私には、1年前に開始された以下の投稿と非常に似た状況があります。
https://www.reddit.com/r/fortinet/comments/7ebztc/ipsec_vpn_w_sdwan/
今、2つのISPに接続されているSD-WANを実行しているリモートサイトがあります。ロードバランシング以外の機能に使用しています。VPNを設定しようとすると、SD-WANインターフェースが表示されません。SD-WANインターフェースを利用する方法はありますか?もしなければ、VPNが両方のISPを使用し、2つの間でロードバランスを行う最良の方法は何ですか?
SD-Wanは偽物のインターフェースです - 主にファイアウォールポリシー内の限定された範囲の機能でのみ使用できます。ネットワーク関連の機能、例えばルーティングやVPNの観点からは存在しません。物理インターフェースを使用する必要があります。
どの種類のVPNについて話していますか?サイト間VPNであれば、2つの独立したインターフェースベースのIPSEC VPN(vti/gre over ipsec)を作成し、それらにOSPFや他のルーティングプロトコルを実行することをお勧めします。その後、ECMPを利用してフローを均等にロードバランスできます。私は最近(6.0.3)この設定を試し、問題なく動作しました。
6.2のベータにはこれに関する機能がありますが、まだ試していません。6.0にはないため、ウィザードで個別のインターフェースを指定する必要があります。2つのトンネルを設定し、それらをSD-WANインターフェースに追加し、それらを介してトラフィックをバランスさせることができます。
VPNを物理インターフェースに作成し、その後IPSecトンネルインターフェースをSD-WANグループに追加し、ルーティング/ポリシーなどを作成し、SD-WANインターフェースを参照します。さらに、これらを実際の外部インターフェースと組み合わせても良いです。そうすれば、WANとINETの両方のトラフィックがSD-WANから恩恵を受け、ルーティングは「SD-WANルール」のポリシーベースルーティングセクションに依存してトラフィックを適切に誘導します(例:RFC1918とのIPSecと非RFC1918アドレスのインターネット向け出力)。
私自身はこれを使用したことはありませんが、可能だと思います。設定例は以下のとおりです:
インターフェースint3とint4は物理インターフェースであり、testとtest1はIPSec VPNインターフェースです。VPNトンネルに/31のリンクネットアドレスを追加し、これらをSD-WAN設定のゲートウェイ部分に指定する必要があるかもしれません(今はラボできません)。
注意:これはSD-WAN特有の設定ではありませんが、両方のIPSecトンネルがダウンした場合に備えて、RFC1918の宛先トラフィックをブラックホールにすることをお勧めします。
