Índice de contenidos
1Conceptos Básicos de SD-WAN
SD-WAN (Software-Defined WAN) en FortiGate permite:
- Balanceo de carga: Distribuir tráfico entre múltiples líneas WAN
- Failover automático: Cambiar a línea de backup si la principal falla
- Steering por aplicación: Enviar aplicaciones críticas por la mejor línea
- Medición de calidad: Monitorizar latencia, jitter y pérdida de paquetes
Arquitectura SD-WAN en FortiGate
┌─────────────────────────────────────┐ │ Zona SD-WAN │ │ ┌─────────┐ ┌─────────┐ │ │ │ WAN1 │ │ WAN2 │ ... │ ← Miembros │ │ (Fibra) │ │ (4G) │ │ │ └────┬────┘ └────┬────┘ │ │ │ │ │ │ ┌────┴────────────┴────┐ │ │ │ Health Checks │ │ ← SLAs │ │ (ping, http, dns) │ │ │ └──────────┬───────────┘ │ │ │ │ │ ┌──────────┴───────────┐ │ │ │ Reglas SD-WAN │ │ ← Steering │ │ (por app, destino) │ │ │ └──────────────────────┘ │ └─────────────────────────────────────┘
2Crear Zona SD-WAN
En FortiOS 7.x, SD-WAN usa el concepto de "zonas" que agrupan interfaces:
Por GUI:
- Ve a Network → SD-WAN
- En la sección "SD-WAN Zones", verás la zona "virtual-wan-link" por defecto
- Puedes crear zonas adicionales si necesitas segmentar el tráfico
Por CLI:
config system sdwan
set status enable
config zone
edit "virtual-wan-link"
next
end
end3Añadir Miembros (Interfaces WAN)
Añade tus interfaces WAN como miembros de la zona SD-WAN:
Por GUI:
- En Network → SD-WAN, sección "SD-WAN Members"
- Click en "Create New"
- Selecciona la interfaz (ej: wan1)
- Configura:
- Gateway: IP del gateway de esa línea
- Cost: Prioridad (menor = preferido)
- Weight: Peso para balanceo (mayor = más tráfico)
- Repite para cada interfaz WAN
Configuración CLI:
config system sdwan
config members
edit 1
set interface "wan1"
set zone "virtual-wan-link"
set gateway 192.168.1.1
set cost 0
next
edit 2
set interface "wan2"
set zone "virtual-wan-link"
set gateway 192.168.2.1
set cost 10
next
end
endImportante: Al añadir interfaces a SD-WAN, las rutas estáticas asociadas se eliminan. SD-WAN gestiona el routing automáticamente.
4Configurar Health Checks (SLA)
Los Health Checks monitorizan la calidad de cada enlace:
Crear un Health Check:
- En Network → SD-WAN → Performance SLA
- Click en "Create New"
- Configura:
- Name: Internet-SLA
- Protocol: Ping (o HTTP, DNS)
- Server: 8.8.8.8 (o servidor de referencia)
- Members: Selecciona todas las WAN
Definir umbrales SLA:
| Parámetro | Valor recomendado | Descripción |
|---|---|---|
| Latency | 150 ms | Máxima latencia aceptable |
| Jitter | 50 ms | Máxima variación de latencia |
| Packet Loss | 5% | Máxima pérdida de paquetes |
Configuración CLI:
config system sdwan
config health-check
edit "Internet-SLA"
set server "8.8.8.8"
set members 1 2
config sla
edit 1
set latency-threshold 150
set jitter-threshold 50
set packetloss-threshold 5
next
end
next
end
end5Crear Reglas SD-WAN
Las reglas definen cómo se distribuye el tráfico:
Tipos de reglas:
- Best Quality: Usa el enlace con mejor calidad según SLA
- Lowest Cost (SLA): Usa el enlace más barato que cumpla SLA
- Manual: Especifica orden de preferencia fijo
- Load Balance: Distribuye tráfico entre enlaces
Ejemplo: Regla para VoIP
Enviar tráfico de voz por el enlace con menor latencia:
config system sdwan
config service
edit 1
set name "VoIP-Priority"
set mode sla
set dst "all"
set src "all"
set protocol 17
set start-port 5060
set end-port 5061
set health-check "Internet-SLA"
set sla-compare-method number
config sla
edit "Internet-SLA"
set id 1
next
end
set priority-members 1 2
next
end
endEjemplo: Balanceo general
Distribuir el resto del tráfico equitativamente:
config system sdwan
config service
edit 2
set name "General-Balance"
set mode load-balance
set dst "all"
set src "all"
set priority-members 1 2
next
end
end6Verificar y Monitorizar
Dashboard SD-WAN
Ve a Dashboard → SD-WAN para ver en tiempo real:
- Estado de cada enlace (UP/DOWN)
- Métricas de calidad (latencia, jitter, pérdida)
- Distribución de tráfico por enlace
- Histórico de cambios de estado
Comandos CLI útiles:
# Ver estado de miembros SD-WAN diagnose sys sdwan member # Ver resultados de health checks diagnose sys sdwan health-check # Ver tabla de servicios/reglas diagnose sys sdwan service # Ver sesiones y su distribución diagnose sys sdwan ipsec-interface-addr
Tip: Configura alertas en FortiGate para recibir notificaciones cuando un enlace falle o degrade su calidad.
Preguntas Frecuentes
¿Necesito licencia para SD-WAN en FortiGate?
No, SD-WAN está incluido en todos los FortiGate sin coste adicional. Es una de las grandes ventajas frente a competidores que cobran licencias separadas. Solo necesitas FortiGuard si quieres usar Application Control para steering basado en aplicación.
¿Puedo usar SD-WAN con diferentes tipos de conexión?
Sí, SD-WAN de FortiGate soporta cualquier combinación: fibra, ADSL, 4G/5G, MPLS, enlaces satelitales, etc. Puedes mezclar tecnologías y el SD-WAN las gestionará de forma inteligente basándose en los SLAs configurados.
¿Qué es un SLA en SD-WAN?
Un SLA (Service Level Agreement) define los umbrales de calidad que debe cumplir un enlace: latencia máxima, jitter máximo, y pérdida de paquetes aceptable. Si un enlace supera estos umbrales, el tráfico se redirige automáticamente a otro enlace.
¿SD-WAN afecta al rendimiento del FortiGate?
El impacto es mínimo. FortiGate usa procesadores dedicados (NPU) para el forwarding de SD-WAN, por lo que las decisiones de routing no afectan significativamente al throughput. Es una de las ventajas de la arquitectura hardware de Fortinet.
¿Necesitas ayuda con SD-WAN?
Nuestros ingenieros pueden diseñar e implementar tu arquitectura SD-WAN optimizada.
Solicitar Consultoría SD-WAN