Анализ на най-демократичния SD-WAN: архитектура, конфигурация, администрация и клопки

Съдейки по броя на въпросите, които започнаха да пристигат към нас чрез SD-WAN, технологията започна напълно да се вкоренява в Русия. Доставчиците, естествено, не спят и предлагат своите концепции, а някои смели пионери вече ги прилагат в своите мрежи.

Работим с почти всички доставчици и в продължение на няколко години в нашата лаборатория успях да навляза в архитектурата на всеки голям разработчик на софтуерно дефинирани решения. SD-WAN от Fortinet стои малко по-различно тук, който просто вгради функционалността за балансиране на трафика между комуникационните канали в софтуера на защитната стена. Решението е по-скоро демократично, така че обикновено се обмисля от компании, които все още не са готови за глобални промени, но искат да използват своите комуникационни канали по-ефективно.

В тази статия искам да ви кажа как да конфигурирате и работите с SD-WAN от Fortinet, за кого е подходящо това решение и какви клопки може да срещнете тук.

Най-видните играчи на SD-WAN пазара могат да бъдат класифицирани в един от двата вида:

1. Стартъпи, които са създали SD-WAN решения от нулата. Най-успешните от тях получават огромен тласък за развитие, след като са закупени от големи компании – това е историята на Cisco/Viptela, VMWare/VeloCloud, Nuage/Nokia

2. Големи мрежови доставчици, които създадоха SD-WAN решения, развивайки програмируемостта и управляемостта на своите традиционни рутери - това е историята на Juniper, Huawei

Fortinet успя да намери своя път. Софтуерът на защитната стена имаше вградена функционалност, която направи възможно комбинирането на техните интерфейси във виртуални канали и балансирането на натоварването между тях с помощта на сложни алгоритми в сравнение с конвенционалното маршрутизиране. Тази функционалност беше наречена SD-WAN. Може ли това, което направи Fortinet, да се нарече SD-WAN? Пазарът постепенно разбира, че софтуерно дефинираният означава отделяне на Control Plane от Data Plane, специални контролери и оркестратори. Fortinet няма нищо подобно. Централизираното управление не е задължително и се предлага чрез традиционния инструмент Fortimanager. Но според мен не бива да търсите абстрактна истина и да губите време в спорове за термини. В реалния свят всеки подход има своите предимства и недостатъци. Най-добрият изход е да ги разберете и да можете да изберете решения, които отговарят на задачите.

Ще се опитам да ви разкажа със скрийншоти в ръка как изглежда SD-WAN от Fortinet и какво може да прави.

Как работи всичко

Да приемем, че имате два клона, свързани с два канала за данни. Тези връзки за данни се комбинират в група, подобно на това как обикновените Ethernet интерфейси се комбинират в LACP-Port-Channel. Старите хора ще си спомнят PPP Multilink - също подходяща аналогия. Каналите могат да бъдат физически портове, VLAN SVI, както и VPN или GRE тунели.

VPN или GRE обикновено се използват при свързване на клонови локални мрежи през интернет. И физически портове - ако има L2 връзки между сайтове или при свързване през специален MPLS/VPN, ако сме доволни от връзката без Overlay и криптиране. Друг сценарий, при който се използват физически портове в SD-WAN група, е балансирането на локалния достъп на потребителите до Интернет.

На нашия щанд има четири защитни стени и два VPN тунела, работещи през два „комуникационни оператора“. Диаграмата изглежда така:

VPN тунелите са конфигурирани в режим на интерфейс, така че да са подобни на връзките от точка до точка между устройства с IP адреси на P2P интерфейси, които могат да бъдат пингвани, за да се гарантира, че комуникацията през конкретен тунел работи. За да може трафикът да бъде криптиран и да отиде в противоположната страна, достатъчно е да го насочите в тунела. Алтернативата е да се избира трафик за криптиране чрез списъци с подмрежи, което силно обърква администратора, тъй като конфигурацията става по-сложна. В голяма мрежа можете да използвате технологията ADVPN за изграждане на VPN; това е аналог на DMVPN от Cisco или DVPN от Huawei, което позволява по-лесна настройка.

Site-to-Site VPN конфигурация за две устройства с BGP маршрутизиране от двете страни

«ЦОД» (DC)
«Филиал» (BRN)

config system interface
 edit "WAN1"
  set vdom "Internet"
  set ip 1.1.1.1 255.255.255.252
  set allowaccess ping
  set role wan
  set interface "DC-BRD"
  set vlanid 111
 next
 edit "WAN2"
  set vdom "Internet"
  set ip 3.3.3.1 255.255.255.252
  set allowaccess ping
  set role lan
  set interface "DC-BRD"
  set vlanid 112
 next
 edit "BRN-Ph1-1"
  set vdom "Internet"
  set ip 192.168.254.1 255.255.255.255
  set allowaccess ping
  set type tunnel
  set remote-ip 192.168.254.2 255.255.255.255
  set interface "WAN1"
 next
 edit "BRN-Ph1-2"
  set vdom "Internet"
  set ip 192.168.254.3 255.255.255.255
  set allowaccess ping
  set type tunnel
  set remote-ip 192.168.254.4 255.255.255.255
  set interface "WAN2"
 next
end

config vpn ipsec phase1-interface
 edit "BRN-Ph1-1"
  set interface "WAN1"
  set local-gw 1.1.1.1
  set peertype any
  set net-device disable
  set proposal aes128-sha1
  set dhgrp 2
  set remote-gw 2.2.2.1
  set psksecret ***
 next
 edit "BRN-Ph1-2"
  set interface "WAN2"
  set local-gw 3.3.3.1
  set peertype any
  set net-device disable
  set proposal aes128-sha1
  set dhgrp 2
  set remote-gw 4.4.4.1
  set psksecret ***
 next
end

config vpn ipsec phase2-interface
 edit "BRN-Ph2-1"
  set phase1name "BRN-Ph1-1"
  set proposal aes256-sha256
  set dhgrp 2
 next
 edit "BRN-Ph2-2"
  set phase1name "BRN-Ph1-2"
  set proposal aes256-sha256
  set dhgrp 2
 next
end

config router static
 edit 1
  set gateway 1.1.1.2
  set device "WAN1"
 next
 edit 3
  set gateway 3.3.3.2
  set device "WAN2"
 next
end

config router bgp
 set as 65002
 set router-id 10.1.7.1
 set ebgp-multipath enable
 config neighbor
  edit "192.168.254.2"
   set remote-as 65003
  next
  edit "192.168.254.4"
   set remote-as 65003
  next
 end

 config network
  edit 1
   set prefix 10.1.0.0 255.255.0.0
  next
end

config system interface
 edit "WAN1"
  set vdom "Internet"
  set ip 2.2.2.1 255.255.255.252
  set allowaccess ping
  set role wan
  set interface "BRN-BRD"
  set vlanid 111
 next
 edit "WAN2"
  set vdom "Internet"
  set ip 4.4.4.1 255.255.255.252
  set allowaccess ping
  set role wan
  set interface "BRN-BRD"
  set vlanid 114
 next
 edit "DC-Ph1-1"
  set vdom "Internet"
  set ip 192.168.254.2 255.255.255.255
  set allowaccess ping
  set type tunnel
  set remote-ip 192.168.254.1 255.255.255.255
  set interface "WAN1"
 next
 edit "DC-Ph1-2"
  set vdom "Internet"
  set ip 192.168.254.4 255.255.255.255
  set allowaccess ping
  set type tunnel
  set remote-ip 192.168.254.3 255.255.255.255
  set interface "WAN2"
 next
end

config vpn ipsec phase1-interface
  edit "DC-Ph1-1"
   set interface "WAN1"
   set local-gw 2.2.2.1
   set peertype any
   set net-device disable
   set proposal aes128-sha1
   set dhgrp 2
   set remote-gw 1.1.1.1
   set psksecret ***
  next
  edit "DC-Ph1-2"
   set interface "WAN2"
   set local-gw 4.4.4.1
   set peertype any
   set net-device disable
   set proposal aes128-sha1
   set dhgrp 2
   set remote-gw 3.3.3.1
   set psksecret ***
  next
end

config vpn ipsec phase2-interface
  edit "DC-Ph2-1"
   set phase1name "DC-Ph1-1"
   set proposal aes128-sha1
   set dhgrp 2
  next
  edit "DC2-Ph2-2"
   set phase1name "DC-Ph1-2"
   set proposal aes128-sha1
   set dhgrp 2
  next
end

config router static
 edit 1
  set gateway 2.2.2.2
  et device "WAN1"
 next
 edit 3
  set gateway 4.4.4.2
  set device "WAN2"
 next
end

config router bgp
  set as 65003
  set router-id 10.200.7.1
  set ebgp-multipath enable
  config neighbor
   edit "192.168.254.1"
    set remote-as 65002
   next
  edit "192.168.254.3"
   set remote-as 65002
   next
  end

  config network
   edit 1
    set prefix 10.200.0.0 255.255.0.0
   next
end

Предоставям конфигурацията в текстова форма, защото според мен е по-удобно да конфигурирате VPN по този начин. Почти всички настройки са еднакви от двете страни, в текстов вид могат да се правят като копи-пейст. Ако направите същото в уеб интерфейса, лесно е да направите грешка - забравете някъде отметка, въведете грешна стойност.

След като добавихме интерфейсите към пакета

всички маршрути и политики за сигурност могат да се отнасят към него, а не към интерфейсите, включени в него. Като минимум трябва да разрешите трафик от вътрешни мрежи към SD-WAN. Когато създавате правила за тях, можете да приложите защитни мерки като IPS, антивирусни и HTTPS разкриване.

Правилата за SD-WAN са конфигурирани за пакета. Това са правила, които определят алгоритъма за балансиране на конкретен трафик. Те са подобни на политиките за маршрутизиране в базираното на правила маршрутизиране, само че в резултат на трафик, попадащ в правилата, не се инсталира следващият хоп или обичайният изходящ интерфейс, а интерфейсите, добавени към SD-WAN пакета плюс алгоритъм за балансиране на трафика между тези интерфейси.

Трафикът може да бъде отделен от общия поток чрез L3-L4 информация, чрез разпознати приложения, интернет услуги (URL и IP), както и чрез разпознати потребители на работни станции и лаптопи. След това един от следните алгоритми за балансиране може да бъде присвоен на разпределения трафик:

В списъка с предпочитания за интерфейс се избират онези интерфейси от вече добавените към пакета, които ще обслужват този тип трафик. Като добавите не всички интерфейси, можете да ограничите точно кои канали използвате, да речем, имейл, ако не искате да натоварвате скъпите канали с високо SLA с него. Във FortiOS 6.4.1 стана възможно да се групират интерфейси, добавени към пакета SD-WAN в зони, създавайки например една зона за комуникация с отдалечени сайтове и друга за локален достъп до Интернет чрез NAT. Да, да, трафикът, който отива към обикновения интернет, също може да бъде балансиран.

Относно алгоритмите за балансиране

По отношение на това как Fortigate (защитна стена от Fortinet) може да разделя трафика между каналите, има две интересни опции, които не са много често срещани на пазара:

Най-ниска цена (SLA) – от всички интерфейси, които в момента удовлетворяват SLA, се избира този с по-малка тежест (цена), зададена ръчно от администратора; този режим е подходящ за „масов“ трафик като архивиране и прехвърляне на файлове.

Най-добро качество (SLA) – този алгоритъм, в допълнение към обичайното забавяне, трептене и загуба на Fortigate пакети, може също да използва текущото натоварване на канала, за да оцени качеството на каналите; Този режим е подходящ за чувствителен трафик като VoIP и видеоконференции.

Тези алгоритми изискват настройка на измервател на ефективността на комуникационния канал - Performance SLA. Този измервателен уред периодично (интервал на проверка) следи информация за спазването на SLA: загуба на пакети, латентност и трептене в комуникационния канал и може да „отхвърли“ онези канали, които в момента не отговарят на праговете за качество – те губят твърде много пакети или изпитват също много латентност. В допълнение, измервателният уред следи състоянието на канала и може временно да го премахне от пакета в случай на повтаряща се загуба на отговори (откази преди неактивност). При възстановяване, след няколко последователни отговора (възстановяване на връзка след), измервателният уред автоматично ще върне канала към пакета и данните ще започнат да се предават отново през него.

Ето как изглежда настройката „метър“:

В уеб интерфейса ICMP-Echo-заявка, HTTP-GET и DNS заявка са налични като тестови протоколи. Има малко повече опции в командния ред: налични са TCP-echo и UDP-echo опции, както и специализиран протокол за измерване на качеството - TWAMP.

Резултатите от измерването могат да се видят и в уеб интерфейса:

И на командния ред:

Отстраняване на неизправности

Ако сте създали правило, но всичко не работи според очакванията, трябва да погледнете стойността на броя на посещенията в списъка с правила на SD-WAN. Ще покаже дали трафикът изобщо попада в това правило:

На страницата с настройки на самия измервателен уред можете да видите промяната в параметрите на канала с течение на времето. Пунктираната линия показва праговата стойност на параметъра

В уеб интерфейса можете да видите как трафикът се разпределя според количеството предадени/получени данни и броя на сесиите:

В допълнение към всичко това има отлична възможност за проследяване на преминаването на пакети с максимална детайлност. Когато работите в реална мрежа, конфигурацията на устройството натрупва много политики за маршрутизиране, защитна стена и разпределение на трафика през SD-WAN портове. Всичко това взаимодейства помежду си по сложен начин и въпреки че доставчикът предоставя подробни блокови диаграми на алгоритми за обработка на пакети, е много важно да можете да не изграждате и тествате теории, а да видите къде всъщност отива трафикът.

Например, следният набор от команди

diagnose debug flow filter saddr 10.200.64.15
diagnose debug flow filter daddr 10.1.7.2
diagnose debug flow show function-name
diagnose debug enable
diagnose debug trace 2

Позволява ви да проследите два пакета с адрес на източник 10.200.64.15 и адрес на местоназначение 10.1.7.2.
Пингваме 10.7.1.2 от 10.200.64.15 два пъти и гледаме изхода на конзолата.

Първи пакет:

Втори пакет:

Ето първия пакет, получен от защитната стена:
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0."
VDOM – Internet, Proto=1 (ICMP), DMZ-Office – название L3-интерфейса. Type=8 – Echo.

За него е създадена нова сесия:
msg="allocate a new session-0006a627"

И беше намерено съвпадение в настройките на правилата за маршрутизиране
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"

Оказва се, че пакетът трябва да бъде изпратен до един от VPN тунелите:
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"

Следното разрешаващо правило е открито в правилата на защитната стена:
msg="Allowed by Policy-3:"

Пакетът е криптиран и изпратен до VPN тунела:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1"
func=esp_output4 line=905 msg="IPsec encrypt/auth"

Шифрованият пакет се изпраща до адреса на шлюза за този WAN интерфейс:
msg="send to 2.2.2.2 via intf-WAN1"

За втория пакет всичко се случва по същия начин, но той се изпраща до друг VPN тунел и излиза през различен порт на защитната стена:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"

Плюсове на решението

Надеждна функционалност и удобен за потребителя интерфейс. Наборът от функции, който беше наличен във FortiOS преди появата на SD-WAN, е напълно запазен. Тоест ние нямаме новоразработен софтуер, а зряла система от доказан доставчик на защитна стена. С традиционен набор от мрежови функции, удобен и лесен за научаване уеб интерфейс. Колко доставчици на SD-WAN имат, да речем, VPN функционалност за отдалечен достъп на крайни устройства?

Ниво на сигурност 80. FortiGate е едно от най-добрите решения за защитна стена. В интернет има много материали за настройка и администриране на защитни стени, а на пазара на труда има много специалисти по сигурността, които вече са усвоили решенията на доставчика.

Нулева цена за SD-WAN функционалност. Изграждането на SD-WAN мрежа на FortiGate струва същото като изграждането на обикновена WAN мрежа върху нея, тъй като не са необходими допълнителни лицензи за прилагане на SD-WAN функционалност.

Ниска входна бариера цена. Fortigate има добра градация на устройства за различни нива на производителност. Най-младите и най-евтините модели са доста подходящи за разширяване на офис или точка на продажба с, да речем, 3-5 служители. Много продавачи просто нямат толкова нископроизводителни и достъпни модели.

Висока производителност. Намаляването на функционалността на SD-WAN до балансиране на трафика позволи на компанията да пусне специализиран SD-WAN ASIC, благодарение на който работата на SD-WAN не намалява производителността на защитната стена като цяло.

Възможност за внедряване на цял офис на оборудване на Fortinet. Това са чифт защитни стени, комутатори, Wi-Fi точки за достъп. Такъв офис е лесен и удобен за управление – суичовете и точките за достъп се регистрират на защитни стени и се управляват от тях. Например, ето как може да изглежда порт на превключвател от интерфейса на защитната стена, който управлява този превключвател:

Липса на контролери като единична точка на отказ. Самият доставчик се фокусира върху това, но това може да се нарече полза само отчасти, защото за тези доставчици, които имат контролери, осигуряването на тяхната устойчивост на грешки е евтино, най-често на цената на малко количество изчислителни ресурси във виртуализационна среда.

Какво да търсите

Няма разделение между Control Plane и Data Plane. Това означава, че мрежата трябва да бъде конфигурирана ръчно или с помощта на вече наличните традиционни инструменти за управление - FortiManager. За доставчиците, които са въвели такова разделяне, мрежата се сглобява сама. Администраторът може да трябва само да коригира топологията си, да забрани нещо някъде, нищо повече. Козът на FortiManager обаче е, че може да управлява не само защитни стени, но и комутатори и Wi-Fi точки за достъп, тоест почти цялата мрежа.

Условно повишаване на управляемостта. Поради факта, че традиционните инструменти се използват за автоматизиране на мрежовата конфигурация, управляемостта на мрежата с въвеждането на SD-WAN леко се увеличава. От друга страна, новата функционалност става достъпна по-бързо, тъй като доставчикът първо я пуска само за операционната система на защитната стена (което веднага прави възможно използването й) и едва след това допълва системата за управление с необходимите интерфейси.

Някои функции може да са достъпни от командния ред, но не са достъпни от уеб интерфейса. Понякога не е толкова страшно да влезете в командния ред, за да конфигурирате нещо, но е страшно да не видите в уеб интерфейса, че някой вече е конфигурирал нещо от командния ред. Но това обикновено се отнася за най-новите функции и постепенно, с актуализациите на FortiOS, възможностите на уеб интерфейса се подобряват.

За да отговарят

За тези, които нямат много клонове. Внедряването на SD-WAN решение със сложни централни компоненти в мрежа от 8-10 клона може да не струва свещта - ще трябва да харчите пари за лицензи за SD-WAN устройства и ресурси на системата за виртуализация, за да хоствате централните компоненти. Малката компания обикновено разполага с ограничени безплатни изчислителни ресурси. В случая с Fortinet е достатъчно просто да закупите защитни стени.

За тези, които имат много малки клонове. За много доставчици минималната цена на решение за клон е доста висока и може да не е интересна от гледна точка на бизнеса на крайния клиент. Fortinet предлага малки устройства на много атрактивни цени.

За тези, които все още не са готови да стъпят твърде далеч. Внедряването на SD-WAN с контролери, собствено маршрутизиране и нов подход към мрежовото планиране и управление може да се окаже твърде голяма стъпка за някои клиенти. Да, такова внедряване в крайна сметка ще помогне за оптимизиране на използването на комуникационните канали и работата на администраторите, но първо ще трябва да научите много нови неща. За тези, които все още не са готови за промяна на парадигмата, но искат да изстискат повече от комуникационните си канали, решението от Fortinet е точното.

Източник: www.habr.com