Gemessen an der Anzahl der Fragen, die über SD-WAN bei uns eintrafen, hat die Technologie begonnen, in Russland Fuß zu fassen. Die Anbieter schlafen natürlich nicht und bieten ihre Konzepte an, und einige mutige Pioniere setzen sie bereits in ihren Netzwerken um.
Wir arbeiten mit fast allen Anbietern zusammen und über mehrere Jahre hinweg habe ich es in unserem Labor geschafft, mich mit der Architektur jedes großen Entwicklers softwaredefinierter Lösungen zu befassen. SD-WAN von Fortinet steht hier etwas abseits und hat lediglich die Funktionalität zum Ausgleich des Datenverkehrs zwischen Kommunikationskanälen in die Firewall-Software integriert. Die Lösung ist eher demokratisch und wird daher in der Regel von Unternehmen in Betracht gezogen, die noch nicht bereit für globale Veränderungen sind, aber ihre Kommunikationskanäle effektiver nutzen möchten.
In diesem Artikel möchte ich Ihnen erklären, wie Sie SD-WAN von Fortinet konfigurieren und damit arbeiten, für wen diese Lösung geeignet ist und auf welche Fallstricke Sie dabei stoßen können.
Die bekanntesten Akteure auf dem SD-WAN-Markt lassen sich in zwei Typen einteilen:
1. Startups, die SD-WAN-Lösungen von Grund auf entwickelt haben. Die erfolgreichsten davon erhalten einen enormen Entwicklungsschub, nachdem sie von großen Unternehmen aufgekauft wurden – das ist die Geschichte von Cisco/Viptela, VMWare/VeloCloud, Nuage/Nokia
2. Große Netzwerkanbieter, die SD-WAN-Lösungen entwickelt und die Programmierbarkeit und Verwaltbarkeit ihrer traditionellen Router weiterentwickelt haben – das ist die Geschichte von Juniper und Huawei
Fortinet hat es geschafft, seinen Weg zu finden. Die Firewall-Software verfügte über integrierte Funktionen, die es ermöglichten, ihre Schnittstellen zu virtuellen Kanälen zusammenzufassen und die Last zwischen ihnen mithilfe komplexer Algorithmen im Vergleich zum herkömmlichen Routing auszugleichen. Diese Funktionalität wurde SD-WAN genannt. Kann das, was Fortinet tat, SD-WAN heißen? Der Markt versteht allmählich, dass Software-Defined die Trennung der Steuerungsebene von der Datenebene, dedizierten Controllern und Orchestratoren bedeutet. Fortinet hat nichts dergleichen. Die zentralisierte Verwaltung ist optional und wird über das traditionelle Fortimanager-Tool angeboten. Aber meiner Meinung nach sollte man nicht nach abstrakter Wahrheit suchen und Zeit mit Streiten über Begriffe verschwenden. In der Praxis hat jeder Ansatz seine Vor- und Nachteile. Der beste Ausweg besteht darin, sie zu verstehen und Lösungen wählen zu können, die den Aufgaben entsprechen.
Ich versuche Ihnen anhand von Screenshots zu erklären, wie SD-WAN von Fortinet aussieht und was es kann.
Wie das alles funktioniert
Nehmen wir an, Sie haben zwei Zweige, die durch zwei Datenkanäle verbunden sind. Diese Datenverbindungen werden zu einer Gruppe zusammengefasst, ähnlich wie reguläre Ethernet-Schnittstellen zu einem LACP-Port-Channel zusammengefasst werden. Oldtimer werden sich an PPP Multilink erinnern – auch eine passende Analogie. Kanäle können physische Ports, VLAN-SVI sowie VPN- oder GRE-Tunnel sein.
VPN oder GRE werden typischerweise verwendet, wenn lokale Zweigstellennetzwerke über das Internet verbunden werden. Und physische Ports – wenn es L2-Verbindungen zwischen Standorten gibt oder wenn wir eine Verbindung über ein dediziertes MPLS/VPN herstellen, wenn wir mit der Verbindung ohne Overlay und Verschlüsselung zufrieden sind. Ein weiteres Szenario, in dem physische Ports in einer SD-WAN-Gruppe verwendet werden, ist der Ausgleich des lokalen Zugriffs von Benutzern auf das Internet.
An unserem Stand gibt es vier Firewalls und zwei VPN-Tunnel, die über zwei „Kommunikationsbetreiber“ betrieben werden. Das Diagramm sieht so aus:
VPN-Tunnel werden im Schnittstellenmodus konfiguriert, sodass sie Punkt-zu-Punkt-Verbindungen zwischen Geräten mit IP-Adressen auf P2P-Schnittstellen ähneln, die gepingt werden können, um sicherzustellen, dass die Kommunikation über einen bestimmten Tunnel funktioniert. Damit der Datenverkehr verschlüsselt wird und auf die Gegenseite gelangt, reicht es aus, ihn in den Tunnel zu leiten. Die Alternative besteht darin, den zu verschlüsselnden Datenverkehr mithilfe von Subnetzlisten auszuwählen, was den Administrator stark verwirrt, da die Konfiguration komplexer wird. In einem großen Netzwerk können Sie die ADVPN-Technologie zum Aufbau eines VPN verwenden; dies ist ein Analogon zu DMVPN von Cisco oder DVPN von Huawei, was eine einfachere Einrichtung ermöglicht.
Site-to-Site-VPN-Konfiguration für zwei Geräte mit BGP-Routing auf beiden Seiten
«ЦОД» (DC)
«Филиал» (BRN)
config system interface
edit "WAN1"
set vdom "Internet"
set ip 1.1.1.1 255.255.255.252
set allowaccess ping
set role wan
set interface "DC-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 3.3.3.1 255.255.255.252
set allowaccess ping
set role lan
set interface "DC-BRD"
set vlanid 112
next
edit "BRN-Ph1-1"
set vdom "Internet"
set ip 192.168.254.1 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.2 255.255.255.255
set interface "WAN1"
next
edit "BRN-Ph1-2"
set vdom "Internet"
set ip 192.168.254.3 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.4 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "BRN-Ph1-1"
set interface "WAN1"
set local-gw 1.1.1.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 2.2.2.1
set psksecret ***
next
edit "BRN-Ph1-2"
set interface "WAN2"
set local-gw 3.3.3.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 4.4.4.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "BRN-Ph2-1"
set phase1name "BRN-Ph1-1"
set proposal aes256-sha256
set dhgrp 2
next
edit "BRN-Ph2-2"
set phase1name "BRN-Ph1-2"
set proposal aes256-sha256
set dhgrp 2
next
end
config router static
edit 1
set gateway 1.1.1.2
set device "WAN1"
next
edit 3
set gateway 3.3.3.2
set device "WAN2"
next
end
config router bgp
set as 65002
set router-id 10.1.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.2"
set remote-as 65003
next
edit "192.168.254.4"
set remote-as 65003
next
end
config network
edit 1
set prefix 10.1.0.0 255.255.0.0
next
end
config system interface
edit "WAN1"
set vdom "Internet"
set ip 2.2.2.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 4.4.4.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 114
next
edit "DC-Ph1-1"
set vdom "Internet"
set ip 192.168.254.2 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.1 255.255.255.255
set interface "WAN1"
next
edit "DC-Ph1-2"
set vdom "Internet"
set ip 192.168.254.4 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.3 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "DC-Ph1-1"
set interface "WAN1"
set local-gw 2.2.2.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 1.1.1.1
set psksecret ***
next
edit "DC-Ph1-2"
set interface "WAN2"
set local-gw 4.4.4.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 3.3.3.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "DC-Ph2-1"
set phase1name "DC-Ph1-1"
set proposal aes128-sha1
set dhgrp 2
next
edit "DC2-Ph2-2"
set phase1name "DC-Ph1-2"
set proposal aes128-sha1
set dhgrp 2
next
end
config router static
edit 1
set gateway 2.2.2.2
et device "WAN1"
next
edit 3
set gateway 4.4.4.2
set device "WAN2"
next
end
config router bgp
set as 65003
set router-id 10.200.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.1"
set remote-as 65002
next
edit "192.168.254.3"
set remote-as 65002
next
end
config network
edit 1
set prefix 10.200.0.0 255.255.0.0
next
end
Ich stelle die Konfiguration in Textform zur Verfügung, da es meiner Meinung nach bequemer ist, das VPN auf diese Weise zu konfigurieren. Fast alle Einstellungen sind auf beiden Seiten gleich, in Textform können sie per Copy-Paste vorgenommen werden. Wenn Sie das Gleiche im Webinterface tun, kann es leicht passieren, dass Sie einen Fehler machen – vergessen Sie irgendwo ein Häkchen, geben Sie den falschen Wert ein.
Nachdem wir die Schnittstellen zum Bundle hinzugefügt haben
Alle Routen und Sicherheitsrichtlinien können darauf verweisen und nicht auf die darin enthaltenen Schnittstellen. Sie müssen mindestens Datenverkehr von internen Netzwerken zu SD-WAN zulassen. Wenn Sie Regeln dafür erstellen, können Sie Schutzmaßnahmen wie IPS, Antivirus und HTTPS-Offenlegung anwenden.
Für das Bundle sind SD-WAN-Regeln konfiguriert. Hierbei handelt es sich um Regeln, die den Ausgleichsalgorithmus für bestimmten Datenverkehr definieren. Sie ähneln Routing-Richtlinien im Policy-Based Routing, nur dass aufgrund des unter die Richtlinie fallenden Datenverkehrs nicht der Next-Hop oder die übliche ausgehende Schnittstelle installiert wird, sondern die zum SD-WAN-Bundle Plus hinzugefügten Schnittstellen ein Verkehrsausgleichsalgorithmus zwischen diesen Schnittstellen.
Der Datenverkehr kann durch L3-L4-Informationen, durch erkannte Anwendungen, Internetdienste (URL und IP) sowie durch erkannte Benutzer von Workstations und Laptops vom allgemeinen Fluss getrennt werden. Danach kann dem zugewiesenen Verkehr einer der folgenden Ausgleichsalgorithmen zugewiesen werden:
In der Liste „Schnittstelleneinstellungen“ werden diejenigen Schnittstellen ausgewählt, die bereits zum Bundle hinzugefügt wurden und diese Art von Datenverkehr bedienen. Indem Sie nicht alle Schnittstellen hinzufügen, können Sie genau einschränken, welche Kanäle Sie verwenden, beispielsweise E-Mail, wenn Sie damit nicht teure Kanäle mit einem hohen SLA belasten möchten. In FortiOS 6.4.1 wurde es möglich, zum SD-WAN-Bundle hinzugefügte Schnittstellen in Zonen zu gruppieren, wodurch beispielsweise eine Zone für die Kommunikation mit Remote-Standorten und eine andere für den lokalen Internetzugang mithilfe von NAT erstellt wurde. Ja, ja, auch der Verkehr, der ins normale Internet geht, kann ausgeglichen werden.
Über Ausgleichsalgorithmen
Hinsichtlich der Art und Weise, wie Fortigate (eine Firewall von Fortinet) den Datenverkehr zwischen Kanälen aufteilen kann, gibt es zwei interessante Optionen, die auf dem Markt nicht sehr verbreitet sind:
Niedrigste Kosten (SLA) – Von allen Schnittstellen, die derzeit das SLA erfüllen, wird diejenige mit der geringeren Gewichtung (Kosten) ausgewählt, die vom Administrator manuell festgelegt wurde. Dieser Modus eignet sich für „Massenverkehr“ wie Backups und Dateiübertragungen.
Beste Qualität (SLA) – Dieser Algorithmus kann zusätzlich zu den üblichen Verzögerungen, Jitter und Verlusten von Fortigate-Paketen auch die aktuelle Kanallast verwenden, um die Qualität von Kanälen zu beurteilen; Dieser Modus eignet sich für sensiblen Datenverkehr wie VoIP und Videokonferenzen.
Diese Algorithmen erfordern die Einrichtung eines Kommunikationskanal-Leistungsmessers – Performance SLA. Dieses Messgerät überwacht in regelmäßigen Abständen (Prüfintervall) Informationen über die Einhaltung von SLA: Paketverlust, Latenz und Jitter im Kommunikationskanal und kann diejenigen Kanäle „ablehnen“, die derzeit die Qualitätsschwellenwerte nicht erfüllen – sie verlieren zu viele Pakete oder erleben zu viele Pakete viel Latenz. Darüber hinaus überwacht das Messgerät den Status des Kanals und kann ihn bei wiederholtem Antwortverlust (Ausfälle vor Inaktivität) vorübergehend aus dem Bündel entfernen. Bei der Wiederherstellung gibt das Messgerät nach mehreren aufeinanderfolgenden Antworten (Link wiederherstellen danach) den Kanal automatisch an das Bündel zurück und die Daten werden erneut darüber übertragen.
So sieht die „Meter“-Einstellung aus:
Im Webinterface stehen als Testprotokolle ICMP-Echo-Request, HTTP-GET und DNS-Request zur Verfügung. In der Befehlszeile gibt es noch etwas mehr Optionen: Es stehen TCP-Echo- und UDP-Echo-Optionen sowie ein spezielles Qualitätsmessprotokoll – TWAMP – zur Verfügung.
Die Messergebnisse sind auch im Webinterface einsehbar:
Und auf der Kommandozeile:
Fehlerbehebung
Wenn Sie eine Regel erstellt haben, aber nicht alles wie erwartet funktioniert, sollten Sie sich den Wert „Hit Count“ in der Liste der SD-WAN-Regeln ansehen. Es wird angezeigt, ob der Verkehr überhaupt unter diese Regel fällt:
Auf der Einstellungsseite des Messgeräts selbst können Sie die Änderung der Kanalparameter im Laufe der Zeit sehen. Die gepunktete Linie zeigt den Schwellenwert des Parameters an
In der Weboberfläche können Sie sehen, wie sich der Datenverkehr nach der Menge der gesendeten/empfangenen Daten und der Anzahl der Sitzungen verteilt:
Darüber hinaus besteht eine hervorragende Möglichkeit, den Paketdurchgang mit maximaler Detailgenauigkeit zu verfolgen. Bei der Arbeit in einem realen Netzwerk sammelt die Gerätekonfiguration viele Routing-Richtlinien, Firewalls und Verkehrsverteilung über SD-WAN-Ports. All dies interagiert auf komplexe Weise miteinander, und obwohl der Anbieter detaillierte Blockdiagramme der Paketverarbeitungsalgorithmen bereitstellt, ist es sehr wichtig, nicht Theorien aufstellen und testen zu können, sondern zu sehen, wohin der Datenverkehr tatsächlich geht.
Zum Beispiel der folgende Befehlssatz
diagnose debug flow filter saddr 10.200.64.15
diagnose debug flow filter daddr 10.1.7.2
diagnose debug flow show function-name
diagnose debug enable
diagnose debug trace 2
Ermöglicht die Verfolgung von zwei Paketen mit der Quelladresse 10.200.64.15 und der Zieladresse 10.1.7.2.
Wir pingen 10.7.1.2 von 10.200.64.15 zweimal an und schauen uns die Ausgabe auf der Konsole an.
Erstes Paket:
Zweites Paket:
Hier ist das erste von der Firewall empfangene Paket:
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0."
VDOM – Internet, Proto=1 (ICMP), DMZ-Office – название L3-интерфейса. Type=8 – Echo.
Für ihn wurde eine neue Sitzung erstellt:
msg="allocate a new session-0006a627"
Und es wurde eine Übereinstimmung in den Routing-Richtlinieneinstellungen gefunden
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"
Es stellt sich heraus, dass das Paket an einen der VPN-Tunnel gesendet werden muss:
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"
Die folgende Zulassungsregel wird in Firewall-Richtlinien erkannt:
msg="Allowed by Policy-3:"
Das Paket wird verschlüsselt und an den VPN-Tunnel gesendet:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
Das verschlüsselte Paket wird an die Gateway-Adresse dieser WAN-Schnittstelle gesendet:
msg="send to 2.2.2.2 via intf-WAN1"
Beim zweiten Paket passiert alles ähnlich, aber es wird an einen anderen VPN-Tunnel gesendet und verlässt es über einen anderen Firewall-Port:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"
Vorteile der Lösung
Zuverlässige Funktionalität und benutzerfreundliche Oberfläche. Der Funktionsumfang, der in FortiOS vor der Einführung von SD-WAN verfügbar war, ist vollständig erhalten geblieben. Das heißt, wir haben keine neu entwickelte Software, sondern ein ausgereiftes System eines bewährten Firewall-Anbieters. Mit einem traditionellen Satz an Netzwerkfunktionen, einer praktischen und leicht zu erlernenden Weboberfläche. Wie viele SD-WAN-Anbieter verfügen beispielsweise über Remote-Access-VPN-Funktionalität auf Endgeräten?
Sicherheitsstufe 80. FortiGate ist eine der Top-Firewall-Lösungen. Im Internet gibt es viel Material zum Einrichten und Verwalten von Firewalls und auf dem Arbeitsmarkt gibt es viele Sicherheitsspezialisten, die die Lösungen des Anbieters bereits beherrschen.
Nullpreis für SD-WAN-Funktionalität. Der Aufbau eines SD-WAN-Netzwerks auf FortiGate kostet genauso viel wie der Aufbau eines regulären WAN-Netzwerks darauf, da für die Implementierung der SD-WAN-Funktionalität keine zusätzlichen Lizenzen erforderlich sind.
Niedriger Einstiegspreis. Fortigate verfügt über eine gute Abstufung der Geräte für unterschiedliche Leistungsniveaus. Die jüngsten und günstigsten Modelle eignen sich durchaus für die Erweiterung eines Büros oder einer Verkaufsstelle um beispielsweise 3-5 Mitarbeiter. Viele Anbieter verfügen einfach nicht über solch leistungsschwache und erschwingliche Modelle.
Hohe Leistung. Die Reduzierung der SD-WAN-Funktionalität auf den Verkehrsausgleich ermöglichte es dem Unternehmen, einen speziellen SD-WAN-ASIC auf den Markt zu bringen, wodurch der SD-WAN-Betrieb die Leistung der Firewall als Ganzes nicht beeinträchtigt.
Die Möglichkeit, ein ganzes Büro auf Fortinet-Geräten zu implementieren. Dabei handelt es sich um ein Paar Firewalls, Switches und WLAN-Zugangspunkte. Ein solches Büro ist einfach und bequem zu verwalten – Switches und Access Points werden an Firewalls registriert und von dort aus verwaltet. So könnte beispielsweise ein Switch-Port von der Firewall-Schnittstelle aus aussehen, die diesen Switch steuert:
Fehlende Controller als Single Point of Failure. Der Anbieter selbst konzentriert sich darauf, aber dies kann nur zum Teil als Vorteil bezeichnet werden, denn für Anbieter, die über Controller verfügen, ist die Gewährleistung ihrer Fehlertoleranz kostengünstig, meist um den Preis einer geringen Menge an Rechenressourcen in einer Virtualisierungsumgebung.
Worauf zu achten ist
Keine Trennung zwischen Kontrollebene und Datenebene. Das bedeutet, dass das Netzwerk entweder manuell oder mit den herkömmlichen, bereits verfügbaren Verwaltungstools – FortiManager – konfiguriert werden muss. Bei Anbietern, die eine solche Trennung umgesetzt haben, wird das Netzwerk selbst aufgebaut. Der Administrator muss möglicherweise nur seine Topologie anpassen, irgendwo etwas verbieten, mehr nicht. Der Trumpf von FortiManager ist jedoch, dass er nicht nur Firewalls, sondern auch Switches und WLAN-Zugangspunkte, also fast das gesamte Netzwerk, verwalten kann.
Bedingte Erhöhung der Kontrollierbarkeit. Aufgrund der Tatsache, dass herkömmliche Tools zur Automatisierung der Netzwerkkonfiguration verwendet werden, erhöht sich die Netzwerkverwaltbarkeit mit der Einführung von SD-WAN leicht. Andererseits stehen neue Funktionalitäten schneller zur Verfügung, da der Hersteller sie zunächst nur für das Firewall-Betriebssystem freigibt (und damit sofort nutzbar macht) und erst dann das Managementsystem mit den notwendigen Schnittstellen ergänzt.
Einige Funktionen sind möglicherweise über die Befehlszeile verfügbar, nicht jedoch über die Weboberfläche. Manchmal ist es nicht so beängstigend, in die Befehlszeile zu gehen, um etwas zu konfigurieren, aber es ist beängstigend, in der Weboberfläche nicht zu sehen, dass jemand bereits etwas über die Befehlszeile konfiguriert hat. Dies gilt jedoch normalerweise für die neuesten Funktionen und nach und nach werden mit FortiOS-Updates die Funktionen der Weboberfläche verbessert.
Zu passen
Für diejenigen, die nicht viele Filialen haben. Die Implementierung einer SD-WAN-Lösung mit komplexen zentralen Komponenten in einem Netzwerk von 8 bis 10 Filialen kostet möglicherweise nicht viel – Sie müssen Geld für Lizenzen für SD-WAN-Geräte und Virtualisierungssystemressourcen zum Hosten der zentralen Komponenten ausgeben. Ein kleines Unternehmen verfügt normalerweise nur über begrenzte kostenlose Computerressourcen. Im Fall von Fortinet reicht es, einfach Firewalls zu kaufen.
Für diejenigen, die viele kleine Filialen haben. Für viele Anbieter ist der Mindestlösungspreis pro Filiale recht hoch und aus Sicht des Endkundengeschäfts möglicherweise nicht interessant. Fortinet bietet Kleingeräte zu sehr attraktiven Preisen an.
Für diejenigen, die noch nicht bereit sind, zu weit zu gehen. Die Implementierung von SD-WAN mit Controllern, proprietärem Routing und einem neuen Ansatz für die Netzwerkplanung und -verwaltung könnte für einige Kunden ein zu großer Schritt sein. Ja, eine solche Implementierung wird letztendlich dazu beitragen, die Nutzung von Kommunikationskanälen und die Arbeit von Administratoren zu optimieren, aber zunächst müssen Sie viel Neues lernen. Wer noch nicht bereit für einen Paradigmenwechsel ist, aber mehr aus seinen Kommunikationskanälen herausholen möchte, für den ist die Lösung von Fortinet genau das Richtige.
Source: habr.com