A xulgar pola cantidade de preguntas que comezaron a chegar a nós a través de SD-WAN, a tecnoloxía comezou a enraizarse completamente en Rusia. Os vendedores, naturalmente, non están durmidos e ofrecen os seus conceptos, e algúns valentes pioneiros xa os están a implementar nas súas redes.
Traballamos con case todos os provedores, e ao longo de varios anos no noso laboratorio conseguín afondar na arquitectura de todos os principais desenvolvedores de solucións definidas por software. SD-WAN de Fortinet está un pouco separado aquí, que simplemente construíu a funcionalidade de equilibrar o tráfico entre canles de comunicación no software de firewall. A solución é máis ben democrática, polo que adoitan ser considerada por empresas que aínda non están preparadas para os cambios globais, pero queren utilizar as súas canles de comunicación de forma máis eficaz.
Neste artigo quero dicirche como configurar e traballar con SD-WAN de Fortinet, para quen é adecuada esta solución e cales son as trampas que podes atopar aquí.
Os xogadores máis destacados do mercado SD-WAN pódense clasificar en dous tipos:
1. Startups que crearon solucións SD-WAN desde cero. Os máis exitosos deles reciben un gran impulso para o desenvolvemento despois de ser comprados por grandes empresas: esta é a historia de Cisco/Viptela, VMWare/VeloCloud, Nuage/Nokia
2. Grandes provedores de redes que crearon solucións SD-WAN, desenvolvendo a programabilidade e manexabilidade dos seus enrutadores tradicionais: esta é a historia de Juniper, Huawei
Fortinet conseguiu atopar o seu camiño. O software do firewall tiña unha funcionalidade integrada que permitía combinar as súas interfaces en canles virtuais e equilibrar a carga entre elas mediante algoritmos complexos en comparación co enrutamento convencional. Esta funcionalidade chamouse SD-WAN. Pódese chamar o que Fortinet fixo SD-WAN? O mercado está entendendo gradualmente que Software-Defined significa a separación do plano de control do plano de datos, controladores dedicados e orquestadores. Fortinet non ten nada parecido. A xestión centralizada é opcional e ofrécese a través da ferramenta tradicional Fortimanager. Pero na miña opinión, non deberías buscar a verdade abstracta e perder o tempo discutindo sobre os termos. No mundo real, cada enfoque ten as súas vantaxes e desvantaxes. A mellor saída é entendelos e poder elixir solucións que se correspondan coas tarefas.
Tentarei contarche con capturas de pantalla na man como é o SD-WAN de Fortinet e que pode facer.
Como funciona todo
Supoñamos que tes dúas ramas conectadas por dúas canles de datos. Estas ligazóns de datos combínanse nun grupo, de forma similar a como se combinan as interfaces Ethernet habituais nunha canle LACP-Port. Os vellos lembrarán PPP Multilink, tamén unha analoxía adecuada. As canles poden ser portos físicos, VLAN SVI, así como túneles VPN ou GRE.
Normalmente úsanse VPN ou GRE cando se conectan redes locais de sucursais a través de Internet. E portos físicos: se hai conexións L2 entre sitios ou cando nos conectamos a través dun MPLS/VPN dedicado, se estamos satisfeitos coa conexión sen superposición e cifrado. Outro escenario no que se usan portos físicos nun grupo SD-WAN é equilibrar o acceso local dos usuarios a Internet.
No noso stand hai catro firewalls e dous túneles VPN que funcionan a través de dous "operadores de comunicación". O diagrama ten o seguinte aspecto:
Os túneles VPN configúranse en modo de interface de xeito que sexan similares ás conexións punto a punto entre dispositivos con enderezos IP en interfaces P2P, ás que se pode facer un ping para garantir que a comunicación a través dun túnel particular funcione. Para que o tráfico estea cifrado e vaia ao lado oposto, abonda con dirixilo ao túnel. A alternativa é seleccionar o tráfico para o cifrado mediante listas de subredes, o que confunde moito ao administrador a medida que a configuración se fai máis complexa. Nunha rede grande, pode usar a tecnoloxía ADVPN para construír unha VPN; este é un análogo de DMVPN de Cisco ou DVPN de Huawei, o que permite unha configuración máis sinxela.
Configuración de VPN de sitio a sitio para dous dispositivos con enrutamento BGP nos dous lados
«ЦОД» (DC)
«Филиал» (BRN)
config system interface
edit "WAN1"
set vdom "Internet"
set ip 1.1.1.1 255.255.255.252
set allowaccess ping
set role wan
set interface "DC-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 3.3.3.1 255.255.255.252
set allowaccess ping
set role lan
set interface "DC-BRD"
set vlanid 112
next
edit "BRN-Ph1-1"
set vdom "Internet"
set ip 192.168.254.1 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.2 255.255.255.255
set interface "WAN1"
next
edit "BRN-Ph1-2"
set vdom "Internet"
set ip 192.168.254.3 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.4 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "BRN-Ph1-1"
set interface "WAN1"
set local-gw 1.1.1.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 2.2.2.1
set psksecret ***
next
edit "BRN-Ph1-2"
set interface "WAN2"
set local-gw 3.3.3.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 4.4.4.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "BRN-Ph2-1"
set phase1name "BRN-Ph1-1"
set proposal aes256-sha256
set dhgrp 2
next
edit "BRN-Ph2-2"
set phase1name "BRN-Ph1-2"
set proposal aes256-sha256
set dhgrp 2
next
end
config router static
edit 1
set gateway 1.1.1.2
set device "WAN1"
next
edit 3
set gateway 3.3.3.2
set device "WAN2"
next
end
config router bgp
set as 65002
set router-id 10.1.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.2"
set remote-as 65003
next
edit "192.168.254.4"
set remote-as 65003
next
end
config network
edit 1
set prefix 10.1.0.0 255.255.0.0
next
end
config system interface
edit "WAN1"
set vdom "Internet"
set ip 2.2.2.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 4.4.4.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 114
next
edit "DC-Ph1-1"
set vdom "Internet"
set ip 192.168.254.2 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.1 255.255.255.255
set interface "WAN1"
next
edit "DC-Ph1-2"
set vdom "Internet"
set ip 192.168.254.4 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.3 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "DC-Ph1-1"
set interface "WAN1"
set local-gw 2.2.2.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 1.1.1.1
set psksecret ***
next
edit "DC-Ph1-2"
set interface "WAN2"
set local-gw 4.4.4.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 3.3.3.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "DC-Ph2-1"
set phase1name "DC-Ph1-1"
set proposal aes128-sha1
set dhgrp 2
next
edit "DC2-Ph2-2"
set phase1name "DC-Ph1-2"
set proposal aes128-sha1
set dhgrp 2
next
end
config router static
edit 1
set gateway 2.2.2.2
et device "WAN1"
next
edit 3
set gateway 4.4.4.2
set device "WAN2"
next
end
config router bgp
set as 65003
set router-id 10.200.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.1"
set remote-as 65002
next
edit "192.168.254.3"
set remote-as 65002
next
end
config network
edit 1
set prefix 10.200.0.0 255.255.0.0
next
end
Estou proporcionando a configuración en forma de texto, porque, na miña opinión, é máis conveniente configurar a VPN deste xeito. Case todos os axustes son iguais en ambos os dous lados; en forma de texto pódense facer como copiar e pegar. Se fai o mesmo na interface web, é fácil cometer un erro: esquece unha marca de verificación nalgún lugar e introduce un valor incorrecto.
Despois de engadir as interfaces ao paquete
todas as rutas e políticas de seguridade poden referirse a el, e non ás interfaces incluídas nel. Como mínimo, cómpre permitir o tráfico das redes internas a SD-WAN. Cando crea regras para eles, pode aplicar medidas de protección como IPS, antivirus e divulgación HTTPS.
As regras SD-WAN están configuradas para o paquete. Estas son regras que definen o algoritmo de equilibrio para o tráfico específico. Son semellantes ás políticas de enrutamento no enrutamento baseado en políticas, só como resultado do tráfico que se inclúe na política, non se instala o seguinte salto nin a interface de saída habitual, senón as interfaces engadidas ao paquete SD-WAN máis un algoritmo de equilibrio de tráfico entre estas interfaces.
O tráfico pódese separar do fluxo xeral mediante información L3-L4, por aplicacións recoñecidas, servizos de Internet (URL e IP), así como por usuarios recoñecidos de estacións de traballo e portátiles. Despois diso, pódese asignar un dos seguintes algoritmos de equilibrio ao tráfico asignado:
Na lista de Preferencias de interface, selecciónanse aquelas interfaces das xa engadidas ao paquete que servirán para este tipo de tráfico. Ao engadir non todas as interfaces, podes limitar exactamente cales son as canles que utilizas, por exemplo, o correo electrónico, se non queres cargar con iso as canles caras cun alto SLA. En FortiOS 6.4.1, fíxose posible agrupar as interfaces engadidas ao paquete SD-WAN en zonas, creando, por exemplo, unha zona para a comunicación con sitios remotos e outra para o acceso local a Internet mediante NAT. Si, si, o tráfico que vai á Internet normal tamén se pode equilibrar.
Sobre os algoritmos de equilibrio
Respecto a como Fortigate (un firewall de Fortinet) pode dividir o tráfico entre canles, hai dúas opcións interesantes que non son moi habituais no mercado:
Custo máis baixo (SLA) – de todas as interfaces que cumpren o SLA neste momento, selecciónase a de menor peso (custo), configurada manualmente polo administrador; este modo é axeitado para o tráfico "a granel", como copias de seguridade e transferencias de ficheiros.
Mellor calidade (SLA) – este algoritmo, ademais do atraso, a fluctuación e a perda habituais dos paquetes Fortigate, tamén pode usar a carga actual da canle para avaliar a calidade das canles; Este modo é adecuado para tráfico sensible como VoIP e videoconferencia.
Estes algoritmos requiren configurar un medidor de rendemento da canle de comunicación - Performance SLA. Este medidor controla periodicamente (intervalo de verificación) a información sobre o cumprimento do SLA: perda de paquetes, latencia e fluctuación na canle de comunicación, e pode "rexeitar" aquelas canles que actualmente non cumpren os limiares de calidade: están perdendo demasiados paquetes ou experimentando demasiados paquetes. moita latencia. Ademais, o medidor monitoriza o estado da canle e pode eliminalo temporalmente do paquete en caso de perda repetida de respostas (fallos antes de inactiva). Cando se restableza, despois de varias respostas consecutivas (restaurar a ligazón despois), o medidor devolverá automaticamente a canle ao paquete e os datos comezarán a transmitirse de novo a través del.
Este é o aspecto da configuración do "medidor":
Na interface web, ICMP-Echo-request, HTTP-GET e solicitude DNS están dispoñibles como protocolos de proba. Hai un pouco máis de opcións na liña de comandos: as opcións TCP-echo e UDP-echo están dispoñibles, así como un protocolo de medición de calidade especializado: TWAMP.
Os resultados da medición tamén se poden ver na interface web:
E na liña de comandos:
Solución de problemas
Se creaches unha regra, pero todo non funciona como se esperaba, deberías mirar o valor de Conta de acertos na lista de regras SD-WAN. Mostrará se o tráfico incide nesta regra:
Na páxina de configuración do propio medidor, podes ver o cambio nos parámetros da canle ao longo do tempo. A liña de puntos indica o valor límite do parámetro
Na interface web podes ver como se distribúe o tráfico segundo a cantidade de datos transmitidos/recibidos e o número de sesións:
Ademais de todo isto, hai unha excelente oportunidade para seguir o paso dos paquetes co máximo detalle. Cando se traballa nunha rede real, a configuración do dispositivo acumula moitas políticas de enrutamento, cortalumes e distribución de tráfico a través dos portos SD-WAN. Todo isto interactúa entre si dun xeito complexo, e aínda que o vendedor proporciona diagramas de bloques detallados de algoritmos de procesamento de paquetes, é moi importante non poder construír e probar teorías, senón ver onde vai realmente o tráfico.
Por exemplo, o seguinte conxunto de comandos
diagnose debug flow filter saddr 10.200.64.15
diagnose debug flow filter daddr 10.1.7.2
diagnose debug flow show function-name
diagnose debug enable
diagnose debug trace 2
Permítelle rastrexar dous paquetes cun enderezo de orixe 10.200.64.15 e un enderezo de destino de 10.1.7.2.
Facemos ping 10.7.1.2 desde 10.200.64.15 dúas veces e miramos a saída na consola.
Primeiro paquete:
Segundo paquete:
Aquí está o primeiro paquete recibido polo firewall:
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0."
VDOM – Internet, Proto=1 (ICMP), DMZ-Office – название L3-интерфейса. Type=8 – Echo.
Creouse unha nova sesión para el:
msg="allocate a new session-0006a627"
E atopouse unha coincidencia na configuración da política de enrutamento
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"
Resulta que o paquete debe enviarse a un dos túneles VPN:
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"
Detéctase a seguinte regra de autorización nas políticas de firewall:
msg="Allowed by Policy-3:"
O paquete está cifrado e envíase ao túnel VPN:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
O paquete cifrado envíase ao enderezo da pasarela para esta interface WAN:
msg="send to 2.2.2.2 via intf-WAN1"
Para o segundo paquete, todo ocorre de xeito similar, pero envíase a outro túnel VPN e sae por un porto de firewall diferente:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"
Pros da solución
Funcionalidade fiable e interface amigable. O conxunto de funcións que estaba dispoñible en FortiOS antes da chegada de SD-WAN conservouse por completo. É dicir, non temos software recentemente desenvolvido, senón un sistema maduro dun provedor de firewall comprobado. Cun conxunto tradicional de funcións de rede, unha interface web cómoda e fácil de aprender. Cantos provedores de SD-WAN teñen, por exemplo, a funcionalidade de VPN de acceso remoto nos dispositivos finais?
Nivel de seguridade 80. FortiGate é unha das principais solucións de firewall. Hai moito material en Internet sobre a configuración e administración de cortalumes, e no mercado laboral hai moitos especialistas en seguridade que xa dominan as solucións do vendedor.
Prezo cero para a funcionalidade SD-WAN. Construír unha rede SD-WAN en FortiGate custa o mesmo que construír unha rede WAN normal nela, xa que non se necesitan licenzas adicionais para implementar a funcionalidade SD-WAN.
Baixo prezo de barreira de entrada. Fortigate ten unha boa gradación de dispositivos para diferentes niveis de rendemento. Os modelos máis novos e económicos son bastante axeitados para ampliar unha oficina ou punto de venda, por exemplo, de 3 a 5 empregados. Moitos provedores simplemente non teñen modelos tan económicos e de baixo rendemento.
Alto rendemento. A redución da funcionalidade SD-WAN ao equilibrio do tráfico permitiu á compañía lanzar un ASIC SD-WAN especializado, grazas ao cal a operación SD-WAN non reduce o rendemento do firewall no seu conxunto.
A capacidade de implementar unha oficina completa en equipos Fortinet. Estes son un par de cortalumes, interruptores, puntos de acceso Wi-Fi. Esta oficina é fácil e cómoda de xestionar: os interruptores e os puntos de acceso están rexistrados en cortalumes e xestionados desde eles. Por exemplo, este é o aspecto dun porto de switch desde a interface de firewall que controla este switch:
Falta de controladores como punto único de falla. O propio provedor céntrase nisto, pero isto só se pode chamar un beneficio en parte, porque para aqueles provedores que teñen controladores, garantir a súa tolerancia a fallos é barato, a maioría das veces ao prezo dunha pequena cantidade de recursos informáticos nun ambiente de virtualización.
Que buscar
Non hai separación entre o plano de control e o plano de datos. Isto significa que a rede debe configurarse manualmente ou utilizando as ferramentas de xestión tradicionais xa dispoñibles: FortiManager. Para os provedores que implementaron tal separación, a rede está montada por si mesma. É posible que o administrador só necesite axustar a súa topoloxía, prohibir algo nalgún lugar, nada máis. Non obstante, o trunfo de FortiManager é que pode xestionar non só cortalumes, senón tamén interruptores e puntos de acceso Wi-Fi, é dicir, case toda a rede.
Aumento condicional da controlabilidade. Debido ao feito de que se utilizan ferramentas tradicionais para automatizar a configuración da rede, a capacidade de xestión da rede coa introdución de SD-WAN aumenta lixeiramente. Por outra banda, a nova funcionalidade está dispoñible máis rápido, xa que o vendedor primeiro lanza só para o sistema operativo firewall (o que fai posible inmediatamente o seu uso) e só despois completa o sistema de xestión coas interfaces necesarias.
Algunhas funcións poden estar dispoñibles na liña de comandos, pero non están dispoñibles na interface web. Ás veces non dá tanto medo entrar na liña de comandos para configurar algo, pero dá medo non ver na interface web que alguén xa configurou algo desde a liña de comandos. Pero isto adoita aplicarse ás funcións máis novas e aos poucos, coas actualizacións de FortiOS, as capacidades da interface web son melloradas.
Quen se adaptará
Para os que non teñen moitas sucursais. Implementar unha solución SD-WAN con compoñentes centrais complexos nunha rede de 8-10 sucursais pode non custar a vela; terás que gastar diñeiro en licenzas para dispositivos SD-WAN e recursos do sistema de virtualización para aloxar os compoñentes centrais. Unha pequena empresa adoita ter recursos informáticos gratuítos limitados. No caso de Fortinet, basta con mercar cortalumes.
Para os que teñen moitas ramas pequenas. Para moitos provedores, o prezo mínimo da solución por sucursal é bastante alto e pode non ser interesante desde o punto de vista do negocio do cliente final. Fortinet ofrece dispositivos pequenos a prezos moi atractivos.
Para aqueles que aínda non están preparados para dar un paso demasiado lonxe. Implementar SD-WAN con controladores, enrutamento propietario e un novo enfoque para a planificación e xestión de redes pode ser un paso demasiado grande para algúns clientes. Si, unha implementación deste tipo axudará en definitiva a optimizar o uso das canles de comunicación e o traballo dos administradores, pero antes terás que aprender moitas cousas novas. Para aqueles que aínda non están preparados para un cambio de paradigma, pero queren aproveitar máis das súas canles de comunicación, a solución de Fortinet é a correcta.
Fonte: www.habr.com