Sudeći prema broju pitanja koja su nam počela pristizati putem SD-WAN-a, tehnologija se u Rusiji počela temeljito udomaćivati. Prodavači, naravno, ne spavaju i nude svoje koncepte, a neki hrabri pioniri već ih implementiraju na svoje mreže.
Surađujemo s gotovo svim dobavljačima, a tijekom nekoliko godina u našem laboratoriju uspio sam proniknuti u arhitekturu svakog većeg razvijača softverski definiranih rješenja. Tu se malo izdvaja SD-WAN tvrtke Fortinet, koja je jednostavno ugradila funkcionalnost balansiranja prometa između komunikacijskih kanala u firewall softver. Rješenje je prilično demokratsko, pa ga obično razmatraju tvrtke koje još nisu spremne za globalne promjene, ali žele učinkovitije koristiti svoje komunikacijske kanale.
U ovom članku želim vam reći kako konfigurirati i raditi s SD-WAN-om iz Fortineta, za koga je ovo rješenje prikladno i na koje biste zamke ovdje mogli naići.
Najistaknutiji igrači na SD-WAN tržištu mogu se klasificirati u jednu od dvije vrste:
1. Startupi koji su kreirali SD-WAN rješenja od nule. Najuspješniji od njih dobivaju veliki poticaj za razvoj nakon što ih kupe velike tvrtke - ovo je priča o Cisco/Viptela, VMWare/VeloCloud, Nuage/Nokia
2. Veliki dobavljači mreža koji su stvorili SD-WAN rješenja, razvijajući programabilnost i upravljivost svojih tradicionalnih usmjerivača - ovo je priča o Juniperu, Huaweiju
Fortinet je uspio pronaći svoj put. Softver vatrozida imao je ugrađenu funkcionalnost koja je omogućila kombiniranje njihovih sučelja u virtualne kanale i balansiranje opterećenja između njih koristeći složene algoritme u usporedbi s konvencionalnim usmjeravanjem. Ova funkcionalnost nazvana je SD-WAN. Može li se ono što je Fortinet napravio nazvati SD-WAN? Tržište postupno shvaća da softverski definirano znači odvajanje kontrolne razine od podatkovne razine, namjenskih kontrolera i orkestratora. Fortinet nema ništa takvo. Centralizirano upravljanje nije obavezno i nudi se putem tradicionalnog alata Fortimanager. No, po mom mišljenju, ne biste trebali tražiti apstraktnu istinu i gubiti vrijeme na prepirku oko pojmova. U stvarnom svijetu svaki pristup ima svoje prednosti i nedostatke. Najbolji izlaz je razumjeti ih i moći odabrati rješenja koja odgovaraju zadacima.
Pokušat ću vam reći sa snimkama zaslona u rukama kako SD-WAN iz Fortineta izgleda i što može.
Kako sve funkcionira
Pretpostavimo da imate dvije grane povezane s dva podatkovna kanala. Ove podatkovne veze kombiniraju se u grupu, slično kao što se obična Ethernet sučelja kombiniraju u LACP-Port-Channel. Stariji će se sjetiti PPP Multilink - također prikladne analogije. Kanali mogu biti fizički portovi, VLAN SVI, kao i VPN ili GRE tuneli.
VPN ili GRE obično se koriste pri povezivanju lokalnih mreža podružnica putem Interneta. I fizički priključci - ako postoje L2 veze između stranica ili pri povezivanju preko namjenskog MPLS/VPN-a, ako smo zadovoljni vezom bez Overlaya i enkripcije. Drugi scenarij u kojem se fizički priključci koriste u SD-WAN grupi je balansiranje lokalnog pristupa korisnika Internetu.
Na našem štandu postoje četiri vatrozida i dva VPN tunela koji rade preko dva “komunikacijska operatera”. Dijagram izgleda ovako:
VPN tuneli su konfigurirani u načinu rada sučelja tako da su slični vezama od točke do točke između uređaja s IP adresama na P2P sučeljima, koji se mogu pingati kako bi se osiguralo da komunikacija kroz određeni tunel radi. Da bi promet bio šifriran i išao na suprotnu stranu, dovoljno ga je usmjeriti u tunel. Alternativa je odabir prometa za enkripciju pomoću popisa podmreža, što uvelike zbunjuje administratora jer konfiguracija postaje složenija. U velikoj mreži možete koristiti ADVPN tehnologiju za izgradnju VPN-a; ovo je analog DMVPN-a tvrtke Cisco ili DVPN-a tvrtke Huawei, što omogućuje lakše postavljanje.
Site-to-Site VPN konfiguracija za dva uređaja s BGP usmjeravanjem na obje strane
«ЦОД» (DC)
«Филиал» (BRN)
config system interface
edit "WAN1"
set vdom "Internet"
set ip 1.1.1.1 255.255.255.252
set allowaccess ping
set role wan
set interface "DC-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 3.3.3.1 255.255.255.252
set allowaccess ping
set role lan
set interface "DC-BRD"
set vlanid 112
next
edit "BRN-Ph1-1"
set vdom "Internet"
set ip 192.168.254.1 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.2 255.255.255.255
set interface "WAN1"
next
edit "BRN-Ph1-2"
set vdom "Internet"
set ip 192.168.254.3 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.4 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "BRN-Ph1-1"
set interface "WAN1"
set local-gw 1.1.1.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 2.2.2.1
set psksecret ***
next
edit "BRN-Ph1-2"
set interface "WAN2"
set local-gw 3.3.3.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 4.4.4.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "BRN-Ph2-1"
set phase1name "BRN-Ph1-1"
set proposal aes256-sha256
set dhgrp 2
next
edit "BRN-Ph2-2"
set phase1name "BRN-Ph1-2"
set proposal aes256-sha256
set dhgrp 2
next
end
config router static
edit 1
set gateway 1.1.1.2
set device "WAN1"
next
edit 3
set gateway 3.3.3.2
set device "WAN2"
next
end
config router bgp
set as 65002
set router-id 10.1.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.2"
set remote-as 65003
next
edit "192.168.254.4"
set remote-as 65003
next
end
config network
edit 1
set prefix 10.1.0.0 255.255.0.0
next
end
config system interface
edit "WAN1"
set vdom "Internet"
set ip 2.2.2.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 4.4.4.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 114
next
edit "DC-Ph1-1"
set vdom "Internet"
set ip 192.168.254.2 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.1 255.255.255.255
set interface "WAN1"
next
edit "DC-Ph1-2"
set vdom "Internet"
set ip 192.168.254.4 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.3 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "DC-Ph1-1"
set interface "WAN1"
set local-gw 2.2.2.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 1.1.1.1
set psksecret ***
next
edit "DC-Ph1-2"
set interface "WAN2"
set local-gw 4.4.4.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 3.3.3.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "DC-Ph2-1"
set phase1name "DC-Ph1-1"
set proposal aes128-sha1
set dhgrp 2
next
edit "DC2-Ph2-2"
set phase1name "DC-Ph1-2"
set proposal aes128-sha1
set dhgrp 2
next
end
config router static
edit 1
set gateway 2.2.2.2
et device "WAN1"
next
edit 3
set gateway 4.4.4.2
set device "WAN2"
next
end
config router bgp
set as 65003
set router-id 10.200.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.1"
set remote-as 65002
next
edit "192.168.254.3"
set remote-as 65002
next
end
config network
edit 1
set prefix 10.200.0.0 255.255.0.0
next
end
Dajem konfiguraciju u tekstualnom obliku, jer je, po mom mišljenju, praktičnije konfigurirati VPN na ovaj način. Gotovo sve postavke su iste s obje strane, u tekstualnom obliku mogu se napraviti kao copy-paste. Ako istu stvar učinite u web sučelju, lako je pogriješiti - zaboravite negdje kvačicu, unesete krivu vrijednost.
Nakon što smo dodali sučelja u paket
sve rute i sigurnosne politike mogu se odnositi na njega, a ne na sučelja uključena u njega. Najmanje morate dopustiti promet s internih mreža na SD-WAN. Kada stvorite pravila za njih, možete primijeniti zaštitne mjere kao što su IPS, antivirus i HTTPS otkrivanje.
Pravila SD-WAN konfigurirana su za paket. To su pravila koja definiraju algoritam balansiranja za određeni promet. Slični su pravilima usmjeravanja u Usmjeravanju temeljenom na pravilima, samo što kao rezultat prometa koji potpada pod pravilo, nije instaliran sljedeći skok ili uobičajeno odlazno sučelje, već sučelja dodana SD-WAN paketu plus algoritam za balansiranje prometa između ovih sučelja.
Promet se može izdvojiti iz općeg toka po L3-L4 informacijama, po prepoznatim aplikacijama, Internet servisima (URL i IP), kao i po prepoznatim korisnicima radnih stanica i prijenosnih računala. Nakon toga, jedan od sljedećih algoritama balansiranja može se dodijeliti dodijeljenom prometu:
Na popisu Preference sučelja odabrana su ona sučelja od onih koja su već dodana u paket koja će služiti ovoj vrsti prometa. Dodavanjem ne svih sučelja, možete točno ograničiti koje kanale koristite, recimo, e-poštu, ako ne želite time opteretiti skupe kanale s visokim SLA. U FortiOS 6.4.1 postalo je moguće grupirati sučelja dodana SD-WAN paketu u zone, stvarajući, na primjer, jednu zonu za komunikaciju s udaljenim stranicama, a drugu za lokalni pristup Internetu pomoću NAT-a. Da, da, može se uravnotežiti i promet koji ide na obični internet.
O algoritmima balansiranja
Što se tiče načina na koji Fortigate (vatrozid iz Fortineta) može podijeliti promet između kanala, postoje dvije zanimljive opcije koje nisu baš uobičajene na tržištu:
Najniža cijena (SLA) – od svih sučelja koja u ovom trenutku zadovoljavaju SLA odabire se ono s nižom težinom (cijenom), koju je ručno postavio administrator; ovaj način je prikladan za "masovni" promet kao što su sigurnosne kopije i prijenosi datoteka.
Najbolja kvaliteta (SLA) – ovaj algoritam, osim uobičajenog kašnjenja, podrhtavanja i gubitka Fortigate paketa, također može koristiti trenutno opterećenje kanala za procjenu kvalitete kanala; Ovaj način je prikladan za osjetljivi promet kao što su VoIP i video konferencije.
Ovi algoritmi zahtijevaju postavljanje mjerača performansi komunikacijskog kanala - Performance SLA. Ovaj mjerač povremeno (interval provjere) nadzire informacije o usklađenosti sa SLA-om: gubitak paketa, kašnjenje i podrhtavanje u komunikacijskom kanalu, te može "odbiti" one kanale koji trenutno ne zadovoljavaju pragove kvalitete - gube previše paketa ili doživljavaju previše velika latencija. Osim toga, mjerač prati status kanala i može ga privremeno ukloniti iz paketa u slučaju ponovljenog gubitka odgovora (kvarovi prije neaktivnosti). Kada se vrati, nakon nekoliko uzastopnih odgovora (vrati vezu nakon), mjerač će automatski vratiti kanal u paket, a podaci će se ponovno početi prenositi kroz njega.
Ovako izgleda postavka "metra":
U web sučelju, ICMP-Echo-zahtjev, HTTP-GET i DNS zahtjev dostupni su kao testni protokoli. Na naredbenom retku postoji nešto više opcija: dostupne su opcije TCP-echo i UDP-echo, kao i specijalizirani protokol za mjerenje kvalitete - TWAMP.
Rezultati mjerenja mogu se vidjeti i na web sučelju:
I na naredbenom retku:
Rješavanje problema
Ako ste izradili pravilo, ali sve ne radi kako se očekuje, trebali biste pogledati vrijednost Hit Count na popisu SD-WAN pravila. Pokazat će spada li promet uopće u ovo pravilo:
Na stranici postavki samog mjerača možete vidjeti promjenu parametara kanala tijekom vremena. Isprekidana linija označava vrijednost praga parametra
U web sučelju možete vidjeti kako je promet raspoređen prema količini poslanih/primljenih podataka i broju sesija:
Uz sve to, postoji izvrsna prilika za praćenje prolaza paketa s maksimalnim detaljima. Kada radite u stvarnoj mreži, konfiguracija uređaja akumulira mnoge politike usmjeravanja, vatrozid i distribuciju prometa preko SD-WAN priključaka. Sve to međusobno djeluje na složen način, i iako dobavljač daje detaljne blok dijagrame algoritama za obradu paketa, vrlo je važno moći ne graditi i testirati teorije, već vidjeti kamo promet zapravo ide.
Na primjer, sljedeći skup naredbi
diagnose debug flow filter saddr 10.200.64.15
diagnose debug flow filter daddr 10.1.7.2
diagnose debug flow show function-name
diagnose debug enable
diagnose debug trace 2
Omogućuje vam praćenje dvaju paketa s izvornom adresom 10.200.64.15 i odredišnom 10.1.7.2.
Dvaput pingamo 10.7.1.2 s 10.200.64.15 i pogledamo izlaz na konzoli.
Prvi paket:
Drugi paket:
Ovo je prvi paket koji je vatrozid primio:
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0."
VDOM – Internet, Proto=1 (ICMP), DMZ-Office – название L3-интерфейса. Type=8 – Echo.
Za njega je stvorena nova sesija:
msg="allocate a new session-0006a627"
I podudaranje je pronađeno u postavkama pravila usmjeravanja
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"
Ispostavilo se da paket treba poslati u jedan od VPN tunela:
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"
U pravilima vatrozida otkriveno je sljedeće dopuštajuće pravilo:
msg="Allowed by Policy-3:"
Paket je šifriran i poslan u VPN tunel:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
Šifrirani paket šalje se na adresu pristupnika za ovo WAN sučelje:
msg="send to 2.2.2.2 via intf-WAN1"
Za drugi paket sve se događa slično, ali se šalje u drugi VPN tunel i odlazi kroz drugi port vatrozida:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"
Prednosti rješenja
Pouzdana funkcionalnost i korisničko sučelje. Skup značajki koji je bio dostupan u FortiOS-u prije pojave SD-WAN-a u potpunosti je sačuvan. Odnosno, nemamo novorazvijeni softver, već zreo sustav provjerenog dobavljača vatrozida. S tradicionalnim skupom mrežnih funkcija, praktičnim web sučeljem koje je lako naučiti. Koliko prodavača SD-WAN-a ima, recimo, VPN funkciju daljinskog pristupa na krajnjim uređajima?
Razina sigurnosti 80. FortiGate je jedno od najboljih rješenja vatrozida. Na internetu postoji mnogo materijala o postavljanju i administriranju vatrozida, a na tržištu rada ima mnogo sigurnosnih stručnjaka koji su već savladali rješenja proizvođača.
Nulta cijena za SD-WAN funkcionalnost. Izgradnja SD-WAN mreže na FortiGate-u košta isto kao i izgradnja obične WAN mreže na njemu, budući da nisu potrebne dodatne licence za implementaciju SD-WAN funkcionalnosti.
Niska ulazna cijena. Fortigate ima dobru gradaciju uređaja za različite razine performansi. Najmlađi i najjeftiniji modeli sasvim su prikladni za proširenje ureda ili prodajnog mjesta za, recimo, 3-5 zaposlenika. Mnogi dobavljači jednostavno nemaju tako niske performanse i pristupačne modele.
Visoke performanse. Smanjenje funkcionalnosti SD-WAN-a na balansiranje prometa omogućilo je tvrtki da izda specijalizirani SD-WAN ASIC, zahvaljujući kojem rad SD-WAN-a ne smanjuje performanse vatrozida u cjelini.
Mogućnost implementacije cijelog ureda na Fortinet opremi. To su par vatrozida, preklopnici, Wi-Fi pristupne točke. Takvim je uredom lako i praktično upravljati - preklopnici i pristupne točke registrirani su na vatrozidima i njima se upravlja. Na primjer, ovako bi port prekidača mogao izgledati sa sučelja vatrozida koji kontrolira ovaj prekidač:
Nedostatak kontrolera kao jedinstvene točke kvara. Sam dobavljač se fokusira na to, ali to se samo djelomično može nazvati dobrobiti, jer za one dobavljače koji imaju kontrolere, osiguranje njihove tolerancije na greške je jeftino, najčešće po cijeni male količine računalnih resursa u virtualizacijskom okruženju.
Što tražiti
Nema razdvajanja između kontrolne i podatkovne ravnine. To znači da se mreža mora konfigurirati ili ručno ili korištenjem već dostupnih tradicionalnih alata za upravljanje - FortiManager. Za dobavljače koji su implementirali takvo odvajanje, mreža se sama sastavlja. Administrator može samo trebati prilagoditi topologiju, negdje nešto zabraniti, ništa više. No, FortiManagerov adut je što može upravljati ne samo vatrozidima, već i switchevima i Wi-Fi pristupnim točkama, odnosno gotovo cijelom mrežom.
Uvjetno povećanje upravljivosti. Zbog činjenice da se tradicionalni alati koriste za automatizaciju konfiguracije mreže, upravljivost mreže s uvođenjem SD-WAN-a malo se povećava. S druge strane, nove funkcionalnosti brže postaju dostupne, budući da ih prodavač prvo izdaje samo za firewall operativni sustav (što odmah omogućuje korištenje), a tek onda nadopunjuje sustav upravljanja potrebnim sučeljima.
Neke funkcije mogu biti dostupne iz naredbenog retka, ali nisu dostupne iz web sučelja. Ponekad nije tako strašno otići u naredbeni redak da nešto konfigurirate, ali je strašno ne vidjeti na web sučelju da je netko već nešto konfigurirao iz naredbenog retka. Ali to se obično odnosi na najnovije značajke i postupno, s ažuriranjem FortiOS-a, mogućnosti web sučelja se poboljšavaju.
Za odijelo
Za one koji nemaju puno poslovnica. Implementacija SD-WAN rješenja sa složenim središnjim komponentama na mreži od 8-10 poslovnica možda neće skupo koštati - morat ćete potrošiti novac na licence za SD-WAN uređaje i resurse sustava virtualizacije za ugošćavanje središnjih komponenti. Mala tvrtka obično ima ograničene besplatne računalne resurse. U slučaju Fortineta, dovoljno je jednostavno kupiti firewall.
Za one koji imaju puno malih grana. Za mnoge dobavljače, minimalna cijena rješenja po poslovnici prilično je visoka i možda nije zanimljiva sa stajališta poslovanja krajnjeg korisnika. Fortinet nudi male uređaje po vrlo atraktivnim cijenama.
Za one koji još nisu spremni zakoračiti predaleko. Implementacija SD-WAN-a s kontrolerima, vlastitim usmjeravanjem i novim pristupom mrežnom planiranju i upravljanju može biti prevelik korak za neke korisnike. Da, takva implementacija će u konačnici pomoći u optimizaciji korištenja komunikacijskih kanala i rada administratora, ali prvo ćete morati naučiti puno novih stvari. Za one koji još nisu spremni za promjenu paradigme, ali žele iscijediti više iz svojih komunikacijskih kanala, Fortinetovo rješenje je pravo rješenje.
Izvor: www.habr.com