Te oordeel aan die aantal vrae wat via SD-WAN by ons begin opkom het, het die tegnologie deeglik begin wortel skiet in Rusland. Verkopers slaap natuurlik nie en bied hul konsepte aan, en sommige dapper pioniers implementeer dit reeds op hul netwerke.
Ons werk met byna alle verskaffers, en oor 'n paar jaar in ons laboratorium het ek daarin geslaag om te delf in die argitektuur van elke groot ontwikkelaar van sagteware-gedefinieerde oplossings. SD-WAN van Fortinet staan 'n bietjie uitmekaar hier, wat eenvoudig die funksionaliteit ingebou het om verkeer tussen kommunikasiekanale in die brandmuursagteware te balanseer. Die oplossing is taamlik demokraties, daarom word dit gewoonlik oorweeg deur maatskappye wat nog nie gereed is vir globale veranderinge nie, maar hul kommunikasiekanale meer effektief wil gebruik.
In hierdie artikel wil ek jou vertel hoe om SD-WAN van Fortinet op te stel en te werk, vir wie hierdie oplossing geskik is en watter slaggate jy hier kan teëkom.
Die mees prominente spelers in die SD-WAN-mark kan in een van twee tipes geklassifiseer word:
1. Startups wat SD-WAN-oplossings van nuuts af geskep het. Die suksesvolste hiervan kry 'n groot stukrag vir ontwikkeling nadat hulle deur groot maatskappye gekoop is - dit is die storie van Cisco/Viptela, VMWare/VeloCloud, Nuage/Nokia
2. Groot netwerkverkopers wat SD-WAN-oplossings geskep het, wat die programmeerbaarheid en bestuurbaarheid van hul tradisionele routers ontwikkel het - dit is die storie van Juniper, Huawei
Fortinet het daarin geslaag om sy pad te vind. Die brandmuursagteware het ingeboude funksionaliteit wat dit moontlik gemaak het om hul koppelvlakke in virtuele kanale te kombineer en die las tussen hulle te balanseer deur komplekse algoritmes in vergelyking met konvensionele roetering te gebruik. Hierdie funksionaliteit is SD-WAN genoem. Kan wat Fortinet wel SD-WAN genoem word? Die mark verstaan geleidelik dat sagteware-gedefinieer beteken die skeiding van die beheervlak van die datavlak, toegewyde beheerders en orkestreerders. Fortinet het niks so nie. Gesentraliseerde bestuur is opsioneel en word aangebied deur die tradisionele Fortimanager-instrument. Maar na my mening moet jy nie abstrakte waarheid soek en tyd mors om oor terme te redeneer nie. In die regte wêreld het elke benadering sy voordele en nadele. Die beste uitweg is om hulle te verstaan en oplossings te kan kies wat ooreenstem met die take.
Ek sal probeer om jou met skermkiekies in die hand te vertel hoe SD-WAN van Fortinet lyk en wat dit kan doen.
Hoe dit alles werk
Kom ons neem aan jy het twee takke wat deur twee datakanale verbind is. Hierdie dataskakels word in 'n groep gekombineer, soortgelyk aan hoe gewone Ethernet-koppelvlakke gekombineer word in 'n LACP-poortkanaal. Outydse mense sal PPP Multilink onthou - ook 'n gepaste analogie. Kanale kan fisiese poorte, VLAN SVI, sowel as VPN- of GRE-tonnels wees.
Skynprivaatnetwerk of GRE word tipies gebruik wanneer plaaslike taknetwerke oor die internet verbind word. En fisiese poorte - as daar L2-verbindings tussen werwe is, of wanneer ons oor 'n toegewyde MPLS/VPN koppel, as ons tevrede is met die verbinding sonder oorleg en enkripsie. Nog 'n scenario waarin fisiese poorte in 'n SD-WAN-groep gebruik word, is om die plaaslike toegang van gebruikers tot die internet te balanseer.
By ons staanplek is daar vier brandmure en twee VPN-tonnels wat deur twee "kommunikasie-operateurs" werk. Die diagram lyk soos volg:
VPN-tonnels word in koppelvlakmodus gekonfigureer sodat dit soortgelyk is aan punt-tot-punt-verbindings tussen toestelle met IP-adresse op P2P-koppelvlakke, wat geping kan word om te verseker dat kommunikasie deur 'n spesifieke tonnel werk. Om die verkeer geïnkripteer te maak en na die teenoorgestelde kant te gaan, is dit genoeg om dit na die tonnel te lei. Die alternatief is om verkeer vir enkripsie te kies met behulp van lyste van subnette, wat die administrateur grootliks verwar namate die konfigurasie meer kompleks word. In 'n groot netwerk kan u ADVPN-tegnologie gebruik om 'n VPN te bou; dit is 'n analoog van DMVPN van Cisco of DVPN van Huawei, wat dit makliker maak om op te stel.
Werf-tot-werf VPN-opstelling vir twee toestelle met BGP-roetering aan beide kante
«ЦОД» (DC)
«Филиал» (BRN)
config system interface
edit "WAN1"
set vdom "Internet"
set ip 1.1.1.1 255.255.255.252
set allowaccess ping
set role wan
set interface "DC-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 3.3.3.1 255.255.255.252
set allowaccess ping
set role lan
set interface "DC-BRD"
set vlanid 112
next
edit "BRN-Ph1-1"
set vdom "Internet"
set ip 192.168.254.1 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.2 255.255.255.255
set interface "WAN1"
next
edit "BRN-Ph1-2"
set vdom "Internet"
set ip 192.168.254.3 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.4 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "BRN-Ph1-1"
set interface "WAN1"
set local-gw 1.1.1.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 2.2.2.1
set psksecret ***
next
edit "BRN-Ph1-2"
set interface "WAN2"
set local-gw 3.3.3.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 4.4.4.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "BRN-Ph2-1"
set phase1name "BRN-Ph1-1"
set proposal aes256-sha256
set dhgrp 2
next
edit "BRN-Ph2-2"
set phase1name "BRN-Ph1-2"
set proposal aes256-sha256
set dhgrp 2
next
end
config router static
edit 1
set gateway 1.1.1.2
set device "WAN1"
next
edit 3
set gateway 3.3.3.2
set device "WAN2"
next
end
config router bgp
set as 65002
set router-id 10.1.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.2"
set remote-as 65003
next
edit "192.168.254.4"
set remote-as 65003
next
end
config network
edit 1
set prefix 10.1.0.0 255.255.0.0
next
end
config system interface
edit "WAN1"
set vdom "Internet"
set ip 2.2.2.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 4.4.4.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 114
next
edit "DC-Ph1-1"
set vdom "Internet"
set ip 192.168.254.2 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.1 255.255.255.255
set interface "WAN1"
next
edit "DC-Ph1-2"
set vdom "Internet"
set ip 192.168.254.4 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.3 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "DC-Ph1-1"
set interface "WAN1"
set local-gw 2.2.2.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 1.1.1.1
set psksecret ***
next
edit "DC-Ph1-2"
set interface "WAN2"
set local-gw 4.4.4.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 3.3.3.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "DC-Ph2-1"
set phase1name "DC-Ph1-1"
set proposal aes128-sha1
set dhgrp 2
next
edit "DC2-Ph2-2"
set phase1name "DC-Ph1-2"
set proposal aes128-sha1
set dhgrp 2
next
end
config router static
edit 1
set gateway 2.2.2.2
et device "WAN1"
next
edit 3
set gateway 4.4.4.2
set device "WAN2"
next
end
config router bgp
set as 65003
set router-id 10.200.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.1"
set remote-as 65002
next
edit "192.168.254.3"
set remote-as 65002
next
end
config network
edit 1
set prefix 10.200.0.0 255.255.0.0
next
end
Ek verskaf die konfigurasie in teksvorm, want na my mening is dit geriefliker om die VPN op hierdie manier op te stel. Byna al die instellings is dieselfde aan beide kante; in teksvorm kan dit as 'n copy-paste gemaak word. As jy dieselfde ding in die webkoppelvlak doen, is dit maklik om 'n fout te maak - vergeet 'n regmerkie iewers, voer die verkeerde waarde in.
Nadat ons die koppelvlakke by die bundel gevoeg het
alle roetes en sekuriteitsbeleide kan daarna verwys, en nie na die koppelvlakke wat daarin ingesluit is nie. Op 'n minimum moet jy verkeer van interne netwerke na SD-WAN toelaat. Wanneer jy reëls daarvoor skep, kan jy beskermende maatreëls soos IPS, antivirus en HTTPS-openbaarmaking toepas.
SD-WAN-reëls is vir die bondel opgestel. Dit is reëls wat die balanseringsalgoritme vir spesifieke verkeer definieer. Dit is soortgelyk aan roeteringsbeleide in beleidsgebaseerde roetering, slegs as gevolg van verkeer wat onder die beleid val, is dit nie die volgende-hop of die gewone uitgaande koppelvlak wat geïnstalleer word nie, maar die koppelvlakke wat by die SD-WAN-bundel plus gevoeg word 'n verkeersbalanseringsalgoritme tussen hierdie koppelvlakke.
Verkeer kan van die algemene vloei geskei word deur L3-L4 inligting, deur erkende toepassings, internetdienste (URL en IP), sowel as deur erkende gebruikers van werkstasies en skootrekenaars. Hierna kan een van die volgende balanseringsalgoritmes aan die toegewese verkeer toegewys word:
In die koppelvlakvoorkeurlys word daardie koppelvlakke van dié wat reeds by die bondel gevoeg is wat hierdie tipe verkeer sal bedien, gekies. Deur nie alle koppelvlakke by te voeg nie, kan jy presies beperk watter kanale jy gebruik, byvoorbeeld e-pos, as jy nie duur kanale met 'n hoë SLA wil belas daarmee nie. In FortiOS 6.4.1 het dit moontlik geword om koppelvlakke wat by die SD-WAN-bundel gevoeg is in sones te groepeer, wat byvoorbeeld een sone vir kommunikasie met afgeleë werwe en 'n ander vir plaaslike internettoegang met behulp van NAT skep. Ja, ja, verkeer wat na die gewone internet gaan, kan ook gebalanseer word.
Oor balanseringsalgoritmes
Met betrekking tot hoe Fortigate ('n firewall van Fortinet) verkeer tussen kanale kan verdeel, is daar twee interessante opsies wat nie baie algemeen op die mark is nie:
Laagste koste (SLA) – uit al die koppelvlakke wat tans aan die SLA voldoen, word die een met die laer gewig (koste), met die hand deur die administrateur gestel, gekies; hierdie modus is geskik vir "grootmaat" verkeer soos rugsteun en lêeroordragte.
Beste kwaliteit (SLA) – hierdie algoritme, benewens die gewone vertraging, jitter en verlies van Fortigate-pakkies, kan ook die huidige kanaallading gebruik om die kwaliteit van kanale te assesseer; Hierdie modus is geskik vir sensitiewe verkeer soos VoIP en videokonferensies.
Hierdie algoritmes vereis die opstel van 'n kommunikasiekanaal prestasie meter - Prestasie SLA. Hierdie meter monitor periodiek (kontroleer interval) inligting oor voldoening aan SLA: pakkieverlies, latency en jitter in die kommunikasiekanaal, en kan daardie kanale "verwerp" wat tans nie aan die kwaliteitsdrempels voldoen nie - hulle verloor te veel pakkies of ervaar te veel baie latency. Daarbenewens monitor die meter die status van die kanaal, en kan dit tydelik uit die bondel verwyder in geval van herhaalde verlies van antwoorde (mislukkings voor onaktief). Wanneer dit herstel word, sal die meter na verskeie opeenvolgende antwoorde (herstel skakel daarna), outomaties die kanaal na die bondel terugstuur, en data sal weer daardeur versend word.
Dit is hoe die "meter" instelling lyk:
In die webkoppelvlak is ICMP-Echo-request, HTTP-GET en DNS-versoeke beskikbaar as toetsprotokolle. Daar is 'n bietjie meer opsies op die opdragreël: TCP-echo- en UDP-echo-opsies is beskikbaar, sowel as 'n gespesialiseerde kwaliteitmetingsprotokol - TWAMP.
Die metingsresultate kan ook in die webkoppelvlak gesien word:
En op die opdragreël:
Probleemoplossing
As jy 'n reël geskep het, maar alles werk nie soos verwag nie, moet jy na die Treffertelling-waarde in die SD-WAN-reëlslys kyk. Dit sal wys of die verkeer enigsins in hierdie reël val:
Op die instellingsbladsy van die meter self kan u die verandering in kanaalparameters oor tyd sien. Die stippellyn dui die drempelwaarde van die parameter aan
In die webkoppelvlak kan jy sien hoe verkeer versprei word deur die hoeveelheid data wat versend/ontvang is en die aantal sessies:
Benewens dit alles, is daar 'n uitstekende geleentheid om die verloop van pakkies met maksimum detail op te spoor. As u in 'n regte netwerk werk, versamel die toestelkonfigurasie baie roeteringsbeleide, brandmuurwerk en verkeersverspreiding oor SD-WAN-poorte. Dit alles werk op 'n komplekse manier met mekaar in wisselwerking, en alhoewel die verkoper gedetailleerde blokdiagramme van pakkieverwerkingsalgoritmes verskaf, is dit baie belangrik om nie teorieë te bou en te toets nie, maar om te sien waarheen die verkeer eintlik gaan.
Byvoorbeeld, die volgende stel opdragte
diagnose debug flow filter saddr 10.200.64.15
diagnose debug flow filter daddr 10.1.7.2
diagnose debug flow show function-name
diagnose debug enable
diagnose debug trace 2
Laat jou toe om twee pakkies op te spoor met 'n bronadres van 10.200.64.15 en 'n bestemmingsadres van 10.1.7.2.
Ons ping 10.7.1.2 vanaf 10.200.64.15 twee keer en kyk na die uitset op die konsole.
Eerste pakket:
Tweede pakket:
Hier is die eerste pakkie wat deur die firewall ontvang is:
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0."
VDOM – Internet, Proto=1 (ICMP), DMZ-Office – название L3-интерфейса. Type=8 – Echo.
'n Nuwe sessie is vir hom geskep:
msg="allocate a new session-0006a627"
En 'n passing is gevind in die roetebeleidinstellings
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"
Dit blyk dat die pakkie na een van die VPN-tonnels gestuur moet word:
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"
Die volgende toelaatreël word in firewallbeleide bespeur:
msg="Allowed by Policy-3:"
Die pakkie word geïnkripteer en na die VPN-tonnel gestuur:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
Die geënkripteerde pakkie word na die poortadres vir hierdie WAN-koppelvlak gestuur:
msg="send to 2.2.2.2 via intf-WAN1"
Vir die tweede pakkie gebeur alles soortgelyk, maar dit word na 'n ander VPN-tonnel gestuur en vertrek deur 'n ander firewall-poort:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"
Voordele van die oplossing
Betroubare funksionaliteit en gebruikersvriendelike koppelvlak. Die kenmerkstel wat in FortiOS beskikbaar was voor die koms van SD-WAN is ten volle bewaar. Dit wil sê, ons het nie nuut ontwikkelde sagteware nie, maar 'n volwasse stelsel van 'n bewese firewall-verskaffer. Met 'n tradisionele stel netwerkfunksies, 'n gerieflike en maklik om te leer webkoppelvlak. Hoeveel SD-WAN-verskaffers het byvoorbeeld afstandtoegang-VPN-funksies op eindtoestelle?
Sekuriteitsvlak 80. FortiGate is een van die beste firewall-oplossings. Daar is baie materiaal op die internet oor die opstel en administrasie van brandmure, en op die arbeidsmark is daar baie sekuriteitspesialiste wat reeds die verkoper se oplossings bemeester het.
Geen prys vir SD-WAN-funksies nie. Die bou van 'n SD-WAN-netwerk op FortiGate kos dieselfde as om 'n gewone WAN-netwerk daarop te bou, aangesien geen bykomende lisensies nodig is om SD-WAN-funksionaliteit te implementeer nie.
Lae toegangshinderprys. Fortigate het 'n goeie gradering van toestelle vir verskillende prestasievlakke. Die jongste en goedkoopste modelle is redelik geskik om 'n kantoor of verkoopspunt uit te brei met byvoorbeeld 3-5 werknemers. Baie verkopers het eenvoudig nie sulke lae-prestasie en bekostigbare modelle nie.
Hoë werkverrigting. Die vermindering van SD-WAN-funksionaliteit tot verkeersbalansering het die maatskappy toegelaat om 'n gespesialiseerde SD-WAN ASIC vry te stel, waardeur SD-WAN-werking nie die werkverrigting van die firewall as geheel verminder nie.
Die vermoë om 'n hele kantoor op Fortinet-toerusting te implementeer. Dit is 'n paar firewalls, skakelaars, Wi-Fi-toegangspunte. So 'n kantoor is maklik en gerieflik om te bestuur - skakelaars en toegangspunte word op brandmure geregistreer en daaruit bestuur. Byvoorbeeld, dit is hoe 'n skakelaarpoort kan lyk vanaf die firewall-koppelvlak wat hierdie skakelaar beheer:
Gebrek aan beheerders as 'n enkele punt van mislukking. Die verkoper self fokus hierop, maar dit kan slegs gedeeltelik 'n voordeel genoem word, want vir die verkopers wat beheerders het, is die versekering van hul fouttoleransie goedkoop, meestal teen die prys van 'n klein hoeveelheid rekenaarhulpbronne in 'n virtualiseringsomgewing.
Waarna om te kyk
Geen skeiding tussen beheervlak en datavlak nie. Dit beteken dat die netwerk óf handmatig gekonfigureer moet word óf met behulp van die tradisionele bestuursinstrumente wat reeds beskikbaar is - FortiManager. Vir verkopers wat so 'n skeiding geïmplementeer het, word die netwerk self saamgestel. Die administrateur moet dalk net sy topologie aanpas, iets iewers verbied, niks meer nie. FortiManager se troefkaart is egter dat dit nie net brandmure kan bestuur nie, maar ook skakelaars en Wi-Fi-toegangspunte, dit wil sê byna die hele netwerk.
Voorwaardelike toename in beheerbaarheid. As gevolg van die feit dat tradisionele gereedskap gebruik word om netwerkkonfigurasie te outomatiseer, verhoog netwerkbestuurbaarheid met die bekendstelling van SD-WAN effens. Aan die ander kant word nuwe funksionaliteit vinniger beskikbaar, aangesien die verkoper dit eers net vir die firewall-bedryfstelsel vrystel (wat dit onmiddellik moontlik maak om dit te gebruik), en dan eers die bestuurstelsel aanvul met die nodige koppelvlakke.
Sommige funksies kan beskikbaar wees vanaf die opdragreël, maar is nie beskikbaar vanaf die webkoppelvlak nie. Soms is dit nie so skrikwekkend om in die opdragreël in te gaan om iets op te stel nie, maar dit is skrikwekkend om nie in die webkoppelvlak te sien dat iemand reeds iets vanaf die opdragreël gekonfigureer het nie. Maar dit geld gewoonlik vir die nuutste kenmerke en geleidelik, met FortiOS-opdaterings, word die vermoëns van die webkoppelvlak verbeter.
Wie sal pas
Vir die wat nie baie takke het nie. Die implementering van 'n SD-WAN-oplossing met komplekse sentrale komponente op 'n netwerk van 8-10 takke sal dalk nie die kers kos nie - jy sal geld moet spandeer op lisensies vir SD-WAN-toestelle en virtualisasiestelselhulpbronne om die sentrale komponente te huisves. 'n Klein maatskappy het gewoonlik beperkte gratis rekenaarhulpbronne. In die geval van Fortinet is dit genoeg om net firewalls te koop.
Vir die wat baie klein takke het. Vir baie verkopers is die minimum oplossingsprys per tak redelik hoog en is dit dalk nie interessant vanuit die oogpunt van die eindkliënt se besigheid nie. Fortinet bied klein toestelle teen baie aantreklike pryse.
Vir diegene wat nog nie gereed is om te ver te stap nie. Die implementering van SD-WAN met beheerders, eie roetering en 'n nuwe benadering tot netwerkbeplanning en -bestuur kan vir sommige kliënte 'n te groot stap wees. Ja, so 'n implementering sal uiteindelik help om die gebruik van kommunikasiekanale en die werk van administrateurs te optimaliseer, maar eers sal jy baie nuwe dinge moet leer. Vir diegene wat nog nie gereed is vir ’n paradigmaskuif nie, maar meer uit hul kommunikasiekanale wil druk, is die oplossing van Fortinet net reg.
Bron: will.com