FortiGate SD-WAN 架構與實戰 | Fortinet FortiGate 實戰課程

CONCEPT 一、核心概念 (Core Concept)

一句話定義

SD-WAN (軟體定義廣域網路) 是一種將網路硬體線路 (Underlay) 與控制邏輯 (Overlay) 分離的技術，它能根據應用程式的即時需求，自動選擇最佳的路徑進行傳輸。

生活化比喻：智慧導航系統 (Google Maps)

想像您要從台北開車到高雄：

傳統 WAN (ECMP)： 就像只看「距離」開車。只要距離一樣，不管塞不塞車，系統就會隨機叫你走國道一號或國道三號。
SD-WAN： 就像開啟了 Google Maps 導航。它會即時偵測路況 (Latency/Jitter)。
如果國道一號塞車 (線路品質差)，導航會自動引導你走國道三號 (切換線路)。
如果你開的是救護車 (關鍵語音流量 VOIP)，它絕對優先幫你找最快、最不顛簸的路；如果你只是運送垃圾 (一般上網流量)，走慢一點的省道 (ADSL) 也沒關係。

MECHANISM 二、運作原理 (Mechanism)

技術組成元件

SD-WAN Members (成員)：
實際的物理介面 (如 port1, port2) 或 VPN 通道 (Tunnel Interface)。它們是封包實際行走的「道路」。
SD-WAN Zones (區域)：
邏輯上的群組容器。例如將所有聯網線路歸類為 "Internet-Zone"，將 MPLS 線路歸類為 "Private-Zone"。這簡化了防火牆策略 (Firewall Policy) 的設定。
Performance SLA (健康檢查)：
這是 SD-WAN 的「眼睛」。透過發送 Ping, HTTP, DNS 封包到特定目標 (如 8.8.8.8 或總公司伺服器)，即時監控線路的延遲 (Latency)、抖動 (Jitter) 和掉包率 (Packet Loss)。

路徑選擇策略 (Rules)

Best Quality (最佳品質)： 比較所有線路，選出「當下」數值最好的一條。適合 VOIP、視訊會議。
Lowest Cost (SLA Strategy)： 設定一個門檻 (例如延遲 < 50ms)。只要線路達標，就依據介面成本 (Cost) 或優先序使用；如果不達標，才切換到備援線路。適合一般 ERP 流量。
Maximize Bandwidth (最大頻寬)： 類似負載平衡 (Load Balance)，將流量分散到多條線路。

大師觀點：隱式路由 (Implicit Routing)

當您啟用 SD-WAN 時，FortiGate 會自動產生多條預設路由 (Default Route) 指向各個 Member。SD-WAN Rule 的優先權高於一般路由表。這意味著：SD-WAN 是 Policy Route (PBR) 的進階版。

VISUALS 三、架構視覺化 (Visuals)

圖一：SD-WAN 邏輯架構與封包流向

graph TD subgraph LAN_Side [內部網路] PC[使用者 PC] -->|發送流量| FGT_LAN[FortiGate LAN Port] end subgraph FortiGate_SDWAN [FortiGate SD-WAN 引擎] FGT_LAN --> Rules{SD-WAN Rules 規則判斷} Rules --"規則 1: 關鍵應用 (ERP/Voice)"--> SLA_Check{SLA 檢查
延遲 < 50ms?} Rules --"規則 2: 一般上網"--> LB[負載平衡/成本優先] SLA_Check --"品質良好"--> Member1[Member 1: MPLS] SLA_Check --"品質低落 (Failover)"--> Member2[Member 2: Internet VPN] LB --> Member3[Member 3: Broadband] end subgraph WAN_Side [外部網路] Member1 --> HQ_Server[總公司伺服器] Member2 --> HQ_Server Member3 --> Google[Internet/SaaS] end style Rules fill:#f9f,stroke:#333,stroke-width:2px style SLA_Check fill:#bbf,stroke:#333,stroke-width:2px style FortiGate_SDWAN fill:#fff9c4,stroke:#e2e8f0,stroke-width:2px

圖二：SLA 探測與狀態切換流程 (Sequence Diagram)

sequenceDiagram participant User as 使用者流量 participant Rule as SD-WAN Rule participant WAN1 as WAN1 (MPLS) participant WAN2 as WAN2 (Internet) participant Probe as SLA Probe (探測器) Note over WAN1,WAN2: 初始狀態：WAN1 為主要路徑 loop 持續背景偵測 (每 500ms) Probe->>WAN1: Ping Check WAN1-->>Probe: Reply (20ms) - 健康 Probe->>WAN2: Ping Check WAN2-->>Probe: Reply (80ms) end User->>Rule: 發送 VOIP 封包 Rule->>WAN1: 轉發流量 (因為 WAN1 優於 WAN2) Note over WAN1: 發生線路擁塞! Probe->>WAN1: Ping Check WAN1-->>Probe: Reply (250ms) - 違反 SLA 門檻! Note right of Rule: 偵測到品質下降，觸發切換機制 User->>Rule: 發送下一個 VOIP 封包 Rule->>WAN2: 切換路由至 WAN2 (雖然 80ms 但優於 250ms)

USE CASE 四、實務應用場景 (Use Case)

場景：跨國零售分店 Hybrid WAN

某零售分店擁有兩條線路：WAN1 (昂貴穩定的 MPLS, 10Mbps) 與 WAN2 (便宜的 Internet, 100Mbps)。
需求： 1. POS 系統與 VoIP 電話必須走 MPLS，如果 MPLS 斷線或延遲過高，自動切換到 Internet VPN。 2. 店內訪客 Wi-Fi 與員工上網全部走 Internet，不佔用 MPLS 頻寬。

設定範例 (CLI & Logic)

步驟 1: 設定 SD-WAN Zone 與 Members

                    config system sdwan

                      set status enable

                      config zone

                        edit "virtual-wan-link" /* 預設 Zone */

                      end

                      config members

                        edit 1

                          set interface "wan1" /* MPLS */

                          set gateway 10.1.1.254

                        next

                        edit 2

                          set interface "wan2" /* Internet */

                          set gateway 192.168.1.254

                        next

                      end

                    end

步驟 2: 設定 Performance SLA (健康檢查)

                    config system sdwan

                      config health-check

                        edit "HQ_Server_Check"

                          set server "10.200.1.1" /* 總公司伺服器 IP */

                          set members 1 2 /* 檢查兩條線路 */

                          /* 定義 SLA 門檻：延遲需低於 50ms */

                          config sla

                            edit 1

                              set latency-threshold 50

                            next

                          end

                        next

                      end

                    end

步驟 3: 設定 SD-WAN Rules (流量導向)

                    config system sdwan

                      config service

                        /* 規則 1: POS/VoIP 優先走品質好的線路 */

                        edit 1

                          set name "Critical_Traffic"

                          set mode sla /* 使用 SLA 模式 */

                          set src "All_LAN_Subnets"

                          set dst "HQ_Subnets"

                          config sla

                            edit "HQ_Server_Check"

                              set id 1

                            next

                          end

                          set priority-members 1 2 /* 優先 1(MPLS), 失敗才走 2 */

                        next

                      end

                    end

優點：自動化故障轉移，保障關鍵業務。缺點：若 Internet 線路也擁塞，VoIP 品質仍會受影響 (需配合 QoS 設定)。

QUIZ 五、隨堂測驗 (Quiz)

1. 在 FortiGate SD-WAN 中，用來即時監控線路品質 (Latency/Jitter/Packet Loss) 的機制稱為什麼？

A. Static Route

B. Performance SLA (Health Check)

C. Security Fabric

D. OSPF

2. 如果您希望 VOIP 流量總是走「當下品質最好」的線路，應該選擇哪種 SD-WAN 策略？

A. Manual (手動指定)

B. Best Quality

C. Lowest Cost (最低成本)

D. Maximize Bandwidth

3. 關於 SD-WAN Zone 的敘述，下列何者正確？

A. 一個介面可以同時屬於多個 Zone

B. Zone 可以簡化 Firewall Policy 的設定，將多個 Member 視為一個邏輯介面

C. Zone 只能包含實體介面，不能包含 VPN Tunnel

D. Zone 設定後就無法修改 Member

4. SD-WAN Rule 的匹配順序與路由表 (Routing Table) 的關係為何？

A. SD-WAN Rule 優先權高於路由表 (類似 Policy Route)

B. 路由表優先權高於 SD-WAN Rule

C. 兩者隨機執行

D. 必須手動設定優先權重

5. 若設定 "Lowest Cost (SLA Strategy)" 且兩條線路都符合 SLA 標準 (例如延遲 < 50ms)，FortiGate 如何選擇路徑？

A. 隨機選擇

B. 同時使用兩條線路 (Load Balance)

C. 選擇 Interface Priority/Cost 設定值較優先的線路

D. 選擇延遲最低的那條 (即使它 Cost 較高)