Configurei o SD-WAN no meu FGT 500e (código 6.4.5).
Tenho dois ISPs, cada um configurado para agir como VPN Dial-Up para conectividade com filiais remotas. Está tudo funcionando muito bem. Também tenho minhas conexões ISP subjacentes configuradas em uma Zona SD-WAN.
Meu problema começa quando quero configurar uma Rota Padrão para a internet. Como próximo salto, coloco SD-WAN. Como faço para controlar o tráfego para a internet? Na tabela de roteamento, todas as Interfaces SD-WAN, incluindo as sobreposições das filiais, aparecem como próximo salto para a rota 0.0.0.0. Achei que bastava usar a Regra SD-WAN para controlar isso, mas não parece estar funcionando.
Divida e configure duas rotas padrão individuais para cada ligação de entrada. Você ainda pode roteá-las via SD-WAN enquanto tiverem a mesma distância administrativa.
Na versão 7.0+, você pode selecionar zonas SD-WAN como destinos em rotas estáticas, mas na 6.4 e versões anteriores, o melhor que pode fazer é rotas individuais por cada interface.
Você quer que as interfaces VPN das filiais estejam na sua zona SD-WAN? Acho melhor criar uma zona separada para elas. Isso simplifica o roteamento e a configuração das regras SD-WAN.
O SD-WAN também não exige que você crie uma rota padrão com a sua zona SD-WAN como gateway. Você pode simplesmente criar duas rotas padrão apontando para as interfaces WAN. Isso é tudo que a rota padrão do SD-WAN faz, de qualquer forma.
Crie 2 regras SD-WAN: a primeira para seus destinos VPN, incluindo apenas suas interfaces IPsec. A segunda, todas como destinos, incluindo apenas seus links WAN. Você pode usar algoritmo manual ou outro conforme necessário.
Além de configurar as rotas e regras SD-WAN, certifique-se de fazer o upgrade primeiro para 6.4.6 ou 6.4.7.
Na 6.4.5 há um bug complicado que provavelmente enviará os pacotes para a interface errada em uma configuração SD-WAN.
Vejo uma opção “SD-WAN” para o próximo salto. O problema é que ela é uma Zona de SDWAN gerada automaticamente. Você está dizendo que na versão 7.0 posso escolher uma zona SDWAN específica? Por exemplo, ISP-SD-Zone versus a “Zona SDWAN” gerada automaticamente.
Sim.
Na 6.4, você pode dividir os vários membros SD-WAN em zonas SD-WAN e referenciá-las apenas em políticas. Rotas estáticas só podem fazer referência ao “SD-WAN” geral que agrupa todas as interfaces participando do SD-WAN.
Na versão 7.0.1+, você também pode referenciar as zonas em rotas estáticas e nas regras SD-WAN (acho que apenas pela CLI). Assim, você poderia ter rotas independentes e regras para uma zona “ISP-uplinks” do SD-WAN e outras separadas para a zona “túneis corporativos”.