A ghjudicà da u numeru di dumande chì hà cuminciatu à ghjunghje à noi via SD-WAN, a tecnulugia hà cuminciatu à arradicà bè in Russia. I venditori, naturalmente, ùn sò micca dorme è offrenu i so cuncetti, è certi pionieri valenti sò digià implementati in e so rete.
Travagliemu cù quasi tutti i venditori, è annantu à parechji anni in u nostru laburatoriu, aghju sappiutu sfondà in l'architettura di ogni sviluppatore maiò di suluzioni definite da u software. SD-WAN da Fortinet hè un pocu apartu quì, chì simpricimenti hà custruitu a funziunalità di equilibrà u trafficu trà i canali di cumunicazione in u software firewall. A suluzione hè piuttostu demucratica, cusì hè generalmente cunsiderata da e cumpagnie chì ùn sò ancu pronti per i cambiamenti globale, ma volenu aduprà i so canali di cumunicazione in modu più efficace.
In questu articulu, vogliu dì cumu cunfigurà è travaglià cù SD-WAN da Fortinet, quale sta suluzione hè adattata per è quale trappule pudete truvà quì.
I attori più prominenti in u mercatu SD-WAN ponu esse classificati in unu di dui tipi:
1. Startups chì anu creatu soluzioni SD-WAN da zero. I più riesciuti di questi ricevenu un impetu enormu per u sviluppu dopu esse compru da e grande cumpagnie - questa hè a storia di Cisco / Viptela, VMWare / VeloCloud, Nuage / Nokia
2. Grandi venditori di rete chì anu criatu suluzioni SD-WAN, sviluppendu a programabilità è a gestione di i so routers tradiziunali - questa hè a storia di Juniper, Huawei
Fortinet hà sappiutu truvà u so modu. U software di firewall avia una funziunalità integrata chì hà permessu di cumminà e so interfacce in canali virtuali è equilibrà a carica trà elli utilizendu algoritmi cumplessi cumparatu cù u routing convenzionale. Questa funziunalità hè stata chjamata SD-WAN. Chì Fortinet hà fattu esse chjamatu SD-WAN? U mercatu capisce gradualmente chì Software-Defined significa a separazione di u Pianu di Controlu da u Pianu di Dati, cuntrolli dedicati è orchestratori. Fortinet ùn hà nunda cusì. A gestione centralizata hè opzionale è offerta à traversu l'uttellu tradiziunale Fortimanager. Ma in u mo parè, ùn deve micca circà a verità astratta è perde u tempu discutendu i termini. In u mondu reale, ogni approcciu hà i so vantaghji è svantaghji. U megliu modu di esce hè di capiscenu è di pudè sceglie suluzioni chì currispondenu à i travaglii.
Pruvaraghju di dì cù screenshots in manu ciò chì SD-WAN da Fortinet s'assumiglia è ciò chì pò fà.
Cumu tuttu funziona
Assumimu chì avete dui rami cunnessi da dui canali di dati. Questi ligami di dati sò cumminati in un gruppu, simili à cumu l'interfacce Ethernet regulari sò cumminati in un LACP-Port-Channel. I vechji si ricordanu di PPP Multilink - ancu una analogia adatta. I canali ponu esse porti fisici, VLAN SVI, è ancu tunnelli VPN o GRE.
VPN o GRE sò tipicamente utilizati per cunnette e rete locale di filiale in Internet. E porti fisichi - s'ellu ci sò cunnessione L2 trà i siti, o quandu cunnessu nantu à un MPLS / VPN dedicatu, se simu cuntentu di a cunnessione senza Overlay è criptografia. Un altru scenariu in quale i porti fisichi sò usati in un gruppu SD-WAN hè di equilibrà l'accessu lucale di l'utilizatori à Internet.
À u nostru stand ci sò quattru firewalls è dui tunnels VPN chì operanu attraversu dui "operatori di cumunicazione". U diagramma si vede cusì:
I tunnelli VPN sò cunfigurati in modu di interfaccia in modu chì sò simili à e cunnessione puntu à puntu trà i dispositi cù l'indirizzi IP nantu à l'interfacce P2P, chì ponu esse ping per assicurà chì a cumunicazione attraversu un tunnel particulari funziona. Per chì u trafficu sia criptatu è andate à u latu oppostu, hè abbastanza per indirizzà in u tunnel. L'alternativa hè di selezziunà u trafficu per a criptografia utilizendu listi di subnets, chì cunfunde assai l'amministratore cum'è a cunfigurazione diventa più cumplessa. In una grande reta, pudete aduprà a tecnulugia ADVPN per custruisce una VPN; questu hè un analogu di DMVPN da Cisco o DVPN da Huawei, chì permette una cunfigurazione più faciule.
Config VPN Site-to-Site per dui dispositi cù routing BGP da i dui lati
«ЦОД» (DC)
«Филиал» (BRN)
config system interface
edit "WAN1"
set vdom "Internet"
set ip 1.1.1.1 255.255.255.252
set allowaccess ping
set role wan
set interface "DC-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 3.3.3.1 255.255.255.252
set allowaccess ping
set role lan
set interface "DC-BRD"
set vlanid 112
next
edit "BRN-Ph1-1"
set vdom "Internet"
set ip 192.168.254.1 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.2 255.255.255.255
set interface "WAN1"
next
edit "BRN-Ph1-2"
set vdom "Internet"
set ip 192.168.254.3 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.4 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "BRN-Ph1-1"
set interface "WAN1"
set local-gw 1.1.1.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 2.2.2.1
set psksecret ***
next
edit "BRN-Ph1-2"
set interface "WAN2"
set local-gw 3.3.3.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 4.4.4.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "BRN-Ph2-1"
set phase1name "BRN-Ph1-1"
set proposal aes256-sha256
set dhgrp 2
next
edit "BRN-Ph2-2"
set phase1name "BRN-Ph1-2"
set proposal aes256-sha256
set dhgrp 2
next
end
config router static
edit 1
set gateway 1.1.1.2
set device "WAN1"
next
edit 3
set gateway 3.3.3.2
set device "WAN2"
next
end
config router bgp
set as 65002
set router-id 10.1.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.2"
set remote-as 65003
next
edit "192.168.254.4"
set remote-as 65003
next
end
config network
edit 1
set prefix 10.1.0.0 255.255.0.0
next
end
config system interface
edit "WAN1"
set vdom "Internet"
set ip 2.2.2.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 4.4.4.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 114
next
edit "DC-Ph1-1"
set vdom "Internet"
set ip 192.168.254.2 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.1 255.255.255.255
set interface "WAN1"
next
edit "DC-Ph1-2"
set vdom "Internet"
set ip 192.168.254.4 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.3 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "DC-Ph1-1"
set interface "WAN1"
set local-gw 2.2.2.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 1.1.1.1
set psksecret ***
next
edit "DC-Ph1-2"
set interface "WAN2"
set local-gw 4.4.4.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 3.3.3.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "DC-Ph2-1"
set phase1name "DC-Ph1-1"
set proposal aes128-sha1
set dhgrp 2
next
edit "DC2-Ph2-2"
set phase1name "DC-Ph1-2"
set proposal aes128-sha1
set dhgrp 2
next
end
config router static
edit 1
set gateway 2.2.2.2
et device "WAN1"
next
edit 3
set gateway 4.4.4.2
set device "WAN2"
next
end
config router bgp
set as 65003
set router-id 10.200.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.1"
set remote-as 65002
next
edit "192.168.254.3"
set remote-as 65002
next
end
config network
edit 1
set prefix 10.200.0.0 255.255.0.0
next
end
Fornitu a cunfigurazione in forma di testu, perchè, in my opinion, hè più còmuda di cunfigurà a VPN in questu modu. Quasi tutti i paràmetri sò listessi da i dui lati; in forma di testu ponu esse fatti cum'è copia-incolla. Se fate a stessa cosa in l'interfaccia web, hè faciule fà un sbagliu - scurdate di una marca di spunta in qualchì locu, inserite u valore sbagliatu.
Dopu avemu aghjustatu l'interfaccia à u fasciu
tutte e rotte è e pulitiche di sicurità ponu riferite à questu, è micca à l'interfacce incluse in questu. À u minimu, avete bisognu di permette u trafficu da e rete internu à SD-WAN. Quandu creanu regule per elli, pudete applicà misure protettive cum'è IPS, antivirus è divulgazione HTTPS.
E regule SD-WAN sò cunfigurate per u bundle. Quessi sò reguli chì definiscenu l'algoritmu di equilibriu per u trafficu specificu. Sò simili à e pulitiche di routing in Routing Basatu in Politica, solu per via di u trafficu chì cascà sottu à a pulitica, ùn hè micca u prossimu-hop o l'interfaccia di u solitu chì hè stallatu, ma l'interfacce aghjuntu à u bundle SD-WAN plus. un algoritmu di equilibriu di trafficu trà queste interfacce.
U trafficu pò esse separatu da u flussu generale da l'infurmazioni L3-L4, da applicazioni ricunnisciute, servizii Internet (URL è IP), è ancu da utilizatori ricunnisciuti di stazioni di travagliu è laptops. Dopu questu, unu di i seguenti algoritmi di equilibriu pò esse assignatu à u trafficu attribuitu:
In a lista di Preferenze di l'interfaccia, quelli interfacce di quelli chì sò digià aghjuntu à u fasciu chì serve stu tipu di trafficu sò selezziunati. Aghjunghjendu micca tutte l'interfacce, pudete limità esattamente quali canali utilizate, per dì, email, se ùn vulete micca caricate i canali caru cù un altu SLA cun ellu. In FortiOS 6.4.1, hè diventatu pussibule di aggrupà l'interfacce aghjuntu à u bundle SD-WAN in zoni, creendu, per esempiu, una zona per a cumunicazione cù siti remoti, è una altra per l'accessu à Internet locale cù NAT. Iè, iè, u trafficu chì và à l'Internet regulare pò ancu esse equilibratu.
Circa l'algoritmi di equilibriu
In quantu Fortigate (un firewall da Fortinet) pò sparte u trafficu trà i canali, ci sò duie opzioni interessanti chì ùn sò micca assai cumuni in u mercatu:
U costu più bassu (SLA) - da tutte l'interfacce chì satisfacenu l'SLA in u mumentu, hè sceltu quellu cù u pesu più minimu (costu), stabilitu manualmente da l'amministratore; stu modu hè adattatu per u trafficu "masse" cum'è backups è trasferimenti di schedari.
A megliu qualità (SLA) - questu algoritmu, in più di u solitu ritardu, jitter è perdita di pacchetti Fortigate, pò ancu aduprà a carica di u canali attuale per valutà a qualità di i canali; Stu modu hè adattatu per u trafficu sensitivu cum'è VoIP è videoconferenza.
Questi algoritmi necessitanu di stallà un metru di rendiment di u canali di cumunicazione - Performance SLA. Stu metru periodicamente (check interval) cuntrolla l'infurmazioni nantu à u rispettu di SLA: perdita di pacchetti, ritardu (latenza) è jitter (jitter) in u canali di cumunicazione - è pò "rigettà" quelli canali chì attualmente ùn scontranu micca i limiti di qualità - sò perdendu. troppu pacchetti o sperendu troppu latenza. In più, u metru monitors u statutu di u canali, è pò caccià temporaneamente da u fasciu in casu di perdita ripetuta di risposti (fallimenti prima inattivu). Quandu hà restauratu, dopu chì parechji risposti consecutivi sò ghjunti (risturà u ligame dopu), u metru hà da rinvià automaticamente u canali à u fasciu, è e dati cumincianu à esse trasmessi per ellu.
Questu hè u paràmetru di "meter" cum'è:
In l'interfaccia web, ICMP-Echo-request, HTTP-GET è dumanda DNS sò dispunibuli cum'è protokolli di prova. Ci hè un pocu più d'opzioni nantu à a linea di cummanda: TCP-echo è UDP-echo opzioni sò dispunibili, è ancu un protocolu di misurazione di qualità specializatu - TWAMP.
I risultati di a misura pò ancu esse vistu in l'interfaccia web:
È nantu à a linea di cummanda:
Risoluzione di prublemi
Se avete creatu una regula, ma tuttu ùn funziona micca cum'è previstu, duvete guardà u valore di Hit Count in a lista di Regoli SD-WAN. Dimustrarà se u trafficu cade in questa regula in tuttu:
In a pagina di paràmetri di u metru stessu, pudete vede u cambiamentu in i paràmetri di u canali cù u tempu. A linea punteggiata indica u valore di u limitu di u paràmetru
In l'interfaccia web pudete vede cumu u trafficu hè distribuitu da a quantità di dati trasmessi / ricivuti è u numeru di sessioni:
In più di tuttu questu, ci hè una excelente opportunità per seguità u passaghju di pacchetti cù u massimu dittagli. Quandu travaglia in una reta reale, a cunfigurazione di u dispositivu accumula parechje pulitiche di routing, firewall, è distribuzione di trafficu in i porti SD-WAN. Tuttu chistu interagisce cù l'altri in una manera cumplessa, è ancu s'ellu u vinditore furnisce diagrammi di blocchi detallati di algoritmi di processazione di pacchetti, hè assai impurtante per ùn pudè micca custruisce è pruvà teorii, ma per vede induve u trafficu veramente va.
Per esempiu, u seguitu inseme di cumandamenti
diagnose debug flow filter saddr 10.200.64.15
diagnose debug flow filter daddr 10.1.7.2
diagnose debug flow show function-name
diagnose debug enable
diagnose debug trace 2
Permette di seguità dui pacchetti cù un indirizzu fonte di 10.200.64.15 è un indirizzu di destinazione di 10.1.7.2.
Facemu ping 10.7.1.2 da 10.200.64.15 duie volte è fighjemu a pruduzzioni nantu à a cunsola.
Primu pacchettu:
Second pacchettu:
Eccu u primu pacchettu ricevutu da u firewall:
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0."
VDOM – Internet, Proto=1 (ICMP), DMZ-Office – название L3-интерфейса. Type=8 – Echo.
Una nova sessione hè stata creata per ellu:
msg="allocate a new session-0006a627"
È una partita hè stata truvata in i paràmetri di a pulitica di routing
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"
Risulta chì u pacchettu deve esse mandatu à unu di i tunnel VPN:
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"
A seguente regula chì permette hè rilevata in e pulitiche di firewall:
msg="Allowed by Policy-3:"
U pacchettu hè criptatu è mandatu à u tunnel VPN:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
U pacchettu criptatu hè mandatu à l'indirizzu gateway per questa interfaccia WAN:
msg="send to 2.2.2.2 via intf-WAN1"
Per u sicondu pacchettu, tuttu succede in listessa manera, ma hè mandatu à un altru tunnel VPN è esce da un altru portu di firewall:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"
Pros di a suluzione
Funzionalità affidabile è interfaccia user-friendly. L'inseme di funzioni dispunibili in FortiOS prima di l'avventu di SD-WAN hè stata cunservata cumplettamente. Questu hè, ùn avemu micca un software novu sviluppatu, ma un sistema maturu da un venditore di firewall pruvucatu. Cù un inseme tradiziunale di funzioni di rete, una interfaccia web còmuda è faciule d'amparà. Quanti venditori di SD-WAN anu, per esempiu, funziunalità VPN di Accessu Remote in i dispositi finali?
Livellu di sicurità 80. FortiGate hè unu di i più suluzioni firewall. Ci hè assai materiale in Internet nantu à l'installazione è l'amministrazione di firewalls, è in u mercatu di u travagliu ci sò parechji specialisti di sicurità chì anu digià maestru di e soluzioni di u venditore.
Prezzu zero per a funziunalità SD-WAN. Custruì una rete SD-WAN nantu à FortiGate costa u listessu cum'è custruisce una rete WAN regulare nantu à questu, postu chì ùn ci hè micca bisognu di licenze supplementari per implementà a funziunalità SD-WAN.
Prezzu di barriera d'entrata bassu. Fortigate hà una bona gradazione di i dispositi per diversi livelli di rendiment. I mudelli più ghjovani è più prezzu sò abbastanza adattati per espansione un uffiziu o un puntu di vendita, per esempiu, 3-5 impiegati. Parechji venditori simpricimenti ùn anu micca tali mudelli di rendiment bassu è assequible.
Alta prestazione. A riduzzione di a funziunalità SD-WAN à u equilibriu di u trafficu hà permessu à a cumpagnia di liberà un ASIC SD-WAN specializatu, grazia à quale l'operazione SD-WAN ùn reduce u rendiment di u firewall in tuttu.
A capacità di implementà un uffiziu sanu nantu à l'equipaggiu Fortinet. Quessi sò un paru di firewalls, switches, punti d'accessu Wi-Fi. Un tali uffiziu hè faciule è cunvene di gestisce - i switches è i punti d'accessu sò registrati nantu à i firewall è gestiti da elli. Per esempiu, questu hè ciò chì un portu di switch puderia esse da l'interfaccia di firewall chì cuntrola stu switch:
Mancanza di cuntrolli cum'è un puntu unicu di fallimentu. U vinditore stessu si focalizeghja nantu à questu, ma questu pò esse chjamatu solu un benefiziu in parte, perchè per quelli vinditori chì anu cuntrolli, assicurendu a so toleranza di difetti ùn hè micca prezzu, più spessu à u prezzu di una piccula quantità di risorse di computing in un ambiente di virtualizazione.
Ciò chì aspittà
Nisuna separazione trà u pianu di cuntrollu è u pianu di dati. Questu significa chì a reta deve esse cunfigurata manualmente o utilizendu e strumenti di gestione tradiziunali digià dispunibili - FortiManager. Per i venditori chì anu implementatu una tale separazione, a reta hè assemblata stessu. L'amministratore pò solu bisognu di aghjustà a so topologia, pruibisce qualcosa in qualchì locu, nunda di più. In ogni casu, a carta di forza di FortiManager hè chì pò gestisce micca solu firewalls, ma ancu switches è punti d'accessu Wi-Fi, vale à dì, quasi tutta a reta.
Aumentu cundiziunale di cuntrollu. A causa di u fattu chì i strumenti tradiziunali sò usati per automatizà a cunfigurazione di a rete, a gestione di a rete cù l'intruduzioni di SD-WAN aumenta ligeramente. Per d 'altra banda, a nova funziunalità diventa più veloce, postu chì u venditore prima libera solu per u sistema operatore firewall (chì permette immediatamente di usà), è solu dopu supplementa u sistema di gestione cù l'interfacce necessarii.
Alcune funziunalità pò esse dispunibule da a linea di cummanda, ma ùn hè micca dispunibule da l'interfaccia web. A volte ùn hè micca cusì spaventosa per andà in a linea di cumanda per cunfigurà qualcosa, ma hè scantu di ùn vede micca in l'interfaccia web chì qualchissia hà digià cunfiguratu qualcosa da a linea di cummanda. Ma questu generalmente s'applica à e funzioni più recenti è gradualmente, cù l'aghjurnamenti di FortiOS, e capacità di l'interfaccia web sò migliurate.
Per quale hè adattatu?
Per quelli chì ùn anu micca assai rami. L'implementazione di una soluzione SD-WAN cù cumpunenti cintrali cumplessi nantu à una reta di rami 8-10 ùn pò micca custà a candela - avete da spende soldi in licenze per i dispositi SD-WAN è risorse di u sistema di virtualizazione per accoglie i cumpunenti cintrali. Una piccula cumpagnia di solitu hà risorse informatiche gratuite limitate. In u casu di Fortinet, basta à cumprà solu firewalls.
Per quelli chì anu assai rami chjuchi. Per parechji venditori, u prezzu minimu di suluzione per ramu hè abbastanza altu è pò esse micca interessante da u puntu di vista di l'affari di u cliente finale. Fortinet offre i picculi dispositi à prezzi assai attraenti.
Per quelli chì ùn sò micca pronti à passà troppu luntanu. L'implementazione di SD-WAN cù cuntrolli, routing proprietariu, è un novu approcciu à a pianificazione è a gestione di a rete pò esse un passu troppu grande per certi clienti. Iè, una tale implementazione ultimamente aiuterà à ottimisà l'usu di i canali di cumunicazione è u travagliu di l'amministratori, ma prima vi tuccherà à amparà assai cose novi. Per quelli chì ùn sò ancu pronti per un cambiamentu di paradigma, ma volenu stringhje più fora di i so canali di cumunicazione, a suluzione di Fortinet hè ghjustu.
Source: www.habr.com