BASIC FORTIGATE SD-WAN: 2 WAN (FAILOVER, LOAD BALANCE, & SD-WAN Rules Priority)
Pada pembahasan sebelumnya BASIC FORTIGATE : 2 WAN menggunakan metode ECMP.
Equal cost multi-path (ECMP), adalah mekanisme yang memungkinkan FortiGate menyeimbangkan beban lalu lintas yang dirutekan melalui beberapa gateway.
ECMP load balancing secara default sudah aktif di FortiGate.
Ketika SD-WAN diaktifkan, mode ECMP load balancing akan dinonaktifkan secara default dan perintah CLI default ‘set v4-ecmp-mode source-ip-based’ dari pengaturan global akan dihapus.
Pada pembahasan ini kita akan coba 2 WAN dengan metode SD-WAN
SD WAN adalah aplikasi spesifik dari sebuah teknologi SDN atau SD WAN singkatan dari software-defined network yang dioperasikan pada Wide Area Network(WAN). Mudahnya, SD WAN adalah sebuah jaringan besar yang menghubungkan perusahaan, mulai dari kantor-kantor cabang sampai Data Center yang tentu memiliki jarak geografis luas.
melanjutkan lab sebelumnya BASIC FORTIGATE : 2 WAN
BAB 1 : DELETE FIREWALL POLICY, POLICY ROUTE, STATIC ROUTE
- delete policy LAN to WAN-1 & LAN to WAN-2
2. delete Policy Route
3. delete Health check pada Interface WAN-1 & WAN-2
klik angka di kolom Ref.
4. Hapus Health Check Monitor
5. Hapus Static Route WAN-1 & WAN-2
note: kalau WAN-1 & WAN-2 di hapus nanti koneksinya gui akses ke fortigatenya akan terputus
BAB 2 : SETTING SD-WAN
karena sudah tidak bisa akses via GUI, kita akan setting SD-WAN menggunakan cli.
- Setting SD-WAN
config system sdwan
set status enable
config members
edit 1
set interface port1
set gateway 117.60.60.1
end
config members
edit 2
set interface port2
set gateway 203.10.10.1
end
end
2. Setting Static Route SD-WAN
config router static
edit 1
set dst 0.0.0.0/0.0.0.0
set sdwan-zone virtual-wan-link
set distance 10
end
pada tahap ini kita sudah bisa akses via gui lagi dengan ip 172.16.64.7 & 172.16.64.10
3. Cek Routing table
get router info routing-table all
pada table routing ini 0.0.0.0/0 sudah mengarah ke port 1 & port 2
pastikan internet sudah bisa
execute ping detik.com
4. Setting Performance SLAs
- klik menu SD-WAN -> Performance SLAs
- delete semua default
- kemudian Create New
5. buat Performance SLAs yang baru
- SLAs ping ke www.google.com
- SLAs ping ke server google 8.8.8.8
pada tahap ini kita sudah membuat Monitoring Check link dengan Performance SLAs
Performance SLAs digunakan untuk mengukur Kesehatan link member SD-WAN dengan mengirimkan sinyal pemeriksaan melalui setiap link ke server (www.google.com, 8.8.8.8, 8.8.4.4)
dan mengukur kualitas link berdasarkan latensi, jitter, dan kehilangan paket.
Jika suatu link gagal dalam semua health checks, rute pada tautan tersebut akan dihapus dari group SD-WAN link load balancing, dan lalu lintas dirutekan melalui link lain.
Ketika link bisa melewati SLA, rute tersebut ditetapkan kembali. Ini mencegah lalu lintas dikirim ke tautan yang rusak dan tersesat.
6. Buat Policy Lan to Internet
agar client windows bisa internet kita buatkan policy nya terlebih dahulu.
- Klik Policy & Objects
- Klik Firewall Policy
- Klik Create New
- Setting seperti ini
outgoing : virual-wan-link = SD-WAN
- Klik OK
7. Buat Address list yang isinya DNS ISP SWASTA dan DNS ISP BUMN
note : dalam dunia real, isi dengan IP dns dari WAN yang anda miliki, setiap ISP pasti ada 2 DNS servernya.
misalnya : DNS Biznet 203.142.82.222 & 203.142.84.222, DNS NAWALA 180.131.144.144 & 80.131.145.145
8. Buat Group List DNS ISP SWASTA dan DNS ISP BUMN
- Klik Policy & Objects
- Klik Address
- Klik Create New -> Address Group
- isi DNS ISP SWASTA
- dan isi DNS ISP BUMN
9. Buat Rules SD-WAN
- Klik Network
- Klik SD-WAN -> SD-WAN Rules
- buat rule : DNS_ISP_SWASTA
- buat rule : DNS_ISP_BUMN
- Hasil SD_WAN Rules
delete log terlebih dahulu, untuk melihat hasilnya
execute log delete-all
- SETTING DNS
Primary DNS : IP WAN-1
Secondari DNS : IP WAN-2
10. LOADBALANCE
- jalankan node windowsnya
- browsing dan tes ping, trace route
pada tahap ini, kita sudah menerapkan LOADBALANCE
11. LOG Trafik
Klik Forward Traffic, terlihat Destination Interfacenya WAN-1 dan WAN-2
12. FAILOVER
- tes ping dan trace route
trafik lewat ISP SWASTA 117.60.60.1
pada kasus ini ISP SWASTA mengalami DOWN.
- masuk ke router ISP-SWASTA -> disable port 2
- tes ping dan trace route
trafik lewat ISP BUMN 203.10.10.1
- tes browsing-browsing
- akses fortigate pakai IP WAN-2
- Klik Forward Traffic, terlihat Destination Interfacenya WAN 2
pada tahap ini, kita sudah menerapkan FAILOVER
- enable kan kembali ISP SWASTA
- loadbalance aktif kembali
“coba sekarang ISP BUMN mengalami DOWN” apakah trafik sudah dialihkan ke ISP SWASTA… ??
13. SD-WAN RULES FQDN
pada kasus ini, bayangkan kita punya web e-learning www.udemy.com di cloud. kita mau web e-learning tersebut hanya lewat WAN-2 (ISP BUMN)
pertama-tama..
- tes browsing, ping, dan tracert www.udemy.com
- Klik Forward Traffic, terlihat Destination Interfacenya WAN-1
- buat Address FQDN
- FQDN : *.udemy.com
- buat SD-WAN Rules baru
- isi Priority Rules
- SD-WAN Rules udah terbuat
- delete log terlebih dahulu, untuk melihat hasilnya
execute log delete-all
- jalankan node windows, akses www.udemy.com
- ping & tracert udemy.com
- cek log trafik sudah ke WAN 2
pada tahap ini kita sudah menerapkan priority interface pada SD-WAN Rules.
kita coba ISP BUMN Down
- disable ether 2 pada router ISP BUMN
- ping & tracert udemy.com
- cek log trafik sudah ke WAN 1
FAILOVER pun sudah berjalan dengan baik.
sekian semoga bermanfaat.
referensi :
