FortiGate Internet Load Balancing - Kann man Protocol Binding einrichten?
Hallo zusammen
Wir haben im Betrieb zurzeit einen Netgear SRX5308 Router mit zwei ISP Anschlüssen. Dort ist Load Balancing konfiguriert und gewisse Protokolle haben wir auf WAN1 gebunden(Protocol Binding). Grund dafür ist, dass HTTPS Sessions nicht während der Sitzung auf das WAN2 wechseln und man sich wieder authentifizieren muss.
Jetzt bin ich dabei die FortiGate 60D anzuschauen, weil wir haben ein Branch Office und mit diesem möchten wir ein IPSec Site2Site VPN einrichten. Im Branch Office würde ich auch gerne eine FortiGate einbauen.
Ich muss mir nun aber sicher sein, dass ich mit der FortiGate das aktuelle Netzwerk genauso weiter betreiben kann, wie ich es bis jetzt mit dem Netgear Router betrieben habe. Leider finde ich im Internet nicht viel zu FortiGate und Protocol Binding.
Könnt Ihr mir sagen, ob das möglich ist? Load Balancing zwischen WAN1 und WAN2 aber spezifische Protokolle an WAN1 oder WAN2 zu binden?
Was ich gefunden habe:
http://nullhaus.com/2014/02/fortigate-wan-load-balancing/
http://kb.fortinet.com/kb/documentLink.do?popup=true&externalID=103 ...
https://www.youtube.com/watch?v=P0oshKYvFY8
Was haltet ihr davon?
Unser Hauptstandort hat ca. 20 Mitarbeiter und das Branch Office ca. 3 - 5.
Vielen Dank und Grüsse
jompsi
Wir haben im Betrieb zurzeit einen Netgear SRX5308 Router mit zwei ISP Anschlüssen. Dort ist Load Balancing konfiguriert und gewisse Protokolle haben wir auf WAN1 gebunden(Protocol Binding). Grund dafür ist, dass HTTPS Sessions nicht während der Sitzung auf das WAN2 wechseln und man sich wieder authentifizieren muss.
Jetzt bin ich dabei die FortiGate 60D anzuschauen, weil wir haben ein Branch Office und mit diesem möchten wir ein IPSec Site2Site VPN einrichten. Im Branch Office würde ich auch gerne eine FortiGate einbauen.
Ich muss mir nun aber sicher sein, dass ich mit der FortiGate das aktuelle Netzwerk genauso weiter betreiben kann, wie ich es bis jetzt mit dem Netgear Router betrieben habe. Leider finde ich im Internet nicht viel zu FortiGate und Protocol Binding.
Könnt Ihr mir sagen, ob das möglich ist? Load Balancing zwischen WAN1 und WAN2 aber spezifische Protokolle an WAN1 oder WAN2 zu binden?
Was ich gefunden habe:
http://nullhaus.com/2014/02/fortigate-wan-load-balancing/
http://kb.fortinet.com/kb/documentLink.do?popup=true&externalID=103 ...
https://www.youtube.com/watch?v=P0oshKYvFY8
Was haltet ihr davon?
Unser Hauptstandort hat ca. 20 Mitarbeiter und das Branch Office ca. 3 - 5.
Vielen Dank und Grüsse
jompsi
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 263687
Url: https://administrator.de/forum/fortigate-internet-load-balancing-kann-man-protocol-binding-einrichten-263687.html
Ausgedruckt am: 23.12.2024 um 09:12 Uhr
9 Kommentare
Neuester Kommentar
Hallo,
aus deinem 1. Link:
"We’ll start from the top with Source IP based, which assigns wan interfaces based on the source IP. Once an internal host makes a connection across the wan interface, all subsequent sessions will traverse the same wan interface. This is the default ECMP method and the simplist."
Alternativ dazu policy based routing.
Wenn man dann jetzt richtig faul ist, geht auch der transparent mode. Dann kann der Netgear drin bleiben. Ist aber meiner Meinung nach keine richtige Lösung.
aus deinem 1. Link:
"We’ll start from the top with Source IP based, which assigns wan interfaces based on the source IP. Once an internal host makes a connection across the wan interface, all subsequent sessions will traverse the same wan interface. This is the default ECMP method and the simplist."
Alternativ dazu policy based routing.
Wenn man dann jetzt richtig faul ist, geht auch der transparent mode. Dann kann der Netgear drin bleiben. Ist aber meiner Meinung nach keine richtige Lösung.
Hi Jompsi,
Load Balancing über mehrere Leitungen kein Problem. Als Sharing Algorithmen hast du da Folgendes zur Auswahl:
-Source IP Based
-Weighted Load Balance (Gewichtung einzelner WAN Ports)
-Spillover (Wenn zB. 2Mbit an WAN1 erreicht sind, werden die restlichen Sessions über WAN2 geroutet)
-Destination IP based
Um einzelne Protokolle an ein Interface festzunageln kannst du, wie exchange schon beschrieben hat, policy based routing nutzen. Dort kannst du dann sagen, dass Port 80 über WAN1 rausgehen soll, Port 53 über WAN2, Port 443 über Port4, usw. usw.
Falls du noch Fragen hast, schieß los.
VG
exellent
Load Balancing über mehrere Leitungen kein Problem. Als Sharing Algorithmen hast du da Folgendes zur Auswahl:
-Source IP Based
-Weighted Load Balance (Gewichtung einzelner WAN Ports)
-Spillover (Wenn zB. 2Mbit an WAN1 erreicht sind, werden die restlichen Sessions über WAN2 geroutet)
-Destination IP based
Um einzelne Protokolle an ein Interface festzunageln kannst du, wie exchange schon beschrieben hat, policy based routing nutzen. Dort kannst du dann sagen, dass Port 80 über WAN1 rausgehen soll, Port 53 über WAN2, Port 443 über Port4, usw. usw.
Falls du noch Fragen hast, schieß los.
VG
exellent
Du kannst auch eine Zone erstellen und WAN1 + WAN2 dort reinpacken dann musst du nicht zwei Policies erstellen (INT -> WAN1 und INT -> WAN2). Damit würdest du dann nur die Zone berechtigen (INT -> Zone_WAN).
Nein, sobald du eine "policy based route" erstellt hast, greift diese immer vor dem normalen Routing Prozess. Hast du in der Policy Based Route eingetragen, dass HTTPS über WAN2 rausgeht, dann wird das auch immer so passieren (Es sei denn WAN2 geht down, dann würde HTTPS automatisch über WAN1 geroutet).
Nein, sobald du eine "policy based route" erstellt hast, greift diese immer vor dem normalen Routing Prozess. Hast du in der Policy Based Route eingetragen, dass HTTPS über WAN2 rausgeht, dann wird das auch immer so passieren (Es sei denn WAN2 geht down, dann würde HTTPS automatisch über WAN1 geroutet).
Gut, dass du es gefunden hast
1.) Das bleibt dir überlassen. Wenn beide Leitungen die gleiche "Wertigkeit" haben, würde ich es einfach auf dem Default lassen (Source IP based). "Gebalancet" wird dann anhand der Client Source IP Adresse. Sprich IP x geht immer über WAN1, IP y geht immer über WAN2.
2.) WAN Link Load Balancing ist im Prinzip das was ich oben mit der Zone beschrieben habe. Natürlich kannst du kein Policy based Routing auf diese Zone (bzw. WAN Link Load Balancing) legen da dies ja beide Interface WAN1 und WAN2 enthält. Du musst die policy based Route dann entweder auf WAN1 oder WAN2 setzen.
3.) OK, wenn du WAN Link Load Balancing auf der GUI siehst, dann wirst du wahrscheinlich FortiOS 5.2.x installiert haben? Da ist es ziemlich einfach. Du wählst unter System -> Network -> WAN Link Load Balance die Interface Members WAN1 und WAN2 aus, trägst dessen Gateways ein und aktivierst nach Möglichkeit noch einen Health Check im gleichen Fenster. Danach trägst du unter Router -> Static -> Static Routes die Default Route 0.0.0.0/0.0.0.0 ein und wählst dort das Device "wan-load-balance" aus (!!) Fertig
1.) Das bleibt dir überlassen. Wenn beide Leitungen die gleiche "Wertigkeit" haben, würde ich es einfach auf dem Default lassen (Source IP based). "Gebalancet" wird dann anhand der Client Source IP Adresse. Sprich IP x geht immer über WAN1, IP y geht immer über WAN2.
2.) WAN Link Load Balancing ist im Prinzip das was ich oben mit der Zone beschrieben habe. Natürlich kannst du kein Policy based Routing auf diese Zone (bzw. WAN Link Load Balancing) legen da dies ja beide Interface WAN1 und WAN2 enthält. Du musst die policy based Route dann entweder auf WAN1 oder WAN2 setzen.
3.) OK, wenn du WAN Link Load Balancing auf der GUI siehst, dann wirst du wahrscheinlich FortiOS 5.2.x installiert haben? Da ist es ziemlich einfach. Du wählst unter System -> Network -> WAN Link Load Balance die Interface Members WAN1 und WAN2 aus, trägst dessen Gateways ein und aktivierst nach Möglichkeit noch einen Health Check im gleichen Fenster. Danach trägst du unter Router -> Static -> Static Routes die Default Route 0.0.0.0/0.0.0.0 ein und wählst dort das Device "wan-load-balance" aus (!!) Fertig
Hi Jompsi,
kein Problem, dafür ist die Community ja da
Ja genau, du kannst danach in den Policy based Routes auch einzeln das WAN1 und WAN2 Interface auswählen.
Fortinet hat eine Demo Kiste im Internet. Da kannst du dir ein paar Sachen angucken (Read only).
https://fortigate.com
User demo
Passwort demo
kein Problem, dafür ist die Community ja da
Ja genau, du kannst danach in den Policy based Routes auch einzeln das WAN1 und WAN2 Interface auswählen.
Fortinet hat eine Demo Kiste im Internet. Da kannst du dir ein paar Sachen angucken (Read only).
https://fortigate.com
User demo
Passwort demo