【进阶实战 / SD-WAN】(7.0) ❀ 05. 精准引流：基于应用与用户的SD-WAN策略配置 ❀ FortiGate 防火墙

1. 为什么需要基于应用的SD-WAN策略

在企业网络环境中，不同部门对网络的需求差异很大。财务部门需要稳定访问银行系统，市场部门需要高速访问海外云服务，IT部门则需要实时监控各链路质量。传统的"一刀切"网络策略已经无法满足这些精细化需求。

我遇到过这样一个案例：某公司财务使用银行系统时频繁掉线，原因是系统绑定了固定IP，而默认的负载均衡策略导致流量在不同运营商线路间切换。这就是典型的"IP绑定"场景，必须通过精准的SD-WAN策略来解决。

FortiGate的SD-WAN规则提供了多维度的流量识别能力：

• 基于IP地址：指定特定终端或服务器
• 基于用户组：按部门划分权限
• 基于应用识别：识别财务软件、视频会议等特定流量
• 基于服务质量：根据延迟、抖动等指标动态调整

2. 基础环境准备

2.1 网络拓扑搭建

假设我们使用FortiGate 100F防火墙，连接三条宽带线路：

1. 电信500M（WAN1）：固定IP，用于财务系统
2. 移动300M（WAN2）：普通宽带，用于日常办公
3. 联通国际专线（WAN3）：低延迟海外线路，用于云服务

首先确保所有线路已加入SD-WAN集合并能正常上网。在FortiGate界面查看【网络】-【接口】，确认各WAN口状态为"up"。

2.2 对象配置

需要预先创建以下对象（以财务部门为例）：

1. 地址对象：

   • 名称：Finance_PC
   • 类型：子网
   • IP地址：192.168.1.100/32

2. 用户组：

   • 名称：Finance_Group
   • 添加财务部所有用户账号

3. 应用识别：

   • 名称：Bank_System
   • 类型：FSSO应用
   • 添加银行系统特征码

3. 多维度策略配置实战

3.1 基于IP地址的精准引流

这是最基本的策略类型，适合固定设备场景：

1. 进入【网络】-【SD-WAN】-【规则】
2. 点击【新建】，填写规则名称（如"Finance_PC_to_WAN1"）
3. 配置参数：
   • 源地址：Finance_PC
   • 目标地址：all
   • 服务：ALL
   • 流出接口：手工
   • 接口优先级：仅勾选WAN1

注意：如果设备使用DHCP，建议在DHCP服务器中配置静态分配，避免IP变更导致策略失效。

3.2 基于用户组的策略配置

对于移动办公场景更实用：

1. 新建规则命名为"Finance_Group_Banking"
2. 关键配置：
   • 源用户：Finance_Group
   • 目标地址：输入银行系统IP段
   • 应用：Bank_System
   • 接口优先级：WAN1(主)、WAN3(备)

实测发现，当同时设置用户组和应用识别时，策略匹配精度最高。我曾遇到视频会议流量被误识别的情况，后来通过添加Zoom的特征码解决了问题。

3.3 智能链路切换配置

对于关键业务需要配置故障转移：

config firewall sdwan edit 0 set name "Critical_Service_Failover" set src "Finance_Group" set dst "Bank_Server" set priority-zone "wan1 wan3" set fail-detect "enable" set failtime 3 set recoverytime 60 next end

这段CLI配置表示：当WAN1故障时，3秒内切换到WAN3；恢复后等待60秒再切回主线路。

4. 高级策略优化技巧

4.1 策略优先级管理

SD-WAN规则按照从上到下的顺序匹配。建议按以下顺序排列：

1. 最高优先级：IP绑定类规则
2. 中等优先级：应用识别规则
3. 默认规则：负载均衡/自动选路

可以通过拖拽规则左侧的ID号调整顺序。有个实用技巧：给关键规则添加"!"前缀，如"!Finance_Rule"，这样在列表中可以快速定位。

4.2 质量监测与调优

在【SD-WAN】-【性能监测】中配置健康检查：

• 对银行系统：使用TCP探测指定端口
• 对云服务：使用HTTP探测特定URL
• 对视频会议：测量抖动和延迟

建议设置：

• 探测间隔：3秒
• 超时时间：2秒
• 失败阈值：连续3次

曾经有客户反映视频卡顿，后来发现是默认的ICMP探测不够准确，改为自定义RTP流检测后才解决问题。

4.3 带宽保障配置

对于重要业务可以预留带宽：

1. 进入【网络】-【SD-WAN】-【流量分配】
2. 创建新策略：
   • 名称：Video_Conference_Guarantee
   • 应用：识别Zoom/Teams等
   • 最小带宽：50Mbps
   • 最大带宽：100Mbps

这样即使网络拥堵，视频会议也能获得保障带宽。实际测试显示，这种配置可以将MOS评分从3.2提升到4.5以上。

5. 典型问题排查

当策略不生效时，建议按以下步骤排查：

1. 检查【仪表板】-【网络】-【SD-WAN】视图，确认各链路状态
2. 使用诊断命令查看策略匹配情况：

   diagnose sys sdwan service 8

   其中8是规则ID
3. 检查【日志&报告】-【SD-WAN日志】，关注策略命中记录
4. 对于应用识别问题，可以启用深度检测：

   config system settings set inspection-mode flow set av-failopen-session enable end

有个常见误区：只配置了地址对象但未启用应用识别，导致特定流量未被正确分类。建议始终同时使用多种识别方式。