Juĝante laŭ la nombro da demandoj, kiuj komencis alveni al ni per SD-WAN, la teknologio komencis ĝisfunde enradikiĝi en Rusio. Vendistoj, nature, ne dormas kaj proponas siajn konceptojn, kaj iuj kuraĝaj pioniroj jam efektivigas ilin en siaj retoj.
Ni laboras kun preskaŭ ĉiuj vendistoj, kaj dum pluraj jaroj en nia laboratorio mi sukcesis enprofundiĝi en la arkitekturon de ĉiu grava programisto de programaro difinitaj solvoj. SD-WAN de Fortinet staras iom aparte ĉi tie, kiu simple konstruis la funkciecon ekvilibrigi trafikon inter komunikadkanaloj en la fajroŝirmilan programaron. La solvo estas sufiĉe demokrata, do kutime konsideras ĝin kompanioj, kiuj ankoraŭ ne estas pretaj por tutmondaj ŝanĝoj, sed volas pli efike uzi siajn komunikajn kanalojn.
En ĉi tiu artikolo mi volas diri al vi kiel agordi kaj labori kun SD-WAN de Fortinet, por kiu ĉi tiu solvo taŭgas kaj kiajn malfacilaĵojn vi povus renkonti ĉi tie.
La plej elstaraj ludantoj en la SD-WAN-merkato povas esti klasifikitaj en unu el du tipoj:
1. Noventreprenoj, kiuj kreis SD-WAN-solvojn de nulo. La plej sukcesaj el ili ricevas grandegan impulson por disvolviĝo post aĉeto de grandaj kompanioj - jen la rakonto de Cisco/Viptela, VMWare/VeloCloud, Nuage/Nokia.
2. Grandaj retaj vendistoj, kiuj kreis SD-WAN-solvojn, disvolvante la programeblecon kaj administreblecon de siaj tradiciaj enkursigiloj - jen la rakonto de Juniper, Huawei
Fortineto sukcesis trovi sian vojon. La fajroŝirmila softvaro havis enkonstruitan funkciecon, kiu ebligis kombini iliajn interfacojn en virtualajn kanalojn kaj ekvilibrigi la ŝarĝon inter ili uzante kompleksajn algoritmojn kompare kun konvencia vojigo. Ĉi tiu funkcio estis nomita SD-WAN. Ĉu kio Fortinet ja povas nomi SD-WAN? La merkato iom post iom komprenas, ke Programaro-Difinita signifas la apartigon de la Kontrola Ebeno de la Datuma Aviadilo, dediĉitaj regiloj kaj orkestrantoj. Fortinet havas nenion tian. Alcentrigita administrado estas laŭvola kaj ofertita per la tradicia Fortimanager-ilo. Sed laŭ mi, vi ne devus serĉi abstraktan veron kaj malŝparu tempon diskutante pri terminoj. En la reala mondo, ĉiu aliro havas siajn avantaĝojn kaj malavantaĝojn. La plej bona eliro estas kompreni ilin kaj povi elekti solvojn, kiuj respondas al la taskoj.
Mi provos diri al vi kun ekrankopioj enmane, kiel aspektas SD-WAN de Fortinet kaj kion ĝi povas fari.
Kiel ĉio funkcias
Ni supozu, ke vi havas du branĉojn ligitajn per du datumkanaloj. Tiuj datenligoj estas kombinitaj en grupon, simile al kiel regulaj Eterretaj interfacoj estas kombinitaj en LACP-Haveno-Kanalon. Malnovuloj memoros PPP Multilink - ankaŭ taŭga analogio. Kanaloj povas esti fizikaj havenoj, VLAN SVI, same kiel VPN aŭ GRE-tuneloj.
VPN aŭ GRE estas kutime uzataj dum ligado de branĉoj lokaj retoj tra la Interreto. Kaj fizikaj havenoj - se estas L2-konektoj inter retejoj, aŭ kiam konekto per dediĉita MPLS/VPN, se ni estas kontentaj pri la konekto sen Overlay kaj ĉifrado. Alia scenaro en kiu fizikaj havenoj estas uzitaj en SD-WAN-grupo ekvilibrigas la lokan aliron de uzantoj al la Interreto.
Ĉe nia stando estas kvar fajroŝirmiloj kaj du VPN-tuneloj funkciigantaj per du "komunikadfunkciigistoj". La diagramo aspektas jene:
VPN-tuneloj estas agorditaj en interfacreĝimo tiel ke ili estas similaj al punkt-al-punktaj ligoj inter aparatoj kun IP-adresoj sur P2P-interfacoj, kiuj povas esti pingitaj por certigi ke komunikado tra speciala tunelo funkcias. Por ke la trafiko estu ĉifrita kaj iri al la kontraŭa flanko, sufiĉas direkti ĝin en la tunelon. La alternativo estas elekti trafikon por ĉifrado uzante listojn de subretoj, kio tre konfuzas la administranton kiam la agordo iĝas pli kompleksa. En granda reto, vi povas uzi ADVPN-teknologion por konstrui VPN; ĉi tio estas analogo de DMVPN de Cisco aŭ DVPN de Huawei, kio ebligas pli facilan agordon.
VPN-agordo de retejo-al-ejo por du aparatoj kun BGP-vojigo ambaŭflanke
«ЦОД» (DC)
«Филиал» (BRN)
config system interface
edit "WAN1"
set vdom "Internet"
set ip 1.1.1.1 255.255.255.252
set allowaccess ping
set role wan
set interface "DC-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 3.3.3.1 255.255.255.252
set allowaccess ping
set role lan
set interface "DC-BRD"
set vlanid 112
next
edit "BRN-Ph1-1"
set vdom "Internet"
set ip 192.168.254.1 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.2 255.255.255.255
set interface "WAN1"
next
edit "BRN-Ph1-2"
set vdom "Internet"
set ip 192.168.254.3 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.4 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "BRN-Ph1-1"
set interface "WAN1"
set local-gw 1.1.1.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 2.2.2.1
set psksecret ***
next
edit "BRN-Ph1-2"
set interface "WAN2"
set local-gw 3.3.3.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 4.4.4.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "BRN-Ph2-1"
set phase1name "BRN-Ph1-1"
set proposal aes256-sha256
set dhgrp 2
next
edit "BRN-Ph2-2"
set phase1name "BRN-Ph1-2"
set proposal aes256-sha256
set dhgrp 2
next
end
config router static
edit 1
set gateway 1.1.1.2
set device "WAN1"
next
edit 3
set gateway 3.3.3.2
set device "WAN2"
next
end
config router bgp
set as 65002
set router-id 10.1.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.2"
set remote-as 65003
next
edit "192.168.254.4"
set remote-as 65003
next
end
config network
edit 1
set prefix 10.1.0.0 255.255.0.0
next
end
config system interface
edit "WAN1"
set vdom "Internet"
set ip 2.2.2.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 4.4.4.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 114
next
edit "DC-Ph1-1"
set vdom "Internet"
set ip 192.168.254.2 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.1 255.255.255.255
set interface "WAN1"
next
edit "DC-Ph1-2"
set vdom "Internet"
set ip 192.168.254.4 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.3 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "DC-Ph1-1"
set interface "WAN1"
set local-gw 2.2.2.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 1.1.1.1
set psksecret ***
next
edit "DC-Ph1-2"
set interface "WAN2"
set local-gw 4.4.4.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 3.3.3.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "DC-Ph2-1"
set phase1name "DC-Ph1-1"
set proposal aes128-sha1
set dhgrp 2
next
edit "DC2-Ph2-2"
set phase1name "DC-Ph1-2"
set proposal aes128-sha1
set dhgrp 2
next
end
config router static
edit 1
set gateway 2.2.2.2
et device "WAN1"
next
edit 3
set gateway 4.4.4.2
set device "WAN2"
next
end
config router bgp
set as 65003
set router-id 10.200.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.1"
set remote-as 65002
next
edit "192.168.254.3"
set remote-as 65002
next
end
config network
edit 1
set prefix 10.200.0.0 255.255.0.0
next
end
Mi provizas la agordon en teksta formo, ĉar, laŭ mi, estas pli oportune agordi la VPN tiel. Preskaŭ ĉiuj agordoj estas samaj ambaŭflanke; en tekstformo ili povas esti faritaj kiel kopio-gluo. Se vi faras la samon en la retinterfaco, estas facile erari - forgesu markomarkon ie, enigu la malĝustan valoron.
Post kiam ni aldonis la interfacojn al la pakaĵo
ĉiuj itineroj kaj sekurecaj politikoj povas rilati al ĝi, kaj ne al la interfacoj inkluzivitaj en ĝi. Minimume, vi devas permesi trafikon de internaj retoj al SD-WAN. Kiam vi kreas regulojn por ili, vi povas apliki protektajn mezurojn kiel IPS, antivirus kaj HTTPS-malkovro.
SD-WAN Reguloj estas agorditaj por la pakaĵo. Ĉi tiuj estas reguloj, kiuj difinas la ekvilibran algoritmon por specifa trafiko. Ili similas al vojaj politikoj en Policy-Based Routing, nur kiel rezulto de trafiko falanta sub la politiko, ne estas la sekva salto aŭ la kutima eksiĝinta interfaco kiu estas instalita, sed la interfacoj aldonitaj al la pakaĵo SD-WAN plus. trafikbalanca algoritmo inter ĉi tiuj interfacoj.
Trafiko povas esti apartigita de la ĝenerala fluo per L3-L4-informoj, per agnoskitaj aplikoj, Interretaj servoj (URL kaj IP), same kiel de agnoskitaj uzantoj de laborstacioj kaj tekkomputiloj. Post tio, unu el la sekvaj ekvilibraj algoritmoj povas esti asignita al la asignita trafiko:
En la listo de Interfaco-Preferoj, tiuj interfacoj el tiuj jam aldonitaj al la pakaĵo, kiuj servos ĉi tiun tipon de trafiko, estas elektitaj. Aldonante ne ĉiujn interfacojn, vi povas limigi ĝuste kiujn kanalojn vi uzas, ekzemple, retpoŝton, se vi ne volas ŝarĝi multekostajn kanalojn per alta SLA per ĝi. En FortiOS 6.4.1, fariĝis eble grupigi interfacojn aldonitajn al la pakaĵo SD-WAN en zonojn, kreante, ekzemple, unu zonon por komunikado kun foraj retejoj, kaj alian por loka interreta aliro uzante NAT. Jes, jes, trafiko kiu iras al la regula Interreto ankaŭ povas esti ekvilibrigita.
Pri ekvilibraj algoritmoj
Koncerne kiel Fortigate (fajroŝirmilo de Fortinet) povas dividi trafikon inter kanaloj, ekzistas du interesaj opcioj ne tre oftaj en la merkato:
Plej Malalta Kosto (SLA) – el ĉiuj interfacoj kiuj kontentigas la SLA nuntempe, tiu kun la pli malalta pezo (kosto), mane fiksita de la administranto, estas elektita; ĉi tiu reĝimo taŭgas por "granda" trafiko kiel sekurkopioj kaj dosiertranslokigoj.
Plej bona Kvalito (SLA) – ĉi tiu algoritmo, krom la kutima prokrasto, tremo kaj perdo de Fortigate-pakaĵoj, ankaŭ povas uzi la nunan kanalŝarĝon por taksi la kvaliton de kanaloj; Ĉi tiu reĝimo taŭgas por sentema trafiko kiel VoIP kaj videokonferenco.
Ĉi tiuj algoritmoj postulas starigon de komunika kanala rendimentometro - Performance SLA. Ĉi tiu mezurilo periode (kontrola intervalo) kontrolas informojn pri konformeco al SLA: pakaĵeto perdo, latenteco kaj tremo en la komunika kanalo, kaj povas "malakcepti" tiujn kanalojn, kiuj nuntempe ne renkontas la kvalitajn sojlojn - ili perdas tro multajn pakaĵojn aŭ spertas ankaŭ. multe da latenteco. Krome, la mezurilo kontrolas la staton de la kanalo, kaj povas provizore forigi ĝin de la pakaĵo en kazo de ripeta perdo de respondoj (fiaskoj antaŭ neaktiva). Restarigita, post pluraj sinsekvaj respondoj (restarigi ligilon poste), la mezurilo aŭtomate resendos la kanalon al la pakaĵo, kaj datumoj komencos esti transdonitaj tra ĝi denove.
Jen kiel aspektas la "mezurilo" agordo:
En la retinterfaco, ICMP-Eĥo-peto, HTTP-GET kaj DNS-peto disponeblas kiel testaj protokoloj. Estas iom pli da ebloj sur la komandlinio: TCP-eĥo kaj UDP-eĥo-opcioj estas disponeblaj, kaj ankaŭ speciala kvalita mezura protokolo - TWAMP.
La mezurrezultoj ankaŭ videblas en la retinterfaco:
Kaj sur la komandlinio:
Solvado de problemoj
Se vi kreis regulon, sed ĉio ne funkcias kiel atendite, vi devus rigardi la Hit Count valoron en la listo de SD-WAN Reguloj. Ĝi montros ĉu la trafiko entute falas en ĉi tiun regulon:
Sur la agorda paĝo de la mezurilo mem, vi povas vidi la ŝanĝon en kanalaj parametroj laŭlonge de la tempo. La punktita linio indikas la sojlan valoron de la parametro
En la retinterfaco vi povas vidi kiel trafiko estas distribuita laŭ la kvanto de datumoj transdonitaj/ricevitaj kaj la nombro da sesioj:
Krom ĉio ĉi, ekzistas bonega ŝanco spuri la paŝon de pakaĵoj kun maksimuma detalo. Kiam vi laboras en reala reto, la aparata agordo amasigas multajn envojajn politikojn, fajroŝirmilojn kaj trafikan distribuadon tra SD-WAN-havenoj. Ĉio ĉi interagas unu kun la alia en kompleksa maniero, kaj kvankam la vendisto disponigas detalajn blokdiagramojn de pakaj pretigaj algoritmoj, estas tre grave povi ne konstrui kaj testi teoriojn, sed vidi kien la trafiko efektive iras.
Ekzemple, la sekva aro de komandoj
diagnose debug flow filter saddr 10.200.64.15
diagnose debug flow filter daddr 10.1.7.2
diagnose debug flow show function-name
diagnose debug enable
diagnose debug trace 2
Permesas al vi spuri du pakaĵojn kun fontadreso de 10.200.64.15 kaj cel-adreso de 10.1.7.2.
Ni pings 10.7.1.2 de 10.200.64.15 dufoje kaj rigardas la eligon sur la konzolo.
Unua pako:
Dua pako:
Jen la unua pako ricevita de la fajroŝirmilo:
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0."
VDOM – Internet, Proto=1 (ICMP), DMZ-Office – название L3-интерфейса. Type=8 – Echo.
Nova sesio estis kreita por li:
msg="allocate a new session-0006a627"
Kaj kongruo estis trovita en la agordoj pri vojaj politikoj
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"
Rezultas, ke la pako devas esti sendita al unu el la VPN-tuneloj:
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"
La sekva permesa regulo estas detektita en fajroŝirmilaj politikoj:
msg="Allowed by Policy-3:"
La pako estas ĉifrita kaj sendita al la VPN-tunelo:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
La ĉifrita pako estas sendita al la enirejadreso por ĉi tiu interfaco WAN:
msg="send to 2.2.2.2 via intf-WAN1"
Por la dua pako, ĉio okazas simile, sed ĝi estas sendita al alia VPN-tunelo kaj eliras tra malsama fajroŝirmila haveno:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"
Avantaĝoj de la solvo
Fidinda funkcieco kaj uzant-amika interfaco. La aro de funkcioj disponebla en FortiOS antaŭ la apero de SD-WAN estis plene konservita. Tio estas, ni ne havas lastatempe evoluigitan programaron, sed maturan sistemon de provita fajroŝirmilo vendisto. Kun tradicia aro de retaj funkcioj, oportuna kaj facile lernebla retinterfaco. Kiom da vendistoj de SD-WAN havas, ekzemple, Remote-Access VPN-funkciecon sur finaj aparatoj?
Sekurecnivelo 80. FortiGate estas unu el la ĉefaj fajroŝirmilaj solvoj. Estas multe da materialo en la Interreto pri starigo kaj administrado de fajroŝirmiloj, kaj sur la labormerkato estas multaj sekurecaj specialistoj, kiuj jam regis la solvojn de la vendisto.
Nula prezo por SD-WAN-funkcio. Konstrui SD-WAN-reton sur FortiGate kostas same kiel konstrui regulan WAN-reton sur ĝi, ĉar neniuj aldonaj licencoj estas necesaj por efektivigi SD-WAN-funkciecon.
Malalta enira baroprezo. Fortigate havas bonan gradadon de aparatoj por malsamaj rendimentniveloj. La plej junaj kaj plej malmultekostaj modeloj estas sufiĉe taŭgaj por vastigi oficejon aŭ vendejon de, ekzemple, 3-5 dungitoj. Multaj vendistoj simple ne havas tiajn malaltefikajn kaj atingeblajn modelojn.
Alta rendimento. Redukti SD-WAN-funkciecon al trafikbalancado permesis al la firmao liberigi specialecan SD-WAN ASIC, dank'al kiu SD-WAN-operacio ne reduktas la agadon de la fajroŝirmilo entute.
La kapablo efektivigi tutan oficejon sur Fortinet-ekipaĵo. Ĉi tiuj estas paro da fajroŝirmiloj, ŝaltiloj, Wi-Fi-alirpunktoj. Tia oficejo estas facile kaj oportuna administrebla - ŝaltiloj kaj alirpunktoj estas registritaj sur fajroŝirmiloj kaj administritaj de ili. Ekzemple, jen kiel ŝaltila haveno povus aspekti de la fajroŝirmila interfaco kiu kontrolas ĉi tiun ŝaltilon:
Manko de regiloj kiel ununura punkto de fiasko. La vendisto mem temigas ĉi tion, sed ĉi tio povas esti nomata nur utilo parte, ĉar por tiuj vendistoj, kiuj havas regilojn, certigi ilian misfunkciadon estas malmultekosta, plej ofte je la prezo de malgranda kvanto de komputikaj rimedoj en virtualiga medio.
Kion serĉi
Neniu apartigo inter Kontrola Aviadilo kaj Datuma Aviadilo. Ĉi tio signifas, ke la reto devas esti agordita aŭ permane aŭ uzante la tradiciajn mastrumajn ilojn jam disponeblajn - FortiManager. Por vendistoj kiuj efektivigis tian apartigon, la reto estas kunvenita mem. La administranto eble nur bezonas alĝustigi sian topologion, malpermesi ion ie, nenion pli. Tamen, la atuto de FortiManager estas, ke ĝi povas administri ne nur fajroŝirmilojn, sed ankaŭ ŝaltilojn kaj Wi-Fi-alirpunktojn, tio estas, preskaŭ la tutan reton.
Kondiĉa pliiĝo en kontrolebleco. Pro la fakto, ke tradiciaj iloj estas uzataj por aŭtomatigi retan agordon, retmaneblo kun la enkonduko de SD-WAN iomete pliiĝas. Aliflanke, novaj funkcioj fariĝas disponeblaj pli rapide, ĉar la vendisto unue liberigas ĝin nur por la fajroŝirmila operaciumo (kiu tuj ebligas uzi ĝin), kaj nur tiam kompletigas la administradsistemon per la necesaj interfacoj.
Iu funkcieco povas esti havebla de la komandlinio, sed ne estas havebla de la retinterfaco. Kelkfoje ne estas tiom timige iri en la komandlinion por agordi ion, sed estas timige ne vidi en la retinterfaco, ke iu jam agordis ion el la komandlinio. Sed ĉi tio kutime validas por la plej novaj funkcioj kaj iom post iom, kun FortiOS-ĝisdatigoj, la kapabloj de la retinterfaco plibonigas.
Kiu konvenos
Por tiuj, kiuj ne havas multajn branĉojn. Efektivigo de SD-WAN-solvo kun kompleksaj centraj komponantoj en reto de 8-10 branĉoj eble ne kostos la kandelon - vi devos elspezi monon por licencoj por SD-WAN-aparatoj kaj virtualigo-sistemaj rimedoj por gastigi la centrajn komponantojn. Malgranda kompanio kutime havas limigitajn senpagajn komputikajn rimedojn. En la kazo de Fortinet, sufiĉas simple aĉeti fajroŝirmilojn.
Por tiuj, kiuj havas multajn malgrandajn branĉojn. Por multaj vendistoj, la minimuma solvprezo por branĉo estas sufiĉe alta kaj eble ne estas interesa el la vidpunkto de la komerco de la fina kliento. Fortinet ofertas malgrandajn aparatojn je tre allogaj prezoj.
Por tiuj, kiuj ankoraŭ ne estas pretaj paŝi tro malproksimen. Efektivigo de SD-WAN per regiloj, proprieta vojigo kaj nova aliro al retoplanado kaj administrado povas esti tro granda paŝo por iuj klientoj. Jes, tia efektivigo finfine helpos optimumigi la uzadon de komunikadkanaloj kaj la laboron de administrantoj, sed unue vi devos lerni multajn novajn aferojn. Por tiuj, kiuj ankoraŭ ne estas pretaj por paradigmoŝanĝo, sed volas elpremi pli el siaj komunikadkanaloj, la solvo de Fortinet pravas.
fonto: www.habr.com