作業環境
- FortiGate-60E v7.0.6
VLAN を SD-WAN メンバーにできるのか
FortiGate の SD-WAN では SD-WAN ゾーンに対して SD-WAN メンバとして WAN などのインターフェースを割り当てて使用します。
この SD-WAN メンバーとして、VLAN などの論理インターフェースや Internal などの WAN 以外の物理インターフェースを使用することはできるのかが気になったので、今回検証します。
検証構成
今回は以下のような構成にします。
- 残念ながら使用できるインターネット回線が一回線しかないため、経路上にルータを挟んで FortiGate に複数回線接続しているかのような疑似環境を構築します
- FortiGate とルータの間は以下の 4 つの回線(経路)で接続します
- Tagポート (FortiGate 側では物理ポートとして wan1 を使用)
- ① Vlan 10
- ② Vlan 20
- ③ Vlan 30
- Untagポート (FortiGate 側では物理ポートとして internal7 を使用)
- ④ Vlan 40
- Tagポート (FortiGate 側では物理ポートとして wan1 を使用)
- FortiGate の SD-WAN 設定では以下 4 つのインターフェースを SD-WAN メンバとして設定します
- Vlan10
- Vlan20
- Vlan30
- internal7
事前準備:インターフェース設定
SD-WAN メンバとして使用する VLAN を作成しておきます。
以下のように wan1 配下に各 VLAN を作成します。
このほか、構成図の通り使用する internal1, internal7 の IP アドレスも設定しておきます。
SD-WAN ゾーンの作成
SD-WAN ゾーンはデフォルトで存在する virtual-wan-link を使用することもできますが、ここでは新規に作成することにします。
[ネットワーク > SD-WAN > SD-WANゾーン > 新規作成] から作成できます。
ここでは Sample-SD-WAN という名前の SD-WAN ゾーンを作成します。インターフェースメンバーは一旦空のままで作成します。
SD-WAN メンバーの追加
続いて作成した Sample-SD-WAN に対して SD-WAN メンバーを追加します。
[ネットワーク > SD-WAN > SD-WANゾーン > 新規作成] から追加できます。
SD-WAN メンバー追加時にインターフェースを指定するのですが、ここで今回の疑問であった「VLAN や internal の物理インターフェースも指定できるのか?」への答えが分かります。以下のように設定画面での選択肢の中に VLAN や internal インターフェースもしっかり表示されているため、設定が可能であることが分かります。
- SD-WAN メンバーとして VLAN を指定できる
- SD-WAN メンバーとして internal インターフェースを指定できる
さて、SD-WAN メンバーの設定を続けますが、まず Vlan10 を追加する場合以下のように設定します。
- インターフェース
- SD-WAN メンバーにしたいインターフェースを指定
- SD-WANゾーン
- SD-WAN メンバーの追加先 SD-WAN ゾーンを指定
- ゲートウェイ
- 指定したインターフェースに対応するゲートウェイを指定
- コスト、プライオリティ
- 必要に応じてデフォルト値から変更
- ステータス
- 有効・無効を設定
SD-WAN メンバーを追加すると以下のように SD-WAN ゾーン画面のリスト欄に表示されます。
同様に Vlan20、Vlan30、internal7 についても SD-WAN メンバーとして追加します。
SD-WAN ルールの設定
SD-WAN ルールでは、SD-WAN の各メンバに対してどのようにトラフィックを割り振るかを決めることができます。
[ネットワーク > SD-WAN > SD-WANルール] を開きます。デフォルトでは暗黙のルールのみが存在します。
ここではルールの新規追加はせず、暗黙のルールを設定します。
暗黙ルールの編集画面を開くと、以下のようにロードバランスアルゴリズムとしていくつかのオプションが存在します。
- 送信元IP(デフォルト)
- 送信元 IP アドレスに基づくハッシュアルゴリズムに従って SD-WAN メンバー間でトラフィックのバランスを均等にするには、このオプションを選択します
- セッション
- このオプションを選択すると、SD-WAN メンバー間のトラフィックのバランスが、メンバー間のセッション数の比率によって均等になります
- スピルオーバー
- トラフィック帯域幅がそのインターフェイスに設定した入力および出力のしきい値を超えるまで使用されます。追加のトラフィックは、次の SD-WAN インターフェイス メンバーを介して送信されます
- 送信元-宛先IP
- このオプションを選択すると、送信元 IP アドレスと宛先 IPアドレスに基づくハッシュアルゴリズムに従って、SD-WAN メンバー間でトラフィックのバランスが均等になります
- 通信量
- メンバー間の帯域幅比に従って SD-WAN メンバー間でトラフィックのバランスを均等にするには、このオプションを選択します
ここでは [通信量] を選択し、各インターフェースのウェイトはすべて 1(デフォルト)としてみます。
パフォーマンスSLA の設定
パフォーマンスSLA では、各 SD-WAN メンバーからの経路の品質を遅延、ジッター、およびパケット損失に基づいてチェックすることができます。品質がしきい値を下回っている間は、その SD-WAN メンバーは負荷分散対象から除外することができます。品質チェックでは PING、HTTP、DNS の何れかのプロトコルを使用できます。
[ネットワーク > SD-WAN > パフォーマンスSLA] にて設定ができます。
デフォルトでいくつかのパフォーマンスSLA 設定が存在します。ここでは、デフォルトで存在する Default_FortiGuard を使用してみます。
デフォルトでは [参加インターフェース] が指定されていないため、そこに SD-WAN メンバーを指定します。
スタティックルートの設定
SD-WAN を使用したスタティックルートを設定します。通常のスタティックルート設定画面にて、インターフェースとして SD-WAN ゾーンを設定することができます。SD-WAN ソーンを指定したスタティックルート設定すれば OK です。
ファイアウォールポリシーの設定
SD-WAN を通る通信を許可するポリシーを設定します。
発信インターフェースにて SD-WAN ゾーンを指定できるため、SD-WAN ゾーンを指定したポリシーを設定します。その他項目は通常のポリシー設定と同様です。
負荷分散状況の確認
SD-WAN ゾーン画面で統計情報を確認できます。
SD-WAN ルールに設定した通りピッタリとはいきませんが、全 SD-WAN メンバーが使用されていることを確認できます。
結論:VLAN を SD-WAN メンバーにすることは可能
最初の疑問への答えです。WAN 以外の物理インターフェースについても SD-WAN メンバーにできます。今回は試していませんが、アグリゲートインターフェースなども可能なようです。機会があれば検証してみます。
参考資料
