Fortigate HA構成でのWANリンクロードバランス (WAN LLB)


Fortigate 60D で HA構成を組んでマルチホーミング( =  WAN Link Load Balancing ( WAN LLB )) した際の作業記録です。

使用したファームウェアは v5.4.1,build5447、
HA は Active-Passive で、構成はこんなです。

 

・v5.4.1 での WAN LLBの解説はこちら( http://help.fortinet.com/fos50hlp/54/Content/FortiOS/fortigate-whats-new-54/Top_VirtualWANLink.htm

・ビデオ解説はこちら ( https://video.fortinet.com/video/187/wan-link-load-balancing
・Youtube ( https://www.youtube.com/watch?v=HRajFKAdflU

・HA の構成については 以前の備忘録 を参照ください。

 

ISP1 / ISP2 ともに、固定のグローバルIPを払い出してもらって、WAN1 に ISP1 を、WAN2 に ISP2 を、それぞれ接続してます。
(ISP2 との接続には PPPoE を使用)

 


【WAN Link Load Balancing の有効化】

System > Feature Select から 「 WAN Link Load Barancing 」 を有効にします。

 


【WAN Link Load Balancing の設定の前に】

WAN Link Load Balance 用のインターフェースを作成する為に、
まず、WAN1 / WAN2 インターフェースをオブジェクトに含むポリシーとStatic Routing を全て削除します。

デフォルトの状態であれば Static Routing はカラなので何もする必要ない(はず)ですが、ポリシーにはデフォルトで  Internal -> WAN1 を All permit する設定が定義されているので、削除しておきます。

 


【WAN1 / WAN2 インターフェースの設定 (ISPとの接続)】

次は WAN1 / WAN2 インターフェースをそれぞれの ISP に接続します。

WAN1 の Addressing mode は Manual で、ISP1 から払いだされたIPを登録。

 

WAN2 は PPPoE です。 
払い出してもらうIPアドレスを Unnumberd IP に書いておきます。

 

WAN1 / WAN2 ともに設定完了。

 


【WAN LLB の設定】

次はWAN Link Load Balancing の設定です。

Network > WAN LLB  に進みます。

 

Interface State を 「Enable」 にし、「+Create New」 をクリックします。
1 つ目の Interface にWAN1 を登録。
Gateway には ISP1 のデフォルトゲートウェイを登録。

※ WAN1/2 がプルダウンリストに出てこない場合は、ポリシーか Static Route に WAN1/2 を含む設定が(きっと)残っているはず。 

 

もう一度 「 + Create New 」 をクリックして、2番めの Interface に WAN2 を追加します。
WAN2 は PPPoE なので、Gateway は未登録で。

 

 

ロードバランスアルゴリズムはお好みで (とはいっても回線速度だとか通信要件とか次第ですね)
今回は 「Volume」 で半々(1:1) に使うように。

※ Voume の場合 0:0 だと、次の Default Route の設定をした際に、WAN1 側のデフォルトルートがRouting Monitor に現れない( PPPoE 側の経路情報は表示されるけど)、結果 WAN1 側が使えない現象に遭遇したので、 0 は使用しないのがよさそう。

 


【Static Route の登録】

Network > Static Route に進みます。

 

「+ Create New」 します。 
Device には 「wan-load-balance」 を指定 (すると Next Hop の記入欄が出てこなくなる = 未入力でOK)して登録。

 

追加されたところ。

 

Routing Table がどうなっているか、確認してみます。
Monitor > Routing Monitor を開きます。

↑ Default GW ( 0.0.0.0/0 ) が 2 テーブルありますね! ^^/
一方は wan1 インターフェースのNext Hop (WAN LLB の設定時に登録したIP)、一方は ppp1 (=wan2) インターフェースで PPPoE が払いだしたIPです。

 


【Policy の登録】

詳細は端折りますが ^^; 
Internal から 「 wan-load-balance 」 向けの ポリシーを作成して通信できるようにしておきます。

 


【WAN Status Check】

今回は、ISP1 側の デフォルトルートを ping してreply がなければ ISP2側(wan2)に片寄るように設定。
(ロードバランスが 1:1 なのに片方だけ ping ?  意味無いじゃん、なのですが・・・)

Network > Wan Status Check に進みます。

 

「 + Create New 」 して ISP1 側のデフォルトGW のIPを登録。

 

↓ こんな感じで監視されます。

 


【稼働確認】

ちゃんと 1:1 でバランシングされてるか、確認してみます。

Fortiview > All Sessions を開くと、
(画像がとれなかったのですが) WAN1 / WAN2 の両方から通信してることが確認できます。

 

 

WAN1 インターフェースから ISP1 への ping が失敗すると、↓ こんな風に。

 

このときは、↓ このように Routing Table も縮退して、

セッションが WAN2 に片寄ります。

ISP1への ping が復旧すれば、元に戻ります。

 

今回の備忘録は以上となります。