At dømme efter antallet af spørgsmål, der begyndte at komme til os via SD-WAN, er teknologien begyndt at slå rod i Rusland. Leverandører sover naturligvis ikke og tilbyder deres koncepter, og nogle modige pionerer er allerede ved at implementere dem på deres netværk.
Vi arbejder med næsten alle leverandører, og gennem flere år i vores laboratorium formåede jeg at dykke ned i arkitekturen hos enhver større udvikler af softwaredefinerede løsninger. SD-WAN fra Fortinet skiller sig lidt fra hinanden her, som ganske enkelt indbyggede funktionaliteten med at balancere trafik mellem kommunikationskanaler ind i firewall-softwaren. Løsningen er ret demokratisk, så den overvejes normalt af virksomheder, der endnu ikke er klar til globale forandringer, men som ønsker at bruge deres kommunikationskanaler mere effektivt.
I denne artikel vil jeg fortælle dig, hvordan du konfigurerer og arbejder med SD-WAN fra Fortinet, hvem denne løsning er egnet til, og hvilke faldgruber du kan støde på her.
De mest fremtrædende aktører på SD-WAN-markedet kan klassificeres i en af to typer:
1. Startups, der har skabt SD-WAN-løsninger fra bunden. De mest succesrige af disse får et enormt skub i udviklingen efter at være blevet købt af store virksomheder - dette er historien om Cisco/Viptela, VMWare/VeloCloud, Nuage/Nokia
2. Store netværksleverandører, der har skabt SD-WAN-løsninger, udvikler programmerbarheden og håndterbarheden af deres traditionelle routere - dette er historien om Juniper, Huawei
Fortinet formåede at finde vej. Firewall-softwaren havde indbygget funktionalitet, der gjorde det muligt at kombinere deres grænseflader til virtuelle kanaler og balancere belastningen mellem dem ved hjælp af komplekse algoritmer sammenlignet med konventionel routing. Denne funktion blev kaldt SD-WAN. Kan det Fortinet kaldes SD-WAN? Markedet forstår gradvist, at Software-Defined betyder adskillelsen af kontrolplanet fra dataplanet, dedikerede controllere og orkestratorer. Fortinet har intet lignende. Centraliseret styring er valgfri og tilbydes gennem det traditionelle Fortimanager-værktøj. Men efter min mening bør du ikke lede efter abstrakt sandhed og spilde tid på at skændes om vilkår. I den virkelige verden har hver tilgang sine fordele og ulemper. Den bedste udvej er at forstå dem og kunne vælge løsninger, der svarer til opgaverne.
Jeg vil prøve at fortælle dig med skærmbilleder i hånden, hvordan SD-WAN fra Fortinet ser ud, og hvad det kan.
Hvordan det hele fungerer
Lad os antage, at du har to grene forbundet med to datakanaler. Disse datalinks kombineres til en gruppe, svarende til hvordan almindelige Ethernet-grænseflader kombineres til en LACP-Port-Channel. Oldtimers vil huske PPP Multilink - også en passende analogi. Kanaler kan være fysiske porte, VLAN SVI samt VPN- eller GRE-tunneler.
VPN eller GRE bruges typisk ved tilslutning af lokale filialnetværk over internettet. Og fysiske porte - hvis der er L2-forbindelser mellem websteder, eller ved tilslutning over en dedikeret MPLS/VPN, hvis vi er tilfredse med forbindelsen uden Overlay og kryptering. Et andet scenarie, hvor fysiske porte bruges i en SD-WAN-gruppe, er at balancere brugernes lokale adgang til internettet.
På vores stand er der fire firewalls og to VPN-tunneler, der opererer gennem to "kommunikationsoperatører". Diagrammet ser således ud:
VPN-tunneler er konfigureret i grænsefladetilstand, så de ligner punkt-til-punkt-forbindelser mellem enheder med IP-adresser på P2P-grænseflader, som kan pinges for at sikre, at kommunikationen gennem en bestemt tunnel fungerer. For at trafikken kan krypteres og gå til den modsatte side, er det nok at dirigere den ind i tunnelen. Alternativet er at vælge trafik til kryptering ved hjælp af lister over undernet, hvilket i høj grad forvirrer administratoren, da konfigurationen bliver mere kompleks. I et stort netværk kan du bruge ADVPN-teknologi til at bygge en VPN; dette er en analog af DMVPN fra Cisco eller DVPN fra Huawei, hvilket giver mulighed for lettere opsætning.
Site-to-Site VPN-konfiguration til to enheder med BGP-routing på begge sider
«ЦОД» (DC)
«Филиал» (BRN)
config system interface
edit "WAN1"
set vdom "Internet"
set ip 1.1.1.1 255.255.255.252
set allowaccess ping
set role wan
set interface "DC-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 3.3.3.1 255.255.255.252
set allowaccess ping
set role lan
set interface "DC-BRD"
set vlanid 112
next
edit "BRN-Ph1-1"
set vdom "Internet"
set ip 192.168.254.1 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.2 255.255.255.255
set interface "WAN1"
next
edit "BRN-Ph1-2"
set vdom "Internet"
set ip 192.168.254.3 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.4 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "BRN-Ph1-1"
set interface "WAN1"
set local-gw 1.1.1.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 2.2.2.1
set psksecret ***
next
edit "BRN-Ph1-2"
set interface "WAN2"
set local-gw 3.3.3.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 4.4.4.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "BRN-Ph2-1"
set phase1name "BRN-Ph1-1"
set proposal aes256-sha256
set dhgrp 2
next
edit "BRN-Ph2-2"
set phase1name "BRN-Ph1-2"
set proposal aes256-sha256
set dhgrp 2
next
end
config router static
edit 1
set gateway 1.1.1.2
set device "WAN1"
next
edit 3
set gateway 3.3.3.2
set device "WAN2"
next
end
config router bgp
set as 65002
set router-id 10.1.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.2"
set remote-as 65003
next
edit "192.168.254.4"
set remote-as 65003
next
end
config network
edit 1
set prefix 10.1.0.0 255.255.0.0
next
end
config system interface
edit "WAN1"
set vdom "Internet"
set ip 2.2.2.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 4.4.4.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 114
next
edit "DC-Ph1-1"
set vdom "Internet"
set ip 192.168.254.2 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.1 255.255.255.255
set interface "WAN1"
next
edit "DC-Ph1-2"
set vdom "Internet"
set ip 192.168.254.4 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.3 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "DC-Ph1-1"
set interface "WAN1"
set local-gw 2.2.2.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 1.1.1.1
set psksecret ***
next
edit "DC-Ph1-2"
set interface "WAN2"
set local-gw 4.4.4.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 3.3.3.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "DC-Ph2-1"
set phase1name "DC-Ph1-1"
set proposal aes128-sha1
set dhgrp 2
next
edit "DC2-Ph2-2"
set phase1name "DC-Ph1-2"
set proposal aes128-sha1
set dhgrp 2
next
end
config router static
edit 1
set gateway 2.2.2.2
et device "WAN1"
next
edit 3
set gateway 4.4.4.2
set device "WAN2"
next
end
config router bgp
set as 65003
set router-id 10.200.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.1"
set remote-as 65002
next
edit "192.168.254.3"
set remote-as 65002
next
end
config network
edit 1
set prefix 10.200.0.0 255.255.0.0
next
end
Jeg leverer konfigurationen i tekstform, fordi det efter min mening er mere praktisk at konfigurere VPN på denne måde. Næsten alle indstillinger er ens på begge sider, i tekstform kan de laves som en copy-paste. Hvis du gør det samme i webgrænsefladen, er det nemt at lave en fejl - glem et flueben et sted, indtast den forkerte værdi.
Efter at vi føjede grænseflader til pakken
alle ruter og sikkerhedspolitikker kan henvise til det, og ikke til de grænseflader, der er inkluderet i det. Som minimum skal du tillade trafik fra interne netværk til SD-WAN. Når du opretter regler for dem, kan du anvende beskyttelsesforanstaltninger såsom IPS, antivirus og HTTPS-afsløring.
SD-WAN-regler er konfigureret for pakken. Disse er regler, der definerer balanceringsalgoritmen for specifik trafik. De ligner routingpolitikker i Policy-Based Routing, kun som et resultat af trafik, der falder ind under politikken, er det ikke næste-hop eller den sædvanlige udgående grænseflade, der er installeret, men grænsefladerne tilføjet til SD-WAN-pakken plus en trafikbalanceringsalgoritme mellem disse grænseflader.
Trafik kan adskilles fra den generelle strøm af L3-L4 information, af anerkendte applikationer, internettjenester (URL og IP) samt af anerkendte brugere af arbejdsstationer og bærbare computere. Herefter kan en af følgende balanceringsalgoritmer tildeles den allokerede trafik:
På listen Grænsefladepræferencer vælges de grænseflader fra dem, der allerede er tilføjet til pakken, som skal betjene denne type trafik. Ved at tilføje ikke alle grænseflader, kan du begrænse præcis, hvilke kanaler du bruger, f.eks. e-mail, hvis du ikke vil belaste dyre kanaler med en høj SLA med det. I FortiOS 6.4.1 blev det muligt at gruppere grænseflader tilføjet til SD-WAN-pakken i zoner, for eksempel oprette en zone til kommunikation med eksterne websteder og en anden til lokal internetadgang ved hjælp af NAT. Ja, ja, trafik, der går til det almindelige internet, kan også balanceres.
Om balanceringsalgoritmer
Med hensyn til hvordan Fortigate (en firewall fra Fortinet) kan opdele trafik mellem kanaler, er der to interessante muligheder, som ikke er særlig almindelige på markedet:
Laveste omkostninger (SLA) – fra alle de grænseflader, der opfylder SLA'en i øjeblikket, vælges den med den lavere vægt (omkostning), manuelt indstillet af administratoren; denne tilstand er velegnet til "bulk" trafik såsom sikkerhedskopier og filoverførsler.
Bedste kvalitet (SLA) – denne algoritme kan udover den sædvanlige forsinkelse, jitter og tab af Fortigate-pakker også bruge den aktuelle kanalbelastning til at vurdere kanalernes kvalitet; Denne tilstand er velegnet til følsom trafik såsom VoIP og videokonferencer.
Disse algoritmer kræver opsætning af en kommunikationskanal performance meter - Performance SLA. Denne måler overvåger periodisk (tjekinterval) information om overholdelse af SLA: pakketab, latens og jitter i kommunikationskanalen og kan "afvise" de kanaler, der i øjeblikket ikke opfylder kvalitetsgrænserne - de mister for mange pakker eller oplever for meget latenstid. Derudover overvåger måleren status for kanalen og kan midlertidigt fjerne den fra bundtet i tilfælde af gentagne tab af svar (fejl før inaktiv). Når den gendannes, efter flere på hinanden følgende svar (gendan link efter), vil måleren automatisk returnere kanalen til bundtet, og data vil begynde at blive transmitteret gennem den igen.
Sådan ser "meter"-indstillingen ud:
I webgrænsefladen er ICMP-Echo-request, HTTP-GET og DNS request tilgængelige som testprotokoller. Der er lidt flere muligheder på kommandolinjen: TCP-ekko og UDP-ekko muligheder er tilgængelige, samt en specialiseret kvalitetsmåleprotokol - TWAMP.
Måleresultaterne kan også ses i webgrænsefladen:
Og på kommandolinjen:
Fejlfinding
Hvis du har oprettet en regel, men alt ikke fungerer som forventet, bør du se på Hit Count-værdien i SD-WAN Rules listen. Det vil vise, om trafikken overhovedet falder ind under denne regel:
På selve målerens indstillingsside kan du se ændringen i kanalparametre over tid. Den stiplede linje angiver tærskelværdien for parameteren
I webgrænsefladen kan du se, hvordan trafikken er fordelt efter mængden af transmitteret/modtaget data og antal sessioner:
Ud over alt dette er der en glimrende mulighed for at spore passage af pakker med maksimal detaljering. Når du arbejder i et rigtigt netværk, akkumulerer enhedskonfigurationen mange routingpolitikker, firewalling og trafikfordeling på tværs af SD-WAN-porte. Alt dette interagerer med hinanden på en kompleks måde, og selvom leverandøren leverer detaljerede blokdiagrammer af pakkebehandlingsalgoritmer, er det meget vigtigt ikke at kunne bygge og teste teorier, men at se hvor trafikken rent faktisk går hen.
For eksempel følgende sæt kommandoer
diagnose debug flow filter saddr 10.200.64.15
diagnose debug flow filter daddr 10.1.7.2
diagnose debug flow show function-name
diagnose debug enable
diagnose debug trace 2
Giver dig mulighed for at spore to pakker med en kildeadresse på 10.200.64.15 og en destinationsadresse på 10.1.7.2.
Vi pinger 10.7.1.2 fra 10.200.64.15 to gange og ser på outputtet på konsollen.
Første pakke:
Anden pakke:
Her er den første pakke modtaget af firewallen:
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0."
VDOM – Internet, Proto=1 (ICMP), DMZ-Office – название L3-интерфейса. Type=8 – Echo.
Der er oprettet en ny session til ham:
msg="allocate a new session-0006a627"
Og der blev fundet et match i indstillingerne for routingpolitik
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"
Det viser sig, at pakken skal sendes til en af VPN-tunnelerne:
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"
Følgende tilladelsesregel er registreret i firewallpolitikker:
msg="Allowed by Policy-3:"
Pakken er krypteret og sendt til VPN-tunnelen:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
Den krypterede pakke sendes til gateway-adressen for denne WAN-grænseflade:
msg="send to 2.2.2.2 via intf-WAN1"
For den anden pakke sker alt på samme måde, men den sendes til en anden VPN-tunnel og går gennem en anden firewallport:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"
Fordele ved løsningen
Pålidelig funktionalitet og brugervenlig grænseflade. Funktionssættet, der var tilgængeligt i FortiOS før fremkomsten af SD-WAN, er fuldt ud bevaret. Det vil sige, at vi ikke har nyudviklet software, men et modent system fra en gennemprøvet firewallleverandør. Med et traditionelt sæt netværksfunktioner, en praktisk og nem at lære webgrænseflade. Hvor mange SD-WAN-leverandører har f.eks. Remote-Access VPN-funktionalitet på slutenheder?
Sikkerhedsniveau 80. FortiGate er en af de bedste firewallløsninger. Der er meget materiale på internettet om opsætning og administration af firewalls, og på arbejdsmarkedet er der mange sikkerhedsspecialister, som allerede har styr på leverandørens løsninger.
Ingen pris for SD-WAN-funktionalitet. Opbygning af et SD-WAN-netværk på FortiGate koster det samme som at bygge et almindeligt WAN-netværk på det, da der ikke er behov for yderligere licenser for at implementere SD-WAN-funktionalitet.
Lav adgangsbarrierepris. Fortigate har en god graduering af enheder til forskellige ydeevneniveauer. De yngste og billigste modeller er ganske velegnede til at udvide et kontor eller salgssted med for eksempel 3-5 ansatte. Mange leverandører har simpelthen ikke så lavtydende og overkommelige modeller.
Høj ydeevne. Reduktion af SD-WAN-funktionalitet til trafikbalancering gjorde det muligt for virksomheden at frigive en specialiseret SD-WAN ASIC, takket være hvilken SD-WAN-drift ikke reducerer ydeevnen af firewallen som helhed.
Evnen til at implementere et helt kontor på Fortinet udstyr. Disse er et par firewalls, switches, Wi-Fi-adgangspunkter. Et sådant kontor er nemt og bekvemt at administrere - switche og adgangspunkter registreres på firewalls og administreres fra dem. For eksempel er det sådan en switchport kan se ud fra firewall-grænsefladen, der styrer denne switch:
Mangel på controllere som et enkelt fejlpunkt. Sælgeren selv fokuserer på dette, men dette kan kun kaldes en fordel delvist, for for de leverandører, der har controllere, er det billigt at sikre deres fejltolerance, oftest til prisen for en lille mængde computerressourcer i et virtualiseringsmiljø.
Hvad skal man kigge efter
Ingen adskillelse mellem kontrolplan og dataplan. Det betyder, at netværket enten skal konfigureres manuelt eller ved hjælp af de traditionelle administrationsværktøjer, der allerede findes - FortiManager. For leverandører, der har implementeret en sådan adskillelse, samles netværket selv. Administratoren behøver måske kun at justere sin topologi, forbyde noget et eller andet sted, intet mere. FortiManagers trumfkort er dog, at den ikke kun kan styre firewalls, men også switche og Wi-Fi-adgangspunkter, det vil sige næsten hele netværket.
Betinget stigning i kontrollerbarhed. På grund af det faktum, at traditionelle værktøjer bruges til at automatisere netværkskonfiguration, øges netværksadministrationen med introduktionen af SD-WAN en smule. På den anden side bliver ny funktionalitet hurtigere tilgængelig, da leverandøren først frigiver den kun til firewall-operativsystemet (hvilket umiddelbart gør det muligt at bruge det), og først derefter supplerer administrationssystemet med de nødvendige grænseflader.
Nogle funktioner kan være tilgængelige fra kommandolinjen, men er ikke tilgængelige fra webgrænsefladen. Nogle gange er det ikke så skræmmende at gå ind på kommandolinjen for at konfigurere noget, men det er skræmmende ikke at se i webgrænsefladen, at nogen allerede har konfigureret noget fra kommandolinjen. Men dette gælder normalt for de nyeste funktioner, og gradvist, med FortiOS-opdateringer, forbedres webgrænsefladens muligheder.
Der passer
For dem der ikke har mange grene. Implementering af en SD-WAN-løsning med komplekse centrale komponenter på et netværk med 8-10 filialer koster måske ikke lyset - du skal bruge penge på licenser til SD-WAN-enheder og virtualiseringssystemressourcer til at være vært for de centrale komponenter. En lille virksomhed har normalt begrænsede gratis computerressourcer. I tilfældet Fortinet er det nok blot at købe firewalls.
For dem der har mange små grene. For mange leverandører er minimumsløsningsprisen pr. filial ret høj og er måske ikke interessant set fra slutkundens forretning. Fortinet tilbyder små enheder til meget attraktive priser.
For dem, der ikke er klar til at træde for langt endnu. Implementering af SD-WAN med controllere, proprietær routing og en ny tilgang til netværksplanlægning og -styring kan være et for stort skridt for nogle kunder. Ja, en sådan implementering vil i sidste ende være med til at optimere brugen af kommunikationskanaler og administratorernes arbejde, men først skal du lære en masse nye ting. For dem, der endnu ikke er klar til et paradigmeskift, men gerne vil presse mere ud af deres kommunikationskanaler, er løsningen fra Fortinet den helt rigtige.
Kilde: www.habr.com