SD-WAN bidez iristen hasi zitzaizkigun galdera kopurua ikusita, teknologia oso errotzen hasi da Errusian. Saltzaileak, jakina, ez daude lotan eta beren kontzeptuak eskaintzen dituzte, eta aitzindari ausart batzuk dagoeneko beren sareetan ezartzen ari dira.
Ia saltzaile guztiekin lan egiten dugu, eta hainbat urtetan gure laborategian softwarean definitutako soluzioen garatzaile nagusi guztien arkitekturan sakontzea lortu nuen. Fortinet-eko SD-WAN apur bat bereizten da hemen, komunikazio-kanalen arteko trafikoa orekatzeko funtzionaltasuna suebakiaren softwarean eraiki zuen. Irtenbidea nahiko demokratikoa da, beraz, normalean, oraindik mundu-aldaketak egiteko prest ez dauden, baina euren komunikazio-bideak eraginkorrago erabili nahi dituzten enpresek kontuan hartu ohi dute.
Artikulu honetan Fortinet-eko SD-WAN nola konfiguratu eta nola lan egin esan nahi dizut, soluzio hau norentzat egokia den eta hemen zer arazo aurki ditzakezun.
SD-WAN merkatuko jokalari nabarmenenak bi motatako batean sailka daitezke:
1. SD-WAN soluzioak hutsetik sortu dituzten startupak. Horietatik arrakastatsuenek garapenerako bultzada handia jasotzen dute enpresa handiek erosi ostean - hau da Cisco/Viptela, VMWare/VeloCloud, Nuage/Nokia-ren istorioa.
2. SD-WAN irtenbideak sortu dituzten sare-saltzaile handiak, beren bideratzaile tradizionalen programagarritasuna eta kudeagarritasuna garatuz - hau da Juniper, Huawei-ren istorioa.
Fortinetek bere bidea aurkitzea lortu zuen. Suebaki-softwareak bere interfazeak kanal birtualetan konbinatzea eta haien arteko karga orekatzea ahalbidetzen zuen funtzionaltasun integratua zuen, ohiko bideratzearekin alderatuta algoritmo konplexuak erabiliz. Funtzionalitate hau SD-WAN deitzen zen. Fortinet zeri SD-WAN deitu al daiteke? Merkatuak pixkanaka-pixkanaka ulertzen ari da Software-Defined-ek Kontrol-planoa Datu-planotik, kontrolagailu dedikatuetatik eta orkestratzaileetatik bereiztea esan nahi duela. Fortinetek ez du horrelakorik. Kudeaketa zentralizatua aukerakoa da eta Fortimanager tresna tradizionalaren bidez eskaintzen da. Baina nire ustez, ez zenuke egia abstraktua bilatu behar eta denbora galdu terminoei buruz eztabaidatzen. Mundu errealean, ikuspegi bakoitzak bere abantailak eta desabantailak ditu. Irteerarik onena horiek ulertzea eta zereginei dagozkien irtenbideak aukeratzeko gai izatea da.
Saiatuko naiz pantaila-argazkiak eskuan Fortinet-eko SD-WAN nolakoa den eta zer egin dezakeen esaten.
Dena nola funtzionatzen duen
Demagun bi datu-kanalen bidez konektatutako bi adar dituzula. Datu-lotura hauek talde batean konbinatzen dira, Ethernet interfaze arruntak LACP-Port-Channel batean konbinatzen diren antzera. Antzinakoek PPP Multilink gogoratuko dute - analogia egokia ere bada. Kanalak portu fisikoak izan daitezke, VLAN SVI, baita VPN edo GRE tunelak ere.
VPN edo GRE normalean sare lokalak Internet bidez konektatzean erabiltzen dira. Eta ataka fisikoak - guneen artean L2 konexioak badaude, edo MPLS/VPN dedikatu baten bidez konektatzean, gainjarri eta enkriptaziorik gabeko konexioarekin pozik bagaude. SD-WAN talde batean ataka fisikoak erabiltzen diren beste eszenatoki bat erabiltzaileen Interneterako sarbidea orekatzea da.
Gure standean lau suebaki eta bi VPN tunel daude bi "komunikazio-operadore"ren bidez funtzionatzen dutenak. Diagramak honela dauka:
VPN tunelak interfaze moduan konfiguratzen dira, P2P interfazeetan IP helbideak dituzten gailuen arteko puntuz puntuko konexioen antzekoak izan daitezen, eta horiei ping egin daiteke tunel jakin baten bidezko komunikazioa funtzionatzen ari dela ziurtatzeko. Trafikoa zifratu eta kontrako aldera joateko, nahikoa da tunelera bideratzea. Alternatiba azpisareen zerrendak erabiliz enkriptatzeko trafikoa hautatzea da, eta horrek asko nahasten du administratzailea konfigurazioa konplexuagoa den heinean. Sare handi batean, ADVPN teknologia erabil dezakezu VPN bat eraikitzeko; Cisco-ren DMVPNren edo Huawei-ren DVPNren analogoa da, eta horrek konfigurazio errazagoa ahalbidetzen du.
Site-to-Site VPN konfigurazioa BGP bideraketa duten bi gailurentzako
«ЦОД» (DC)
«Филиал» (BRN)
config system interface
edit "WAN1"
set vdom "Internet"
set ip 1.1.1.1 255.255.255.252
set allowaccess ping
set role wan
set interface "DC-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 3.3.3.1 255.255.255.252
set allowaccess ping
set role lan
set interface "DC-BRD"
set vlanid 112
next
edit "BRN-Ph1-1"
set vdom "Internet"
set ip 192.168.254.1 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.2 255.255.255.255
set interface "WAN1"
next
edit "BRN-Ph1-2"
set vdom "Internet"
set ip 192.168.254.3 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.4 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "BRN-Ph1-1"
set interface "WAN1"
set local-gw 1.1.1.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 2.2.2.1
set psksecret ***
next
edit "BRN-Ph1-2"
set interface "WAN2"
set local-gw 3.3.3.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 4.4.4.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "BRN-Ph2-1"
set phase1name "BRN-Ph1-1"
set proposal aes256-sha256
set dhgrp 2
next
edit "BRN-Ph2-2"
set phase1name "BRN-Ph1-2"
set proposal aes256-sha256
set dhgrp 2
next
end
config router static
edit 1
set gateway 1.1.1.2
set device "WAN1"
next
edit 3
set gateway 3.3.3.2
set device "WAN2"
next
end
config router bgp
set as 65002
set router-id 10.1.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.2"
set remote-as 65003
next
edit "192.168.254.4"
set remote-as 65003
next
end
config network
edit 1
set prefix 10.1.0.0 255.255.0.0
next
end
config system interface
edit "WAN1"
set vdom "Internet"
set ip 2.2.2.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 4.4.4.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 114
next
edit "DC-Ph1-1"
set vdom "Internet"
set ip 192.168.254.2 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.1 255.255.255.255
set interface "WAN1"
next
edit "DC-Ph1-2"
set vdom "Internet"
set ip 192.168.254.4 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.3 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "DC-Ph1-1"
set interface "WAN1"
set local-gw 2.2.2.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 1.1.1.1
set psksecret ***
next
edit "DC-Ph1-2"
set interface "WAN2"
set local-gw 4.4.4.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 3.3.3.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "DC-Ph2-1"
set phase1name "DC-Ph1-1"
set proposal aes128-sha1
set dhgrp 2
next
edit "DC2-Ph2-2"
set phase1name "DC-Ph1-2"
set proposal aes128-sha1
set dhgrp 2
next
end
config router static
edit 1
set gateway 2.2.2.2
et device "WAN1"
next
edit 3
set gateway 4.4.4.2
set device "WAN2"
next
end
config router bgp
set as 65003
set router-id 10.200.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.1"
set remote-as 65002
next
edit "192.168.254.3"
set remote-as 65002
next
end
config network
edit 1
set prefix 10.200.0.0 255.255.0.0
next
end
Konfigurazioa testu moduan ematen ari naiz, nire ustez, erosoagoa delako VPNa horrela konfiguratzea. Ezarpen ia guztiak berdinak dira bi aldeetan; testu moduan kopiatu-itsatsi gisa egin daitezke. Web interfazean gauza bera egiten baduzu, erraza da akats bat egitea: ahaztu kontrol-marka bat nonbait, idatzi balio okerra.
Interfazeak sortara gehitu ondoren
ibilbide eta segurtasun politika guztiek erreferentzia egin dezakete, eta ez bertan sartzen diren interfazeei. Gutxienez, barne-sareetatik SD-WANerako trafikoa baimendu behar duzu. Horientzako arauak sortzen dituzunean, babes-neurriak aplika ditzakezu, hala nola IPS, birusen aurkako eta HTTPS dibulgazioa.
SD-WAN arauak sortarako konfiguratuta daude. Trafiko zehatz baterako oreka-algoritmoa definitzen duten arauak dira. Politikan oinarritutako bideratze-ko bideratze-politiken antzekoak dira, gidalerroaren barruan sartzen den trafikoaren ondorioz soilik, ez da hurrengo saltoa edo irteerako ohiko interfazea instalatzen dena, SD-WAN sortari gehi gehitutako interfazeak baizik. interfaze horien arteko trafikoa orekatzeko algoritmoa.
Trafikoa fluxu orokorretik bereiz daiteke L3-L4 informazioaren bidez, aitortutako aplikazioen, Interneteko zerbitzuen (URL eta IP) eta baita lan-estazioen eta ordenagailu eramangarrien erabiltzaile aitortuek ere. Horren ondoren, esleitutako trafikoari orekatzeko algoritmo hauetako bat eslei dakioke:
Interfazearen hobespenen zerrendan, trafiko-mota hori zerbitzatuko duten sortan dagoeneko gehitutako interfazeak hautatzen dira. Interfaze guztiak ez gehituz, zehatz-mehatz muga ditzakezu zein kanal erabiltzen dituzun, esate baterako, posta elektronikoa, kanal garestiak SLA altuarekin kargatu nahi ez badituzu. FortiOS 6.4.1-en, SD-WAN sortari gehitutako interfazeak zonaldeetan multzokatzea posible izan zen, adibidez, gune bat urruneko guneekin komunikatzeko eta beste bat NAT erabiliz Interneteko tokiko sarbidea izateko. Bai, bai, ohiko Internetera doan trafikoa ere orekatu daiteke.
Orekatze algoritmoei buruz
Fortigate-k (Fortinet-eko suebaki batek) trafikoa kanalen artean banatzeko moduari dagokionez, merkatuan oso ohikoak ez diren bi aukera interesgarri daude:
Kostu txikiena (SLA) – Une honetan SLA betetzen duten interfaze guztietatik, pisu (kostua) txikiagoa duena, administratzaileak eskuz ezarrita, hautatzen da; modu hau "mastekako" trafikorako egokia da, hala nola babeskopiak eta fitxategi-transferentziak.
Kalitate onena (SLA) – Algoritmo honek, Fortigate paketeen ohiko atzerapenaz, jitteraz eta galeraz gain, egungo kanalen karga ere erabil dezake kanalen kalitatea ebaluatzeko; Modu hau trafiko sentikorretarako egokia da, hala nola VoIP eta bideokonferentziak.
Algoritmo hauek komunikazio-kanalen errendimendu-neurgailu bat konfiguratzea eskatzen dute - Performance SLA. Neurgailu honek aldian-aldian (egiaztatze-tartea) SLA betetzeari buruzko informazioa kontrolatzen du: pakete-galera, latentzia eta jitter komunikazio-kanalean, eta gaur egun kalitate-atalaseak betetzen ez dituzten kanalak "baztertu" ditzake - pakete gehiegi galtzen ari dira edo gehiegi jasaten ari dira. latentzia handia. Horrez gain, neurgailuak kanalaren egoera kontrolatzen du, eta aldi baterako ken dezake sortatik erantzunak behin eta berriz galtzen badira (aktiboen aurretik hutsegiteak). Berrezarritakoan, ondoz ondoko erantzunen ondoren (berreskuratu esteka ondoren), neurgailuak automatikoki itzuliko du kanala sortara, eta datuak berriro bertatik bidaltzen hasiko dira.
Hau da "neurgailu" ezarpenaren itxura:
Web-interfazean, ICMP-Echo-request, HTTP-GET eta DNS eskaera eskuragarri daude proba-protokolo gisa. Komando lerroan aukera apur bat gehiago daude: TCP-echo eta UDP-echo aukerak eskuragarri daude, baita kalitatea neurtzeko protokolo espezializatu bat ere - TWAMP.
Neurketaren emaitzak web interfazean ere ikus daitezke:
Eta komando lerroan:
Arazoak konpontzea
Arau bat sortu baduzu, baina dena ez bada espero bezala funtzionatzen, SD-WAN Arauen zerrendako Hit Count balioa begiratu beharko zenuke. Trafikoa arau honetan sartzen den ala ez erakutsiko du:
Neurgailuaren beraren ezarpenen orrian, denboran zehar kanalen parametroen aldaketa ikus dezakezu. Puntudun lerroak parametroaren atalasearen balioa adierazten du
Web interfazean trafikoa nola banatzen den ikus dezakezu igorri/jasotako datu kopuruaren eta saio kopuruaren arabera:
Honetaz guztiaz gain, paketeen joan-etorria xehetasun handienarekin jarraitzeko aukera bikaina dago. Benetako sare batean lan egiten duzunean, gailuaren konfigurazioak bideratze-politika, suebaki eta trafiko-banaketa asko pilatzen ditu SD-WAN portuetan. Horrek guztiak elkarren artean era konplexuan elkarreragiten du, eta saltzaileak paketeak prozesatzeko algoritmoen bloke-diagrama zehatzak eskaintzen dituen arren, oso garrantzitsua da teoriak ez eraiki eta probatu ahal izatea, trafikoa benetan nora doan ikustea baizik.
Adibidez, hurrengo komando multzoa
diagnose debug flow filter saddr 10.200.64.15
diagnose debug flow filter daddr 10.1.7.2
diagnose debug flow show function-name
diagnose debug enable
diagnose debug trace 2
10.200.64.15 iturburu helbidea eta 10.1.7.2 helmuga duten bi pakete jarraitzeko aukera ematen du.
10.7.1.2 10.200.64.15etik birritan egiten dugu ping-a eta kontsolaren irteera ikusten dugu.
Lehenengo paketea:
Bigarren paketea:
Hona hemen suebakiak jasotako lehen paketea:
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0."
VDOM – Internet, Proto=1 (ICMP), DMZ-Office – название L3-интерфейса. Type=8 – Echo.
Saio berri bat sortu zaio:
msg="allocate a new session-0006a627"
Eta bat-etortze bat aurkitu da bideratze-politikaren ezarpenetan
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"
Ematen du paketea VPN tuneletako batera bidali behar dela:
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"
Suebaki-politiketan baimen-arau hau detektatzen da:
msg="Allowed by Policy-3:"
Paketea enkriptatu eta VPN tunelera bidaltzen da:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
Enkriptatutako paketea WAN interfaze honen atebide-helbidera bidaltzen da:
msg="send to 2.2.2.2 via intf-WAN1"
Bigarren paketerako, dena antzera gertatzen da, baina beste VPN tunel batera bidaltzen da eta beste suebaki ataka batetik irteten da:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"
Irtenbidearen aldekoak
Funtzionalitate fidagarria eta interfaze atsegina. SD-WAN-en etorrera baino lehen FortiOSen erabilgarri zegoen funtzio multzoa guztiz gorde da. Hau da, ez dugu garatu berri den softwarerik, frogatutako suebakien hornitzaile baten sistema heldua baizik. Sare-funtzioen multzo tradizional batekin, web interfaze eroso eta ikasteko erraz batekin. Zenbat SD-WAN saltzaileek dute, esate baterako, Urruneko Sarbideko VPN funtzionaltasuna azken gailuetan?
Segurtasun maila 80. FortiGate suebaki soluzio nagusietako bat da. Suebakiak ezarri eta administratzeko material asko dago Interneten, eta lan-merkatuan saltzaileen soluzioak dagoeneko menderatzen dituzten segurtasun espezialista asko daude.
Zero prezioa SD-WAN funtzionalitaterako. FortiGate-n SD-WAN sare bat eraikitzea bertan WAN sare arrunt bat eraikitzea bezain berdina da, ez baita lizentzia gehigarririk behar SD-WAN funtzionaltasuna ezartzeko.
Sarrera-hesiaren prezio baxua. Fortigate-k gailuen maila ona du errendimendu maila desberdinetarako. Eredu gazteenak eta merkeenak nahiko egokiak dira bulego edo salmenta puntu bat zabaltzeko, esate baterako, 3-5 langilerekin. Saltzaile askok, besterik gabe, ez dute hain errendimendu baxuko eta merkean modelorik.
Errendimendu handikoa. SD-WAN funtzionaltasuna trafikoaren orekatzeari esker, konpainiak SD-WAN ASIC espezializatu bat kaleratu zuen, eta horri esker, SD-WAN funtzionamenduak ez du suebakiaren errendimendua murrizten bere osotasunean.
Fortinet ekipoetan bulego osoa ezartzeko gaitasuna. Suebaki, etengailu eta Wi-Fi sarbide-puntu pare bat dira. Horrelako bulego bat kudeatzeko erraza eta erosoa da - etengailuak eta sarbide-puntuak suebakietan erregistratzen dira eta haietatik kudeatzen dira. Adibidez, hau da etengailu hau kontrolatzen duen suebaki-interfazetik nolakoa izan daitekeen switch-ataka:
Kontrolagailu falta hutsegite puntu bakar gisa. Horretaz arduratzen da hornitzailea bera, baina neurri batean bakarrik dei daiteke onura bat, izan ere, kontrolagailuak dituzten saltzaileentzat, akatsen tolerantzia bermatzea merkea da, gehienetan birtualizazio ingurune batean baliabide informatiko kopuru txiki baten prezioan.
Zer bilatu
Kontrol-planoaren eta Datu-planoaren arteko bereizketarik ez. Horrek esan nahi du sarea eskuz edo dagoeneko eskuragarri dauden ohiko kudeaketa tresnak erabiliz konfiguratu behar dela - FortiManager. Banaketa hori ezarri duten saltzaileentzat, sarea bera muntatzen da. Baliteke administratzaileak bere topologia egokitu behar izatea, zerbait debekatu nonbait, ezer gehiago. Hala ere, FortiManager-en trump-a da suebakiak ez ezik, switchak eta Wi-Fi sarbide-puntuak ere kudeatu ditzakeela, hau da, ia sare osoa.
Kontrolagarritasunaren igoera baldintzatua. Tresna tradizionalak sarearen konfigurazioa automatizatzeko erabiltzen direnez, sarearen kudeagarritasuna SD-WAN sartzearekin batera apur bat handitzen da. Bestalde, funtzionalitate berriak azkarrago eskuratzen dira, saltzaileak lehenik eta behin suebaki sistema eragilerako soilik askatzen baitu (berehala erabiltzea ahalbidetzen duena), eta, ondoren, kudeaketa sistema beharrezko interfazeekin osatzen du.
Baliteke funtzionalitate batzuk komando-lerrotik erabilgarri egotea, baina ez daude erabilgarri web-interfazetik. Batzuetan ez da hain beldurgarria komando-lerroan sartzea zerbait konfiguratzeko, baina beldurgarria da web-interfazean norbaitek dagoeneko konfiguratu duela zerbait komando-lerrotik ez ikustea. Baina hori normalean funtzio berrienei aplikatzen zaie eta pixkanaka, FortiOS eguneratzeekin, web interfazearen gaitasunak hobetzen dira.
Egokitzeko
Adar asko ez dituztenentzat. SD-WAN irtenbide bat osagai zentral konplexuekin 8-10 sukurtsalen sarean ezartzeak baliteke kandela kostatuko ez izatea; dirua gastatu beharko duzu SD-WAN gailuetarako lizentzietan eta birtualizazio sistemaren baliabideetan osagai zentralak ostatatzeko. Enpresa txiki batek doako baliabide informatiko mugatuak izan ohi ditu. Fortinet-en kasuan, nahikoa da suebakiak erostea.
Adar txiki asko dituztenentzat. Saltzaile askorentzat, sukurtsal bakoitzeko gutxieneko irtenbidearen prezioa nahiko altua da eta agian ez da interesgarria izango azken bezeroaren negozioaren ikuspuntutik. Fortinetek gailu txikiak eskaintzen ditu prezio oso erakargarrietan.
Oraindik urrunegi egiteko prest ez daudenentzat. SD-WAN kontrolagailuekin, bideratze jabedunekin eta sarearen plangintzarako eta kudeaketarako ikuspegi berri batekin ezartzea urrats handiegia izan daiteke bezero batzuentzat. Bai, halako inplementazio batek azken finean komunikazio kanalen erabilera eta administratzaileen lana optimizatzen lagunduko du, baina lehenik gauza berri asko ikasi beharko dituzu. Paradigma aldaketarako prest ez daudenentzat, baina komunikazio bideetatik gehiago atera nahi dutenentzat, Fortinet-en irtenbidea egokia da.
Iturria: www.habr.com