Как настроить SD-WAN на FortiGate: Интеллектуальное управление каналами связи

SD-WAN (Software-Defined WAN) изменил подход к маршрутизации трафика между филиалами. Раньше ради стабильности платили за дорогой MPLS. Теперь два недорогих канала (проводной интернет + 4G/LTE) и FortiGate поверх — и связь держится даже для VoIP и видеоконференций.

Ниже — логика и пошаговая настройка базового SD-WAN в веб-интерфейсе FortiOS 7.x.

Три кита SD-WAN в FortiOS

Настройка SD-WAN на устройствах FortiGate концептуально состоит из трех блоков:

1. SD-WAN Members (Участники) — физические или логические интерфейсы (WAN1, WAN2, VPN-туннели), которые мы "скармливаем" логическому виртуальному интерфейсу SD-WAN.
2. Performance SLA (Датчики качества) — пинговальщики и тесты (ping, HTTP, DNS), которые непрерывно замеряют Latency (Задержку), Jitter (Джиттер) и Packet Loss (Потерю пакетов) на каждом из каналов-участников.
3. SD-WAN Rules (Правила маршрутизации) — интеллектуальные правила, которые говорят: "Если трафик это Zoom и канал WAN1 стал хуже определенного порога качества, мгновенно переключи сессию на WAN2".

Шаг 1. Создание интерфейса SD-WAN и добавление каналов

Перейдите в меню Network → SD-WAN.

Включите интерфейс SD-WAN (SD-WAN Status: Enable). Создайте SD-WAN Zone (по умолчанию уже есть зона "virtual-wan-link").
Нажмите Create New → SD-WAN Member.
В выпадающем списке выберите ваш первый канал WAN1. Укажите шлюз провайдера. Затем повторите процедуру для WAN2. В итоге у вас появятся два участника балансировки.

Шаг 2. Настройка статического маршрута

Так как физические интерфейсы ушли внутрь виртуального SD-WAN интерфейса, классические маршруты по умолчанию (0.0.0.0/0) через WAN1 больше не работают. Нам нужен новый маршрут.

Перейдите в Network → Static Routes и создайте новый маршрут:
Destination: 0.0.0.0/0
Interface: Ваш логический интерфейс SD-WAN.

Шаг 3. Настройка метрик качества (Performance SLA)

Без этого шага SD-WAN — это просто "глупая" балансировка (ECMP). Чтобы добавить интеллект, перейдите в раздел Network → SD-WAN → Performance SLAs.

Создайте новый датчик: выберите протокол (например, Ping) и укажите надежные серверы в интернете (Google 8.8.8.8 или внутренние серверы штаб-квартиры, если вы строите распределенную VPN сеть).
В разделе Participants выберите добавленные ранее WAN1 и WAN2. Теперь FortiGate каждую секунду будет измерять качество связи на обоих каналах.

Шаг 4. Настройка политик (SD-WAN Rules)

Теперь самое интересное: Network → SD-WAN → SD-WAN Rules.

Создадим правило для голосового трафика (VoIP).
В поле Destination выберите Internet Services и найдите "Zoom", "Skype" или корпоративную IP-PBX.
В стратегии маршрутизации (Outgoing Interfaces) выберите Best Quality (Лучшее качество). FortiGate попросит вас выбрать Performance SLA (датчик, созданный на шаге 3) и критерий оценки (например, Latency).
Теперь для всех видеоконференций фаервол будет автоматически выбирать тот кабель провайдера, где пинг до сервера меньше всего в данную секунду.

Шаг 5. Политика Firewall (Межсетевого экрана)

Не забудьте разрешить выход в интернет! Перейдите в Policy & Objects → Firewall Policy.

Создайте правило для выхода сотрудников из LAN в интернет. В качестве Outgoing Interface (Исходящего интерфейса) выберите весь логический блок SD-WAN Zone, включите NAT и Security Profiles.