亚马逊AWS官方博客

Fortinet SD-WAN集成亚马逊云科技Cloud-WAN实现云网融合

功能简介

亚马逊云科技 Cloud WAN(仅在Global区域发布,在中国区暂未发布)

作为一项新的网络服务,它可以轻松构建和运营连接数据中心和分支机构以及多个亚马逊云科技区域中的多个 VPC 的广域网(WAN)。

Fortinet SD-WAN

作为全球企业组织交付快速响应、可扩展以及弹性灵活的安全SD-WAN解决方案,支持企业组织率先构建云优先、安全敏感型本地基础架构。独创安全驱动型组网方法,全面融合网络和安全技术,采用单一简化操作系统和集中式管理平台,为企业组织构建具有卓越的用户体验,高效的安全态势感知能力,确保高效持续运营的安全网络架构。

亚马逊云科技Cloud WAN 集成 Fortinet SD-WAN示例及配置说明

本示例中,我们选择三个Region(Virginia,Singapore,Frankfurt)进行测试,分别在每个Region创建2个VPC(Business-VPC,Fortinet-VPC),定义不同的功能属性,在Business-VPC部署Web Server作为测试应用,在Fortinet-VPC部署FortiGate作为SD-WAN接入节点。

设计参数:

Region Virginia Singapore Frankfurt
VPC

Business-VPC

Fortinet-VPC

Business-VPC

Fortinet-VPC

Business-VPC

Fortinet-VPC

Business-VPC地址段 10.0.1.0/24 10.0.2.0/24 10.0.3.0/24
Fortinet-VPC地址段

172.16.1.0/24

172.16.32.0/24

172.16.2.0/24

172.16.32.0/24

172.16.3.0/24

172.16.32.0/24

SD-WAN地址段 10.0.255.0/24 10.0.254.0/24 10.0.253.0/24

架构图:

部署VPC

1、Virginia配置:

  • 创建一个名为Business-VPC的VPC,子网地址段配置为0.1.0/24,创建一个名为Fortinet-VPC的VPC,子网地址段配置为172.16.1.0/24和172.16.32.0/24

2、Singapore配置:

  • 创建一个名为Business-VPC的VPC,子网地址段配置为0.1.0/24,创建一个名为Fortinet-VPC的VPC,子网地址段配置为172.16.1.0/24和172.16.32.0/24

3、Frankfurt配置:

  • 创建一个名为Business-VPC的VPC,子网地址段配置为0.1.0/24,创建一个名为Fortinet-VPC的VPC,子网地址段配置为172.16.1.0/24和172.16.32.0/24

部署Cloud WAN

在VPC控制页左栏选择亚马逊云科技 Cloud WAN点击Network Manager进入Cloud WAN设计配置页面。

1、创建一个名为【Fortinet】的Global network作为根网络单元

2、配置根网络单元【Fortinet】的Core networks

  • 设置ASN为“64521-64529”
  • 设置Edge locations选择Virginia、Singapore、Frankfurt
  • 设置Segment name为“sdwan”

3、配置Core network的Policy

  • 创建Attachment policy规则
  • 设置Rule number为“200”
  • 设置Attach to Segment填入创建Core network时配置的“sdwan”
  • 添加Attachment条件type设置为any

创建policy后通过点击View and apply change set下发配置使之生效。

4、配置Core network的Attachment

  • 创建Virginia Business VPC Attachment
  • 设置Edge location为Virginia
  • 设置Attachment type为VPC
  • 设置VPC Attachment选择Business-VPC

按照此方法依次为6个VPC创建相应的Attachment

部署Business-VPC实例

在每个Region的Business-VPC中部署Linux实例,安装Web Server用于业务测试。

1、Virginia配置:

  • IP地址0.1.80

  • 完成Web Server部署

2、Singapore配置:

  • IP地址0.2.80

  • 完成Web Server部署

3、Frankfurt配置:

  • IP地址0.3.80

  • 完成Web Server部署

部署Fortinet-VPC实例

在每个Region的Fortinet-VPC中部署FortiGate-VM实例,分配2块网卡,一块作为内网连接Business-VPC,另一块作为外网连接Internet,配置不同地址段。

(FortiGate-VM现已在全球范围支持ARM64/Graviton系列实例并可在亚马逊云科技Marketplace订阅并使用)

1、Virginia配置:

  • 内网连接IP地址16.1.254,外网连接IP地址172.16.32.254(绑定EIP)

  • 完成FortiGate部署并激活License

2、Singapore配置:

  • 内网连接IP地址16.2.254,外网连接IP地址172.16.32.254(绑定EIP)

  • 完成FortiGate部署并激活License

3、Frankfurt配置:

  • 内网连接IP地址16.3.254,外网连接IP地址172.16.32.254(绑定EIP)

  • 完成FortiGate部署并激活License

部署VPC路由

1、Virginia配置:

  • Business-VPC,设置目标0.0.0/22和172.16.0.0/22的路由接口为Core network

  • Fortinet-VPC,设置目标0.0.0/22和172.16.0.0/22的路由接口为Core network

2、Singapore配置:

  • Business-VPC,设置目标0.0.0/22和172.16.0.0/22的路由接口为Core network

  • Fortinet-VPC,设置目标0.0.0/22和172.16.0.0/22的路由接口为Core network

3、Frankfurt配置:

  • Business-VPC,设置目标0.0.0/22和172.16.0.0/22的路由接口为Core network

  • Fortinet-VPC,设置目标0.0.0/22和172.16.0.0/22的路由接口为Core network

部署SD-WAN接入节点

Region Address IP Remote IP/Netmask Administrative Access
Virginia 10.0.255.254 10.0.255.254/24 Ping
Singapore 10.0.254.254 10.0.254.254/24 Ping
Frankfurt 10.0.253.254 10.0.253.254/24 Ping

Virginia配置:

创建名为SD-WAN的IPSec Tunnel,Template Type选择Custom

  • 设置Remote Gateway为Dialup User
  • 设置Interface为port2
  • 设置Pre-shared Key为123456789
  • 设置IKE Version为2
  • 设置Peer Options为Any peer ID

配置SD-WAN接口IP地址和访问权限

  • 设置Address IP为0.255.254
  • 设置Remote IP/Netmask为0.255.254/24
  • 设置Administrative Access启用Ping

配置访问测试业务的静态路由

  • 设置Destination为0.0.0/22
  • 设置Interface为port1
  • 设置Distance为1

配置访问测试业务的Firewall Policy

  • 设置Incoming Interface为SD-WAN
  • 设置Outgoing Interface为port1
  • 设置Source为all
  • 设置Destination为Business Address(0.0.0/22)

按照此方法完成其他2个SD-WAN 接入节点的部署

部署Branch Office

Branch Office的FortiGate配置:

创建名为sdwan01的IPSec Tunnel,Template Type选择Custom

  • 设置Remote Gateway为Singapore的FortiGate外网连接IP地址
  • 设置Interface为port1
  • 设置Dead Peer Detection为On Idle
  • 设置Pre-shared Key为123456789
  • 设置IKE Version为2
  • 设置Peer Options为Any peer ID

配置sdwan01接口的IP地址和访问权限

  • 设置Address IP为0.254.1
  • 设置Remote IP/Netmask为0.254.254/24
  • 设置Administrative Access启用Ping

配置SD-WAN Zones,把sdwan01加入到virtual-wan-link,选路

  • 创建SD-WAN Member
  • 设置Interface选择sdwan01
  • 设置SD-WAN Zone选择virtual-wan-link

配置SD-WAN Rules,让去往测试应用的流量从sdwan01流出

  • 设置Destination为Business Address
  • 设置Outgoing Interface为sdwan01

配置访问测试业务的Firewall Policy

  • 设置Incoming Interface为port10
  • 设置Outgoing Interface为virtual-wan-link
  • 设置Source为all
  • 设置Destination为Business Address(0.0.0/22)

验证

1、在Branch Office通过ping每一个Business-VPC的测试业务验证连通性

2、在Branch Office通过浏览器访问每一个Business-VPC的测试业务验证连通性

本篇作者

刘瀚文

高级产品技术专家,亚马逊云科技产品部网络方向。负责基于AWS的云计算网络方案架构的咨询和设计,现致力于网络和Network-as-a-Service相关领域的研究。在加入AWS之前,在思科中国担任高级系统工程师,负责运营商方案咨询和架构设计,在运营商组网和大企业基础网络方面有丰富经验。

岑义涛

Fortinet亚太区产品市场总监, AWS 认证Solutions Architecture- Professional 及 Security- Specialty负责Fortinet SD-WAN,SASE,云安全等战略产品在亚太地区的落地与推广。10年以上企业级网络安全和云服务经验。在云、网、安全融合方面有丰富的规划与实践经验。