FortiGate连接中国联通SDWAN

最近上线SAP,需要使用到中国联通Transit Gateway(TGW)业务实现本地数据中心与SAP私有云的连接。

TGW实质上是中国联通的自言SDWAN平台,本地数据中心出口是飞塔防火墙(型号200E),记录下过程吧。

背景:

飞塔上有2条互联网带宽,需要分别与联通建立IPSEC+BGP连接。【联通会提供2个IPSEC配置信息+2个BGP配置信息】

配置记录如下:

1,在飞塔完成2条IPSEC链路的配置,分别绑定2个公网端口

图片

 2,在策略放通本地与对端(SAP网络环境)的来回通讯,放通之后理论上IPSEC链路就能显示连接正常

图片

3, 为2条IPSEC隧道分别配置通讯地址(接口—选择隧道名称—编辑)

图片

4,建立1个SDWAN区域,将两个IPSEC隧道作为成员加入

图片

5,创建SD-WAN规则,指定成员,接口选择策略选择“手动”即可

图片

6,创建SD-WAN性能SLA ,因为第五步没有采用的是手动,因此这里的SLA仅作为管理员监控链路使用。

图片

7,配置BGP,为2条隧道分别配置BGP

图片

这里注意:因为中国联通SDWAN自研平台路由切换能力的问题,必须额外指定备用线路的metric(可以理解为开销)这样才能手动指定为备用线路,所以这里必须要在飞塔防火墙命令行创建一条200的metric

config router route-map
    edit "route-map-med-200"
        config rule
            edit 1
                set set-metric 200
            next
        end
    next
end

在备用线路的Route map out调用刚才创建的metric

图片

8,为了更好匹配中国联通SDWAN平台,还需要在飞塔开启bfd支持 -_-!!

开启全局bfd支持

config system setting
set bfd en
end

以下命令查看bgp邻居信息

# config router bgp
(bgp) # config neighbor
(neighbor) # show

图片

开启BGP主链路bfd支持 (注意,命令行里不需要引号)

edit 169.254.X.XX3
set bfd en
next

开启BGP备链路bfd支持 (注意,命令行里不需要引号)

edit 169.254.x.xx7
set bfd en
next

9,最后,为了链路故障后的回切,需要再单独配置一条去往对端(SAP网络环境)的黑洞路由

图片

 

通过以下命令可以查看到bfd邻居

get router info bfd nei

图片

 通过以下命令查看bgp路由信息

get router info bgp summary

图片

===================================Update===================================

2026/1/15

使用过程中存在bfd超时触发bgp down的问题,会短暂影响链路延迟,更新了bfd相关配置,以观后效;调整的原理是把bfd的探测时间改大(飞塔默认是250ms),如果还不能解决,就只能关闭bfd,之后如果主线down的话,通过bgp的timer收敛路由。

config system settings
    set bfd-desired-min-tx 1000
    set bfd-required-min-rx 1000
end

 

posted @ 2025-09-24 20:57  airoot  阅读(91)  评论(0)    收藏  举报