Miðað við fjölda spurninga sem fóru að berast til okkar í gegnum SD-WAN er tæknin farin að skjóta rækilega rótum í Rússlandi. Seljendur eru náttúrulega ekki sofandi og bjóða upp á hugmyndir sínar og sumir hugrakkir brautryðjendur eru nú þegar að innleiða þau á netum sínum.
Við vinnum með næstum öllum söluaðilum og í nokkur ár á rannsóknarstofu okkar tókst mér að kafa ofan í arkitektúr allra helstu þróunaraðila hugbúnaðarskilgreindra lausna. SD-WAN frá Fortinet stendur aðeins í sundur hér, sem einfaldlega byggði upp virkni þess að koma jafnvægi á umferð milli samskiptarása inn í eldvegghugbúnaðinn. Lausnin er frekar lýðræðisleg og því er hún yfirleitt tekin til greina af fyrirtækjum sem eru ekki enn tilbúin í alþjóðlegar breytingar en vilja nýta samskiptaleiðir sínar á skilvirkari hátt.
Í þessari grein vil ég segja þér hvernig á að stilla og vinna með SD-WAN frá Fortinet, hverjum þessi lausn hentar og hvaða gildrur þú gætir lent í hér.
Mest áberandi leikmenn á SD-WAN markaði má flokka í eina af tveimur gerðum:
1. Sprotafyrirtæki sem hafa búið til SD-WAN lausnir frá grunni. Þau farsælustu af þessum fá gríðarlega hvatningu til þróunar eftir að hafa verið keypt af stórum fyrirtækjum - þetta er saga Cisco/Viptela, VMWare/VeloCloud, Nuage/Nokia
2. Stórir netframleiðendur sem hafa búið til SD-WAN lausnir, þróað forritanleika og meðhöndlun hefðbundinna beina - þetta er saga Juniper, Huawei
Fortinet tókst að rata. Eldveggshugbúnaðurinn var með innbyggða virkni sem gerði það mögulegt að sameina viðmót þeirra í sýndarrásir og jafna álagið á milli þeirra með flóknum reikniritum miðað við hefðbundna leið. Þessi virkni var kölluð SD-WAN. Getur það sem Fortinet var kallað SD-WAN? Markaðurinn er smám saman að skilja að hugbúnaðarskilgreint þýðir aðskilnað stjórnunarplansins frá gagnaplaninu, sérstakra stjórnenda og hljómsveitarstjóra. Fortinet hefur ekkert slíkt. Miðstýrð stjórnun er valfrjáls og boðin í gegnum hefðbundna Fortimanager tólið. En að mínu mati ættirðu ekki að leita að óhlutbundnum sannleika og eyða tíma í að rífast um hugtök. Í hinum raunverulega heimi hefur hver aðferð sína kosti og galla. Besta leiðin út er að skilja þau og geta valið lausnir sem samsvara verkefnum.
Ég mun reyna að segja þér með skjáskotum í höndunum hvernig SD-WAN frá Fortinet lítur út og hvað það getur gert.
Hvernig allt virkar
Gerum ráð fyrir að þú sért með tvær greinar tengdar með tveimur gagnarásum. Þessir gagnatenglar eru sameinaðir í hóp, svipað og venjuleg Ethernet tengi eru sameinuð í LACP-Port-Channel. Gamlir menn muna eftir PPP Multilink - líka viðeigandi hliðstæða. Rásir geta verið líkamleg höfn, VLAN SVI, sem og VPN eða GRE göng.
VPN eða GRE eru venjulega notuð þegar staðarnet útibúa eru tengd í gegnum internetið. Og líkamleg tengi - ef það eru L2 tengingar á milli vefsvæða, eða þegar tengst er yfir sérstakt MPLS/VPN, ef við erum ánægð með tenginguna án yfirlags og dulkóðunar. Önnur atburðarás þar sem líkamleg höfn eru notuð í SD-WAN hópi er að koma jafnvægi á staðbundinn aðgang notenda að internetinu.
Á básnum okkar eru fjórir eldveggir og tvö VPN göng sem starfa í gegnum tvo „samskiptafyrirtæki“. Skýringarmyndin lítur svona út:
VPN göng eru stillt í viðmótsstillingu þannig að þau eru svipuð punkt-til-punkt tengingum milli tækja með IP tölur á P2P tengi, sem hægt er að pinga til að tryggja að samskipti í gegnum tiltekin göng virki. Til þess að umferðin sé dulkóðuð og fari á hina hliðina er nóg að leiða hana inn í göngin. Valkosturinn er að velja umferð fyrir dulkóðun með því að nota lista yfir undirnet, sem ruglar stjórnandann verulega eftir því sem uppsetningin verður flóknari. Í stóru neti geturðu notað ADVPN tækni til að byggja upp VPN; þetta er hliðstæða DMVPN frá Cisco eða DVPN frá Huawei, sem gerir auðveldari uppsetningu.
VPN stillingar frá síðu til staðar fyrir tvö tæki með BGP leið á báðum hliðum
«ЦОД» (DC)
«Филиал» (BRN)
config system interface
edit "WAN1"
set vdom "Internet"
set ip 1.1.1.1 255.255.255.252
set allowaccess ping
set role wan
set interface "DC-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 3.3.3.1 255.255.255.252
set allowaccess ping
set role lan
set interface "DC-BRD"
set vlanid 112
next
edit "BRN-Ph1-1"
set vdom "Internet"
set ip 192.168.254.1 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.2 255.255.255.255
set interface "WAN1"
next
edit "BRN-Ph1-2"
set vdom "Internet"
set ip 192.168.254.3 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.4 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "BRN-Ph1-1"
set interface "WAN1"
set local-gw 1.1.1.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 2.2.2.1
set psksecret ***
next
edit "BRN-Ph1-2"
set interface "WAN2"
set local-gw 3.3.3.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 4.4.4.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "BRN-Ph2-1"
set phase1name "BRN-Ph1-1"
set proposal aes256-sha256
set dhgrp 2
next
edit "BRN-Ph2-2"
set phase1name "BRN-Ph1-2"
set proposal aes256-sha256
set dhgrp 2
next
end
config router static
edit 1
set gateway 1.1.1.2
set device "WAN1"
next
edit 3
set gateway 3.3.3.2
set device "WAN2"
next
end
config router bgp
set as 65002
set router-id 10.1.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.2"
set remote-as 65003
next
edit "192.168.254.4"
set remote-as 65003
next
end
config network
edit 1
set prefix 10.1.0.0 255.255.0.0
next
end
config system interface
edit "WAN1"
set vdom "Internet"
set ip 2.2.2.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 4.4.4.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 114
next
edit "DC-Ph1-1"
set vdom "Internet"
set ip 192.168.254.2 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.1 255.255.255.255
set interface "WAN1"
next
edit "DC-Ph1-2"
set vdom "Internet"
set ip 192.168.254.4 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.3 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "DC-Ph1-1"
set interface "WAN1"
set local-gw 2.2.2.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 1.1.1.1
set psksecret ***
next
edit "DC-Ph1-2"
set interface "WAN2"
set local-gw 4.4.4.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 3.3.3.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "DC-Ph2-1"
set phase1name "DC-Ph1-1"
set proposal aes128-sha1
set dhgrp 2
next
edit "DC2-Ph2-2"
set phase1name "DC-Ph1-2"
set proposal aes128-sha1
set dhgrp 2
next
end
config router static
edit 1
set gateway 2.2.2.2
et device "WAN1"
next
edit 3
set gateway 4.4.4.2
set device "WAN2"
next
end
config router bgp
set as 65003
set router-id 10.200.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.1"
set remote-as 65002
next
edit "192.168.254.3"
set remote-as 65002
next
end
config network
edit 1
set prefix 10.200.0.0 255.255.0.0
next
end
Ég er að útvega stillinguna á textaformi, því að mínu mati er þægilegra að stilla VPN svona. Næstum allar stillingar eru þær sömu á báðum hliðum; í textaformi er hægt að gera þær sem copy-paste. Ef þú gerir það sama í vefviðmótinu er auðvelt að gera mistök - gleymdu gátmerki einhvers staðar, sláðu inn rangt gildi.
Eftir að við bættum viðmótunum við búntinn
allar leiðir og öryggisstefnur geta vísað til hennar, en ekki viðmótanna sem eru í henni. Að minnsta kosti þarftu að leyfa umferð frá innri netkerfum til SD-WAN. Þegar þú býrð til reglur fyrir þær geturðu beitt verndarráðstöfunum eins og IPS, vírusvörn og upplýsingagjöf um HTTPS.
Для бандла настраиваются SD-WAN Rules. Это правила, определяющие алгоритм балансировки для конкретного трафика. Они похожи на политики маршрутизации в Policy-Based Routing, только в качестве результата попадания трафика под политику устанавливается не next-hop или обычный исходящий интерфейс, а интерфейсы, добавленные в SD-WAN бандл плюс алгоритм балансировки трафика между этими интерфейсами.
Umferð er hægt að aðskilja frá almennu flæði með L3-L4 upplýsingum, með viðurkenndum forritum, internetþjónustu (URL og IP), sem og viðurkenndum notendum vinnustöðva og fartölva. Eftir þetta er hægt að úthluta einu af eftirfarandi jafnvægisreikniritum til úthlutaðrar umferðar:
Í Tengivalslistanum eru þessi viðmót frá þeim sem þegar hefur verið bætt við búntinn sem munu þjóna þessari tegund umferðar valin. Með því að bæta ekki við öllum viðmótum geturðu takmarkað nákvæmlega hvaða rásir þú notar, td tölvupóst, ef þú vilt ekki íþyngja dýrum rásum með háu SLA með því. Í FortiOS 6.4.1 varð mögulegt að flokka viðmót sem bætt var við SD-WAN búntinn í svæði, til að mynda eitt svæði fyrir samskipti við fjarlægar síður og annað fyrir staðbundinn netaðgang með NAT. Já, já, umferð sem fer á venjulegt internet getur líka verið jafnvægi.
Um jafnvægisreiknirit
Varðandi hvernig Fortigate (eldveggur frá Fortinet) getur skipt umferð á milli rása, þá eru tveir áhugaverðir valkostir sem eru ekki mjög algengir á markaðnum:
Lægsti kostnaður (SLA) – úr öllum viðmótum sem uppfylla SLA í augnablikinu er valinn sá sem hefur lægri þyngd (kostnað), handvirkt stilltur af stjórnanda; þessi háttur er hentugur fyrir „magn“ umferð eins og afrit og skráaflutning.
Bestu gæði (SLA) - þetta reiknirit, til viðbótar við venjulega seinkun, titring og tap á Fortigate pakka, getur einnig notað núverandi rásarálag til að meta gæði rása; Þessi háttur er hentugur fyrir viðkvæma umferð eins og VoIP og myndfundi.
Þessi reiknirit krefjast þess að setja upp afkastamæli samskiptarásar - Performance SLA. Þessi mælir (athugunarbil) fylgist reglulega með upplýsingum um samræmi við SLA: pakkatap, leynd og skjálfti í samskiptarásinni og getur „hafnað“ þeim rásum sem standast ekki gæðamörkin eins og er – þær eru að missa of marga pakka eða upplifa of mikil leynd. Að auki fylgist mælirinn með stöðu rásarinnar og getur fjarlægt hana tímabundið úr pakkanum ef endurtekið tap á svörum (bilanir áður en þær eru óvirkar). Þegar hann er endurheimtur, eftir nokkur svör í röð (endurheimta tengil eftir), mun mælirinn skila rásinni sjálfkrafa í búntinn og gögn munu byrja að sendast í gegnum það aftur.
Svona lítur „mæli“ stillingin út:
Í vefviðmótinu eru ICMP-Echo-request, HTTP-GET og DNS beiðnir fáanlegar sem prófunarsamskiptareglur. Það eru aðeins fleiri valkostir á skipanalínunni: TCP-echo og UDP-echo valkostir eru fáanlegir, auk sérhæfðrar gæðamælingar - TWAMP.
Mælingarniðurstöðurnar má einnig sjá í vefviðmótinu:
Og á skipanalínunni:
Bilanagreining
Ef þú bjóst til reglu, en allt virkar ekki eins og búist var við, ættirðu að skoða Hitafjölda gildið í SD-WAN Rules listanum. Það mun sýna hvort umferðin fellur yfirleitt undir þessa reglu:
Á stillingasíðu mælisins sjálfs geturðu séð breytingar á rásbreytum með tímanum. Punktalínan gefur til kynna þröskuldsgildi færibreytunnar
Í vefviðmótinu er hægt að sjá hvernig umferð dreifist eftir magni sendra/móttekinna gagna og fjölda lota:
Til viðbótar við allt þetta er frábært tækifæri til að fylgjast með yfirferð pakka með hámarks smáatriðum. Þegar unnið er á raunverulegu neti safnar uppsetning tækisins upp mörgum leiðarstefnu, eldveggi og umferðardreifingu yfir SD-WAN tengi. Allt þetta hefur víxlverkun sín á milli á flókinn hátt og þó að seljandinn leggi fram nákvæmar kubbamyndir af reikniritum pakkavinnslu er mjög mikilvægt að geta ekki byggt upp og prófað kenningar heldur að sjá hvert umferðin fer í raun og veru.
Til dæmis, eftirfarandi sett af skipunum
diagnose debug flow filter saddr 10.200.64.15
diagnose debug flow filter daddr 10.1.7.2
diagnose debug flow show function-name
diagnose debug enable
diagnose debug trace 2
Gerir þér kleift að rekja tvo pakka með upprunavistfangið 10.200.64.15 og áfangafangið 10.1.7.2.
Við pingum 10.7.1.2 frá 10.200.64.15 tvisvar og skoðum úttakið á stjórnborðinu.
Fyrsti pakkinn:
Annar pakki:
Hér er fyrsti pakkinn sem eldveggurinn fékk:
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0."
VDOM – Internet, Proto=1 (ICMP), DMZ-Office – название L3-интерфейса. Type=8 – Echo.
Ný lota hefur verið búin til fyrir hann:
msg="allocate a new session-0006a627"
Og samsvörun fannst í stillingum leiðarstefnu
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"
Það kemur í ljós að senda þarf pakkann í eitt af VPN göngunum:
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"
Eftirfarandi leyfisregla finnst í eldveggsreglum:
msg="Allowed by Policy-3:"
Pakkinn er dulkóðaður og sendur í VPN göngin:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
Dulkóðaði pakkinn er sendur á netfang gáttar fyrir þetta WAN tengi:
msg="send to 2.2.2.2 via intf-WAN1"
Fyrir seinni pakkann gerist allt á svipaðan hátt, en hann er sendur í önnur VPN göng og fer í gegnum aðra eldveggstengi:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"
Kostir lausnarinnar
Áreiðanleg virkni og notendavænt viðmót. Eiginleikasettið sem var fáanlegt í FortiOS fyrir komu SD-WAN hefur verið að fullu varðveitt. Það er að segja, við erum ekki með nýþróaðan hugbúnað heldur þroskað kerfi frá reyndum eldveggssöluaðila. Með hefðbundnum netaðgerðum, þægilegu og auðvelt að læra vefviðmót. Hversu margir SD-WAN söluaðilar hafa til dæmis fjaraðgang VPN virkni á endatækjum?
Öryggisstig 80. FortiGate er ein af bestu eldveggslausnunum. Mikið efni er til á netinu um uppsetningu og umsjón eldvegga og á vinnumarkaði eru margir öryggissérfræðingar sem hafa þegar náð góðum tökum á lausnum seljanda.
Núllverð fyrir SD-WAN virkni. Að byggja upp SD-WAN net á FortiGate kostar það sama og að byggja venjulegt WAN net á því, þar sem engin viðbótarleyfi þarf til að innleiða SD-WAN virkni.
Lágt aðgangshindranaverð. Fortigate hefur góða skiptingu tækja fyrir mismunandi frammistöðustig. Yngstu og ódýrustu módelin henta vel til að stækka skrifstofu eða sölustað um til dæmis 3-5 starfsmenn. Margir söluaðilar eru einfaldlega ekki með svo afkastamikil og hagkvæm gerðir.
Mikil afköst. Að draga úr SD-WAN virkni í umferðarjafnvægi gerði fyrirtækinu kleift að gefa út sérhæfðan SD-WAN ASIC, þökk sé SD-WAN aðgerð dregur ekki úr afköstum eldveggsins í heild.
Hæfni til að innleiða heila skrifstofu á Fortinet búnaði. Þetta eru par af eldveggjum, rofum, Wi-Fi aðgangsstaði. Slík skrifstofa er auðveld og þægileg í umsjón - rofar og aðgangsstaðir eru skráðir á eldveggi og stjórnað út frá þeim. Til dæmis, þetta er hvernig skiptitengi gæti litið út frá eldveggsviðmótinu sem stjórnar þessum rofa:
Skortur á stjórnendum sem einn bilunarpunktur. Seljandinn sjálfur einbeitir sér að þessu, en það er aðeins hægt að kalla þetta ávinning að hluta til, því fyrir þá söluaðila sem hafa stýringar er ódýrt að tryggja að bilanaþol þeirra sé ódýrt, oftast á verði lítið magn af tölvuauðlindum í sýndarvæðingarumhverfi.
Hvað á að leita að
Enginn aðskilnaður á milli Control Plane og Data Plane. Þetta þýðir að netið verður að stilla annað hvort handvirkt eða með hefðbundnum stjórnunarverkfærum sem þegar eru til - FortiManager. Fyrir söluaðila sem hafa innleitt slíkan aðskilnað er netið sett saman sjálft. Stjórnandinn þarf kannski aðeins að stilla staðfræði þess, banna eitthvað einhvers staðar, ekkert meira. Hins vegar er trompið hjá FortiManager að það getur ekki aðeins stjórnað eldveggjum, heldur einnig rofum og Wi-Fi aðgangsstöðum, það er nánast öllu netinu.
Skilyrt aukning á stjórnhæfni. Vegna þess að hefðbundin verkfæri eru notuð til að gera sjálfvirkan netstillingu, eykst netstjórnun með tilkomu SD-WAN lítillega. Á hinn bóginn verður ný virkni tiltæk hraðar, þar sem seljandinn gefur það fyrst aðeins út fyrir eldveggstýrikerfið (sem gerir það strax mögulegt að nota það), og aðeins síðan bætir við stjórnunarkerfið með nauðsynlegum viðmótum.
Einhver virkni gæti verið fáanleg frá skipanalínunni, en er ekki tiltæk í vefviðmótinu. Stundum er ekki svo skelfilegt að fara inn í skipanalínuna til að stilla eitthvað, en það er skelfilegt að sjá ekki í vefviðmótinu að einhver hafi þegar stillt eitthvað úr skipanalínunni. En þetta á venjulega við um nýjustu eiginleikana og smám saman, með FortiOS uppfærslum, bætast möguleikar vefviðmótsins.
Hver mun henta
Fyrir þá sem eru ekki með mörg útibú. Innleiðing SD-WAN lausn með flóknum miðlægum íhlutum á neti 8-10 útibúa gæti ekki kostað kertið - þú verður að eyða peningum í leyfi fyrir SD-WAN tæki og sýndarkerfisauðlindir til að hýsa miðlægu íhlutina. Lítið fyrirtæki hefur venjulega takmarkaða ókeypis tölvuauðlindir. Í tilfelli Fortinet er nóg að kaupa sér eldveggi.
Fyrir þá sem eru með mikið af litlum greinum. Fyrir marga seljendur er lágmarkslausnarverð á hverja útibú nokkuð hátt og gæti ekki verið áhugavert frá sjónarhóli viðskipta viðskiptavinarins. Fortinet býður upp á lítil tæki á mjög hagstæðu verði.
Fyrir þá sem eru ekki tilbúnir að stíga of langt ennþá. Innleiðing SD-WAN með stýringar, sérbeina leið og nýrri nálgun við netskipulag og stjórnun gæti verið of stórt skref fyrir suma viðskiptavini. Já, slík útfærsla mun á endanum hjálpa til við að hámarka notkun samskiptaleiða og vinnu stjórnenda, en fyrst þarftu að læra fullt af nýjum hlutum. Fyrir þá sem eru ekki enn tilbúnir í hugmyndabreytingu, en vilja kreista meira út úr samskiptaleiðum sínum, er lausnin frá Fortinet alveg rétt.
Heimild: www.habr.com