Fortigate SD-WAN en mode Dual Router
SD-WAN (Software-Defined Wide Area Network) est une technologie qui optimise la gestion et l'utilisation des réseaux étendus (WAN) en séparant le plan de contrôle (gestion du routage) du plan de données (trafic utilisateur). Il permet de sécuriser et d'optimiser la connectivité entre les sites distants, les datacenters et les applications cloud.
Dans cet atelier, il s'agit d'agréger deux sorties internet d'une entreprise afin d'assurer la continuité du service en cas d'état HS d'une des liaisons WAN.
Architecture
/image%2F3625927%2F20250130%2Fob_50794f_1.png)
Config IP
Les routeurs ISP (remplaçables par des modems) ne font que du NAT, c'est donc du classique.
Mais il y a tout de même une connectivité
/image%2F3625927%2F20250130%2Fob_2177da_3.png)
Configurations du Firewall
La config IP du firewall Fortigate est faite comme suit :
/image%2F3625927%2F20250130%2Fob_91da11_2.png)
Config SDWAN
- Config de la zone
SD-WAN > Create New > SD-WAN Member
/image%2F3625927%2F20250130%2Fob_246c6f_4.png)
Faire de même pour ajouter port3 sans oublié sa passerelle.
Nous aurons quelque chose comme ceci :
/image%2F3625927%2F20250130%2Fob_d9a5e0_5.png)
- Définissons une Performance SLA
Ce sont les critères définis pour mesurer et garantir la qualité des liaisons WAN.
Performance SLAs > Latency > Create New
Donner un nom à la performance ; donner l'adresse d'une machine sur laquelle envoyer des requêtes de test (Une machine sur internet) ; donner les membre de la zone SD-WAN concernée.
/image%2F3625927%2F20250130%2Fob_390705_6.png)
Notre performance
/image%2F3625927%2F20250130%2Fob_12b0ff_7.png)
- Créez une règle SD-WAN dans SD-WAN Rules
/image%2F3625927%2F20250130%2Fob_551ba7_8.png)
Définir la priorité des sorties. Dans notre cas, nous priorisons le port2 (la sortie vers ISP-2).
Choisir la zone concernée ; utiliser la SLA Créée il y a peu ; choisir le critère de qualité (la Latence dans notre cas).
/image%2F3625927%2F20250130%2Fob_f703e5_9.png)
La règle
/image%2F3625927%2F20250130%2Fob_e6a1a5_10.png)
- Définir une default route avec la zone comme interface de sortie.
Network > Static Routes > Create New
/image%2F3625927%2F20250130%2Fob_d88917_11.png)
La route
/image%2F3625927%2F20250130%2Fob_779a2f_12.png)
- Faire ensuite une ouverture de flux
Policy and Objects > Firewall Policy > Create New
/image%2F3625927%2F20250130%2Fob_c899a0_13.png)
Place au test
Depuis le routeur du LAN
/image%2F3625927%2F20250130%2Fob_ac602c_14.png)
Voyons le chemin du trafic
/image%2F3625927%2F20250130%2Fob_f6f673_15.png)
Le trafic passe par 10.10.10.6, la Gateway du port2. Exactement comme nous l'avons définit sur la règle SD-WAN dans la section Interface préférence.
Les informations de notre zone après avoir généré du trafic.
Sur la Bande passante
/image%2F3625927%2F20250130%2Fob_3d3fa6_16.png)
Voyons si la règle SD-WAN match
/image%2F3625927%2F20250130%2Fob_6e4035_17.png)
La latence de notre SLA en fonction des sorties WAN
/image%2F3625927%2F20250130%2Fob_2efaf7_18.png)
Fermons le port2 du Forti.
/image%2F3625927%2F20250130%2Fob_848dd5_19.png)
Le trafic du LAN emprunte quel chemin ?
/image%2F3625927%2F20250130%2Fob_59b807_20.png)
Le trafic bascule automatiquement sur le port3
/image%2F3625927%2F20250130%2Fob_8d58f4_21.png)
Il y a continuité du service.
Le SD-WAN représente une évolution majeure dans la gestion des réseaux d’entreprise, offrant une alternative plus flexible, performante et sécurisée aux architectures WAN traditionnelles comme le MPLS. Grâce à l’utilisation d’un overlay sur divers types de connexions (Internet, MPLS, 4G/5G, Satellite), il permet d’optimiser le trafic, d’améliorer la qualité de service et de réduire les coûts opérationnels.
Le SD-WAN est aujourd’hui un élément clé des réseaux modernes, ouvrant la voie vers des architectures plus agiles et sécurisées.