Az SD-WAN-on keresztül hozzánk érkező kérdések számából ítélve a technológia alaposan meghonosodott Oroszországban. A szállítók természetesen nem alszanak, és felajánlják koncepcióikat, és néhány bátor úttörő már megvalósítja azokat hálózataikon.
Szinte az összes szállítóval dolgozunk együtt, és több éven keresztül a laboratóriumunkban sikerült elmélyednem minden nagyobb szoftveres megoldások fejlesztőjének architektúrájában. A Fortinet SD-WAN itt egy kicsit különálló, amely egyszerűen a kommunikációs csatornák közötti forgalom kiegyenlítésének funkcióját építette be a tűzfalszoftverbe. A megoldás meglehetősen demokratikus, ezért általában azok a cégek fontolgatják, amelyek még nem állnak készen a globális változásokra, de szeretnék kommunikációs csatornáikat hatékonyabban használni.
Ebben a cikkben szeretném elmondani, hogyan kell konfigurálni és dolgozni a Fortinet SD-WAN-jával, kiknek megfelelő ez a megoldás, és milyen buktatókkal találkozhat itt.
Az SD-WAN piac legjelentősebb szereplői két típusba sorolhatók:
1. Indító vállalkozások, amelyek a semmiből hoztak létre SD-WAN megoldásokat. Ezek közül a legsikeresebbek hatalmas lendületet kapnak a fejlődéshez, miután nagyvállalatok megvásárolták őket – ez a Cisco/Viptela, VMWare/VeloCloud, Nuage/Nokia története
2. Nagy hálózati gyártók, akik SD-WAN megoldásokat hoztak létre, fejlesztik hagyományos útválasztóik programozhatóságát és kezelhetőségét – ez a Juniper, a Huawei története
Fortinetnek sikerült megtalálnia az utat. A tűzfalszoftver beépített funkcionalitással rendelkezett, amely lehetővé tette interfészeik virtuális csatornákká való kombinálását, és a terhelés kiegyenlítését közöttük bonyolult algoritmusok segítségével a hagyományos útválasztáshoz képest. Ezt a funkciót SD-WAN-nak hívták. Az a Fortinet nevezhető SD-WAN-nak? A piac fokozatosan megérti, hogy a szoftver által definiált a vezérlősík és az adatsík, a dedikált vezérlők és hangszerelők elválasztását jelenti. A Fortinetnek nincs ilyenje. A központosított kezelés nem kötelező, és a hagyományos Fortimanager eszközön keresztül elérhető. De véleményem szerint nem szabad elvont igazságot keresni, és időt vesztegetni a kifejezésekről való vitázásra. A való világban minden megközelítésnek megvannak a maga előnyei és hátrányai. A legjobb kiút az, ha megértjük őket, és képesek vagyunk a feladatoknak megfelelő megoldásokat választani.
Képernyőképekkel a kezemben megpróbálom elmondani, hogy néz ki és mire képes a Fortinet SD-WAN.
Hogyan működik minden
Tegyük fel, hogy két ága van, amelyeket két adatcsatorna köt össze. Ezeket az adatkapcsolatokat egy csoportba egyesítik, hasonlóan ahhoz, ahogy a hagyományos Ethernet interfészek egy LACP-Port-Channel-ba vannak kombinálva. A régi idők emlékezni fognak a PPP Multilinkre – szintén megfelelő analógia. A csatornák lehetnek fizikai portok, VLAN SVI, valamint VPN vagy GRE alagutak.
A VPN-t vagy a GRE-t általában akkor használják, ha helyi hálózatokhoz csatlakoznak az interneten keresztül. És fizikai portok – ha vannak L2 kapcsolatok a helyek között, vagy dedikált MPLS/VPN-en keresztül csatlakozunk, ha elégedettek vagyunk az Overlay és titkosítás nélküli kapcsolattal. Egy másik forgatókönyv, amelyben fizikai portokat használnak egy SD-WAN csoportban, a felhasználók helyi internet-hozzáférésének kiegyensúlyozása.
Standunkon négy tűzfal és két VPN alagút működik két „kommunikációs operátoron” keresztül. A diagram így néz ki:
A VPN-alagutak interfész módban vannak konfigurálva, így hasonlóak a P2P-interfészeken lévő IP-címekkel rendelkező eszközök közötti pont-pont kapcsolatokhoz, amelyek pingelésével biztosítható, hogy egy adott alagúton keresztül működjön a kommunikáció. Ahhoz, hogy a forgalom titkosítva legyen, és az ellenkező oldalra menjen, elegendő az alagútba irányítani. Alternatív megoldásként az alhálózatok listáival választják ki a titkosításhoz szükséges forgalmat, ami nagymértékben megzavarja a rendszergazdát, mivel a konfiguráció bonyolultabbá válik. Nagy hálózatban az ADVPN technológia segítségével VPN-t építhet; ez a Cisco DMVPN-jének vagy a Huawei DVPN-jének analógja, amely megkönnyíti a beállítást.
Site-to-Site VPN konfiguráció két eszközhöz, mindkét oldalon BGP-útválasztással
«ЦОД» (DC)
«Филиал» (BRN)
config system interface
edit "WAN1"
set vdom "Internet"
set ip 1.1.1.1 255.255.255.252
set allowaccess ping
set role wan
set interface "DC-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 3.3.3.1 255.255.255.252
set allowaccess ping
set role lan
set interface "DC-BRD"
set vlanid 112
next
edit "BRN-Ph1-1"
set vdom "Internet"
set ip 192.168.254.1 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.2 255.255.255.255
set interface "WAN1"
next
edit "BRN-Ph1-2"
set vdom "Internet"
set ip 192.168.254.3 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.4 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "BRN-Ph1-1"
set interface "WAN1"
set local-gw 1.1.1.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 2.2.2.1
set psksecret ***
next
edit "BRN-Ph1-2"
set interface "WAN2"
set local-gw 3.3.3.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 4.4.4.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "BRN-Ph2-1"
set phase1name "BRN-Ph1-1"
set proposal aes256-sha256
set dhgrp 2
next
edit "BRN-Ph2-2"
set phase1name "BRN-Ph1-2"
set proposal aes256-sha256
set dhgrp 2
next
end
config router static
edit 1
set gateway 1.1.1.2
set device "WAN1"
next
edit 3
set gateway 3.3.3.2
set device "WAN2"
next
end
config router bgp
set as 65002
set router-id 10.1.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.2"
set remote-as 65003
next
edit "192.168.254.4"
set remote-as 65003
next
end
config network
edit 1
set prefix 10.1.0.0 255.255.0.0
next
end
config system interface
edit "WAN1"
set vdom "Internet"
set ip 2.2.2.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 4.4.4.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 114
next
edit "DC-Ph1-1"
set vdom "Internet"
set ip 192.168.254.2 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.1 255.255.255.255
set interface "WAN1"
next
edit "DC-Ph1-2"
set vdom "Internet"
set ip 192.168.254.4 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.3 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "DC-Ph1-1"
set interface "WAN1"
set local-gw 2.2.2.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 1.1.1.1
set psksecret ***
next
edit "DC-Ph1-2"
set interface "WAN2"
set local-gw 4.4.4.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 3.3.3.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "DC-Ph2-1"
set phase1name "DC-Ph1-1"
set proposal aes128-sha1
set dhgrp 2
next
edit "DC2-Ph2-2"
set phase1name "DC-Ph1-2"
set proposal aes128-sha1
set dhgrp 2
next
end
config router static
edit 1
set gateway 2.2.2.2
et device "WAN1"
next
edit 3
set gateway 4.4.4.2
set device "WAN2"
next
end
config router bgp
set as 65003
set router-id 10.200.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.1"
set remote-as 65002
next
edit "192.168.254.3"
set remote-as 65002
next
end
config network
edit 1
set prefix 10.200.0.0 255.255.0.0
next
end
A konfigurációt szöveges formában adom meg, mert véleményem szerint kényelmesebb így konfigurálni a VPN-t. Szinte minden beállítás megegyezik mindkét oldalon, szöveges formában másolás-beillesztésként is elvégezhető. Ha ugyanezt teszi a webes felületen, könnyen tévedhet – felejtsen el valahol egy pipát, és rossz értéket adjon meg.
Miután hozzáadtuk az interfészeket a köteghez
minden útvonal és biztonsági szabályzat hivatkozhat rá, nem pedig a benne foglalt interfészekre. Legalább engedélyeznie kell a belső hálózatokról az SD-WAN felé irányuló forgalmat. Amikor szabályokat hoz létre számukra, védelmi intézkedéseket alkalmazhat, például IPS-t, víruskeresőt és HTTPS-nyilvántartást.
Az SD-WAN szabályok be vannak állítva a csomaghoz. Ezek olyan szabályok, amelyek meghatározzák az adott forgalom kiegyenlítő algoritmusát. Hasonlítanak a házirend-alapú útválasztási irányelvekhez, csak a házirend alá eső forgalom következtében nem a next-hop vagy a szokásos kimenő interfész kerül telepítésre, hanem az SD-WAN köteg pluszhoz hozzáadott interfészek. egy forgalomkiegyenlítő algoritmus ezen interfészek között.
A forgalmat az L3-L4 információk, felismert alkalmazások, internetes szolgáltatások (URL és IP), valamint a munkaállomások és laptopok elismert felhasználói elválaszthatják az általános áramlástól. Ezt követően az alábbi kiegyenlítő algoritmusok egyike rendelhető hozzá a lefoglalt forgalomhoz:
Az Interfész beállításai listában a csomaghoz már hozzáadott interfészek közül azok a felületek vannak kiválasztva, amelyek az ilyen típusú forgalmat szolgálják ki. Ha nem minden felületet adunk hozzá, akkor pontosan behatárolhatjuk, hogy melyik csatornát használjuk, mondjuk az e-mailt, ha nem szeretnénk a drága csatornákat magas SLA-val terhelni vele. A FortiOS 6.4.1-ben lehetővé vált az SD-WAN köteghez hozzáadott interfészek zónákba csoportosítása, így például egy zóna jött létre a távoli helyekkel való kommunikációhoz, egy másik pedig a helyi interneteléréshez NAT segítségével. Igen, igen, a normál internetre irányuló forgalom is kiegyensúlyozható.
A kiegyensúlyozó algoritmusokról
Ami azt illeti, hogy a Fortigate (a Fortinet tűzfala) hogyan oszthatja meg a forgalmat a csatornák között, két érdekes lehetőség van, amelyek nem túl gyakoriak a piacon:
Legalacsonyabb költség (SLA) – az SLA-nak pillanatnyilag kielégítő összes interfész közül a kisebb súlyú (költséges), a rendszergazda által manuálisan beállítottat választja ki; ez a mód „tömeges” forgalomhoz, például biztonsági mentésekhez és fájlátvitelhez alkalmas.
Legjobb minőség (SLA) – ez az algoritmus a Fortigate-csomagok szokásos késleltetésén, jitterén és veszteségén túl az aktuális csatornaterhelést is felhasználhatja a csatornák minőségének felmérésére; Ez a mód érzékeny forgalomhoz, például VoIP és videokonferenciákhoz alkalmas.
Ezek az algoritmusok megkövetelik a kommunikációs csatorna teljesítménymérőjének – Performance SLA – beállítását. Ez a mérő rendszeres időközönként (ellenőrzési időközönként) figyeli az SLA-nak való megfeleléssel kapcsolatos információkat: csomagvesztés, késleltetés és jitter a kommunikációs csatornában, és „elutasíthatja” azokat a csatornákat, amelyek jelenleg nem érik el a minőségi küszöbértékeket – túl sok csomagot veszítenek, vagy túl sok csomagot veszítenek. sok késleltetés. Ezenkívül a mérő figyeli a csatorna állapotát, és ismételt válaszkimaradás esetén (inaktív meghibásodások) ideiglenesen eltávolíthatja azt a kötegből. Visszaállításkor több egymást követő válasz után (kapcsolat visszaállítása után) a mérő automatikusan visszaadja a csatornát a kötegbe, és újra megkezdődik az adatok továbbítása rajta.
Így néz ki a „mérő” beállítás:
A webes felületen tesztprotokollként elérhető az ICMP-Echo-request, a HTTP-GET és a DNS kérés. Kicsit több lehetőség van a parancssorban: TCP-echo és UDP-echo opciók állnak rendelkezésre, valamint egy speciális minőségmérési protokoll - TWAMP.
A mérési eredmények a webes felületen is megtekinthetők:
És a parancssorban:
Hibaelhárítás
Ha létrehozott egy szabályt, de minden nem a várt módon működik, nézze meg a Találatszám értéket az SD-WAN szabályok listájában. Megmutatja, hogy a forgalom egyáltalán beletartozik-e ebbe a szabályba:
Magán a mérőműszer beállítási oldalán láthatja a csatornaparaméterek időbeli változását. A szaggatott vonal a paraméter küszöbértékét jelzi
A webes felületen láthatja, hogy a forgalom hogyan oszlik meg a továbbított/fogadott adatok mennyisége és a munkamenetek száma szerint:
Mindezek mellett kiváló lehetőség nyílik a csomagok haladásának maximális részletességgel történő nyomon követésére. Valódi hálózatban végzett munka során az eszközkonfiguráció számos útválasztási szabályzatot, tűzfalat és forgalomelosztást halmoz fel az SD-WAN portokon keresztül. Mindez komplex módon kölcsönhatásba lép egymással, és bár a szállító részletes blokkdiagramokat ad a csomagfeldolgozó algoritmusokról, nagyon fontos, hogy ne elméleteket tudjunk építeni és tesztelni, hanem megnézni, hogy a forgalom valójában hová is megy.
Például a következő parancskészlet
diagnose debug flow filter saddr 10.200.64.15
diagnose debug flow filter daddr 10.1.7.2
diagnose debug flow show function-name
diagnose debug enable
diagnose debug trace 2
Lehetővé teszi két 10.200.64.15 forráscímű és 10.1.7.2 célcímű csomag nyomon követését.
Kétszer pingáljuk a 10.7.1.2-t 10.200.64.15-től, és megnézzük a kimenetet a konzolon.
Első csomag:
Második csomag:
Íme az első csomag, amelyet a tűzfal kapott:
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0."
VDOM – Internet, Proto=1 (ICMP), DMZ-Office – название L3-интерфейса. Type=8 – Echo.
Új munkamenetet hoztak létre számára:
msg="allocate a new session-0006a627"
És találtunk egyezést az útválasztási szabályzat beállításaiban
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"
Kiderült, hogy a csomagot el kell küldeni az egyik VPN-alagutakba:
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"
A következő engedélyezési szabályt észleli a tűzfalszabályzat:
msg="Allowed by Policy-3:"
A csomagot titkosítják és elküldik a VPN alagútba:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
A titkosított csomag a WAN interfész átjárócímére kerül elküldésre:
msg="send to 2.2.2.2 via intf-WAN1"
A második csomagnál minden hasonlóan történik, de egy másik VPN-alagútba kerül, és egy másik tűzfalporton keresztül távozik:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"
A megoldás előnyei
Megbízható funkcionalitás és felhasználóbarát felület. A FortiOS-ben az SD-WAN megjelenése előtt elérhető szolgáltatáskészlet teljes mértékben megmaradt. Vagyis nem új fejlesztésű szoftverünk van, hanem egy bevált tűzfalgyártó kiforrott rendszere. Hagyományos hálózati funkciókészlettel, kényelmes és könnyen megtanulható webes felülettel. Hány SD-WAN szállító rendelkezik mondjuk távoli hozzáférésű VPN funkcióval a végeszközökön?
80-as biztonsági szint. A FortiGate az egyik legnépszerűbb tűzfalmegoldás. Az interneten rengeteg anyag található a tűzfalak beállításáról és adminisztrálásáról, a munkaerőpiacon pedig sok olyan biztonsági szakember van, aki már elsajátította az eladó megoldásait.
Nulla ár az SD-WAN funkcióért. Az SD-WAN hálózat kiépítése a FortiGate-en ugyanannyiba kerül, mint egy normál WAN hálózat kiépítése rajta, mivel nincs szükség további licencekre az SD-WAN funkciók megvalósításához.
Alacsony belépési korlát ár. A Fortigate jó fokozatú eszközöket kínál a különböző teljesítményszintekhez. A legfiatalabb és legolcsóbb modellek meglehetősen alkalmasak egy iroda vagy értékesítési pont bővítésére, mondjuk 3-5 alkalmazottal. Sok gyártó egyszerűen nem rendelkezik ilyen alacsony teljesítményű és megfizethető modellekkel.
Nagy teljesítményű. Az SD-WAN funkcionalitás forgalomkiegyenlítésre való redukálása lehetővé tette a vállalat számára, hogy kiadjon egy speciális SD-WAN ASIC-et, aminek köszönhetően az SD-WAN működés nem csökkenti a tűzfal egészének teljesítményét.
Lehetőség egy egész iroda megvalósítására Fortinet berendezéseken. Ez egy pár tűzfal, kapcsoló, Wi-Fi hozzáférési pont. Egy ilyen iroda könnyen és kényelmesen kezelhető - a kapcsolókat és hozzáférési pontokat a tűzfalakon regisztrálják, és onnan kezelik. Például így nézhet ki egy kapcsolóport a tűzfal interfészéről, amely ezt a kapcsolót vezérli:
A vezérlők hiánya, mint egyetlen hibapont. Maga a szállító is erre fókuszál, de ez csak részben nevezhető előnynek, ugyanis azoknak a szállítóknak, akik rendelkeznek kontrollerrel, a hibatűrés biztosítása nem költséges, legtöbbször kevés számítási erőforrás árán virtualizációs környezetben.
Mit keres
Nincs elválasztás a vezérlősík és az adatsík között. Ez azt jelenti, hogy a hálózatot vagy manuálisan, vagy a már rendelkezésre álló hagyományos felügyeleti eszközökkel – a FortiManagerrel – kell konfigurálni. Az ilyen szétválasztást megvalósító szállítók esetében a hálózatot maga állítja össze. Lehet, hogy az adminisztrátornak csak a topológiáját kell módosítania, valahol tiltani valamit, semmi többet. A FortiManager ütőkártyája azonban az, hogy nem csak a tűzfalakat, hanem a switcheket és a Wi-Fi hozzáférési pontokat is képes kezelni, vagyis szinte a teljes hálózatot.
Az irányíthatóság feltételes növelése. Tekintettel arra, hogy hagyományos eszközöket használnak a hálózati konfigurálás automatizálására, az SD-WAN bevezetésével a hálózat kezelhetősége kissé megnő. Másrészt az új funkcionalitás gyorsabban elérhetővé válik, hiszen a gyártó először csak a tűzfal operációs rendszerhez adja ki (ami azonnal lehetővé teszi a használatát), és csak ezt követően egészíti ki a felügyeleti rendszert a szükséges interfészekkel.
Néhány funkció elérhető lehet a parancssorból, de nem érhető el a webes felületről. Néha nem olyan ijesztő bemenni a parancssorba, hogy beállítsunk valamit, de félelmetes, ha nem látjuk a webes felületen, hogy valaki már beállított valamit a parancssorból. De ez általában a legújabb szolgáltatásokra vonatkozik, és fokozatosan, a FortiOS frissítéseivel javulnak a webes felület képességei.
Hogy megfeleljen
Azoknak, akiknek nincs sok fiókjuk. A komplex központi komponenseket tartalmazó SD-WAN megoldás 8-10 fiókból álló hálózaton való megvalósítása nem feltétlenül kerül pénzbe – pénzt kell költenie az SD-WAN eszközök licenceire és a virtualizációs rendszer erőforrásaira a központi komponensek tárolására. Egy kis cég általában korlátozott ingyenes számítási erőforrásokkal rendelkezik. A Fortinet esetében elég egyszerűen tűzfalakat vásárolni.
Azoknak, akiknek sok kis ága van. Sok szállítónál a minimális megoldási ár fiókonként meglehetősen magas, és nem feltétlenül érdekes a végfelhasználó üzlete szempontjából. A Fortinet kisméretű készülékeket kínál nagyon vonzó áron.
Azoknak, akik még nem állnak túl messzire. Az SD-WAN vezérlőkkel, saját útválasztással, valamint a hálózattervezés és -felügyelet új megközelítésével történő megvalósítása túl nagy lépés lehet egyes ügyfelek számára. Igen, egy ilyen megvalósítás végső soron segít optimalizálni a kommunikációs csatornák használatát és az adminisztrátorok munkáját, de először sok új dolgot kell megtanulnia. Azok számára, akik még nem állnak készen a paradigmaváltásra, de többet szeretnének kipréselni kommunikációs csatornáikból, a Fortinet megoldása megfelelő.
Forrás: will.com