FortiGate连接中国联通SDWAN

最近上线SAP，需要使用到中国联通Transit Gateway（TGW）业务实现本地数据中心与SAP私有云的连接。

TGW实质上是中国联通的自言SDWAN平台，本地数据中心出口是飞塔防火墙（型号200E），记录下过程吧。

背景：

飞塔上有2条互联网带宽，需要分别与联通建立IPSEC+BGP连接。【联通会提供2个IPSEC配置信息+2个BGP配置信息】

配置记录如下：

1，在飞塔完成2条IPSEC链路的配置，分别绑定2个公网端口

 2，在策略放通本地与对端（SAP网络环境）的来回通讯，放通之后理论上IPSEC链路就能显示连接正常

3， 为2条IPSEC隧道分别配置通讯地址（接口—选择隧道名称—编辑)

4，建立1个SDWAN区域，将两个IPSEC隧道作为成员加入

5，创建SD-WAN规则，指定成员，接口选择策略选择“手动”即可

6，创建SD-WAN性能SLA ，因为第五步没有采用的是手动，因此这里的SLA仅作为管理员监控链路使用。

7，配置BGP，为2条隧道分别配置BGP

这里注意：因为中国联通SDWAN自研平台路由切换能力的问题，必须额外指定备用线路的metric（可以理解为开销）这样才能手动指定为备用线路，所以这里必须要在飞塔防火墙命令行创建一条200的metric

config router route-map
    edit "route-map-med-200"
        config rule
            edit 1
                set set-metric 200
            next
        end
    next
end

在备用线路的Route map out调用刚才创建的metric

8，为了更好匹配中国联通SDWAN平台，还需要在飞塔开启bfd支持 -_-!!

开启全局bfd支持

config system setting
set bfd en
end

以下命令查看bgp邻居信息

# config router bgp
(bgp) # config neighbor
(neighbor) # show

开启BGP主链路bfd支持 (注意，命令行里不需要引号)

edit 169.254.X.XX3
set bfd en
next

开启BGP备链路bfd支持 (注意，命令行里不需要引号)

edit 169.254.x.xx7
set bfd en
next

9，最后，为了链路故障后的回切，需要再单独配置一条去往对端（SAP网络环境）的黑洞路由

 

通过以下命令可以查看到bfd邻居

get router info bfd nei

 通过以下命令查看bgp路由信息

get router info bgp summary