Soudě podle počtu otázek, které k nám začaly přicházet přes SD-WAN, se tato technologie začala v Rusku důkladně zakořeňovat. Prodejci přirozeně nespí a nabízejí své koncepty a někteří odvážní průkopníci je již implementují do svých sítí.
Spolupracujeme téměř se všemi dodavateli a během několika let se mi v naší laboratoři podařilo proniknout do architektury každého významného vývojáře softwarově definovaných řešení. Trochu stranou zde stojí SD-WAN od společnosti Fortinet, která jednoduše zabudovala funkci vyrovnávání provozu mezi komunikačními kanály do softwaru firewallu. Řešení je spíše demokratické, takže o něm obvykle uvažují společnosti, které ještě nejsou připraveny na globální změny, ale chtějí efektivněji využívat své komunikační kanály.
V tomto článku vám chci říci, jak nakonfigurovat a pracovat s SD-WAN od Fortinetu, pro koho je toto řešení vhodné a na jaká úskalí zde můžete narazit.
Nejvýznamnější hráče na trhu SD-WAN lze rozdělit do dvou typů:
1. Startupy, které vytvořily řešení SD-WAN od začátku. Nejúspěšnější z nich dostávají obrovský impuls k vývoji poté, co je koupily velké společnosti – to je příběh Cisco/Viptela, VMWare/VeloCloud, Nuage/Nokia
2. Velcí síťoví prodejci, kteří vytvořili řešení SD-WAN, rozvíjeli programovatelnost a ovladatelnost svých tradičních routerů – to je příběh společností Juniper, Huawei
Fortinet si dokázal najít cestu. Software brány firewall měl vestavěnou funkcionalitu, která umožňovala kombinovat jejich rozhraní do virtuálních kanálů a vyrovnávat zátěž mezi nimi pomocí složitých algoritmů ve srovnání s konvenčním směrováním. Tato funkce se nazývala SD-WAN. Může se to, co Fortinet nazývat SD-WAN? Trh postupně chápe, že Software-Defined znamená oddělení řídicí roviny od datové roviny, vyhrazených kontrolérů a orchestrátorů. Fortinet nic takového nemá. Centralizovaná správa je volitelná a nabízí se prostřednictvím tradičního nástroje Fortimanager. Ale podle mého názoru byste neměli hledat abstraktní pravdu a ztrácet čas dohadováním se o termínech. V reálném světě má každý přístup své výhody a nevýhody. Nejlepším východiskem je jim porozumět a umět zvolit řešení, která odpovídají zadaným úkolům.
Pokusím se vám se screenshoty v ruce říct, jak SD-WAN od Fortinetu vypadá a co umí.
Jak to všechno funguje
Předpokládejme, že máte dvě větve propojené dvěma datovými kanály. Tato datová spojení jsou sloučena do skupiny, podobně jako běžná ethernetová rozhraní jsou kombinována do LACP-Port-Channel. Památkáři si vzpomenou na PPP Multilink – také vhodné přirovnání. Kanály mohou být fyzické porty, VLAN SVI, stejně jako VPN nebo GRE tunely.
VPN nebo GRE se obvykle používají při připojování pobočkových lokálních sítí přes internet. A fyzické porty – pokud existují L2 spojení mezi weby, nebo při připojení přes dedikovanou MPLS/VPN, pokud jsme spokojeni s připojením bez Overlay a šifrování. Dalším scénářem, ve kterém se ve skupině SD-WAN používají fyzické porty, je vyvážení místního přístupu uživatelů k internetu.
Na našem stánku jsou čtyři firewally a dva VPN tunely fungující přes dva „komunikační operátory“. Diagram vypadá takto:
Tunely VPN jsou nakonfigurovány v režimu rozhraní tak, aby byly podobné spojením typu point-to-point mezi zařízeními s IP adresami na rozhraních P2P, které lze pingnout, aby bylo zajištěno, že komunikace přes konkrétní tunel funguje. Aby byl provoz zašifrován a šel na opačnou stranu, stačí ho nasměrovat do tunelu. Alternativou je výběr provozu pro šifrování pomocí seznamů podsítí, což značně mate správce, protože konfigurace se stává složitější. Ve velké síti můžete k vybudování VPN použít technologii ADVPN; jedná se o obdobu DMVPN od Cisco nebo DVPN od Huawei, což umožňuje snadnější nastavení.
Konfigurace Site-to-Site VPN pro dvě zařízení s BGP směrováním na obou stranách
«ЦОД» (DC)
«Филиал» (BRN)
config system interface
edit "WAN1"
set vdom "Internet"
set ip 1.1.1.1 255.255.255.252
set allowaccess ping
set role wan
set interface "DC-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 3.3.3.1 255.255.255.252
set allowaccess ping
set role lan
set interface "DC-BRD"
set vlanid 112
next
edit "BRN-Ph1-1"
set vdom "Internet"
set ip 192.168.254.1 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.2 255.255.255.255
set interface "WAN1"
next
edit "BRN-Ph1-2"
set vdom "Internet"
set ip 192.168.254.3 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.4 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "BRN-Ph1-1"
set interface "WAN1"
set local-gw 1.1.1.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 2.2.2.1
set psksecret ***
next
edit "BRN-Ph1-2"
set interface "WAN2"
set local-gw 3.3.3.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 4.4.4.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "BRN-Ph2-1"
set phase1name "BRN-Ph1-1"
set proposal aes256-sha256
set dhgrp 2
next
edit "BRN-Ph2-2"
set phase1name "BRN-Ph1-2"
set proposal aes256-sha256
set dhgrp 2
next
end
config router static
edit 1
set gateway 1.1.1.2
set device "WAN1"
next
edit 3
set gateway 3.3.3.2
set device "WAN2"
next
end
config router bgp
set as 65002
set router-id 10.1.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.2"
set remote-as 65003
next
edit "192.168.254.4"
set remote-as 65003
next
end
config network
edit 1
set prefix 10.1.0.0 255.255.0.0
next
end
config system interface
edit "WAN1"
set vdom "Internet"
set ip 2.2.2.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 4.4.4.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 114
next
edit "DC-Ph1-1"
set vdom "Internet"
set ip 192.168.254.2 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.1 255.255.255.255
set interface "WAN1"
next
edit "DC-Ph1-2"
set vdom "Internet"
set ip 192.168.254.4 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.3 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "DC-Ph1-1"
set interface "WAN1"
set local-gw 2.2.2.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 1.1.1.1
set psksecret ***
next
edit "DC-Ph1-2"
set interface "WAN2"
set local-gw 4.4.4.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 3.3.3.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "DC-Ph2-1"
set phase1name "DC-Ph1-1"
set proposal aes128-sha1
set dhgrp 2
next
edit "DC2-Ph2-2"
set phase1name "DC-Ph1-2"
set proposal aes128-sha1
set dhgrp 2
next
end
config router static
edit 1
set gateway 2.2.2.2
et device "WAN1"
next
edit 3
set gateway 4.4.4.2
set device "WAN2"
next
end
config router bgp
set as 65003
set router-id 10.200.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.1"
set remote-as 65002
next
edit "192.168.254.3"
set remote-as 65002
next
end
config network
edit 1
set prefix 10.200.0.0 255.255.0.0
next
end
Konfiguraci poskytuji v textové podobě, protože podle mého názoru je pohodlnější nakonfigurovat VPN tímto způsobem. Téměř všechna nastavení jsou na obou stranách stejná, v textové podobě je lze provést jako copy-paste. Pokud totéž uděláte ve webovém rozhraní, snadno se zmýlíte – zapomeňte někde zaškrtnutí, zadejte špatnou hodnotu.
Poté, co jsme přidali rozhraní do balíčku
všechny cesty a zásady zabezpečení se na něj mohou odkazovat a ne na rozhraní v něm obsažená. Minimálně musíte povolit provoz z interních sítí do SD-WAN. Když pro ně vytvoříte pravidla, můžete použít ochranná opatření, jako je IPS, antivirus a zpřístupnění HTTPS.
Pro balíček jsou nakonfigurována pravidla SD-WAN. Jedná se o pravidla, která definují vyrovnávací algoritmus pro konkrétní provoz. Jsou podobné zásadám směrování v směrování založeném na zásadách, pouze v důsledku provozu spadajícího pod zásady není nainstalováno další přeskočení nebo obvyklé odchozí rozhraní, ale rozhraní přidaná do balíčku SD-WAN plus algoritmus vyvažování provozu mezi těmito rozhraními.
Provoz lze oddělit od obecného toku informacemi L3-L4, uznávanými aplikacemi, internetovými službami (URL a IP) a také uznávanými uživateli pracovních stanic a notebooků. Poté lze přidělenému provozu přiřadit jeden z následujících vyvažovacích algoritmů:
V seznamu Předvolby rozhraní jsou vybrána ta rozhraní z těch, která jsou již přidána do balíčku, která budou obsluhovat tento typ provozu. Přidáním ne všech rozhraní můžete přesně omezit, které kanály používáte, řekněme e-mail, pokud s tím nechcete zatěžovat drahé kanály vysokou SLA. Ve FortiOS 6.4.1 bylo možné seskupovat rozhraní přidaná do balíčku SD-WAN do zón, čímž vznikla například jedna zóna pro komunikaci se vzdálenými místy a druhá pro místní přístup k internetu pomocí NAT. Ano, ano, provoz, který směřuje na běžný internet, lze také vyrovnat.
O vyvažovacích algoritmech
Pokud jde o to, jak může Fortigate (firewall od Fortinetu) rozdělit provoz mezi kanály, existují dvě zajímavé možnosti, které nejsou na trhu příliš běžné:
Nejnižší náklady (SLA) – ze všech rozhraní, která v tuto chvíli splňují SLA, je vybráno to s nižší váhou (nákladem), ručně nastavenou administrátorem; tento režim je vhodný pro „hromadný“ provoz, jako jsou zálohy a přenosy souborů.
Nejlepší kvalita (SLA) – tento algoritmus, kromě obvyklého zpoždění, jitteru a ztráty paketů Fortigate, může také použít aktuální zatížení kanálu k posouzení kvality kanálů; Tento režim je vhodný pro citlivý provoz, jako je VoIP a videokonference.
Tyto algoritmy vyžadují nastavení měřiče výkonu komunikačního kanálu – Performance SLA. Tento měřič periodicky (kontrolní interval) monitoruje informace o souladu se SLA: ztrátu paketů, latenci a jitter v komunikačním kanálu a může „odmítnout“ ty kanály, které aktuálně nesplňují prahové hodnoty kvality – ztrácejí příliš mnoho paketů nebo mají příliš mnoho velká latence. Měřič navíc monitoruje stav kanálu a může jej dočasně odebrat ze svazku v případě opakované ztráty odpovědí (výpadky před neaktivním). Po obnovení, po několika po sobě jdoucích odpovědích (obnovit odkaz poté), měřič automaticky vrátí kanál do svazku a data se přes něj začnou znovu přenášet.
Takto vypadá nastavení „metru“:
Ve webovém rozhraní jsou jako testovací protokoly k dispozici ICMP-Echo-request, HTTP-GET a DNS request. Na příkazovém řádku je trochu více možností: K dispozici jsou možnosti TCP-echo a UDP-echo a také specializovaný protokol pro měření kvality - TWAMP.
Výsledky měření lze také vidět ve webovém rozhraní:
A na příkazovém řádku:
Odstraňování problémů
Pokud jste vytvořili pravidlo, ale vše nefunguje podle očekávání, měli byste se podívat na hodnotu Hit Count v seznamu pravidel SD-WAN. Ukáže, zda provoz vůbec spadá do tohoto pravidla:
Na stránce nastavení samotného měřiče můžete vidět změnu parametrů kanálu v průběhu času. Tečkovaná čára označuje prahovou hodnotu parametru
Ve webovém rozhraní můžete vidět, jak je provoz rozdělen podle množství přenesených/přijatých dat a počtu relací:
K tomu všemu je zde vynikající možnost sledovat průchod paketů s maximálními detaily. Při práci ve skutečné síti konfigurace zařízení shromažďuje mnoho směrovacích zásad, firewallů a distribuce provozu přes porty SD-WAN. To vše na sebe vzájemně působí složitým způsobem, a přestože dodavatel poskytuje podrobné blokové diagramy algoritmů pro zpracování paketů, je velmi důležité umět nevytvářet a testovat teorie, ale vidět, kam provoz skutečně směřuje.
Například následující sada příkazů
diagnose debug flow filter saddr 10.200.64.15
diagnose debug flow filter daddr 10.1.7.2
diagnose debug flow show function-name
diagnose debug enable
diagnose debug trace 2
Umožňuje sledovat dva pakety se zdrojovou adresou 10.200.64.15 a cílovou adresou 10.1.7.2.
Dvakrát pingneme na 10.7.1.2 z 10.200.64.15 a podíváme se na výstup na konzoli.
První balíček:
Druhý balíček:
Zde je první paket přijatý firewallem:
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0."
VDOM – Internet, Proto=1 (ICMP), DMZ-Office – название L3-интерфейса. Type=8 – Echo.
Byla pro něj vytvořena nová relace:
msg="allocate a new session-0006a627"
A byla nalezena shoda v nastavení zásad směrování
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"
Ukázalo se, že paket musí být odeslán do jednoho z tunelů VPN:
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"
V zásadách brány firewall je zjištěno následující pravidlo povolení:
msg="Allowed by Policy-3:"
Paket je zašifrován a odeslán do tunelu VPN:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
Šifrovaný paket je odeslán na adresu brány pro toto rozhraní WAN:
msg="send to 2.2.2.2 via intf-WAN1"
U druhého paketu se vše děje podobně, ale je odeslán do jiného tunelu VPN a opouští jiný port brány firewall:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"
Pros řešení
Spolehlivá funkčnost a uživatelsky přívětivé rozhraní. Sada funkcí, která byla k dispozici ve FortiOS před příchodem SD-WAN, byla plně zachována. To znamená, že nemáme nově vyvinutý software, ale vyzrálý systém od osvědčeného dodavatele firewallu. S tradiční sadou síťových funkcí, pohodlným a snadno naučitelným webovým rozhraním. Kolik dodavatelů SD-WAN má, řekněme, funkci VPN vzdáleného přístupu na koncových zařízeních?
Úroveň zabezpečení 80. FortiGate je jedním z nejlepších firewallových řešení. Na internetu je spousta materiálů o nastavení a správě firewallů a na trhu práce je mnoho bezpečnostních specialistů, kteří již ovládají řešení dodavatele.
Nulová cena za funkčnost SD-WAN. Vybudování SD-WAN sítě na FortiGate stojí stejně jako vybudování běžné WAN sítě na FortiGate, protože k implementaci SD-WAN funkčnosti nejsou potřeba žádné další licence.
Nízká vstupní bariérová cena. Fortigate má dobrou gradaci zařízení pro různé úrovně výkonu. Nejmladší a nejlevnější modely jsou docela vhodné pro rozšíření kanceláře nebo prodejního místa o řekněme 3-5 zaměstnanců. Mnoho prodejců tak málo výkonné a cenově dostupné modely prostě nemá.
Vysoký výkon. Snížení funkčnosti SD-WAN na vyvažování provozu umožnilo společnosti vydat specializovaný SD-WAN ASIC, díky kterému provoz SD-WAN nesnižuje výkon firewallu jako celku.
Možnost implementovat celou kancelář na zařízení Fortinet. Jedná se o dvojici firewallů, přepínačů, přístupových bodů Wi-Fi. Správa takové kanceláře je snadná a pohodlná – přepínače a přístupové body jsou registrovány na firewallech a spravovány z nich. Takto může například vypadat port přepínače z rozhraní brány firewall, které ovládá tento přepínač:
Nedostatek ovladačů jako jediný bod selhání. Sám prodejce se na to zaměřuje, ale přínosem to lze nazvat jen zčásti, protože pro ty dodavatele, kteří mají řadiče, je zajištění jejich odolnosti proti chybám levné, nejčastěji za cenu malého množství výpočetních prostředků ve virtualizačním prostředí.
Co hledat
Žádné oddělení mezi řídicí rovinou a datovou rovinou. To znamená, že síť musí být konfigurována buď ručně, nebo pomocí již dostupných tradičních nástrojů pro správu – FortiManager. U prodejců, kteří takové oddělení zavedli, je síť sestavena sama. Administrátor může potřebovat pouze upravit jeho topologii, někde něco zakázat, nic víc. Trumfem FortiManageru je však to, že dokáže spravovat nejen firewally, ale i přepínače a přístupové body Wi-Fi, tedy téměř celou síť.
Podmíněné zvýšení ovladatelnosti. Vzhledem k tomu, že se k automatizaci konfigurace sítě používají tradiční nástroje, se zavedením SD-WAN mírně zvyšuje možnost správy sítě. Na druhou stranu se nová funkcionalita zpřístupňuje rychleji, protože ji výrobce nejprve uvolní pouze pro operační systém firewall (což okamžitě umožňuje její použití) a teprve poté doplňuje systém správy o potřebná rozhraní.
Některé funkce mohou být dostupné z příkazového řádku, ale nejsou dostupné z webového rozhraní. Někdy není tak děsivé jít do příkazového řádku a něco nakonfigurovat, ale je děsivé nevidět ve webovém rozhraní, že někdo již něco nakonfiguroval z příkazového řádku. To se ale obvykle týká nejnovějších funkcí a postupně se s aktualizacemi FortiOS vylepšují možnosti webového rozhraní.
Aby vyhovoval
Pro ty, kteří nemají mnoho poboček. Implementace řešení SD-WAN s komplexními centrálními komponenty v síti 8-10 poboček nemusí stát svíčku – budete muset utrácet peníze za licence pro zařízení SD-WAN a prostředky virtualizačního systému pro hostování centrálních komponent. Malá společnost má obvykle omezené volné výpočetní zdroje. V případě Fortinetu stačí firewally jednoduše zakoupit.
Pro ty, kteří mají hodně malých ratolestí. Pro mnoho prodejců je minimální cena řešení na pobočku poměrně vysoká a nemusí být zajímavá z pohledu podnikání koncového zákazníka. Fortinet nabízí malá zařízení za velmi atraktivní ceny.
Pro ty, kteří ještě nejsou připraveni zajít příliš daleko. Implementace SD-WAN s řadiči, proprietárním směrováním a novým přístupem k plánování a správě sítě může být pro některé zákazníky příliš velkým krokem. Ano, taková implementace v konečném důsledku pomůže optimalizovat využití komunikačních kanálů a práci administrátorů, ale nejprve se budete muset naučit spoustu nových věcí. Pro ty, kteří ještě nejsou připraveni na změnu paradigmatu, ale chtějí ze svých komunikačních kanálů vymáčknout více, je řešení od Fortinetu to pravé.
Zdroj: www.habr.com