亚马逊AWS官方博客
Fortinet SD-WAN集成亚马逊云科技Cloud-WAN实现云网融合
功能简介
亚马逊云科技 Cloud WAN(仅在Global区域发布,在中国区暂未发布)
作为一项新的网络服务,它可以轻松构建和运营连接数据中心和分支机构以及多个亚马逊云科技区域中的多个 VPC 的广域网(WAN)。
Fortinet SD-WAN
作为全球企业组织交付快速响应、可扩展以及弹性灵活的安全SD-WAN解决方案,支持企业组织率先构建云优先、安全敏感型本地基础架构。独创安全驱动型组网方法,全面融合网络和安全技术,采用单一简化操作系统和集中式管理平台,为企业组织构建具有卓越的用户体验,高效的安全态势感知能力,确保高效持续运营的安全网络架构。
亚马逊云科技Cloud WAN 集成 Fortinet SD-WAN示例及配置说明
本示例中,我们选择三个Region(Virginia,Singapore,Frankfurt)进行测试,分别在每个Region创建2个VPC(Business-VPC,Fortinet-VPC),定义不同的功能属性,在Business-VPC部署Web Server作为测试应用,在Fortinet-VPC部署FortiGate作为SD-WAN接入节点。
设计参数:
Region | Virginia | Singapore | Frankfurt |
VPC | Business-VPC Fortinet-VPC |
Business-VPC Fortinet-VPC |
Business-VPC Fortinet-VPC |
Business-VPC地址段 | 10.0.1.0/24 | 10.0.2.0/24 | 10.0.3.0/24 |
Fortinet-VPC地址段 | 172.16.1.0/24 172.16.32.0/24 |
172.16.2.0/24 172.16.32.0/24 |
172.16.3.0/24 172.16.32.0/24 |
SD-WAN地址段 | 10.0.255.0/24 | 10.0.254.0/24 | 10.0.253.0/24 |
架构图:
部署VPC
1、Virginia配置:
- 创建一个名为Business-VPC的VPC,子网地址段配置为0.1.0/24,创建一个名为Fortinet-VPC的VPC,子网地址段配置为172.16.1.0/24和172.16.32.0/24
2、Singapore配置:
- 创建一个名为Business-VPC的VPC,子网地址段配置为0.1.0/24,创建一个名为Fortinet-VPC的VPC,子网地址段配置为172.16.1.0/24和172.16.32.0/24
3、Frankfurt配置:
- 创建一个名为Business-VPC的VPC,子网地址段配置为0.1.0/24,创建一个名为Fortinet-VPC的VPC,子网地址段配置为172.16.1.0/24和172.16.32.0/24
部署Cloud WAN
在VPC控制页左栏选择亚马逊云科技 Cloud WAN点击Network Manager进入Cloud WAN设计配置页面。
1、创建一个名为【Fortinet】的Global network作为根网络单元
2、配置根网络单元【Fortinet】的Core networks
- 设置ASN为“64521-64529”
- 设置Edge locations选择Virginia、Singapore、Frankfurt
- 设置Segment name为“sdwan”
3、配置Core network的Policy
- 创建Attachment policy规则
- 设置Rule number为“200”
- 设置Attach to Segment填入创建Core network时配置的“sdwan”
- 添加Attachment条件type设置为any
创建policy后通过点击View and apply change set下发配置使之生效。
4、配置Core network的Attachment
- 创建Virginia Business VPC Attachment
- 设置Edge location为Virginia
- 设置Attachment type为VPC
- 设置VPC Attachment选择Business-VPC
按照此方法依次为6个VPC创建相应的Attachment
部署Business-VPC实例
在每个Region的Business-VPC中部署Linux实例,安装Web Server用于业务测试。
1、Virginia配置:
- IP地址0.1.80
- 完成Web Server部署
2、Singapore配置:
- IP地址0.2.80
- 完成Web Server部署
3、Frankfurt配置:
- IP地址0.3.80
- 完成Web Server部署
部署Fortinet-VPC实例
在每个Region的Fortinet-VPC中部署FortiGate-VM实例,分配2块网卡,一块作为内网连接Business-VPC,另一块作为外网连接Internet,配置不同地址段。
(FortiGate-VM现已在全球范围支持ARM64/Graviton系列实例并可在亚马逊云科技Marketplace订阅并使用)
1、Virginia配置:
- 内网连接IP地址16.1.254,外网连接IP地址172.16.32.254(绑定EIP)
- 完成FortiGate部署并激活License
2、Singapore配置:
- 内网连接IP地址16.2.254,外网连接IP地址172.16.32.254(绑定EIP)
- 完成FortiGate部署并激活License
3、Frankfurt配置:
- 内网连接IP地址16.3.254,外网连接IP地址172.16.32.254(绑定EIP)
- 完成FortiGate部署并激活License
部署VPC路由
1、Virginia配置:
- Business-VPC,设置目标0.0.0/22和172.16.0.0/22的路由接口为Core network
- Fortinet-VPC,设置目标0.0.0/22和172.16.0.0/22的路由接口为Core network
2、Singapore配置:
- Business-VPC,设置目标0.0.0/22和172.16.0.0/22的路由接口为Core network
- Fortinet-VPC,设置目标0.0.0/22和172.16.0.0/22的路由接口为Core network
3、Frankfurt配置:
- Business-VPC,设置目标0.0.0/22和172.16.0.0/22的路由接口为Core network
- Fortinet-VPC,设置目标0.0.0/22和172.16.0.0/22的路由接口为Core network
部署SD-WAN接入节点
Region | Address IP | Remote IP/Netmask | Administrative Access |
Virginia | 10.0.255.254 | 10.0.255.254/24 | Ping |
Singapore | 10.0.254.254 | 10.0.254.254/24 | Ping |
Frankfurt | 10.0.253.254 | 10.0.253.254/24 | Ping |
Virginia配置:
创建名为SD-WAN的IPSec Tunnel,Template Type选择Custom
- 设置Remote Gateway为Dialup User
- 设置Interface为port2
- 设置Pre-shared Key为123456789
- 设置IKE Version为2
- 设置Peer Options为Any peer ID
配置SD-WAN接口IP地址和访问权限
- 设置Address IP为0.255.254
- 设置Remote IP/Netmask为0.255.254/24
- 设置Administrative Access启用Ping
配置访问测试业务的静态路由
- 设置Destination为0.0.0/22
- 设置Interface为port1
- 设置Distance为1
配置访问测试业务的Firewall Policy
- 设置Incoming Interface为SD-WAN
- 设置Outgoing Interface为port1
- 设置Source为all
- 设置Destination为Business Address(0.0.0/22)
按照此方法完成其他2个SD-WAN 接入节点的部署
部署Branch Office
Branch Office的FortiGate配置:
创建名为sdwan01的IPSec Tunnel,Template Type选择Custom
- 设置Remote Gateway为Singapore的FortiGate外网连接IP地址
- 设置Interface为port1
- 设置Dead Peer Detection为On Idle
- 设置Pre-shared Key为123456789
- 设置IKE Version为2
- 设置Peer Options为Any peer ID
配置sdwan01接口的IP地址和访问权限
- 设置Address IP为0.254.1
- 设置Remote IP/Netmask为0.254.254/24
- 设置Administrative Access启用Ping
配置SD-WAN Zones,把sdwan01加入到virtual-wan-link,选路
- 创建SD-WAN Member
- 设置Interface选择sdwan01
- 设置SD-WAN Zone选择virtual-wan-link
配置SD-WAN Rules,让去往测试应用的流量从sdwan01流出
- 设置Destination为Business Address
- 设置Outgoing Interface为sdwan01
配置访问测试业务的Firewall Policy
- 设置Incoming Interface为port10
- 设置Outgoing Interface为virtual-wan-link
- 设置Source为all
- 设置Destination为Business Address(0.0.0/22)
验证
1、在Branch Office通过ping每一个Business-VPC的测试业务验证连通性
2、在Branch Office通过浏览器访问每一个Business-VPC的测试业务验证连通性