A giudicare dal numero di domande che ci sono arrivate tramite SD-WAN, la tecnologia ha iniziato a mettere radici in Russia. I venditori, naturalmente, non dormono e offrono i loro concetti, e alcuni pionieri coraggiosi li stanno già implementando nelle loro reti.
Lavoriamo con quasi tutti i fornitori e nel corso di diversi anni nel nostro laboratorio sono riuscito ad approfondire l'architettura di tutti i principali sviluppatori di soluzioni definite dal software. SD-WAN di Fortinet si distingue qui, che ha semplicemente integrato la funzionalità di bilanciamento del traffico tra i canali di comunicazione nel software firewall. La soluzione è piuttosto democratica, quindi viene solitamente presa in considerazione dalle aziende che non sono ancora pronte per i cambiamenti globali, ma vogliono utilizzare i propri canali di comunicazione in modo più efficace.
In questo articolo voglio dirti come configurare e lavorare con SD-WAN di Fortinet, a chi è adatta questa soluzione e quali insidie potresti incontrare qui.
Gli attori più importanti nel mercato SD-WAN possono essere classificati in due tipi:
1. Startup che hanno creato soluzioni SD-WAN da zero. Quelli di maggior successo ricevono un enorme impulso allo sviluppo dopo essere stati acquistati da grandi aziende: questa è la storia di Cisco/Viptela, VMWare/VeloCloud, Nuage/Nokia
2. Grandi fornitori di reti che hanno creato soluzioni SD-WAN, sviluppando la programmabilità e la gestibilità dei loro router tradizionali: questa è la storia di Juniper, Huawei
Fortinet è riuscita a trovare la sua strada. Il software firewall aveva funzionalità integrate che consentivano di combinare le loro interfacce in canali virtuali e bilanciare il carico tra di loro utilizzando algoritmi complessi rispetto al routing convenzionale. Questa funzionalità era chiamata SD-WAN. Ciò che Fortinet ha fatto può essere chiamato SD-WAN? Il mercato sta gradualmente comprendendo che Software Defined significa separazione del piano di controllo dal piano dati, controller dedicati e orchestratori. Fortinet non ha nulla del genere. La gestione centralizzata è facoltativa e offerta tramite il tradizionale strumento Fortimanager. Ma secondo me non dovresti cercare la verità astratta e perdere tempo a discutere sui termini. Nel mondo reale, ogni approccio ha i suoi vantaggi e svantaggi. La soluzione migliore è comprenderli ed essere in grado di scegliere soluzioni che corrispondano ai compiti.
Proverò a dirti con screenshot alla mano come si presenta la SD-WAN di Fortinet e cosa può fare.
Come funziona tutto
Supponiamo che tu abbia due rami collegati da due canali dati. Questi collegamenti dati sono combinati in un gruppo, in modo simile a come le normali interfacce Ethernet sono combinate in un canale porta LACP. I veterani ricorderanno PPP Multilink, anch'esso un'analogia adatta. I canali possono essere porte fisiche, VLAN SVI nonché tunnel VPN o GRE.
VPN o GRE vengono generalmente utilizzati quando si connettono reti locali di filiali su Internet. E porte fisiche: se sono presenti connessioni L2 tra siti o quando ci si connette tramite MPLS/VPN dedicata, se siamo soddisfatti della connessione senza Overlay e crittografia. Un altro scenario in cui vengono utilizzate le porte fisiche in un gruppo SD-WAN è il bilanciamento dell'accesso locale degli utenti a Internet.
Nel nostro stand sono presenti quattro firewall e due tunnel VPN che operano attraverso due “operatori di comunicazione”. Il diagramma è simile al seguente:
I tunnel VPN sono configurati in modalità interfaccia in modo che siano simili alle connessioni punto a punto tra dispositivi con indirizzi IP su interfacce P2P, a cui è possibile eseguire il ping per garantire che la comunicazione attraverso un particolare tunnel funzioni. Affinché il traffico venga crittografato e vada dalla parte opposta, è sufficiente instradarlo nel tunnel. L'alternativa è selezionare il traffico per la crittografia utilizzando elenchi di sottoreti, il che confonde notevolmente l'amministratore poiché la configurazione diventa più complessa. In una rete di grandi dimensioni, puoi utilizzare la tecnologia ADVPN per creare una VPN; questo è un analogo di DMVPN di Cisco o DVPN di Huawei, che consente una configurazione più semplice.
Configurazione VPN da sito a sito per due dispositivi con routing BGP su entrambi i lati
«ЦОД» (DC)
«Филиал» (BRN)
config system interface
edit "WAN1"
set vdom "Internet"
set ip 1.1.1.1 255.255.255.252
set allowaccess ping
set role wan
set interface "DC-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 3.3.3.1 255.255.255.252
set allowaccess ping
set role lan
set interface "DC-BRD"
set vlanid 112
next
edit "BRN-Ph1-1"
set vdom "Internet"
set ip 192.168.254.1 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.2 255.255.255.255
set interface "WAN1"
next
edit "BRN-Ph1-2"
set vdom "Internet"
set ip 192.168.254.3 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.4 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "BRN-Ph1-1"
set interface "WAN1"
set local-gw 1.1.1.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 2.2.2.1
set psksecret ***
next
edit "BRN-Ph1-2"
set interface "WAN2"
set local-gw 3.3.3.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 4.4.4.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "BRN-Ph2-1"
set phase1name "BRN-Ph1-1"
set proposal aes256-sha256
set dhgrp 2
next
edit "BRN-Ph2-2"
set phase1name "BRN-Ph1-2"
set proposal aes256-sha256
set dhgrp 2
next
end
config router static
edit 1
set gateway 1.1.1.2
set device "WAN1"
next
edit 3
set gateway 3.3.3.2
set device "WAN2"
next
end
config router bgp
set as 65002
set router-id 10.1.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.2"
set remote-as 65003
next
edit "192.168.254.4"
set remote-as 65003
next
end
config network
edit 1
set prefix 10.1.0.0 255.255.0.0
next
end
config system interface
edit "WAN1"
set vdom "Internet"
set ip 2.2.2.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 4.4.4.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 114
next
edit "DC-Ph1-1"
set vdom "Internet"
set ip 192.168.254.2 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.1 255.255.255.255
set interface "WAN1"
next
edit "DC-Ph1-2"
set vdom "Internet"
set ip 192.168.254.4 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.3 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "DC-Ph1-1"
set interface "WAN1"
set local-gw 2.2.2.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 1.1.1.1
set psksecret ***
next
edit "DC-Ph1-2"
set interface "WAN2"
set local-gw 4.4.4.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 3.3.3.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "DC-Ph2-1"
set phase1name "DC-Ph1-1"
set proposal aes128-sha1
set dhgrp 2
next
edit "DC2-Ph2-2"
set phase1name "DC-Ph1-2"
set proposal aes128-sha1
set dhgrp 2
next
end
config router static
edit 1
set gateway 2.2.2.2
et device "WAN1"
next
edit 3
set gateway 4.4.4.2
set device "WAN2"
next
end
config router bgp
set as 65003
set router-id 10.200.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.1"
set remote-as 65002
next
edit "192.168.254.3"
set remote-as 65002
next
end
config network
edit 1
set prefix 10.200.0.0 255.255.0.0
next
end
Fornisco la configurazione in formato testo perché, secondo me, è più conveniente configurare la VPN in questo modo. Quasi tutte le impostazioni sono le stesse su entrambi i lati; in forma di testo possono essere effettuate tramite copia e incolla. Se fai la stessa cosa nell'interfaccia web, è facile commettere un errore: dimentica un segno di spunta da qualche parte, inserisci il valore sbagliato.
Dopo aver aggiunto le interfacce al bundle
tutti i percorsi e le politiche di sicurezza possono fare riferimento ad esso e non alle interfacce in esso incluse. Come minimo, è necessario consentire il traffico dalle reti interne alla SD-WAN. Quando crei regole per loro, puoi applicare misure protettive come IPS, antivirus e divulgazione HTTPS.
Le regole SD-WAN sono configurate per il pacchetto. Si tratta di regole che definiscono l'algoritmo di bilanciamento per traffico specifico. Sono simili alle policy di routing nel routing basato su policy, solo che, poiché il traffico rientra nella policy, non viene installato l'hop successivo o la consueta interfaccia in uscita, ma le interfacce aggiunte al bundle SD-WAN più un algoritmo di bilanciamento del traffico tra queste interfacce.
Il traffico può essere separato dal flusso generale dalle informazioni L3-L4, dalle applicazioni riconosciute, dai servizi Internet (URL e IP), nonché dagli utenti riconosciuti di workstation e laptop. Successivamente è possibile assegnare al traffico allocato uno dei seguenti algoritmi di bilanciamento:
Nell'elenco Preferenze interfaccia vengono selezionate le interfacce tra quelle già aggiunte al pacchetto che serviranno questo tipo di traffico. Aggiungendo non tutte le interfacce, puoi limitare esattamente quali canali utilizzare, ad esempio la posta elettronica, se non vuoi sovraccaricare canali costosi con uno SLA elevato. In FortiOS 6.4.1 è diventato possibile raggruppare le interfacce aggiunte al pacchetto SD-WAN in zone, creando, ad esempio, una zona per la comunicazione con siti remoti e un'altra per l'accesso locale a Internet tramite NAT. Sì, sì, anche il traffico che va a Internet normale può essere bilanciato.
Informazioni sugli algoritmi di bilanciamento
Per quanto riguarda il modo in cui Fortigate (un firewall di Fortinet) può suddividere il traffico tra i canali, esistono due opzioni interessanti non molto comuni sul mercato:
Costo più basso (SLA) – tra tutte le interfacce che al momento soddisfano lo SLA, viene selezionata quella con il peso (costo) minore, impostato manualmente dall'amministratore; questa modalità è adatta per il traffico “di massa” come backup e trasferimenti di file.
Migliore qualità (SLA) – questo algoritmo, oltre al consueto ritardo, jitter e perdita dei pacchetti Fortigate, può anche utilizzare il carico corrente del canale per valutare la qualità dei canali; Questa modalità è adatta per il traffico sensibile come VoIP e videoconferenze.
Questi algoritmi richiedono la configurazione di un misuratore delle prestazioni del canale di comunicazione: Performance SLA. Questo misuratore monitora periodicamente (intervallo di controllo) le informazioni sulla conformità allo SLA: perdita di pacchetti, ritardo (latenza) e jitter (jitter) nel canale di comunicazione e può "rifiutare" quei canali che attualmente non soddisfano le soglie di qualità - stanno perdendo troppi pacchetti o si riscontra una latenza eccessiva. Inoltre, il misuratore monitora lo stato del canale e può rimuoverlo temporaneamente dal bundle in caso di ripetute perdite di risposta (guasti prima dell'inattività). Una volta ripristinato, dopo diverse risposte consecutive (ripristina collegamento dopo), lo strumento riporterà automaticamente il canale al bundle e i dati inizieranno nuovamente a essere trasmessi attraverso di esso.
Ecco come appare l'impostazione del "contatore":
Nell'interfaccia web sono disponibili come protocolli di test ICMP-Echo-request, HTTP-GET e DNS request. Ci sono alcune opzioni in più sulla riga di comando: sono disponibili le opzioni TCP-echo e UDP-echo, nonché un protocollo specializzato di misurazione della qualità: TWAMP.
I risultati della misurazione possono essere visualizzati anche nell'interfaccia web:
E sulla riga di comando:
Risoluzione dei problemi
Se hai creato una regola, ma non tutto funziona come previsto, dovresti controllare il valore Hit Count nell'elenco delle regole SD-WAN. Mostrerà se il traffico rientra in questa regola:
Nella pagina delle impostazioni dello strumento stesso, puoi vedere la modifica dei parametri del canale nel tempo. La linea tratteggiata indica il valore di soglia del parametro
Nell'interfaccia web puoi vedere come è distribuito il traffico in base alla quantità di dati trasmessi/ricevuti e al numero di sessioni:
Oltre a tutto ciò, c'è un'ottima opportunità per tracciare il passaggio dei pacchetti con il massimo dettaglio. Quando si lavora in una rete reale, la configurazione del dispositivo accumula molte policy di routing, firewall e distribuzione del traffico sulle porte SD-WAN. Tutto ciò interagisce tra loro in modo complesso e, sebbene il fornitore fornisca diagrammi a blocchi dettagliati degli algoritmi di elaborazione dei pacchetti, è molto importante essere in grado non di costruire e testare teorie, ma di vedere dove va effettivamente il traffico.
Ad esempio, il seguente set di comandi
diagnose debug flow filter saddr 10.200.64.15
diagnose debug flow filter daddr 10.1.7.2
diagnose debug flow show function-name
diagnose debug enable
diagnose debug trace 2
Consente di tracciare due pacchetti con un indirizzo di origine 10.200.64.15 e un indirizzo di destinazione 10.1.7.2.
Eseguiamo due volte il ping di 10.7.1.2 da 10.200.64.15 e osserviamo l'output sulla console.
Primo pacchetto:
Secondo pacchetto:
Ecco il primo pacchetto ricevuto dal firewall:
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0."
VDOM – Internet, Proto=1 (ICMP), DMZ-Office – название L3-интерфейса. Type=8 – Echo.
Per lui è stata creata una nuova sessione:
msg="allocate a new session-0006a627"
È stata trovata una corrispondenza nelle impostazioni della politica di routing
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"
Risulta che il pacchetto deve essere inviato a uno dei tunnel VPN:
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"
Nei criteri del firewall viene rilevata la seguente regola di autorizzazione:
msg="Allowed by Policy-3:"
Il pacchetto viene crittografato e inviato al tunnel VPN:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
Il pacchetto crittografato viene inviato all'indirizzo gateway per questa interfaccia WAN:
msg="send to 2.2.2.2 via intf-WAN1"
Per il secondo pacchetto tutto avviene in modo simile, ma viene inviato a un altro tunnel VPN ed esce attraverso una porta firewall diversa:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"
Pro della soluzione
Funzionalità affidabili e interfaccia intuitiva. Il set di funzionalità disponibile in FortiOS prima dell'avvento di SD-WAN è stato completamente preservato. Ciò significa che non disponiamo di un software di nuova concezione, ma di un sistema maturo di un comprovato fornitore di firewall. Con un set tradizionale di funzioni di rete, un'interfaccia web comoda e facile da apprendere. Quanti fornitori di SD-WAN dispongono, ad esempio, della funzionalità VPN di accesso remoto sui dispositivi finali?
Livello di sicurezza 80. FortiGate è una delle migliori soluzioni firewall. Su Internet c'è molto materiale sull'impostazione e la gestione dei firewall e sul mercato del lavoro ci sono molti specialisti della sicurezza che hanno già padroneggiato le soluzioni del fornitore.
Prezzo zero per la funzionalità SD-WAN. Costruire una rete SD-WAN su FortiGate costa quanto costruire una normale rete WAN su di esso, poiché non sono necessarie licenze aggiuntive per implementare la funzionalità SD-WAN.
Prezzo basso della barriera d'ingresso. Fortigate ha una buona gradazione di dispositivi per diversi livelli di prestazioni. I modelli più giovani ed economici sono abbastanza adatti per espandere un ufficio o un punto vendita, diciamo, di 3-5 dipendenti. Molti fornitori semplicemente non dispongono di modelli così convenienti e a basse prestazioni.
Alte prestazioni. La riduzione della funzionalità SD-WAN al bilanciamento del traffico ha consentito all'azienda di rilasciare un ASIC SD-WAN specializzato, grazie al quale il funzionamento SD-WAN non riduce le prestazioni del firewall nel suo insieme.
La possibilità di implementare un intero ufficio su apparecchiature Fortinet. Si tratta di una coppia di firewall, switch, punti di accesso Wi-Fi. Un ufficio di questo tipo è facile e comodo da gestire: gli switch e i punti di accesso sono registrati sui firewall e gestiti da essi. Ad esempio, ecco come potrebbe apparire una porta dello switch dall'interfaccia del firewall che controlla questo switch:
Mancanza di controller come singolo punto di errore. Il fornitore stesso si concentra su questo aspetto, ma questo può essere definito un vantaggio solo in parte, perché per i fornitori che dispongono di controller, garantire la tolleranza agli errori è poco costoso, molto spesso al prezzo di una piccola quantità di risorse di elaborazione in un ambiente di virtualizzazione.
Cosa cercare
Nessuna separazione tra il piano di controllo e il piano dati. Ciò significa che la rete deve essere configurata manualmente o utilizzando i tradizionali strumenti di gestione già disponibili - FortiManager. Per i fornitori che hanno implementato tale separazione, la rete viene assemblata autonomamente. L'amministratore potrebbe dover solo modificare la sua topologia, vietare qualcosa da qualche parte, niente di più. Tuttavia, la carta vincente di FortiManager è che può gestire non solo firewall, ma anche switch e punti di accesso Wi-Fi, ovvero quasi l'intera rete.
Aumento condizionato della controllabilità. Dato che per automatizzare la configurazione della rete vengono utilizzati strumenti tradizionali, la gestibilità della rete con l’introduzione della SD-WAN aumenta leggermente. D'altro canto, le nuove funzionalità diventano disponibili più velocemente, poiché il fornitore le rilascia prima solo per il sistema operativo firewall (che ne rende immediatamente possibile l'utilizzo), e solo dopo integra il sistema di gestione con le interfacce necessarie.
Alcune funzionalità potrebbero essere disponibili dalla riga di comando, ma non sono disponibili dall'interfaccia web. A volte non è così spaventoso entrare nella riga di comando per configurare qualcosa, ma è spaventoso non vedere nell'interfaccia web che qualcuno ha già configurato qualcosa dalla riga di comando. Ma questo di solito vale per le funzionalità più recenti e gradualmente, con gli aggiornamenti di FortiOS, le capacità dell'interfaccia web vengono migliorate.
Per soddisfare
Per coloro che non hanno molte filiali. L'implementazione di una soluzione SD-WAN con componenti centrali complessi su una rete di 8-10 filiali potrebbe non costare la candela: dovrai spendere soldi in licenze per dispositivi SD-WAN e risorse del sistema di virtualizzazione per ospitare i componenti centrali. Una piccola azienda solitamente dispone di risorse informatiche gratuite limitate. Nel caso di Fortinet è sufficiente acquistare semplicemente i firewall.
Per chi ha molti rami piccoli. Per molti venditori il prezzo minimo della soluzione per filiale è piuttosto elevato e potrebbe non essere interessante dal punto di vista dell’attività del cliente finale. Fortinet offre piccoli dispositivi a prezzi molto interessanti.
Per coloro che non sono ancora pronti a fare un passo troppo lontano. L’implementazione della SD-WAN con controller, routing proprietario e un nuovo approccio alla pianificazione e gestione della rete potrebbe rappresentare un passo troppo grande per alcuni clienti. Sì, tale implementazione alla fine aiuterà a ottimizzare l'uso dei canali di comunicazione e il lavoro degli amministratori, ma prima dovrai imparare molte cose nuove. Per coloro che non sono ancora pronti per un cambio di paradigma, ma desiderano ottenere di più dai propri canali di comunicazione, la soluzione Fortinet è perfetta.
Fonte: habr.com