SD-WAN-i kaudu meile saabuma hakanud küsimuste arvu järgi otsustades on tehnoloogia Venemaal põhjalikult juurduma hakanud. Müüjad loomulikult ei maga ja pakuvad oma kontseptsioone ning mõned vaprad pioneerid rakendavad neid juba oma võrkudes.
Teeme koostööd peaaegu kõigi müüjatega ja mitme aasta jooksul õnnestus mul meie laboris süveneda iga suurema tarkvarapõhise lahenduse arendaja arhitektuuri. Fortineti SD-WAN on siin pisut erinev, mis lihtsalt ehitas tulemüüri tarkvarasse sidekanalite vahelise liikluse tasakaalustamise funktsiooni. Lahendus on pigem demokraatlik, nii et seda kaaluvad tavaliselt ettevõtted, kes pole veel globaalseteks muutusteks valmis, kuid soovivad oma suhtluskanaleid efektiivsemalt kasutada.
Selles artiklis tahan teile rääkida, kuidas Fortineti SD-WAN-i konfigureerida ja sellega töötada, kellele see lahendus sobib ja milliseid lõkse võite siin kohata.
SD-WAN-turu silmapaistvamad mängijad võib jagada kahte tüüpi:
1. Alustavad ettevõtted, kes on loonud SD-WAN lahendused nullist. Edukamad neist saavad pärast suurte ettevõtete ostmist tohutu tõuke arendamiseks – see on Cisco/Viptela, VMWare/VeloCloudi, Nuage/Nokia lugu
2. Suured võrgumüüjad, kes on loonud SD-WAN lahendused, arendades oma traditsiooniliste ruuterite programmeeritavust ja juhitavust – see on Juniperi, Huawei lugu
Fortinetil õnnestus oma tee leida. Tulemüüri tarkvaral oli sisseehitatud funktsionaalsus, mis võimaldas ühendada nende liidesed virtuaalseteks kanaliteks ja tasakaalustada nende vahelist koormust kasutades keerukaid algoritme, võrreldes tavapärase marsruutimisega. Seda funktsiooni nimetati SD-WAN-iks. Kas seda Fortinetit saab nimetada SD-WAN-iks? Turg hakkab järk-järgult aru saama, et tarkvarapõhine tähendab juhtimistasandi eraldamist andmetasandist, spetsiaalsetest kontrolleritest ja orkestritest. Fortinetil pole midagi sellist. Tsentraliseeritud haldamine on valikuline ja seda pakutakse traditsioonilise Fortimanageri tööriista kaudu. Kuid minu arvates ei tohiks otsida abstraktset tõde ja raisata aega terminite üle vaidlemisele. Reaalses maailmas on igal lähenemisviisil oma eelised ja puudused. Parim väljapääs on neist aru saada ja osata valida ülesannetele vastavaid lahendusi.
Püüan teile ekraanipiltidega rääkida, kuidas Fortineti SD-WAN välja näeb ja mida see suudab.
Kuidas kõik toimib
Oletame, et teil on kaks haru, mis on ühendatud kahe andmekanaliga. Need andmelingid on ühendatud rühmaks, sarnaselt sellele, kuidas tavalised Etherneti liidesed ühendatakse LACP-pordi kanaliks. PPP Multilink jääb vanadele inimestele meelde – ka sobiv analoogia. Kanaliteks võivad olla füüsilised pordid, VLAN SVI, aga ka VPN või GRE tunnelid.
VPN-i või GRE-d kasutatakse tavaliselt haru kohalike võrkude ühendamisel Interneti kaudu. Ja füüsilised pordid - kui saitide vahel on L2-ühendused või kui ühendate spetsiaalse MPLS/VPN-i kaudu, kui oleme rahul ilma ülekatte ja krüptimiseta ühendusega. Teine stsenaarium, mille puhul füüsilisi porte kasutatakse SD-WAN-rühmas, on kasutajate kohaliku Interneti-juurdepääsu tasakaalustamine.
Meie stendil on neli tulemüüri ja kaks VPN-tunnelit, mis töötavad kahe “sideoperaatori” kaudu. Diagramm näeb välja selline:
VPN-tunnelid on konfigureeritud liideserežiimis nii, et need sarnanevad P2P-liidestega IP-aadressidega seadmete vaheliste punktist punkti ühendustega, mida saab pingestada, et tagada side toimimine läbi teatud tunneli. Selleks, et liiklus oleks krüpteeritud ja läheks vastasküljele, piisab selle suunamisest tunnelisse. Alternatiiviks on valida liiklus krüptimiseks alamvõrkude loendite abil, mis ajab administraatori konfiguratsiooni keerukamaks muutudes suure segadusse. Suures võrgus saate VPN-i loomiseks kasutada ADVPN-tehnoloogiat; see on Cisco DMVPN-i või Huawei DVPN-i analoog, mis võimaldab lihtsamalt seadistada.
Site-Site VPN-i konfiguratsioon kahele seadmele, mille mõlemal küljel on BGP-marsruutimine
«ЦОД» (DC)
«Филиал» (BRN)
config system interface
edit "WAN1"
set vdom "Internet"
set ip 1.1.1.1 255.255.255.252
set allowaccess ping
set role wan
set interface "DC-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 3.3.3.1 255.255.255.252
set allowaccess ping
set role lan
set interface "DC-BRD"
set vlanid 112
next
edit "BRN-Ph1-1"
set vdom "Internet"
set ip 192.168.254.1 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.2 255.255.255.255
set interface "WAN1"
next
edit "BRN-Ph1-2"
set vdom "Internet"
set ip 192.168.254.3 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.4 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "BRN-Ph1-1"
set interface "WAN1"
set local-gw 1.1.1.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 2.2.2.1
set psksecret ***
next
edit "BRN-Ph1-2"
set interface "WAN2"
set local-gw 3.3.3.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 4.4.4.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "BRN-Ph2-1"
set phase1name "BRN-Ph1-1"
set proposal aes256-sha256
set dhgrp 2
next
edit "BRN-Ph2-2"
set phase1name "BRN-Ph1-2"
set proposal aes256-sha256
set dhgrp 2
next
end
config router static
edit 1
set gateway 1.1.1.2
set device "WAN1"
next
edit 3
set gateway 3.3.3.2
set device "WAN2"
next
end
config router bgp
set as 65002
set router-id 10.1.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.2"
set remote-as 65003
next
edit "192.168.254.4"
set remote-as 65003
next
end
config network
edit 1
set prefix 10.1.0.0 255.255.0.0
next
end
config system interface
edit "WAN1"
set vdom "Internet"
set ip 2.2.2.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 4.4.4.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 114
next
edit "DC-Ph1-1"
set vdom "Internet"
set ip 192.168.254.2 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.1 255.255.255.255
set interface "WAN1"
next
edit "DC-Ph1-2"
set vdom "Internet"
set ip 192.168.254.4 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.3 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "DC-Ph1-1"
set interface "WAN1"
set local-gw 2.2.2.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 1.1.1.1
set psksecret ***
next
edit "DC-Ph1-2"
set interface "WAN2"
set local-gw 4.4.4.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 3.3.3.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "DC-Ph2-1"
set phase1name "DC-Ph1-1"
set proposal aes128-sha1
set dhgrp 2
next
edit "DC2-Ph2-2"
set phase1name "DC-Ph1-2"
set proposal aes128-sha1
set dhgrp 2
next
end
config router static
edit 1
set gateway 2.2.2.2
et device "WAN1"
next
edit 3
set gateway 4.4.4.2
set device "WAN2"
next
end
config router bgp
set as 65003
set router-id 10.200.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.1"
set remote-as 65002
next
edit "192.168.254.3"
set remote-as 65002
next
end
config network
edit 1
set prefix 10.200.0.0 255.255.0.0
next
end
Annan konfiguratsiooni teksti kujul, sest minu arvates on VPN-i niimoodi mugavam konfigureerida. Peaaegu kõik seadistused on mõlemal küljel samad, teksti kujul saab neid teha kopeeri-kleebi. Kui teete sama veebiliideses, on lihtne viga teha – unustage kuskil linnuke, sisestage vale väärtus.
Pärast liideste lisamist komplekti
kõik marsruudid ja turbepoliitikad võivad viidata sellele, mitte selles sisalduvatele liidestele. Vähemalt peate lubama liikluse sisevõrkudest SD-WAN-i. Nende jaoks reeglite loomisel saate rakendada kaitsemeetmeid, nagu IPS, viirusetõrje ja HTTPS-i avalikustamine.
Kimbu jaoks on konfigureeritud SD-WAN-reeglid. Need on reeglid, mis määratlevad konkreetse liikluse tasakaalustamise algoritmi. Need on sarnased poliitikapõhise marsruutimise marsruutimise poliitikatega, ainult poliitika alla kuuluva liikluse tõttu ei installita järgmise hüppe ega tavalist väljuvat liidest, vaid liidesed, mis on lisatud SD-WAN-paketi plussile. liikluse tasakaalustamise algoritm nende liideste vahel.
Liiklust saab üldisest voost eraldada L3-L4 teabe, tunnustatud rakenduste, Interneti-teenuste (URL ja IP), samuti tunnustatud tööjaamade ja sülearvutite kasutajate abil. Pärast seda saab eraldatud liiklusele määrata ühe järgmistest tasakaalustamisalgoritmidest:
Loendis Liideseelistused valitakse need liidesed juba komplekti lisatud liidestest, mis teenindavad seda tüüpi liiklust. Lisades mitte kõik liidesed, saate piirata täpselt, milliseid kanaleid te kasutate, näiteks meili, kui te ei soovi sellega koormata kalleid kanaleid kõrge SLA-ga. FortiOS 6.4.1-s sai võimalikuks rühmitada SD-WAN-i kimpu lisatud liidesed tsoonideks, luues näiteks ühe tsooni kaugsaitidega suhtlemiseks ja teise kohaliku Interneti-juurdepääsu jaoks NAT-i abil. Jah, jah, ka tavainterneti minevat liiklust saab tasakaalustada.
Tasakaalustusalgoritmide kohta
Seoses sellega, kuidas Fortigate (Fortineti tulemüür) saab liiklust kanalite vahel jagada, on kaks huvitavat võimalust, mis pole turul väga levinud:
Madalaim hind (SLA) – kõigist hetkel SLA-d rahuldavate liideste hulgast valitakse administraatori poolt käsitsi määratud väiksema kaaluga (kuluga); see režiim sobib hulgiliikluseks, nagu varukoopiad ja failiedastused.
Parim kvaliteet (SLA) – see algoritm võib lisaks Fortigate'i pakettide tavapärasele viivitamisele, värinale ja kadumisele kasutada kanalite kvaliteedi hindamiseks ka praegust kanalikoormust; See režiim sobib tundliku liikluse jaoks, nagu VoIP ja videokonverentsid.
Need algoritmid nõuavad sidekanali jõudlusmõõturi – Performance SLA – seadistamist. See arvesti jälgib perioodiliselt (kontrollintervall) teavet SLA-le vastavuse kohta: pakettide kadu, latentsus ja värinad sidekanalis ning võivad "tõrjuda" need kanalid, mis praegu kvaliteedilävedele ei vasta – nad kaotavad liiga palju pakette või kogevad liiga palju. palju latentsust. Lisaks jälgib arvesti kanali olekut ja saab selle ajutiselt kimbust eemaldada korduva vastuse kadumise korral (tõrked enne passiivset). Taastamisel tagastab arvesti pärast mitut järjestikust vastust (link pärast taastamist) automaatselt kanali tagasi kimpu ja selle kaudu hakatakse uuesti andmeid edastama.
„Arvesti” seadistus näeb välja selline:
Veebiliideses on testprotokollidena saadaval ICMP-Echo-request, HTTP-GET ja DNS-päring. Käsurea valikuid on veidi rohkem: saadaval on TCP-kaja ja UDP-kaja valikud, samuti spetsiaalne kvaliteedi mõõtmise protokoll - TWAMP.
Mõõtmistulemused on nähtavad ka veebiliideses:
Ja käsureal:
Veaotsing
Kui lõite reegli, kuid kõik ei tööta ootuspäraselt, peaksite vaatama SD-WAN-reeglite loendis väärtust Tulemuste arv. See näitab, kas liiklus üldse selle reegli alla kuulub:
Arvesti enda seadete lehel näete kanali parameetrite muutumist aja jooksul. Punktiirjoon näitab parameetri läviväärtust
Veebiliideses näete, kuidas liiklus jaotub edastatud/vastuvõetud andmete hulga ja seansside arvu järgi:
Lisaks kõigele sellele on suurepärane võimalus jälgida pakettide läbimist maksimaalse detailsusega. Reaalses võrgus töötades kogub seadme konfiguratsioon palju marsruutimispoliitikaid, tulemüüri ja liikluse jaotust SD-WAN-portide vahel. Kõik see suhtleb omavahel keeruliselt ja kuigi müüja pakub üksikasjalikke pakettskeeme pakettide töötlemise algoritmide kohta, on väga oluline osata mitte teooriaid ehitada ja testida, vaid vaadata, kuhu liiklus tegelikult läheb.
Näiteks järgmine käskude komplekt
diagnose debug flow filter saddr 10.200.64.15
diagnose debug flow filter daddr 10.1.7.2
diagnose debug flow show function-name
diagnose debug enable
diagnose debug trace 2
Võimaldab jälgida kahte paketti lähteaadressiga 10.200.64.15 ja sihtkoha aadressiga 10.1.7.2.
Pingime 10.7.1.2 alates 10.200.64.15 kaks korda ja vaatame konsooli väljundit.
Esimene pakett:
Teine pakett:
Siin on esimene tulemüüri poolt vastu võetud pakett:
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0."
VDOM – Internet, Proto=1 (ICMP), DMZ-Office – название L3-интерфейса. Type=8 – Echo.
Tema jaoks on loodud uus seanss:
msg="allocate a new session-0006a627"
Ja marsruutimispoliitika seadetes leiti vaste
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"
Selgub, et pakett tuleb saata ühte VPN-i tunnelitest:
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"
Tulemüüripoliitikates tuvastatakse järgmine lubamisreegel.
msg="Allowed by Policy-3:"
Pakett krüpteeritakse ja saadetakse VPN-tunnelisse:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
Krüpteeritud pakett saadetakse selle WAN-liidese lüüsi aadressile:
msg="send to 2.2.2.2 via intf-WAN1"
Teise paketi puhul toimub kõik sarnaselt, kuid see saadetakse teise VPN-tunnelisse ja väljub erineva tulemüüri pordi kaudu:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"
Lahenduse plussid
Usaldusväärne funktsionaalsus ja kasutajasõbralik liides. Funktsioonide komplekt, mis oli FortiOS-is saadaval enne SD-WAN-i tulekut, on täielikult säilinud. See tähendab, et meil ei ole äsja arendatud tarkvara, vaid küps süsteem tõestatud tulemüüri müüjalt. Traditsioonilise võrgufunktsioonide komplekti, mugava ja hõlpsasti õpitava veebiliidesega. Kui paljudel SD-WAN-i müüjatel on lõppseadmetes näiteks kaugjuurdepääsu VPN-funktsioon?
Turvatase 80. FortiGate on üks populaarsemaid tulemüürilahendusi. Internetis on palju materjale tulemüüride seadistamise ja haldamise kohta ning tööturul on palju turvaspetsialiste, kes on müüja lahendused juba selgeks saanud.
SD-WAN-i funktsionaalsuse eest nullhind. SD-WAN-võrgu ehitamine FortiGate'ile maksab sama palju kui sellele tavalise WAN-võrgu ehitamine, kuna SD-WAN-i funktsioonide rakendamiseks pole vaja täiendavaid litsentse.
Madal sisenemisbarjääri hind. Fortigate'il on hea seadmete gradatsioon erinevate jõudlustasemete jaoks. Kõige nooremad ja odavamad mudelid sobivad üsna hästi kontori või müügikoha laiendamiseks näiteks 3-5 töötaja võrra. Paljudel müüjatel lihtsalt pole nii madala jõudlusega ja taskukohaseid mudeleid.
Suur jõudlus. SD-WAN-i funktsionaalsuse vähendamine liikluse tasakaalustamisele võimaldas ettevõttel välja anda spetsiaalse SD-WAN ASIC-i, tänu millele ei vähenda SD-WAN-i toimimine tulemüüri kui terviku jõudlust.
Võimalus rakendada Fortineti seadmetele tervet kontorit. Need on tulemüüride paar, lülitid, WiFi-pääsupunktid. Sellist kontorit on lihtne ja mugav hallata – lülitid ja pääsupunktid registreeritakse tulemüüridele ja hallatakse neist. Näiteks selline võib lüliti port välja näha tulemüüri liidesest, mis seda lülitit juhib:
Kontrollerite puudumine kui üksainus tõrkepunkt. Müüja ise keskendub sellele, kuid kasuks saab seda nimetada vaid osaliselt, sest nende hankijate jaoks, kellel on kontrollerid, on nende veataluvuse tagamine odav, enamasti virtualiseerimiskeskkonnas väikese arvutusressursi hinnaga.
Mida otsida
Juhttasandi ja andmetasandi vahel pole vahet. See tähendab, et võrk tuleb seadistada kas käsitsi või juba olemasolevate traditsiooniliste haldustööriistade – FortiManager – abil. Müüjate jaoks, kes on sellise eraldamise rakendanud, komplekteeritakse võrk ise. Administraatoril võib olla vaja ainult oma topoloogiat kohandada, midagi kuskil keelata, ei midagi enamat. FortiManageri trump on aga see, et see suudab hallata lisaks tulemüüridele ka lüliteid ja WiFi pääsupunkte ehk siis peaaegu kogu võrku.
Tingimuslik juhitavuse suurendamine. Kuna võrgukonfiguratsiooni automatiseerimiseks kasutatakse traditsioonilisi tööriistu, suureneb SD-WAN-i kasutuselevõtuga võrgu juhitavus veidi. Teisest küljest muutuvad uued funktsioonid kättesaadavaks kiiremini, kuna müüja annab selle esmalt välja ainult tulemüüri operatsioonisüsteemi jaoks (mis võimaldab seda kohe kasutada) ja alles seejärel täiendab haldussüsteemi vajalike liidestega.
Mõned funktsioonid võivad olla saadaval käsurealt, kuid pole saadaval veebiliidese kaudu. Mõnikord pole nii hirmutav minna käsureale, et midagi konfigureerida, kuid hirmutav on mitte näha veebiliideses, et keegi on juba midagi käsurealt seadistanud. Kuid see kehtib tavaliselt uusimate funktsioonide kohta ja järk-järgult, FortiOS-i värskendustega, täiustatakse veebiliidese võimalusi.
Sobiks
Neile, kellel pole palju harusid. Keeruliste keskkomponentidega SD-WAN-lahenduse juurutamine 8-10 haruvõrgus ei pruugi kuluda - peate kulutama raha SD-WAN-seadmete litsentsidele ja virtualiseerimissüsteemi ressurssidele, et keskseid komponente majutada. Väikeettevõttel on tavaliselt piiratud vabad arvutusressursid. Fortineti puhul piisab lihtsalt tulemüüride ostmisest.
Neile, kellel on palju väikseid oksi. Paljude müüjate jaoks on minimaalne lahenduse hind filiaali kohta üsna kõrge ega pruugi lõppkliendi äritegevuse seisukohast huvitav olla. Fortinet pakub väikeseid seadmeid väga soodsate hindadega.
Neile, kes pole veel valmis liiga kaugele astuma. SD-WAN-i juurutamine kontrollerite, patenteeritud marsruutimise ja võrgu planeerimise ja haldamise uue lähenemisviisiga võib mõne kliendi jaoks olla liiga suur samm. Jah, selline juurutamine aitab lõppkokkuvõttes optimeerida suhtluskanalite kasutamist ja administraatorite tööd, kuid kõigepealt peate õppima palju uut. Neile, kes pole veel paradigma muutuseks valmis, kuid soovivad oma suhtluskanalitest rohkem välja pigistada, on Fortineti lahendus just õige.
Allikas: www.habr.com