Jije pa kantite kesyon ki te kòmanse rive nou atravè SD-WAN, teknoloji a te kòmanse byen pran rasin nan Larisi. Machann yo, natirèlman, yo pa dòmi epi yo ofri konsèp yo, ak kèk pyonye brav deja aplike yo sou rezo yo.
Nou travay ak prèske tout machann yo, epi pandan plizyè ane nan laboratwa nou an mwen te jere fouye nan achitekti chak gwo pwomotè solisyon lojisyèl defini. SD-WAN soti nan Fortinet kanpe yon ti kras apa isit la, ki tou senpleman bati fonksyonalite a nan balanse trafik ant chanèl kominikasyon nan lojisyèl an firewall. Solisyon an se pito demokratik, kidonk li se anjeneral konsidere pa konpayi ki poko pare pou chanjman mondyal, men vle sèvi ak chanèl kominikasyon yo pi efikas.
Nan atik sa a mwen vle di ou ki jan yo konfigirasyon ak travay ak SD-WAN soti nan Fortinet, ki moun ki solisyon sa a se apwopriye pou ak ki enkonvenyans ou ta ka rankontre isit la.
Jwè ki pi enpòtan nan mache SD-WAN yo ka klase nan youn nan de kalite:
1. Startups ki te kreye solisyon SD-WAN nan grafouyen. Gen plis siksè nan sa yo resevwa yon gwo UN pou devlopman apre yo te achte pa gwo konpayi yo - sa a se istwa a nan Cisco / Viptela, VMWare / VeloCloud, Nuage / Nokia.
2. Gwo machann rezo ki te kreye solisyon SD-WAN, devlope pwogramasyon ak jere nan routeurs tradisyonèl yo - sa a se istwa Juniper, Huawei.
Fortinet te rive jwenn wout li. Lojisyèl pare-feu a te gen fonksyon entegre ki te fè li posib pou konbine interfaces yo nan chanèl vityèl epi balanse chaj la ant yo lè l sèvi avèk algoritm konplèks konpare ak routage konvansyonèl yo. Fonksyonalite sa a te rele SD-WAN. Ăske sa Fortinet ka rele SD-WAN? Mache a piti piti konprann ke Software-Defined vle di separasyon Avyon Kontwòl ak Avyon Done, kontwolè devwe, ak orchestrators. Fortinet pa gen anyen konsa. Jesyon santralize se opsyonèl epi yo ofri atravè zouti tradisyonèl Fortimanager la. Men, nan opinyon mwen, ou pa ta dwe chèche pou verite abstrè ak gaspiye tan diskite sou tèm. Nan mond reyèl la, chak apwòch gen avantaj ak dezavantaj li yo. Pi bon fason pou soti se konprann yo epi yo dwe kapab chwazi solisyon ki koresponn ak travay yo.
Mwen pral eseye di w ak Ekran nan men kisa SD-WAN soti nan Fortinet sanble ak sa li ka fè.
Ki jan li tout travay
Ann sipoze ou gen de branch ki konekte pa de chanèl done. Lyen done sa yo konbine nan yon gwoup, menm jan ak ki jan koòdone Ethernet regilye yo konbine nan yon LACP-Port-Channel. Old-times pral sonje PPP Multilink - tou yon analoji apwopriye. Chanèl yo ka pò fizik, VLAN SVI, osi byen ke VPN oswa tinèl GRE.
Yo itilize VPN oswa GRE anjeneral lè w konekte rezo lokal branch yo sou Entènèt. Ak pò fizik - si gen koneksyon L2 ant sit, oswa lè konekte sou yon MPLS / VPN dedye, si nou satisfè ak koneksyon an san yo pa kouvri ak chifreman. Yon lòt senaryo kote pò fizik yo itilize nan yon gwoup SD-WAN se balanse aksè lokal itilizatè yo sou entènèt la.
Nan kanpe nou an gen kat firewall ak de tinèl VPN opere atravè de "operatè kominikasyon". Dyagram nan sanble sa a:
Tinèl VPN yo configurÊ nan mòd koòdone pou yo sanble ak koneksyon pwen-a-pwen ant aparèy ak adrès IP sou koòdone P2P, ki ka ping pou asire ke kominikasyon atravè yon tinèl patikilye ap travay. Nan lòd pou trafik la dwe chiffres epi ale nan bò opoze a, li se ase yo wout li nan tinèl la. Altènatif la se chwazi trafik pou chifreman lè l sèvi avèk lis subnets, ki anpil konfonn administratè a kòm konfigirasyon an vin pi konplèks. Nan yon gwo rezo, ou ka itilize teknoloji ADVPN pou konstwi yon VPN; sa a se yon analogue DMVPN nan Cisco oswa DVPN nan Huawei, ki pèmèt yon konfigirasyon pi fasil.
Konfigirasyon VPN Sit-a-Site pou de aparèy ak routage BGP sou tou de bò
ÂŤĐŚĐĐÂť (DC)
ФиНиаН (BRN)
config system interface
âedit "WAN1"
ââset vdom "Internet"
ââset ip 1.1.1.1 255.255.255.252
ââset allowaccess ping
ââset role wan
ââset interface "DC-BRD"
ââset vlanid 111
ânext
âedit "WAN2"
ââset vdom "Internet"
ââset ip 3.3.3.1 255.255.255.252
ââset allowaccess ping
ââset role lan
ââset interface "DC-BRD"
ââset vlanid 112
ânext
âedit "BRN-Ph1-1"
ââset vdom "Internet"
ââset ip 192.168.254.1 255.255.255.255
ââset allowaccess ping
ââset type tunnel
ââset remote-ip 192.168.254.2 255.255.255.255
ââset interface "WAN1"
ânext
âedit "BRN-Ph1-2"
ââset vdom "Internet"
ââset ip 192.168.254.3 255.255.255.255
ââset allowaccess ping
ââset type tunnel
ââset remote-ip 192.168.254.4 255.255.255.255
ââset interface "WAN2"
ânext
end
config vpn ipsec phase1-interface
âedit "BRN-Ph1-1"
ââset interface "WAN1"
ââset local-gw 1.1.1.1
ââset peertype any
ââset net-device disable
ââset proposal aes128-sha1
ââset dhgrp 2
ââset remote-gw 2.2.2.1
ââset psksecret ***
ânext
âedit "BRN-Ph1-2"
ââset interface "WAN2"
ââset local-gw 3.3.3.1
ââset peertype any
ââset net-device disable
ââset proposal aes128-sha1
ââset dhgrp 2
ââset remote-gw 4.4.4.1
ââset psksecret ***
ânext
end
config vpn ipsec phase2-interface
âedit "BRN-Ph2-1"
ââset phase1name "BRN-Ph1-1"
ââset proposal aes256-sha256
ââset dhgrp 2
ânext
âedit "BRN-Ph2-2"
ââset phase1name "BRN-Ph1-2"
ââset proposal aes256-sha256
ââset dhgrp 2
ânext
end
config router static
âedit 1
ââset gateway 1.1.1.2
ââset device "WAN1"
ânext
âedit 3
ââset gateway 3.3.3.2
ââset device "WAN2"
ânext
end
config router bgp
âset as 65002
âset router-id 10.1.7.1
âset ebgp-multipath enable
âconfig neighbor
ââedit "192.168.254.2"
âââset remote-as 65003
âânext
ââedit "192.168.254.4"
âââset remote-as 65003
âânext
âend
âconfig network
ââedit 1
âââset prefix 10.1.0.0 255.255.0.0
âânext
end
config system interface
âedit "WAN1"
ââset vdom "Internet"
ââset ip 2.2.2.1 255.255.255.252
ââset allowaccess ping
ââset role wan
ââset interface "BRN-BRD"
ââset vlanid 111
ânext
âedit "WAN2"
ââset vdom "Internet"
ââset ip 4.4.4.1 255.255.255.252
ââset allowaccess ping
ââset role wan
ââset interface "BRN-BRD"
ââset vlanid 114
ânext
âedit "DC-Ph1-1"
ââset vdom "Internet"
ââset ip 192.168.254.2 255.255.255.255
ââset allowaccess ping
ââset type tunnel
ââset remote-ip 192.168.254.1 255.255.255.255
ââset interface "WAN1"
ânext
âedit "DC-Ph1-2"
ââset vdom "Internet"
ââset ip 192.168.254.4 255.255.255.255
ââset allowaccess ping
ââset type tunnel
ââset remote-ip 192.168.254.3 255.255.255.255
ââset interface "WAN2"
ânext
end
config vpn ipsec phase1-interface
â edit "DC-Ph1-1"
ââ set interface "WAN1"
ââ set local-gw 2.2.2.1
ââ set peertype any
ââ set net-device disable
ââ set proposal aes128-sha1
ââ set dhgrp 2
ââ set remote-gw 1.1.1.1
ââ set psksecret ***
â next
â edit "DC-Ph1-2"
ââ set interface "WAN2"
ââ set local-gw 4.4.4.1
ââ set peertype any
ââ set net-device disable
ââ set proposal aes128-sha1
ââ set dhgrp 2
ââ set remote-gw 3.3.3.1
ââ set psksecret ***
â next
end
config vpn ipsec phase2-interface
â edit "DC-Ph2-1"
ââ set phase1name "DC-Ph1-1"
ââ set proposal aes128-sha1
ââ set dhgrp 2
â next
â edit "DC2-Ph2-2"
ââ set phase1name "DC-Ph1-2"
ââ set proposal aes128-sha1
ââ set dhgrp 2
â next
end
config router static
âedit 1
ââset gateway 2.2.2.2
ââet device "WAN1"
ânext
âedit 3
ââset gateway 4.4.4.2
ââset device "WAN2"
ânext
end
config router bgp
â set as 65003
â set router-id 10.200.7.1
â set ebgp-multipath enable
â config neighbor
ââ edit "192.168.254.1"
âââ set remote-as 65002
ââ next
ââedit "192.168.254.3"
âââset remote-as 65002
ââ next
â end
â config network
ââ edit 1
âââ set prefix 10.200.0.0 255.255.0.0
â ânext
end
Mwen bay konfigirasyon an sou fòm tèks, paske, nan opinyon mwen, li pi bon pou konfigirasyon VPN nan fason sa a. Prèske tout paramèt yo se menm sou tou de bò yo; sou fòm tèks yo ka fè kòm yon kopi-kole. Si ou fè menm bagay la nan koòdone entènèt la, li fasil pou fè yon erè - bliye yon mak yon kote, antre nan move valè.
Apre nou te ajoute interfaces yo nan pake a
tout wout ak règleman sekirite yo ka refere a li, epi yo pa nan interfaces ki enkli ladan li. Nan yon minimòm, ou bezwen pèmèt trafik soti nan rezo entèn SD-WAN. Lè ou kreye règ pou yo, ou ka aplike mezi pwoteksyon tankou IPS, antivirus ak divilgasyon HTTPS.
Règ SD-WAN yo configurÊ pou pake a. Sa yo se règ ki defini algorithm balanse pou trafik espesifik. Yo sanble ak règleman routage nan Policy-Based Routing, sèlman kòm yon rezilta nan trafik tonbe anba politik la, se pa pwochen-hop la oswa koòdone sortan abityèl ki enstale, men interfaces yo ajoute nan pake a SD-WAN plis. yon algorithm balanse trafik ant interfaces sa yo.
Trafik ka separe ak koule jeneral la pa enfòmasyon L3-L4, pa aplikasyon rekonèt, sèvis entènèt (URL ak IP), osi byen ke pa itilizatè rekonèt nan estasyon travay ak laptops. Apre sa, youn nan algorithm balanse sa yo ka asiyen nan trafik la atribye ba:
Nan lis Preferans Entèfas, yo chwazi entèfas sa yo ki deja ajoute nan pake a ki pral sèvi kalite trafik sa a. Lè w ajoute pa tout koòdone, ou ka limite egzakteman ki chanèl ou itilize, di, imèl, si ou pa vle chaje chanèl chè ak yon SLA segondè avèk li. Nan FortiOS 6.4.1, li te vin posib pou gwoupe koòdone yo ajoute nan pake SD-WAN an zòn, kreye, pou egzanp, yon zòn pou kominikasyon ak sit aleka, ak yon lòt pou aksè lokal Entènèt lè l sèvi avèk NAT. Wi, wi, trafik ki ale nan Entènèt regilye a kapab ekilibre tou.
Konsènan algoritm balanse
Konsènan ki jan Fortigate (yon firewall soti nan Fortinet) ka divize trafik ant chanèl, gen de opsyon enteresan ki pa trè komen sou mache a:
Pi ba pri (SLA) â soti nan tout koòdone ki satisfè SLA a nan moman sa a, se youn nan ki gen pwa ki pi ba a (pri), manyèlman mete pa administratè a, se chwazi; mòd sa a apwopriye pou trafik "en" tankou sovgad ak transfè dosye.
Pi bon kalite (SLA) â algorithm sa a, anplis delè abityèl, jitter ak pèt pake Fortigate, kapab tou itilize chaj chanèl aktyèl la pou evalye kalite chanèl yo; Mòd sa a apwopriye pou trafik sansib tankou VoIP ak konferans videyo.
Algoritm sa yo mande pou mete kanpe yon mèt pèfòmans chanèl kominikasyon - Performance SLA. Mèt sa a detanzantan (tcheke entèval) kontwole enfòmasyon sou konfòmite ak SLA: pèt pake, latansi ak jitter nan kanal kominikasyon an, epi li ka "rejte" chanèl sa yo ki kounye a pa satisfè papòt kalite yo - yo pèdi twòp pake oswa fè eksperyans tou. anpil latansi. Anplis de sa, mèt la kontwole estati kanal la, epi li ka tanporèman retire li nan pake a nan ka repete pèt repons (echèk anvan inaktif). Lè retabli, apre plizyè repons youn apre lòt (renmèt lyen apre), mèt la pral otomatikman retounen kanal la nan pake a, ak done yo pral kòmanse transmèt atravè li ankò.
Men ki jan paramèt "mèt" la sanble:
Nan koòdone entènèt la, ICMP-Echo-demann, HTTP-GET ak demann DNS yo disponib kòm pwotokòl tès yo. Gen yon ti kras plis opsyon sou liy lòd la: TCP-echo ak UDP-eko opsyon ki disponib, osi byen ke yon pwotokòl espesyalize mezi bon jan kalite - TWAMP.
Rezilta mezi yo ka wè tou nan koòdone entènèt la:
Ak sou liy lòd la:
Depanaj
Si ou te kreye yon règ, men tout bagay pa mache jan yo espere, ou ta dwe gade valè Hit Count nan lis Règ SD-WAN la. Li pral montre si trafik la tonbe nan règ sa a nan tout:
Sou paj paramèt kontè a li menm, ou ka wè chanjman nan paramèt chanèl la sou tan. Liy pwentiye a endike valè papòt paramèt la
Nan koòdone entènèt la ou ka wè ki jan trafik distribye pa kantite done transmèt/resevwa ak kantite sesyon yo:
Anplis de sa nan tout sa a, gen yon opòtinite ekselan yo swiv pasaj la nan pake ak detay maksimòm. Lè w ap travay nan yon rezo reyèl, konfigirasyon aparèy la akimile anpil politik routage, firewall, ak distribisyon trafik atravè pò SD-WAN. Tout bagay sa yo reyaji youn ak lòt nan yon fason konplèks, e byenke vandè a bay dyagram blòk detaye nan algoritm pwosesis pake, li trè enpòtan pou kapab pa bati ak teste teyori, men yo wè ki kote trafik la aktyèlman ale.
Pou egzanp, seri sa a nan kòmandman
diagnose debug flow filter saddr 10.200.64.15
diagnose debug flow filter daddr 10.1.7.2
diagnose debug flow show function-name
diagnose debug enable
diagnose debug trace 2
Pèmèt ou swiv de pake ak yon adrès sous 10.200.64.15 ak yon adrès destinasyon 10.1.7.2.
Nou ping 10.7.1.2 soti nan 10.200.64.15 de fwa epi gade pwodiksyon an sou konsole a.
Premye pake:
Dezyèm pake:
Men premye pake firewall la resevwa:
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0."
VDOM â Internet, Proto=1 (ICMP), DMZ-Office â наСванио L3-инŃĐľŃŃоКŃĐ°. Type=8 â Echo.
Yon nouvo sesyon te kreye pou li:
msg="allocate a new session-0006a627"
Epi yo te jwenn yon matche ak nan anviwònman politik routage yo
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"
Li sanble ke yo dwe voye pake a nan youn nan tinèl VPN yo:
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"
Règ ki pèmèt sa yo detekte nan règleman firewall:
msg="Allowed by Policy-3:"
Pake a chiffres epi voye nan tinèl VPN a:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
Yo voye pake chifre a nan adrès pòtay la pou koòdone WAN sa a:
msg="send to 2.2.2.2 via intf-WAN1"
Pou dezyèm pake a, tout bagay rive menm jan an, men li voye nan yon lòt tinèl VPN epi li ale nan yon pò pare-feu diferan:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"
Avantaj nan solisyon an
Fonksyonalite serye ak koòdone itilizatè-zanmitay. Seri karakteristik ki te disponib nan FortiOS anvan avènement SD-WAN te konplètman konsève. Sa vle di, nou pa gen lojisyèl ki fèk devlope, men yon sistèm ki gen matirite ki soti nan yon machann firewall pwouve. Avèk yon seri tradisyonèl fonksyon rezo, yon koòdone entènèt pratik ak fasil pou aprann. Konbyen vandè SD-WAN ki genyen, di, fonksyonalite Remote-Access VPN sou aparèy fen?
Nivo sekirite 80. FortiGate se youn nan pi gwo solisyon pare-feu. Gen anpil materyèl sou Entènèt la sou mete ak administre firewall, ak sou mache travay la gen anpil espesyalis sekirite ki deja metrize solisyon vandè a.
Pri zewo pou fonksyonalite SD-WAN. Bati yon rezo SD-WAN sou FortiGate koute menm jan ak bati yon rezo WAN regilye sou li, paske pa gen okenn lisans adisyonèl ki nesesè pou aplike fonksyonalite SD-WAN.
Pri ba baryè antre. Fortigate gen yon bon gradyasyon nan aparèy pou diferan nivo pèfòmans. Modèl yo pi piti ak pi chè yo byen apwopriye pou elaji yon biwo oswa pwen nan vant pa, di, 3-5 anplwaye yo. Anpil machann tou senpleman pa gen modèl sa yo ki ba-pèfòmans ak abòdab.
Gwo pèfòmans. Diminye fonksyonalite SD-WAN nan balanse trafik pèmèt konpayi an lage yon SD-WAN ASIC espesyalize, gras a ki operasyon SD-WAN pa diminye pèfòmans firewall la kòm yon antye.
Kapasite pou aplike tout yon biwo sou ekipman Fortinet. Sa yo se yon pè firewall, switch, pwen aksè Wi-Fi. Yon biwo konsa fasil pou jere - switch ak pwen aksè yo anrejistre sou firewall ak jere nan men yo. Pou egzanp, men sa yon pò switch ta ka sanble nan koòdone nan firewall ki kontwole switch sa a:
Mank kontwolè kòm yon sèl pwen nan echèk. Vandè a li menm konsantre sou sa a, men sa a ka sèlman rele yon benefis an pati, paske pou sa yo fournisseurs ki gen contrôleur, asire tolerans fòt yo pa chè, pi souvan nan pri a nan yon ti kantite resous informatique nan yon anviwònman Virtualization.
Ki sa ki gade
Pa gen separasyon ant Avyon Kontwòl ak Avyon Done. Sa vle di ke rezo a dwe configurÊ swa manyèlman oswa lè l sèvi avèk zouti jesyon tradisyonèl ki deja disponib - FortiManager. Pou machann ki te aplike yon separasyon konsa, rezo a reyini tèt li. Administratè a ka sèlman bezwen ajiste topoloji li yo, entèdi yon bagay yon kote, pa gen anyen plis. Sepandan, kat Trump FortiManager a se ke li ka jere pa sèlman firewall, men tou switch ak pwen aksè Wi-Fi, se sa ki, prèske tout rezo a.
Ogmantasyon kondisyonèl nan kontwòlabilite. Akòz lefèt ke zouti tradisyonèl yo itilize pou otomatize konfigirasyon rezo a, jere rezo a ak entwodiksyon SD-WAN ogmante yon ti kras. Nan lòt men an, nouvo fonksyonalite vin disponib pi vit, depi vandè a premye degaje li sèlman pou sistèm opere firewall la (ki imedyatman fè li posib yo sèvi ak li), epi sèlman Lè sa a, konplete sistèm jesyon an ak interfaces ki nesesè yo.
Gen kèk fonksyonalite ki ka disponib nan liy lòd la, men li pa disponib nan koòdone entènèt la. Pafwa li pa tèlman pè pou ale nan liy lòd la pou konfigirasyon yon bagay, men li pè pa wè nan koòdone entènèt la ke yon moun te deja configurÊ yon bagay soti nan liy lan lòd. Men, sa a anjeneral aplike nan karakteristik yo dernye ak piti piti, ak mizajou FortiOS, kapasite yo nan koòdone entènèt la amelyore.
Ki moun ki pral kostim
Pou moun ki pa gen anpil branch. Aplike yon solisyon SD-WAN ak konpozan santral konplèks sou yon rezo 8-10 branch ka pa koute chandèl la - w ap oblije depanse lajan sou lisans pou aparèy SD-WAN ak resous sistèm Virtualization pou òganize eleman santral yo. Yon ti konpayi anjeneral gen limite resous informatique gratis. Nan ka Fortinet, li se ase tou senpleman achte firewall.
Pou moun ki gen anpil ti branch. Pou anpil machann, pri solisyon minimòm pou chak branch se byen wo epi li ka pa enteresan nan pwen de vi biznis kliyan final la. Fortinet ofri ti aparèy nan pri trè atire.
Pou moun ki poko pare pou ale twò lwen. Aplike SD-WAN ak contrôleur, routage propriÊtaires, ak yon nouvo apwòch nan planifikasyon ak jesyon rezo a ka twò gwo yon etap pou kèk kliyan. Wi, yon aplikasyon konsa pral finalman ede optimize itilizasyon chanèl kominikasyon yo ak travay administratè yo, men anvan w ap gen aprann anpil bagay nouvo. Pou moun ki poko pare pou yon chanjman paradigm, men ki vle peze plis soti nan chanèl kominikasyon yo, solisyon an soti nan Fortinet se jis.
Sous: www.habr.com