A juzgar por la cantidad de preguntas que empezaron a llegarnos a través de SD-WAN, la tecnología ha comenzado a arraigarse por completo en Rusia. Los vendedores, por supuesto, no se quedan dormidos y ofrecen sus conceptos, y algunos pioneros valientes ya los están implementando en sus redes.
Trabajamos con casi todos los proveedores y durante varios años en nuestro laboratorio logré profundizar en la arquitectura de todos los principales desarrolladores de soluciones definidas por software. Un poco aparte se destaca SD-WAN de Fortinet, que simplemente incorporó la funcionalidad de equilibrar el tráfico entre canales de comunicación en el software de firewall. La solución es bastante democrática, por lo que suelen considerarla empresas que aún no están preparadas para los cambios globales, pero que quieren utilizar sus canales de comunicación de forma más eficaz.
En este artículo quiero contarte cómo configurar y trabajar con SD-WAN de Fortinet, para quién es adecuada esta solución y qué dificultades puedes encontrar aquí.
Los actores más destacados del mercado SD-WAN se pueden clasificar en dos tipos:
1. Startups que han creado soluciones SD-WAN desde cero. Los más exitosos reciben un gran impulso de desarrollo después de ser comprados por grandes empresas: esta es la historia de Cisco/Viptela, VMWare/VeloCloud, Nuage/Nokia.
2. Grandes proveedores de redes que han creado soluciones SD-WAN, desarrollando la programabilidad y capacidad de administración de sus enrutadores tradicionales: esta es la historia de Juniper, Huawei
Fortinet logró encontrar su camino. El software de firewall tenía una funcionalidad incorporada que permitía combinar sus interfaces en canales virtuales y equilibrar la carga entre ellos mediante algoritmos complejos en comparación con el enrutamiento convencional. Esta funcionalidad se denominó SD-WAN. ¿Se puede llamar SD-WAN a lo que hizo Fortinet? El mercado está comprendiendo gradualmente que Definido por software significa la separación del plano de control del plano de datos, controladores dedicados y orquestadores. Fortinet no tiene nada de eso. La gestión centralizada es opcional y se ofrece a través de la herramienta tradicional Fortimanager. Pero en mi opinión, no deberías buscar la verdad abstracta y perder el tiempo discutiendo sobre términos. En el mundo real, cada enfoque tiene sus ventajas y desventajas. La mejor salida es comprenderlos y poder elegir soluciones que correspondan a las tareas.
Intentaré contarte con capturas de pantalla en mano cómo es SD-WAN de Fortinet y qué puede hacer.
como funciona todo
Supongamos que tiene dos sucursales conectadas por dos canales de datos. Estos enlaces de datos se combinan en un grupo, de forma similar a cómo se combinan las interfaces Ethernet normales en un canal de puerto LACP. Los veteranos recordarán PPP Multilink, que también es una analogía adecuada. Los canales pueden ser puertos físicos, VLAN SVI, así como túneles VPN o GRE.
VPN o GRE se utilizan normalmente al conectar redes locales de sucursales a través de Internet. Y puertos físicos, si hay conexiones L2 entre sitios, o cuando nos conectamos a través de un MPLS/VPN dedicado, si estamos satisfechos con la conexión sin superposición ni cifrado. Otro escenario en el que se utilizan puertos físicos en un grupo SD-WAN es equilibrar el acceso local de los usuarios a Internet.
En nuestro stand hay cuatro firewalls y dos túneles VPN que operan a través de dos "operadores de comunicación". El diagrama se ve así:
Los túneles VPN se configuran en modo de interfaz para que sean similares a conexiones punto a punto entre dispositivos con direcciones IP en interfaces P2P, a las que se puede hacer ping para garantizar que la comunicación a través de un túnel en particular esté funcionando. Para que el tráfico esté cifrado y vaya al lado opuesto, basta con encaminarlo hacia el túnel. La alternativa es seleccionar el tráfico para cifrarlo usando listas de subredes, lo que confunde mucho al administrador a medida que la configuración se vuelve más compleja. En una red grande, puede utilizar la tecnología ADVPN para crear una VPN, que es un análogo de DMVPN de Cisco o DVPN de Huawei, que permite una configuración más sencilla.
Configuración de VPN de sitio a sitio para dos dispositivos con enrutamiento BGP en ambos lados
«ЦОД» (DC)
«Филиал» (BRN)
config system interface
edit "WAN1"
set vdom "Internet"
set ip 1.1.1.1 255.255.255.252
set allowaccess ping
set role wan
set interface "DC-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 3.3.3.1 255.255.255.252
set allowaccess ping
set role lan
set interface "DC-BRD"
set vlanid 112
next
edit "BRN-Ph1-1"
set vdom "Internet"
set ip 192.168.254.1 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.2 255.255.255.255
set interface "WAN1"
next
edit "BRN-Ph1-2"
set vdom "Internet"
set ip 192.168.254.3 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.4 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "BRN-Ph1-1"
set interface "WAN1"
set local-gw 1.1.1.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 2.2.2.1
set psksecret ***
next
edit "BRN-Ph1-2"
set interface "WAN2"
set local-gw 3.3.3.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 4.4.4.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "BRN-Ph2-1"
set phase1name "BRN-Ph1-1"
set proposal aes256-sha256
set dhgrp 2
next
edit "BRN-Ph2-2"
set phase1name "BRN-Ph1-2"
set proposal aes256-sha256
set dhgrp 2
next
end
config router static
edit 1
set gateway 1.1.1.2
set device "WAN1"
next
edit 3
set gateway 3.3.3.2
set device "WAN2"
next
end
config router bgp
set as 65002
set router-id 10.1.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.2"
set remote-as 65003
next
edit "192.168.254.4"
set remote-as 65003
next
end
config network
edit 1
set prefix 10.1.0.0 255.255.0.0
next
end
config system interface
edit "WAN1"
set vdom "Internet"
set ip 2.2.2.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 4.4.4.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 114
next
edit "DC-Ph1-1"
set vdom "Internet"
set ip 192.168.254.2 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.1 255.255.255.255
set interface "WAN1"
next
edit "DC-Ph1-2"
set vdom "Internet"
set ip 192.168.254.4 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.3 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "DC-Ph1-1"
set interface "WAN1"
set local-gw 2.2.2.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 1.1.1.1
set psksecret ***
next
edit "DC-Ph1-2"
set interface "WAN2"
set local-gw 4.4.4.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 3.3.3.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "DC-Ph2-1"
set phase1name "DC-Ph1-1"
set proposal aes128-sha1
set dhgrp 2
next
edit "DC2-Ph2-2"
set phase1name "DC-Ph1-2"
set proposal aes128-sha1
set dhgrp 2
next
end
config router static
edit 1
set gateway 2.2.2.2
et device "WAN1"
next
edit 3
set gateway 4.4.4.2
set device "WAN2"
next
end
config router bgp
set as 65003
set router-id 10.200.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.1"
set remote-as 65002
next
edit "192.168.254.3"
set remote-as 65002
next
end
config network
edit 1
set prefix 10.200.0.0 255.255.0.0
next
end
Proporciono la configuración en forma de texto porque, en mi opinión, es más conveniente configurar la VPN de esta manera. Casi todas las configuraciones son iguales en ambos lados; en forma de texto se pueden hacer copiando y pegando. Si hace lo mismo en la interfaz web, es fácil cometer un error: olvide una marca de verificación en alguna parte, ingrese el valor incorrecto.
Después de agregar las interfaces al paquete
todas las rutas y políticas de seguridad pueden hacer referencia a él, y no a las interfaces incluidas en él. Como mínimo, debe permitir el tráfico desde las redes internas a SD-WAN. Cuando crea reglas para ellos, puede aplicar medidas de protección como IPS, antivirus y divulgación HTTPS.
Las reglas SD-WAN están configuradas para el paquete. Estas son reglas que definen el algoritmo de equilibrio para tráfico específico. Son similares a las políticas de enrutamiento en el enrutamiento basado en políticas, solo que como resultado del tráfico que cae bajo la política, no se instala el siguiente salto o la interfaz saliente habitual, sino las interfaces agregadas al paquete SD-WAN más un algoritmo de equilibrio de tráfico entre estas interfaces.
El tráfico se puede separar del flujo general mediante información L3-L4, aplicaciones reconocidas, servicios de Internet (URL e IP), así como usuarios reconocidos de estaciones de trabajo y portátiles. Después de esto, se puede asignar uno de los siguientes algoritmos de equilibrio al tráfico asignado:
En la lista de Preferencias de interfaz, se seleccionan aquellas interfaces de las que ya se agregaron al paquete que atenderán este tipo de tráfico. Al agregar no todas las interfaces, puede limitar exactamente qué canales usa, por ejemplo, el correo electrónico, si no desea sobrecargar canales costosos con un SLA alto. En FortiOS 6.4.1, fue posible agrupar las interfaces agregadas al paquete SD-WAN en zonas, creando, por ejemplo, una zona para la comunicación con sitios remotos y otra para el acceso local a Internet mediante NAT. Sí, sí, el tráfico que llega a Internet normal también se puede equilibrar.
Acerca de los algoritmos de equilibrio
Respecto a cómo Fortigate (un firewall de Fortinet) puede dividir el tráfico entre canales, existen dos opciones interesantes que no son muy habituales en el mercado:
Costo más bajo (SLA) – de todas las interfaces que cumplen el SLA en este momento, se selecciona la de menor peso (coste), configurada manualmente por el administrador; este modo es adecuado para tráfico "masivo", como copias de seguridad y transferencias de archivos.
Mejor calidad (SLA) – este algoritmo, además del retraso, la fluctuación y la pérdida habituales de los paquetes Fortigate, también puede utilizar la carga actual del canal para evaluar la calidad de los canales; Este modo es adecuado para tráfico sensible como VoIP y videoconferencias.
Estos algoritmos requieren la configuración de un medidor de rendimiento del canal de comunicación: Performance SLA. Este medidor monitorea periódicamente (intervalo de verificación) información sobre el cumplimiento del SLA: pérdida de paquetes, latencia y fluctuación en el canal de comunicación, y puede "rechazar" aquellos canales que actualmente no cumplen con los umbrales de calidad: están perdiendo demasiados paquetes o están experimentando demasiados. Mucha latencia. Además, el medidor monitorea el estado del canal y puede eliminarlo temporalmente del paquete en caso de pérdida repetida de respuestas (fallas antes de estar inactivo). Cuando se restablece, después de varias respuestas consecutivas (restaurar el enlace después), el medidor devolverá automáticamente el canal al paquete y los datos comenzarán a transmitirse a través de él nuevamente.
Así es como se ve la configuración del "medidor":
En la interfaz web están disponibles como protocolos de prueba ICMP-Echo-request, HTTP-GET y DNS request. Hay un poco más de opciones en la línea de comando: están disponibles las opciones TCP-echo y UDP-echo, así como un protocolo de medición de calidad especializado: TWAMP.
Los resultados de la medición también se pueden ver en la interfaz web:
Y en la línea de comando:
Solución de problemas
Si creó una regla, pero no todo funciona como se esperaba, debe consultar el valor de Conteo de visitas en la lista de Reglas SD-WAN. Mostrará si el tráfico cae dentro de esta regla:
En la página de configuración del medidor, puede ver el cambio en los parámetros del canal a lo largo del tiempo. La línea de puntos indica el valor umbral del parámetro.
En la interfaz web puedes ver cómo se distribuye el tráfico según la cantidad de datos transmitidos/recibidos y el número de sesiones:
Además de todo esto, existe una excelente oportunidad para seguir el paso de los paquetes con el máximo detalle. Cuando se trabaja en una red real, la configuración del dispositivo acumula muchas políticas de enrutamiento, firewalls y distribución del tráfico entre los puertos SD-WAN. Todo esto interactúa entre sí de forma compleja y, aunque el proveedor proporciona diagramas de bloques detallados de los algoritmos de procesamiento de paquetes, es muy importante poder no construir y probar teorías, sino ver hacia dónde va realmente el tráfico.
Por ejemplo, el siguiente conjunto de comandos
diagnose debug flow filter saddr 10.200.64.15
diagnose debug flow filter daddr 10.1.7.2
diagnose debug flow show function-name
diagnose debug enable
diagnose debug trace 2
Le permite rastrear dos paquetes con una dirección de origen de 10.200.64.15 y una dirección de destino de 10.1.7.2.
Hacemos ping a 10.7.1.2 desde 10.200.64.15 dos veces y miramos el resultado en la consola.
Primer paquete:
Segundo paquete:
Aquí está el primer paquete recibido por el firewall:
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0."
VDOM – Internet, Proto=1 (ICMP), DMZ-Office – название L3-интерфейса. Type=8 – Echo.
Se ha creado una nueva sesión para él:
msg="allocate a new session-0006a627"
Y se encontró una coincidencia en la configuración de la política de enrutamiento.
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"
Resulta que el paquete debe enviarse a uno de los túneles VPN:
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"
Se detecta la siguiente regla de permiso en las políticas de firewall:
msg="Allowed by Policy-3:"
El paquete se cifra y se envía al túnel VPN:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
El paquete cifrado se envía a la dirección de puerta de enlace para esta interfaz WAN:
msg="send to 2.2.2.2 via intf-WAN1"
Para el segundo paquete, todo sucede de manera similar, pero se envía a otro túnel VPN y sale por un puerto de firewall diferente:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"
Ventajas de la solución
Funcionalidad confiable e interfaz fácil de usar. El conjunto de funciones que estaba disponible en FortiOS antes de la llegada de SD-WAN se ha conservado por completo. Es decir, no contamos con un software desarrollado recientemente, sino con un sistema maduro de un proveedor de firewall probado. Con un conjunto tradicional de funciones de red, una interfaz web conveniente y fácil de aprender. ¿Cuántos proveedores de SD-WAN tienen, digamos, funcionalidad VPN de acceso remoto en dispositivos finales?
Nivel de seguridad 80. FortiGate es una de las mejores soluciones de firewall. En Internet hay mucho material sobre cómo configurar y administrar firewalls, y en el mercado laboral hay muchos especialistas en seguridad que ya dominan las soluciones del proveedor.
Precio cero para la funcionalidad SD-WAN. Construir una red SD-WAN en FortiGate cuesta lo mismo que construir una red WAN normal, ya que no se necesitan licencias adicionales para implementar la funcionalidad SD-WAN.
Precio de barrera de entrada bajo. Fortigate tiene una buena gradación de dispositivos para diferentes niveles de rendimiento. Los modelos más jóvenes y económicos son muy adecuados para ampliar una oficina o un punto de venta con, digamos, 3-5 empleados. Muchos proveedores simplemente no tienen modelos tan asequibles y de bajo rendimiento.
Alto rendimiento Reducir la funcionalidad SD-WAN al equilibrio de tráfico permitió a la empresa lanzar un ASIC SD-WAN especializado, gracias al cual la operación SD-WAN no reduce el rendimiento del firewall en su conjunto.
La capacidad de implementar una oficina completa en equipos Fortinet. Estos son un par de firewalls, conmutadores y puntos de acceso Wi-Fi. Una oficina de este tipo es fácil y cómoda de gestionar: los conmutadores y puntos de acceso se registran en cortafuegos y se gestionan desde ellos. Por ejemplo, así es como se vería un puerto de conmutador desde la interfaz del firewall que controla este conmutador:
Falta de controladores como punto único de falla. El propio proveedor se centra en esto, pero esto sólo puede considerarse un beneficio en parte, porque para aquellos proveedores que tienen controladores, garantizar su tolerancia a fallas es económico, generalmente al precio de una pequeña cantidad de recursos informáticos en un entorno de virtualización.
Qué buscar
Sin separación entre el plano de control y el plano de datos. Esto significa que la red debe configurarse manualmente o utilizando las herramientas de administración tradicionales ya disponibles: FortiManager. Para los proveedores que han implementado dicha separación, la red la ensamblan ellos mismos. Es posible que el administrador solo necesite ajustar su topología, prohibir algo en algún lugar, nada más. Sin embargo, la baza de FortiManager es que puede gestionar no sólo firewalls, sino también conmutadores y puntos de acceso Wi-Fi, es decir, casi toda la red.
Aumento condicional de la controlabilidad. Debido al hecho de que se utilizan herramientas tradicionales para automatizar la configuración de la red, la capacidad de administración de la red con la introducción de SD-WAN aumenta ligeramente. Por otro lado, la nueva funcionalidad está disponible más rápidamente, ya que el proveedor primero la lanza solo para el sistema operativo del firewall (lo que hace posible su uso inmediatamente), y solo entonces complementa el sistema de gestión con las interfaces necesarias.
Algunas funciones pueden estar disponibles desde la línea de comandos, pero no están disponibles desde la interfaz web. A veces no da tanto miedo ir a la línea de comando para configurar algo, pero da miedo no ver en la interfaz web que alguien ya ha configurado algo desde la línea de comando. Pero esto generalmente se aplica a las funciones más nuevas y gradualmente, con las actualizaciones de FortiOS, se mejoran las capacidades de la interfaz web.
Para adaptarse
Para los que no tienen muchas sucursales. Es posible que implementar una solución SD-WAN con componentes centrales complejos en una red de 8 a 10 sucursales no cueste mucho: tendrá que gastar dinero en licencias para dispositivos SD-WAN y recursos del sistema de virtualización para alojar los componentes centrales. Una pequeña empresa suele tener recursos informáticos gratuitos limitados. En el caso de Fortinet, basta con comprar firewalls.
Para quienes tienen muchas sucursales pequeñas. Para muchos proveedores, el precio mínimo de la solución por sucursal es bastante alto y puede no resultar interesante desde el punto de vista del negocio del cliente final. Fortinet ofrece dispositivos pequeños a precios muy atractivos.
Para aquellos que aún no están preparados para dar un paso demasiado lejos. La implementación de SD-WAN con controladores, enrutamiento propietario y un nuevo enfoque para la planificación y gestión de redes puede ser un paso demasiado grande para algunos clientes. Sí, en última instancia, esta implementación ayudará a optimizar el uso de los canales de comunicación y el trabajo de los administradores, pero primero tendrá que aprender muchas cosas nuevas. Para aquellos que aún no están preparados para un cambio de paradigma, pero quieren sacar más provecho de sus canales de comunicación, la solución de Fortinet es perfecta.
Fuente: habr.com