# TP — SD-WAN avec FortiGate et Cisco 3745 ## 🎯 Objectifs d'apprentissage - Créer une maquette SD-WAN - Configurer les interfaces WAN simulées sur un routeur Cisco 3745 - Intégrer ces liaisons comme membres SD-WAN dans FortiGate - Créer des règles de routage SD-WAN, SLA et vérifier le basculement > Basé sur le TP original « 9.1 SD-WAN » (FortiGate Firewall). > Adaptation de l’exemple OpenWrt vers un Cisco 3745. > Référence : [pressbooks.bccampus.ca/fortigatefirewall/chapter/sd-wan](https://pressbooks.bccampus.ca/fortigatefirewall/chapter/sd-wan) --- ## 🧩 Topologie (schéma logique) La topologie reste la même que dans le TP d’origine : - **WebTerm1 (Firewall Manager)** — gestion du FortiGate - **FortiGate** : - port1 : management vers WebTerm2 - port2 et port3 : destinés à SD-WAN - **Cisco 3745** remplace OpenWrt : fournit deux liaisons WAN simulées (vers port4 et port5 du FortiGate) --- ## 🗺️ Table de correspondance / Adressage | Appareil | Interface / Rôle | IP / Gateway | |-----------|------------------|---------------| | WebTerm1 (Manager) | — | 192.168.20.2/24 | | FortiGate port1 | management | 192.168.20.1/24 | | FortiGate port2 | WAN1 (SD-WAN member) | 10.200.2.1/24 | | FortiGate port3 | WAN2 (SD-WAN member) | 10.200.3.1/24 | | Cisco 3745 Fa1/0 | connecté au NAT / Internet (optionnel) | selon ton simulateur | | Cisco 3745 Fa0/0 | WAN simulé 1 (vers FortiGate port4) | 10.200.2.254/24 | | Cisco 3745 Fa0/1 | WAN simulé 2 (vers FortiGate port5) | 10.200.3.254/24 | > Remarque : > FortiGate doit utiliser ces adresses comme **gateway** pour ses membres SD-WAN. --- ## 🧱 Section A — Configuration du Cisco 3745 (exemple IOS) Ces commandes sont des exemples IOS standard pour un Cisco 3745. Adapte les noms d’interfaces (Fa0/0, Fa0/1, etc.) si ton image GNS3/virtuelle en expose d’autres. ### 1) Entrer en mode configuration ```bash enable configure terminal ``` ## 2) Configurer les interfaces ```bash hostname ISP ! Interface vers FortiGate WAN1 (simulé) - IP fixe dans 10.200.3.0/24 interface FastEthernet0/1 description Vers FortiGate WAN3 (port3) ip address 10.200.3.254 255.255.255.0 ip nat inside no shutdown ! Interface vers FortiGate WAN2 (simulé) - IP fixe dans 10.200.2.0/24 interface FastEthernet0/0 description Vers FortiGate WAN2 (port2) ip address 10.200.2.254 255.255.255.0 ip nat inside no shutdown ! Interface NAT vers Internet (Cloud NAT ou PC NAT) - IP via DHCP interface FastEthernet1/0 description Vers Internet (NAT Cloud) ip address dhcp ip nat outside no shutdown ! ACL autorisant le NAT des réseaux internes vers Internet access-list 1 permit 10.200.2.0 0.0.0.255 access-list 1 permit 10.200.3.0 0.0.0.255 ! Mise en place du NAT dynamique (PAT) sur l'interface DHCP vers Internet ip nat inside source list 1 interface FastEthernet1/0 overload ! Route par défaut vers Internet via l'interface NAT DHCP ip route 0.0.0.0 0.0.0.0 FastEthernet1/0 (IP de la gateway NAT sur VMWARE) end write memory ``` IP de la gateway sur vmware : Pour mon cas : 192.168.100.2  ### Pour tester et debugger la config ``` bash show ip interface brief show ip route show ip nat translations ping 10.200.2.1 ping 10.200.3.1 ``` --- # Section B — Paramétrage FortiGate (rappel du TP original, adapté) Sur le FortiGate, les étapes restent identiques à celles du TP d’origine : créer les interfaces port2/port3, ajouter en SD-WAN, créer les routes et règles. Les gateways doivent pointer vers les adresses du Cisco 3745 (10.200.2.254 et 10.200.3.254). ## 1) Configuration Interfaces FortiGate ```bash edit "port1" set alias "Management" set ip 192.168.20.1/24 set allowaccess ping https ssh http set type physical set role lan set mode static next edit "port2" set alias "WAN1_SD-WAN" set ip 10.200.2.1/24 set allowaccess ping set type physical set role wan set mode static next edit "port3" set alias "WAN2_SD-WAN" set ip 10.200.3.1/24 set allowaccess ping set type physical set role wan set mode static next end ``` ## 2) Ajouter membres SD-WAN - Network > SD-WAN → Add → sélectionner Port2, gateway : 10.200.2.254 - Network > SD-WAN → Add → sélectionner Port3, gateway : 10.200.3.254  ## 3) Route statique vers SD-WAN - Créer une route statique dirigée vers SD-WAN (comme dans le TP original — Figure 9.15)  ## 4) Firewall policy Crée une règle depuis LAN (port1) vers SD-WAN : ```bash config firewall policy edit 1 set name "to wan" set srcintf "port1" set dstintf "virtual-wan-link" set action accept set srcaddr "all" set dstaddr "all" set schedule "always" set service "ALL" set logtraffic all set nat enable next end ```  ## 5) Règle SD-WAN & SLA - Network > SD-WAN Rule → Create : - Name: MyRule - Source Address: All - Destination Address: All - Protocol Number: Any - Strategy: Best Quality - Interface Preference: Port4, Port5 (ordre souhaité) **Measured SLA :** - Name: MySLA - Protocol: Ping - Server: 8.8.8.8 (ou un autre IP de test) - Add Target(s) (laisser valeurs par défaut pour le test) > Ces étapes suivent exactement le TP d’origine pour SD-WAN. > Source : [pressbooks.bccampus.ca/fortigatefirewall/chapter/sd-wan/](https://pressbooks.bccampus.ca/fortigatefirewall/chapter/sd-wan/) --- # Section C — Tests / Vérifications (Workflow) ## Vérifier connectivité 3745 ↔ FortiGate - Depuis 3745 : ping 10.200.2.1 ping 10.200.3.1 - Depuis FortiGate : ## Vérifier que les interfaces SD-WAN apparaissent en tant que membres - FortiGate : Network > SD-WAN → voir SD-WAN Usage et SD-WAN members. ## Déconnexion simulée / basculement Dans GNS3 : - couper l’interface Fa0/0 (WAN1) du Cisco 3745 - FortiGate doit basculer sur Port3 (WAN2) selon la règle SD-WAN. ## Vérifier navigation depuis Firewall Manager (WebTerm2) ## Vérifier logs & FortiView - Log & Report > Event > SD-WAN Event - Dashboard > FortiView Sessions pour voir sessions traversant SD-WAN.