SD-WANin kautta meille alkaneiden kysymysten lukumäärästä päätellen tekniikka on alkanut juurtua perusteellisesti Venäjällä. Myyjät eivät tietenkään nuku ja tarjoavat konseptejaan, ja jotkut rohkeat pioneerit ovat jo toteuttamassa niitä verkostoissaan.
Työskentelemme lähes kaikkien toimittajien kanssa, ja useiden vuosien aikana laboratoriossamme onnistuin syventymään jokaisen suuren ohjelmistopohjaisten ratkaisujen kehittäjän arkkitehtuuriin. Fortinetin SD-WAN erottuu tässä hieman erillään, mikä yksinkertaisesti rakensi palomuuriohjelmistoon viestintäkanavien välisen liikenteen tasapainottamisen. Ratkaisu on melko demokraattinen, joten sitä harkitsevat yleensä yritykset, jotka eivät vielä ole valmiita globaaleihin muutoksiin, mutta haluavat käyttää viestintäkanaviaan tehokkaammin.
Tässä artikkelissa haluan kertoa sinulle, kuinka Fortinetin SD-WAN:ia määritetään ja sen kanssa käytetään, kenelle tämä ratkaisu sopii ja mitä sudenkuoppia saatat kohdata täällä.
SD-WAN-markkinoiden merkittävimmät toimijat voidaan luokitella kahteen tyyppiin:
1. Aloitusyritykset, jotka ovat luoneet SD-WAN-ratkaisuja tyhjästä. Näistä menestyneimmät saavat valtavan sysäyksen kehitykseen suurten yritysten ostamisen jälkeen - tämä on Ciscon/Viptelan, VMWaren/VeloCloudin, Nuage/Nokian tarina
2. Suuret verkkotoimittajat, jotka ovat luoneet SD-WAN-ratkaisuja ja kehittäneet perinteisten reitittimiensä ohjelmoitavuutta ja hallittavuutta – tämä on Juniperin, Huawein tarina
Fortinet onnistui löytämään tiensä. Palomuuriohjelmistossa oli sisäänrakennettu toiminnallisuus, joka mahdollisti niiden rajapintojen yhdistämisen virtuaalisiksi kanaviksi ja niiden välisen kuormituksen tasapainottamisen monimutkaisilla algoritmeilla perinteiseen reitittämiseen verrattuna. Tämän toiminnon nimi oli SD-WAN. Voiko Fortinetin nimiä olla SD-WAN? Markkinat alkavat vähitellen ymmärtää, että Software Defined tarkoittaa ohjaustason erottamista datatasosta, omistetuista ohjaimista ja orkestroijista. Fortinetilla ei ole mitään sellaista. Keskitetty hallinta on valinnainen ja tarjotaan perinteisen Fortimanager-työkalun kautta. Mutta mielestäni sinun ei pitäisi etsiä abstraktia totuutta ja tuhlata aikaa termeistä kiistellen. Todellisessa maailmassa jokaisella lähestymistavalla on hyvät ja huonot puolensa. Paras tapa on ymmärtää ne ja osata valita tehtäviä vastaavat ratkaisut.
Yritän kertoa sinulle kuvakaappauksilla, miltä Fortinetin SD-WAN näyttää ja mitä se voi tehdä.
Miten se kaikki toimii
Oletetaan, että sinulla on kaksi haaraa, jotka on yhdistetty kahdella datakanavalla. Nämä datalinkit yhdistetään ryhmään samalla tavalla kuin tavalliset Ethernet-liitännät yhdistetään LACP-Port-kanavaksi. Vanhat ihmiset muistavat PPP Multilinkin - myös sopivan analogian. Kanavat voivat olla fyysisiä portteja, VLAN SVI:tä sekä VPN- tai GRE-tunneleita.
VPN:tä tai GRE:tä käytetään tyypillisesti liitettäessä paikallisia haaraverkkoja Internetin kautta. Ja fyysiset portit - jos sivustojen välillä on L2-yhteyksiä tai kun yhdistetään omistetun MPLS/VPN:n kautta, jos olemme tyytyväisiä yhteyteen ilman peittoa ja salausta. Toinen skenaario, jossa fyysisiä portteja käytetään SD-WAN-ryhmässä, on tasapainottaa käyttäjien paikallista pääsyä Internetiin.
На нашем стенде есть четыре межсетевых экрана и два VPN-туннеля, работающие через двух «операторов связи». Схема выглядит вот так:
VPN-tunnelit on konfiguroitu liitäntätilassa siten, että ne ovat samanlaisia kuin P2P-liitäntöjen IP-osoitteita käyttävien laitteiden väliset point-to-point-yhteydet, jotka voidaan pingata varmistaakseen, että tietyn tunnelin kautta tapahtuva tiedonsiirto toimii. Jotta liikenne salattuisi ja menisi vastakkaiselle puolelle, riittää, että se ohjataan tunneliin. Vaihtoehtona on valita salattavaa liikennettä aliverkkoluetteloiden avulla, mikä hämmentää järjestelmänvalvojaa suuresti määrityksen muuttuessa monimutkaisemmiksi. Suuressa verkossa voit käyttää ADVPN-tekniikkaa VPN:n rakentamiseen; tämä on analoginen Ciscon DMVPN:lle tai Huawein DVPN:lle, mikä helpottaa asennusta.
Site-to-Site VPN-konfiguraatio kahdelle laitteelle, joissa on BGP-reititys molemmilla puolilla
«ЦОД» (DC)
«Филиал» (BRN)
config system interface
edit "WAN1"
set vdom "Internet"
set ip 1.1.1.1 255.255.255.252
set allowaccess ping
set role wan
set interface "DC-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 3.3.3.1 255.255.255.252
set allowaccess ping
set role lan
set interface "DC-BRD"
set vlanid 112
next
edit "BRN-Ph1-1"
set vdom "Internet"
set ip 192.168.254.1 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.2 255.255.255.255
set interface "WAN1"
next
edit "BRN-Ph1-2"
set vdom "Internet"
set ip 192.168.254.3 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.4 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "BRN-Ph1-1"
set interface "WAN1"
set local-gw 1.1.1.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 2.2.2.1
set psksecret ***
next
edit "BRN-Ph1-2"
set interface "WAN2"
set local-gw 3.3.3.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 4.4.4.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "BRN-Ph2-1"
set phase1name "BRN-Ph1-1"
set proposal aes256-sha256
set dhgrp 2
next
edit "BRN-Ph2-2"
set phase1name "BRN-Ph1-2"
set proposal aes256-sha256
set dhgrp 2
next
end
config router static
edit 1
set gateway 1.1.1.2
set device "WAN1"
next
edit 3
set gateway 3.3.3.2
set device "WAN2"
next
end
config router bgp
set as 65002
set router-id 10.1.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.2"
set remote-as 65003
next
edit "192.168.254.4"
set remote-as 65003
next
end
config network
edit 1
set prefix 10.1.0.0 255.255.0.0
next
end
config system interface
edit "WAN1"
set vdom "Internet"
set ip 2.2.2.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 4.4.4.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 114
next
edit "DC-Ph1-1"
set vdom "Internet"
set ip 192.168.254.2 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.1 255.255.255.255
set interface "WAN1"
next
edit "DC-Ph1-2"
set vdom "Internet"
set ip 192.168.254.4 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.3 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "DC-Ph1-1"
set interface "WAN1"
set local-gw 2.2.2.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 1.1.1.1
set psksecret ***
next
edit "DC-Ph1-2"
set interface "WAN2"
set local-gw 4.4.4.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 3.3.3.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "DC-Ph2-1"
set phase1name "DC-Ph1-1"
set proposal aes128-sha1
set dhgrp 2
next
edit "DC2-Ph2-2"
set phase1name "DC-Ph1-2"
set proposal aes128-sha1
set dhgrp 2
next
end
config router static
edit 1
set gateway 2.2.2.2
et device "WAN1"
next
edit 3
set gateway 4.4.4.2
set device "WAN2"
next
end
config router bgp
set as 65003
set router-id 10.200.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.1"
set remote-as 65002
next
edit "192.168.254.3"
set remote-as 65002
next
end
config network
edit 1
set prefix 10.200.0.0 255.255.0.0
next
end
Annan konfiguraation tekstimuodossa, koska mielestäni VPN on helpompi määrittää tällä tavalla. Lähes kaikki asetukset ovat samat molemmilla puolilla, tekstimuodossa ne voidaan tehdä copy-paste-muodossa. Jos teet saman verkkokäyttöliittymässä, on helppo tehdä virhe - unohda valintamerkki jonnekin, anna väärä arvo.
Kun olemme lisänneet liitännät nippuun
kaikki reitit ja suojauskäytännöt voivat viitata siihen, eivät sen sisältämiin liitäntöihin. Sinun on vähintään sallittava liikenne sisäisistä verkoista SD-WANiin. Kun luot niille sääntöjä, voit käyttää suojatoimenpiteitä, kuten IPS-, virustorjunta- ja HTTPS-ilmoitusta.
SD-WAN-säännöt on määritetty paketille. Nämä ovat sääntöjä, jotka määrittelevät tietyn liikenteen tasapainotusalgoritmin. Ne ovat samanlaisia kuin käytäntöpohjaisen reitityksen reitityskäytännöt, vain käytännön alaisen liikenteen seurauksena, ei next-hop tai tavallinen lähtevä liitäntä asenneta, vaan liitännät, jotka on lisätty SD-WAN-pakettiin plus. liikenteen tasapainotusalgoritmi näiden rajapintojen välillä.
Liikenne voidaan erottaa yleisestä virrasta L3-L4-tiedoilla, tunnistetuilla sovelluksilla, Internet-palveluilla (URL ja IP) sekä tunnistetuilla työasemien ja kannettavien käyttäjillä. Tämän jälkeen allokoidulle liikenteelle voidaan määrittää jokin seuraavista tasapainotusalgoritmeista:
Interface Preference -luettelosta valitaan ne liitännät, jotka on jo lisätty nippuun ja jotka palvelevat tämäntyyppistä liikennettä. Lisäämällä kaikkia käyttöliittymiä, voit rajoittaa tarkalleen mitä kanavia käytät, esimerkiksi sähköpostia, jos et halua rasittaa kalliita kanavia korkealla SLA:lla. FortiOS 6.4.1:ssä tuli mahdolliseksi ryhmitellä SD-WAN-nippuun lisätyt liitännät vyöhykkeisiin, jolloin luotiin esimerkiksi yksi vyöhyke viestintää varten etäsivustojen kanssa ja toinen paikallista Internet-yhteyttä varten NAT:n avulla. Kyllä, kyllä, tavalliseen Internetiin menevää liikennettä voidaan myös tasapainottaa.
Tietoja tasapainotusalgoritmeista
Mitä tulee siihen, miten Fortigate (Fortinetin palomuuri) voi jakaa liikenteen kanavien välillä, on kaksi mielenkiintoista vaihtoehtoa, jotka eivät ole kovin yleisiä markkinoilla:
Alin hinta (SLA) – kaikista SLA:n tällä hetkellä täyttävistä liitännöistä valitaan se, jonka paino (kustannus) on alhaisempi ja jonka ylläpitäjä on manuaalisesti asettanut; tämä tila sopii "joukkoliikenteeseen", kuten varmuuskopiointiin ja tiedostojen siirtoon.
Paras laatu (SLA) – tämä algoritmi voi Fortigate-pakettien tavanomaisen viiveen, värinän ja katoamisen lisäksi käyttää nykyistä kanavakuormitusta kanavien laadun arvioimiseen; Tämä tila sopii herkälle liikenteelle, kuten VoIP- ja videoneuvotteluille.
Nämä algoritmit vaativat tietoliikennekanavan suorituskykymittarin - Performance SLA:n asettamisen. Tämä mittari valvoo säännöllisesti (tarkistusväli) tietoja SLA:n noudattamisesta: pakettien katoamisesta, latenssista ja jitteristä viestintäkanavassa ja voi "hylätä" ne kanavat, jotka eivät tällä hetkellä täytä laatukynnyksiä – ne menettävät liian monta pakettia tai kokevat liikaa paljon latenssia. Lisäksi mittari tarkkailee kanavan tilaa ja voi poistaa sen tilapäisesti nipusta, jos vastaukset katoavat toistuvasti (vikoja ennen inaktiivisuutta). Kun mittari palautetaan, useiden peräkkäisten vastausten jälkeen (restore link after) mittari palauttaa kanavan automaattisesti nippuun ja dataa aletaan lähettää uudelleen sen kautta.
Tältä "mittari"-asetus näyttää:
Verkkokäyttöliittymässä testiprotokollana ovat käytettävissä ICMP-Echo-request, HTTP-GET ja DNS-pyyntö. Komentorivillä on hieman enemmän vaihtoehtoja: TCP-echo- ja UDP-echo-vaihtoehdot ovat käytettävissä sekä erikoistunut laadunmittausprotokolla - TWAMP.
Mittaustulokset näkyvät myös verkkoliittymässä:
Ja komentorivillä:
Ongelmien karttoittaminen
Jos loit säännön, mutta kaikki ei toimi odotetulla tavalla, sinun tulee katsoa Osumien määrä -arvoa SD-WAN-säännöt -luettelosta. Se näyttää, kuuluuko liikenne tämän säännön piiriin:
Itse mittarin asetussivulla näet kanavan parametrien muutoksen ajan myötä. Pisteviiva osoittaa parametrin kynnysarvon
Verkkokäyttöliittymästä näet kuinka liikenne jakautuu lähetetyn/vastaanotetun datan ja istuntojen lukumäärän mukaan:
Kaiken tämän lisäksi on erinomainen mahdollisuus seurata pakettien kulkua mahdollisimman yksityiskohtaisesti. Kun työskentelet todellisessa verkossa, laitteen kokoonpano kerää monia reitityskäytäntöjä, palomuuria ja liikenteen jakautumista SD-WAN-porttien välillä. Kaikki tämä on vuorovaikutuksessa toistensa kanssa monimutkaisella tavalla, ja vaikka toimittaja tarjoaa yksityiskohtaisia lohkokaavioita paketinkäsittelyalgoritmeista, on erittäin tärkeää pystyä olemaan rakentamatta ja testaamatta teorioita, vaan nähdä, mihin liikenne todella menee.
Esimerkiksi seuraava komentosarja
diagnose debug flow filter saddr 10.200.64.15
diagnose debug flow filter daddr 10.1.7.2
diagnose debug flow show function-name
diagnose debug enable
diagnose debug trace 2
Voit seurata kahta pakettia, joiden lähdeosoite on 10.200.64.15 ja kohdeosoite 10.1.7.2.
Pingaamme 10.7.1.2 alkaen 10.200.64.15 kahdesti ja katsomme konsolin lähtöä.
Ensimmäinen paketti:
Toinen paketti:
Tässä on ensimmäinen palomuurin vastaanottama paketti:
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0."
VDOM – Internet, Proto=1 (ICMP), DMZ-Office – название L3-интерфейса. Type=8 – Echo.
Hänelle on luotu uusi istunto:
msg="allocate a new session-0006a627"
Ja reitityskäytännön asetuksista löytyi vastaavuus
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"
Osoittautuu, että paketti on lähetettävä johonkin VPN-tunneleista:
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"
Palomuurikäytännöissä havaitaan seuraava salliva sääntö:
msg="Allowed by Policy-3:"
Paketti salataan ja lähetetään VPN-tunneliin:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
Salattu paketti lähetetään tämän WAN-liitännän yhdyskäytäväosoitteeseen:
msg="send to 2.2.2.2 via intf-WAN1"
Toisessa paketissa kaikki tapahtuu samalla tavalla, mutta se lähetetään toiseen VPN-tunneliin ja lähtee eri palomuuriportin kautta:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"
Ratkaisun plussat
Luotettava toiminnallisuus ja käyttäjäystävällinen käyttöliittymä. Ominaisuusjoukko, joka oli saatavilla FortiOS:ssä ennen SD-WANin tuloa, on säilynyt täysin. Toisin sanoen meillä ei ole äskettäin kehitettyä ohjelmistoa, vaan kypsä järjestelmä todistetulta palomuuritoimittajalta. Perinteinen verkkotoimintosarja, kätevä ja helposti opittava verkkokäyttöliittymä. Kuinka monella SD-WAN-toimittajalla on esimerkiksi Remote-Access VPN -toiminto loppulaitteissa?
Turvataso 80. FortiGate on yksi parhaista palomuuriratkaisuista. Internetissä on paljon materiaalia palomuurien asettamisesta ja hallinnasta, ja työmarkkinoilla on paljon tietoturvaasiantuntijoita, jotka ovat jo perehtyneet myyjän ratkaisut.
Nollahinta SD-WAN-toiminnalle. SD-WAN-verkon rakentaminen FortiGateen maksaa saman verran kuin tavallisen WAN-verkon rakentaminen siihen, koska SD-WAN-toiminnallisuuden toteuttamiseen ei tarvita lisälisenssejä.
Alhainen pääsyn estehinta. Fortigatessa on hyvä asteikko laitteita eri suorituskykytasoille. Nuorimmat ja edullisimmat mallit sopivat varsin hyvin toimiston tai myyntipisteen laajentamiseen vaikkapa 3-5 työntekijällä. Monilla myyjillä ei yksinkertaisesti ole niin heikkoja ja edullisia malleja.
Korkea suorituskyky. SD-WAN-toiminnallisuuden vähentäminen liikenteen tasapainottamiseen mahdollisti yrityksen julkaisun erikoistuneen SD-WAN ASICin, jonka ansiosta SD-WAN-toiminta ei heikennä palomuurin suorituskykyä kokonaisuudessaan.
Mahdollisuus toteuttaa koko toimisto Fortinet-laitteilla. Nämä ovat palomuureja, kytkimiä ja Wi-Fi-tukipisteitä. Tällaista toimistoa on helppo ja kätevä hallita – kytkimet ja tukiasemat rekisteröidään palomuuriin ja hallitaan niistä. Esimerkiksi tältä kytkimen portti voi näyttää tätä kytkintä ohjaavasta palomuuriliittymästä:
Ohjainten puute yhtenä vikakohtana. Myyjä itse keskittyy tähän, mutta tätä voidaan kutsua hyödyksi vain osittain, koska niille toimittajille, joilla on ohjaimet, niiden vikasietoisuuden varmistaminen on edullista, useimmiten pienen laskentaresurssimäärän hinnalla virtualisointiympäristössä.
Mitä etsiä
Ohjaustason ja datatason välillä ei ole eroa. Tämä tarkoittaa, että verkko on konfiguroitava joko manuaalisesti tai käyttämällä jo olemassa olevia perinteisiä hallintatyökaluja - FortiManager. Toimittajille, jotka ovat ottaneet käyttöön tällaisen erottelun, verkko kootaan itse. Ylläpitäjän tarvitsee ehkä vain säätää sen topologiaa, kieltää jotain jonnekin, ei mitään muuta. FortiManagerin valttikortti on kuitenkin se, että se pystyy hallitsemaan palomuurien lisäksi myös kytkimiä ja Wi-Fi-tukipisteitä eli lähes koko verkkoa.
Ehdollinen hallittavuuden lisääminen. Koska verkon konfiguroinnin automatisointiin käytetään perinteisiä työkaluja, verkon hallittavuus paranee hieman SD-WANin käyttöönoton myötä. Toisaalta uusi toiminnallisuus tulee saataville nopeammin, koska toimittaja julkaisee sen ensin vain palomuurikäyttöjärjestelmää varten (mikä mahdollistaa sen käytön heti) ja vasta sitten täydentää hallintajärjestelmää tarvittavilla liitännöillä.
Jotkin toiminnot voivat olla käytettävissä komentoriviltä, mutta eivät verkkokäyttöliittymästä. Joskus ei ole niin pelottavaa mennä komentoriville määrittämään jotain, mutta on pelottavaa olla huomaamatta verkkokäyttöliittymässä, että joku on jo määrittänyt jotain komentoriviltä. Mutta tämä koskee yleensä uusimpia ominaisuuksia ja vähitellen, FortiOS-päivitysten myötä, verkkokäyttöliittymän ominaisuudet paranevat.
Mukaan
Niille, joilla ei ole montaa haaraa. Monimutkaisilla keskuskomponenteilla varustetun SD-WAN-ratkaisun käyttöönotto 8-10 haaran verkossa ei välttämättä maksa kynttilä - joudut käyttämään rahaa SD-WAN-laitteiden lisensseihin ja virtualisointijärjestelmän resursseihin keskuskomponenttien isännöimiseksi. Pienellä yrityksellä on yleensä rajalliset vapaat laskentaresurssit. Fortinetin tapauksessa riittää pelkkä palomuurien ostaminen.
Niille, joilla on paljon pieniä oksia. Monille toimittajille ratkaisun vähimmäishinta konttoria kohden on melko korkea, eikä se välttämättä ole kiinnostava loppuasiakkaan liiketoiminnan kannalta. Fortinet tarjoaa pieniä laitteita erittäin houkuttelevilla hinnoilla.
Niille, jotka eivät ole vielä valmiita astumaan liian pitkälle. SD-WANin käyttöönotto ohjaimilla, omalla reitityksellä ja uudella tavalla verkon suunnittelussa ja hallinnassa voi olla liian suuri askel joillekin asiakkaille. Kyllä, tällainen toteutus auttaa viime kädessä optimoimaan viestintäkanavien käyttöä ja ylläpitäjien työtä, mutta ensin sinun on opittava paljon uutta. Niille, jotka eivät ole vielä valmiita paradigman muutokseen, mutta haluavat puristaa enemmän irti viestintäkanavistaan, Fortinetin ratkaisu on juuri oikea.
Lähde: will.com