Merhaba arkadaşlar, ben Cem Zengin.
Günümüzde işletmeler için internet kesintisi tahammül edilemez bir durum haline geldi. Bu yüzden kurumsal yapılarda birden fazla internet servis sağlayıcı (ISP) hattı yedekli ve aktif-aktif (yük dengelemeli) olarak konumlandırılıyor. FortiGate üzerinde bu senaryoyu en optimize şekilde yönetmenin yolu SD-WAN (Software-Defined Wide Area Network) mimarisini kullanmaktır.
Bu yazıda, iki farklı internet hattımızı SD-WAN çatısı altında nasıl toplayacağımızı, hat durumlarını Performance SLA ile nasıl izleyeceğimizi ve SD-WAN kurallarını nasıl yapılandıracağımızı inceleyeceğiz.
1. Hazırlık ve Mevcut Kuralların Temizlenmesi
FortiGate üzerinde bir fiziksel arayüzü SD-WAN üyesi yapabilmek için, o arayüzün hiçbir politikada (Policy) veya statik rotada (Static Route) kullanılmıyor olması gerekir.
Arayüzlerinizi SD-WAN’a dahil etmeden önce:
- İlgili wan arayüzlerini kullanan tüm Firewall Policy’lerini geçici olarak silin veya farklı arayüzlere yönlendirin.
- Network > Static Routes altındaki bu wan arayüzlerine tanımlanmış olan default rotaları (0.0.0.0/0) silin.
2. SD-WAN Arayüz Grubu Oluşturma ve Üye Ekleme
Arayüzler boşa çıktıktan sonra SD-WAN kurulumuna başlayabiliriz.
Web GUI Adımları:
- Network > SD-WAN sayfasına gidin.
- Üst menüden SD-WAN Zones sekmesini seçin. Varsayılan olarak
virtual-wan-linkadında bir zone bulunur. Yeni bir zone oluşturabilir veya bunu kullanabilirsiniz. - SD-WAN Members bölümünde Create New > SD-WAN Member seçeneğine tıklayın.
- Parametreleri ayarlayın:
- Interface:
wan1(Birinci internet hattımız) - SD-WAN Zone:
virtual-wan-link - Gateway IP:
85.90.95.1(wan1 hattımızın ISP ağ geçidi IP’si)
- Interface:
- OK diyerek birinci üyeyi ekleyin.
- Tekrar Create New > SD-WAN Member seçeneğine tıklayın:
- Interface:
wan2(İkinci yedek/aktif internet hattımız) - SD-WAN Zone:
virtual-wan-link - Gateway IP:
90.100.110.1(wan2 hattımızın ISP ağ geçidi IP’si)
- Interface:
- Kaydedip işlemi tamamlayın.
CLI Komutları:
config system sdwan
set status enable
config zone
edit "virtual-wan-link"
next
end
config members
edit 1
set interface "wan1"
set zone "virtual-wan-link"
set gateway 85.90.95.1
next
edit 2
set interface "wan2"
set zone "virtual-wan-link"
set gateway 90.100.110.1
next
end
end
3. SD-WAN Statik Rota Tanımlaması (Default Route)
İnternet trafiğinin SD-WAN arayüzüne yönlenmesi için tek bir statik rota yazmamız yeterlidir.
- Network > Static Routes sayfasına gidin.
- Create New seçeneğine tıklayın.
- Aşağıdaki gibi yapılandırın:
- Destination:
Regular->0.0.0.0/0.0.0.0 - Interface:
virtual-wan-link(Oluşturduğumuz SD-WAN zone arayüzünü seçiyoruz) - Gateway IP: Bu alan otomatik olarak üyelerin gateway adreslerinden çekileceği için boş bırakabilirsiniz.
- Destination:
- OK butonu ile kaydedin.
config router static
edit 1
set dst 0.0.0.0 0.0.0.0
set device "virtual-wan-link"
next
end
4. Performance SLA (Hat Sağlık Testleri)
ISP hatlarının sadece fiziksel olarak “Up” olması yetmez. Bazen hatlarda paket kaybı (packet loss) veya yüksek gecikme (latency) yaşanabilir. FortiGate’in bunu tespit edip trafiği otomatik olarak sağlıklı hatta kaydırması için Performance SLA kurmalıyız.
- Network > SD-WAN altındaki Performance SLA sekmesine gelin.
- Create New butonuna tıklayın.
- Örnek Google DNS kontrolü için parametreleri girin:
- Name:
Google-DNS-SLA - Server:
8.8.8.8ve8.8.4.4 - Participants:
wan1vewan2(Hangi hatlar test edilecek) - SLA Targets: Buradan paket kaybı, gecikme ve jitter eşik değerlerini belirleyebilirsiniz. (Varsayılan değerler: Latency: 250ms, Jitter: 50ms, Packet Loss: 5%)
- Link Status: “Update static route” seçeneğini aktif edin. Böylece hedef sunucuya erişemeyen hat devre dışı kalacaktır.
- Name:
config system sdwan
config health-check
edit "Google-DNS-SLA"
set server "8.8.8.8" "8.8.4.4"
set members 1 2
config sla
edit 1
set link-cost-factor latency packet-loss
set latency-threshold 250
set packetloss-threshold 5
next
end
next
end
end
5. SD-WAN Rules (Yük Dengeleme ve Kural Tanımlama)
İnternet trafiğinin hatlara nasıl dağıtılacağını belirleyen kurallardır. Varsayılan olarak “Implicit” kuralı etkindir ve yük dengelemesini (L4 Load Balance) otomatik yapar. Ancak biz özel kurallar yazabiliriz.
Örnek: Ses ve Video konferans trafiğini her zaman en düşük gecikmeli (Lowest Latency) hattan göndermek istiyoruz.
- SD-WAN Rules sekmesine gelin ve Create New seçeneğine tıklayın.
- Aşağıdaki gibi yapılandırın:
- Name:
VoIP-Traffic - Source:
all(veya iç ağdaki IP blogunuz) - Destination: Buradan “Internet Service” seçerek Zoom, Microsoft Teams gibi servisleri ekleyebilirsiniz.
- Strategy:
Lowest Cost (SLA) - Interface Preference:
wan1,wan2sırasıyla ekleyin. - Required SLA Target:
Google-DNS-SLA
- Name:
- Kaydedip çıkın.
config system sdwan
config service
edit 1
set name "VoIP-Traffic"
set mode priority
set dst "MS-Teams" "Zoom"
set src "all"
config link-cost-factor
set link-cost-factor latency
end
set health-check "Google-DNS-SLA"
set priority-members 1 2
next
end
end
6. Güvenlik Duvarı Politikası (Firewall Policy) Tanımlama
Son adım olarak kullanıcılarımızın internete çıkabilmesi için SD-WAN zone arayüzünü kullanan genel bir çıkış kuralı yazıyoruz.
- Policy & Objects > Firewall Policy sayfasına gidin.
- Create New seçeneğine tıklayın:
- Incoming Interface:
port3(Kullanıcıların bağlı olduğu LAN bacağı) - Outgoing Interface:
virtual-wan-link(SD-WAN Zone) - Source:
all - Destination:
all - Service:
ALL - Action:
ACCEPT - NAT: Aktif (Enable) yapın ve “Use Destination Interface Address” seçin.
- Incoming Interface:
- OK diyerek politikayı kaydedin.
config firewall policy
edit 10
set name "LAN-to-SDWAN"
set srcintf "port3"
set dstintf "virtual-wan-link"
set action accept
set srcaddr "all"
set dstaddr "all"
set schedule "always"
set service "ALL"
set nat enable
set logtraffic all
next
end
Artık aktif-aktif yük dengelemeli ve hat sağlığı takip edilen modern bir SD-WAN ağ yapısına sahipsiniz! Sorularınızı yorumlarda veya iletişim formunda iletebilirsiniz.