networkleri arasında MPLS hattının kullanılmasını, diğer tüm çıkışların INTERNET interface i üzerinden olması için aşağıdaki kuralları yazıyorum.


Adım 5: Networkler arası policylerde merkez-sube erişiminin kural setinde yukarda olmasına ve nat kutucuğunu seçmemeye dikkat ediyorum.


Aynı işlemleri Sube firewall üzerinde de yaparak Sdwan Monitor üzerinden kontrolü gerçekleştiriyorum.


MPLS hattını uç noktalardaki server üzerinden test ettiğimde ilgili route ların çalıştığını ve merkez-şube bağlantısının MPLS hattı üzerinden geçtiğini görebiliyorum.


Sıra MPLS den sonra yedek bağlantımız olan  site2site tanımlarını yapmaya geldi.

Adım 6: Ipsec Wizard üzerinden custom bir vpn site tanımlıyorum.


Adım 7: Şube internet ip adresi ve preshare key leri girip buradaki tanımlarımı bitiriyorum.

Adım 8: Bir önceki ekranda Phase2 için herhangi bir network belirtmemiştim, interface tabında topolojide de belittiğim networkleri tanımlıyorum.


Adım 9: Tanımladığım yeni tunnel interface i Sdwan interface lerine dahil ediyorum.


Adım10: Daha önceden şube için yazdığım Sdwan kuralına tunnel interface ini de ekliyorum.


Adım 11: Şube networkune erişiminde Performance Sla kısmında da MPLS e ek olarak tunnel interface ini ekliyorum.

Testleri yapmadan önce performans bilgilerinden de göreceğiniz üzere MPLS üzerinde Latency ve Jitter değerleri tunnel e göre yüksek, burdan beklentimiz hattın önceliği tunnel ikinci olarak da MPLS olmasıdır.


Aynı işlemleri şube tarafında da yaptıktan sonra test işlemine geçebiliriz.

Tunnel interface i up olduktan sonra ,iki hat değerleri kıyaslanarak en iyi yol seçilmiş oldu.


Görüşme üzere.

Leave a Reply

Your email address will not be published.

Enjoy this blog? Please spread the word :)