À en juger par le nombre de questions qui ont commencé à nous parvenir via le SD-WAN, la technologie a commencé à s'enraciner complètement en Russie. Les vendeurs, bien entendu, ne dorment pas et proposent leurs concepts, et certains courageux pionniers les mettent déjà en œuvre sur leurs réseaux.
Nous travaillons avec presque tous les fournisseurs et, pendant plusieurs années dans notre laboratoire, j'ai réussi à me plonger dans l'architecture de tous les principaux développeurs de solutions définies par logiciel. Le SD-WAN de Fortinet se démarque ici un peu, car il a simplement intégré la fonctionnalité d'équilibrage du trafic entre les canaux de communication dans le logiciel de pare-feu. La solution est plutôt démocratique, elle est donc généralement envisagée par les entreprises qui ne sont pas encore prêtes aux changements globaux, mais qui souhaitent utiliser plus efficacement leurs canaux de communication.
Dans cet article, je souhaite vous expliquer comment configurer et utiliser le SD-WAN de Fortinet, à qui cette solution convient et quels pièges vous pourriez rencontrer ici.
Les acteurs les plus importants du marché du SD-WAN peuvent être classés en deux types :
1. Des startups qui ont créé des solutions SD-WAN à partir de zéro. Les plus performants d'entre eux reçoivent une énorme impulsion pour se développer après avoir été rachetés par de grandes entreprises - c'est l'histoire de Cisco/Viptela, VMWare/VeloCloud, Nuage/Nokia.
2. Les grands fournisseurs de réseaux qui ont créé des solutions SD-WAN, développant la programmabilité et la gérabilité de leurs routeurs traditionnels - c'est l'histoire de Juniper, Huawei
Fortinet a réussi à trouver sa voie. Le logiciel pare-feu avait des fonctionnalités intégrées qui permettaient de combiner leurs interfaces en canaux virtuels et d'équilibrer la charge entre elles à l'aide d'algorithmes complexes par rapport au routage conventionnel. Cette fonctionnalité s'appelait SD-WAN. Ce que Fortinet a fait peut-il s’appeler SD-WAN ? Le marché comprend progressivement que la définition logicielle signifie la séparation du plan de contrôle du plan de données, des contrôleurs dédiés et des orchestrateurs. Fortinet n'a rien de tel. La gestion centralisée est facultative et proposée via l'outil traditionnel Fortimanager. Mais à mon avis, il ne faut pas chercher une vérité abstraite et perdre du temps à discuter des termes. Dans le monde réel, chaque approche présente ses avantages et ses inconvénients. La meilleure solution est de les comprendre et de pouvoir choisir des solutions qui correspondent aux tâches.
Je vais essayer de vous dire, avec des captures d'écran en main, à quoi ressemble le SD-WAN de Fortinet et ce qu'il peut faire.
Comment ça marche
Supposons que vous ayez deux branches connectées par deux canaux de données. Ces liaisons de données sont combinées en un groupe, de la même manière que les interfaces Ethernet classiques sont combinées dans un canal de port LACP. Les anciens se souviendront de PPP Multilink – également une analogie appropriée. Les canaux peuvent être des ports physiques, des VLAN SVI, ainsi que des tunnels VPN ou GRE.
VPN ou GRE sont généralement utilisés lors de la connexion de réseaux locaux de succursales sur Internet. Et des ports physiques - s'il existe des connexions L2 entre les sites, ou lors d'une connexion via un MPLS/VPN dédié, si nous sommes satisfaits de la connexion sans superposition ni cryptage. Un autre scénario dans lequel des ports physiques sont utilisés dans un groupe SD-WAN consiste à équilibrer l'accès local des utilisateurs à Internet.
Sur notre stand, vous trouverez quatre pare-feu et deux tunnels VPN fonctionnant via deux « opérateurs de communication ». Le schéma ressemble à ceci :
Les tunnels VPN sont configurés en mode interface afin qu'ils soient similaires aux connexions point à point entre des appareils dotés d'adresses IP sur des interfaces P2P, qui peuvent être pingées pour garantir que la communication via un tunnel particulier fonctionne. Pour que le trafic soit crypté et aille du côté opposé, il suffit de l'acheminer dans le tunnel. L'alternative consiste à sélectionner le trafic à chiffrer à l'aide de listes de sous-réseaux, ce qui déroute grandement l'administrateur à mesure que la configuration devient plus complexe. Dans un grand réseau, vous pouvez utiliser la technologie ADVPN pour créer un VPN ; il s'agit d'un analogue du DMVPN de Cisco ou du DVPN de Huawei, qui permet une configuration plus facile.
Configuration VPN site à site pour deux appareils avec routage BGP des deux côtés
«ЦОД» (DC)
«Филиал» (BRN)
config system interface
edit "WAN1"
set vdom "Internet"
set ip 1.1.1.1 255.255.255.252
set allowaccess ping
set role wan
set interface "DC-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 3.3.3.1 255.255.255.252
set allowaccess ping
set role lan
set interface "DC-BRD"
set vlanid 112
next
edit "BRN-Ph1-1"
set vdom "Internet"
set ip 192.168.254.1 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.2 255.255.255.255
set interface "WAN1"
next
edit "BRN-Ph1-2"
set vdom "Internet"
set ip 192.168.254.3 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.4 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "BRN-Ph1-1"
set interface "WAN1"
set local-gw 1.1.1.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 2.2.2.1
set psksecret ***
next
edit "BRN-Ph1-2"
set interface "WAN2"
set local-gw 3.3.3.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 4.4.4.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "BRN-Ph2-1"
set phase1name "BRN-Ph1-1"
set proposal aes256-sha256
set dhgrp 2
next
edit "BRN-Ph2-2"
set phase1name "BRN-Ph1-2"
set proposal aes256-sha256
set dhgrp 2
next
end
config router static
edit 1
set gateway 1.1.1.2
set device "WAN1"
next
edit 3
set gateway 3.3.3.2
set device "WAN2"
next
end
config router bgp
set as 65002
set router-id 10.1.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.2"
set remote-as 65003
next
edit "192.168.254.4"
set remote-as 65003
next
end
config network
edit 1
set prefix 10.1.0.0 255.255.0.0
next
end
config system interface
edit "WAN1"
set vdom "Internet"
set ip 2.2.2.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 4.4.4.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 114
next
edit "DC-Ph1-1"
set vdom "Internet"
set ip 192.168.254.2 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.1 255.255.255.255
set interface "WAN1"
next
edit "DC-Ph1-2"
set vdom "Internet"
set ip 192.168.254.4 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.3 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "DC-Ph1-1"
set interface "WAN1"
set local-gw 2.2.2.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 1.1.1.1
set psksecret ***
next
edit "DC-Ph1-2"
set interface "WAN2"
set local-gw 4.4.4.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 3.3.3.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "DC-Ph2-1"
set phase1name "DC-Ph1-1"
set proposal aes128-sha1
set dhgrp 2
next
edit "DC2-Ph2-2"
set phase1name "DC-Ph1-2"
set proposal aes128-sha1
set dhgrp 2
next
end
config router static
edit 1
set gateway 2.2.2.2
et device "WAN1"
next
edit 3
set gateway 4.4.4.2
set device "WAN2"
next
end
config router bgp
set as 65003
set router-id 10.200.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.1"
set remote-as 65002
next
edit "192.168.254.3"
set remote-as 65002
next
end
config network
edit 1
set prefix 10.200.0.0 255.255.0.0
next
end
Je fournis la configuration sous forme de texte car, à mon avis, il est plus pratique de configurer le VPN de cette façon. Presque tous les paramètres sont les mêmes des deux côtés ; sous forme de texte, ils peuvent être effectués par copier-coller. Si vous faites la même chose dans l'interface Web, il est facile de faire une erreur : oubliez une coche quelque part, entrez une valeur incorrecte.
Après avoir ajouté les interfaces au bundle
toutes les routes et politiques de sécurité peuvent y faire référence, et non aux interfaces qui y sont incluses. Au minimum, vous devez autoriser le trafic des réseaux internes vers le SD-WAN. Lorsque vous créez des règles pour eux, vous pouvez appliquer des mesures de protection telles que la divulgation IPS, antivirus et HTTPS.
Les règles SD-WAN sont configurées pour le bundle. Ce sont des règles qui définissent l'algorithme d'équilibrage pour un trafic spécifique. Elles sont similaires aux politiques de routage dans Policy-Based Routing, uniquement en raison du trafic relevant de la politique, ce n'est pas le tronçon suivant ou l'interface sortante habituelle qui est installé, mais les interfaces ajoutées au bundle SD-WAN plus un algorithme d'équilibrage du trafic entre ces interfaces.
Le trafic peut être séparé du flux général par les informations L3-L4, par les applications reconnues, les services Internet (URL et IP), ainsi que par les utilisateurs reconnus de postes de travail et d'ordinateurs portables. Après cela, l'un des algorithmes d'équilibrage suivants peut être attribué au trafic alloué :
Dans la liste des préférences d'interface, les interfaces parmi celles déjà ajoutées au bundle qui serviront ce type de trafic sont sélectionnées. En n'ajoutant pas toutes les interfaces, vous pouvez limiter exactement les canaux que vous utilisez, par exemple le courrier électronique, si vous ne voulez pas surcharger les canaux coûteux avec un SLA élevé. Dans FortiOS 6.4.1, il est devenu possible de regrouper les interfaces ajoutées au bundle SD-WAN en zones, créant par exemple une zone pour la communication avec les sites distants et une autre pour l'accès Internet local via NAT. Oui, oui, le trafic vers l'Internet classique peut également être équilibré.
À propos des algorithmes d'équilibrage
Concernant la façon dont Fortigate (un pare-feu de Fortinet) peut répartir le trafic entre les canaux, il existe deux options intéressantes qui ne sont pas très courantes sur le marché :
Coût le plus bas (SLA) – parmi toutes les interfaces qui satisfont actuellement au SLA, celle avec le poids (coût) le plus faible, définie manuellement par l'administrateur, est sélectionnée ; ce mode est adapté au trafic « massif » tel que les sauvegardes et les transferts de fichiers.
Meilleure qualité (SLA) – cet algorithme, en plus du retard, de la gigue et de la perte habituels des paquets Fortigate, peut également utiliser la charge actuelle des canaux pour évaluer la qualité des canaux ; Ce mode est adapté au trafic sensible tel que la VoIP et la visioconférence.
Ces algorithmes nécessitent la mise en place d’un indicateur de performance du canal de communication – Performance SLA. Ce compteur surveille périodiquement (intervalle de vérification) les informations sur le respect du SLA : perte de paquets, retard (latence) et gigue (gigue) dans le canal de communication, et peut « rejeter » les canaux qui ne respectent pas actuellement les seuils de qualité – ils perdent trop de paquets ou une latence trop importante. De plus, le compteur surveille l'état du canal, et peut le supprimer temporairement du bundle en cas de perte répétée de réponses (échecs avant inactivité). Une fois restauré, après plusieurs réponses consécutives (restauration du lien après), le compteur renverra automatiquement le canal au faisceau et les données recommenceront à être transmises via celui-ci.
Voici à quoi ressemble le paramètre « compteur » :
Dans l'interface Web, les requêtes ICMP-Echo-request, HTTP-GET et DNS sont disponibles comme protocoles de test. Il y a un peu plus d'options sur la ligne de commande : les options TCP-echo et UDP-echo sont disponibles, ainsi qu'un protocole spécialisé de mesure de la qualité - TWAMP.
Les résultats des mesures sont également visibles dans l’interface web :
Et sur la ligne de commande :
Dépannage
Si vous avez créé une règle, mais que tout ne fonctionne pas comme prévu, vous devez consulter la valeur Hit Count dans la liste des règles SD-WAN. Il montrera si le trafic relève de cette règle :
Sur la page des paramètres du compteur lui-même, vous pouvez voir l'évolution des paramètres du canal au fil du temps. La ligne pointillée indique la valeur seuil du paramètre
Dans l'interface Web, vous pouvez voir comment le trafic est réparti en fonction de la quantité de données transmises/reçues et du nombre de sessions :
En plus de tout cela, il existe une excellente opportunité de suivre le passage des paquets avec un maximum de détails. Lorsque vous travaillez dans un réseau réel, la configuration de l'appareil accumule de nombreuses politiques de routage, de pare-feu et de répartition du trafic sur les ports SD-WAN. Tout cela interagit les uns avec les autres de manière complexe, et bien que le fournisseur fournisse des schémas fonctionnels détaillés des algorithmes de traitement de paquets, il est très important de pouvoir non pas construire et tester des théories, mais de voir où va réellement le trafic.
Par exemple, l'ensemble de commandes suivant
diagnose debug flow filter saddr 10.200.64.15
diagnose debug flow filter daddr 10.1.7.2
diagnose debug flow show function-name
diagnose debug enable
diagnose debug trace 2
Vous permet de suivre deux paquets avec une adresse source de 10.200.64.15 et une adresse de destination de 10.1.7.2.
Nous pingons deux fois 10.7.1.2 à partir de 10.200.64.15 et regardons la sortie sur la console.
Premier colis :
Deuxième forfait :
Voici le premier paquet reçu par le pare-feu :
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0."
VDOM – Internet, Proto=1 (ICMP), DMZ-Office – название L3-интерфейса. Type=8 – Echo.
Une nouvelle session a été créée pour lui :
msg="allocate a new session-0006a627"
Et une correspondance a été trouvée dans les paramètres de la politique de routage
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"
Il s'avère que le paquet doit être envoyé vers l'un des tunnels VPN :
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"
La règle d'autorisation suivante est détectée dans les stratégies de pare-feu :
msg="Allowed by Policy-3:"
Le paquet est crypté et envoyé au tunnel VPN :
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
Le paquet chiffré est envoyé à l'adresse de passerelle pour cette interface WAN :
msg="send to 2.2.2.2 via intf-WAN1"
Pour le deuxième paquet, tout se passe de la même manière, mais il est envoyé vers un autre tunnel VPN et sort via un autre port de pare-feu :
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"
Avantages de la solution
Fonctionnalité fiable et interface conviviale. L'ensemble des fonctionnalités qui étaient disponibles dans FortiOS avant l'avènement du SD-WAN a été entièrement préservé. Autrement dit, nous ne disposons pas d'un logiciel nouvellement développé, mais d'un système mature provenant d'un fournisseur de pare-feu éprouvé. Avec un ensemble traditionnel de fonctions réseau, une interface Web pratique et facile à apprendre. Combien de fournisseurs de SD-WAN proposent, par exemple, une fonctionnalité VPN d'accès à distance sur les appareils finaux ?
Niveau de sécurité 80. FortiGate est l'une des meilleures solutions de pare-feu. Il existe de nombreux documents sur Internet sur la configuration et l'administration de pare-feu, et sur le marché du travail, de nombreux spécialistes de la sécurité maîtrisent déjà les solutions du fournisseur.
Prix zéro pour la fonctionnalité SD-WAN. Construire un réseau SD-WAN sur FortiGate coûte le même prix que construire un réseau WAN classique, puisqu'aucune licence supplémentaire n'est nécessaire pour implémenter la fonctionnalité SD-WAN.
Prix barrière à l’entrée faible. Fortigate propose une bonne gamme d'appareils pour différents niveaux de performances. Les modèles les plus jeunes et les moins chers conviennent parfaitement à l'agrandissement d'un bureau ou d'un point de vente de 3 à 5 employés, par exemple. De nombreux fournisseurs ne proposent tout simplement pas de modèles aussi peu performants et abordables.
Haute performance. La réduction de la fonctionnalité SD-WAN à l'équilibrage du trafic a permis à l'entreprise de lancer un ASIC SD-WAN spécialisé, grâce auquel le fonctionnement du SD-WAN ne réduit pas les performances du pare-feu dans son ensemble.
La possibilité de mettre en œuvre un bureau entier sur des équipements Fortinet. Il s'agit d'une paire de pare-feu, de commutateurs, de points d'accès Wi-Fi. Un tel bureau est facile et pratique à gérer : les commutateurs et les points d'accès sont enregistrés sur des pare-feu et gérés à partir de ceux-ci. Par exemple, voici à quoi pourrait ressembler un port de commutateur à partir de l'interface du pare-feu qui contrôle ce commutateur :
Le manque de contrôleurs comme point de défaillance unique. Le fournisseur lui-même se concentre sur ce point, mais cela ne peut être considéré comme un avantage qu'en partie, car pour les fournisseurs qui disposent de contrôleurs, garantir leur tolérance aux pannes est peu coûteux, le plus souvent au prix d'une petite quantité de ressources informatiques dans un environnement de virtualisation.
Que chercher
Aucune séparation entre le plan de contrôle et le plan de données. Cela signifie que le réseau doit être configuré soit manuellement, soit à l'aide des outils de gestion traditionnels déjà disponibles - FortiManager. Pour les fournisseurs ayant mis en place une telle séparation, le réseau est assemblé lui-même. L'administrateur n'aura peut-être qu'à ajuster sa topologie, interdire quelque chose quelque part, rien de plus. Cependant, l'atout de FortiManager est qu'il peut gérer non seulement les pare-feu, mais aussi les commutateurs et les points d'accès Wi-Fi, soit la quasi-totalité du réseau.
Augmentation conditionnelle de la contrôlabilité. Étant donné que des outils traditionnels sont utilisés pour automatiser la configuration du réseau, la facilité de gestion du réseau avec l'introduction du SD-WAN augmente légèrement. D'autre part, les nouvelles fonctionnalités deviennent disponibles plus rapidement, puisque le fournisseur ne les publie d'abord que pour le système d'exploitation du pare-feu (ce qui permet immédiatement de les utiliser), et complète ensuite seulement le système de gestion avec les interfaces nécessaires.
Certaines fonctionnalités peuvent être disponibles depuis la ligne de commande, mais ne le sont pas depuis l'interface Web. Parfois, ce n'est pas si effrayant d'accéder à la ligne de commande pour configurer quelque chose, mais c'est effrayant de ne pas voir dans l'interface Web que quelqu'un a déjà configuré quelque chose à partir de la ligne de commande. Mais cela s'applique généralement aux fonctionnalités les plus récentes et progressivement, avec les mises à jour de FortiOS, les capacités de l'interface Web sont améliorées.
Pour convenir
Pour ceux qui n'ont pas beaucoup de succursales. La mise en œuvre d'une solution SD-WAN avec des composants centraux complexes sur un réseau de 8 à 10 succursales peut ne pas coûter une bougie - vous devrez dépenser de l'argent en licences pour les appareils SD-WAN et en ressources du système de virtualisation pour héberger les composants centraux. Une petite entreprise dispose généralement de ressources informatiques gratuites limitées. Dans le cas de Fortinet, il suffit simplement d'acheter des pare-feu.
Pour ceux qui ont beaucoup de petites branches. Pour de nombreux fournisseurs, le prix minimum de la solution par agence est assez élevé et peut ne pas être intéressant du point de vue commercial du client final. Fortinet propose des petits appareils à des prix très attractifs.
Pour ceux qui ne sont pas encore prêts à aller trop loin. La mise en œuvre du SD-WAN avec des contrôleurs, un routage propriétaire et une nouvelle approche de la planification et de la gestion du réseau peut constituer une étape trop importante pour certains clients. Oui, une telle mise en œuvre permettra à terme d'optimiser l'utilisation des canaux de communication et le travail des administrateurs, mais vous devrez d'abord apprendre beaucoup de nouvelles choses. Pour ceux qui ne sont pas encore prêts pour un changement de paradigme, mais qui souhaitent tirer davantage parti de leurs canaux de communication, la solution de Fortinet est parfaite.
Source: habr.com