最も民主的な SD-WAN の分析: アーキテクチャ、構成、管理、落とし穴

SD-WAN 経由で届き始めた質問の数から判断すると、このテクノロジーはロシアに完全に根付き始めています。 当然のことながら、ベンダーは眠っているわけではなくコンセプトを提供しており、勇敢な先駆者の中にはすでにそのコンセプトを自社のネットワークに実装している人もいます。

私たちはほぼすべてのベンダーと協力しており、私たちの研究室では数年かけて、ソフトウェア デファインド ソリューションのすべての主要な開発者のアーキテクチャを掘り下げることに成功しました。 ここではフォーティネットの SD-WAN が少し際立っており、通信チャネル間のトラフィックのバランスを取る機能をファイアウォール ソフトウェアに組み込んだだけです。 このソリューションはかなり民主的であるため、通常、世界的な変化にまだ対応する準備ができていないものの、コミュニケーション チャネルをより効果的に使用したいと考えている企業によって検討されます。

この記事では、フォーティネットの SD-WAN を構成および操作する方法、このソリューションが適している人、およびここで遭遇する可能性のある落とし穴について説明したいと思います。

SD-WAN 市場の最も有力なプレーヤーは、次の XNUMX つのタイプのいずれかに分類できます。

1. SD-WAN ソリューションをゼロから構築したスタートアップ。 これらの中で最も成功した企業は、大企業に買収された後、開発に大きな推進力を与えられます。これは Cisco/Viptela、VMWare/VeloCloud、Nuage/Nokia の物語です。

2. SD-WAN ソリューションを開発し、従来のルーターのプログラマビリティと管理容易性を開発した大手ネットワーク ベンダー - これはジュニパーとファーウェイの物語です

フォーティネットはなんとかその道を見つけました。 ファイアウォール ソフトウェアには、従来のルーティングと比較して複雑なアルゴリズムを使用してインターフェイスを仮想チャネルに結合し、それらの間で負荷のバランスをとることを可能にする機能が組み込まれていました。 この機能は SD-WAN と呼ばれていました。 フォーティネットが行ったものを SD-WAN と呼ぶことができますか? 市場は、Software-Defined がデータ プレーン、専用コントローラー、およびオーケストレーターからコントロール プレーンを分離することを意味することを徐々に理解しています。 フォーティネットにはそのようなものはありません。 一元管理はオプションであり、従来の Fortimanager ツールを通じて提供されます。 しかし、私の意見では、抽象的な真実を探したり、用語について議論したりして時間を無駄にするべきではありません。 現実の世界では、それぞれのアプローチに長所と短所があります。 最善の解決策は、それらを理解し、タスクに対応するソリューションを選択できるようになることです。

フォーティネットの SD-WAN がどのようなもので、何ができるのかをスクリーンショットを使って説明したいと思います。

すべての仕組み

XNUMX つのブランチが XNUMX つのデータ チャネルで接続されていると仮定します。 これらのデータ リンクは、通常のイーサネット インターフェイスが LACP ポート チャネルに結合されるのと同様に、グループに結合されます。 昔の人は PPP マルチリンクを覚えているでしょう - これも適切な例えです。 チャネルには、物理​​ポート、VLAN SVI、VPN または GRE トンネルを使用できます。

VPN または GRE は通常、インターネット経由でブランチ ローカル ネットワークに接続する場合に使用されます。 物理ポート - サイト間に L2 接続がある場合、または専用の MPLS/VPN 経由で接続する場合、オーバーレイや暗号化なしの接続に満足している場合。 SD-WAN グループで物理ポートが使用されるもう XNUMX つのシナリオは、インターネットへのユーザーのローカル アクセスのバランスをとることです。

私たちのスタンドには XNUMX つのファイアウォールと XNUMX つの VPN トンネルがあり、XNUMX つの「通信事業者」を通じて運用されています。 図は次のようになります。

VPN トンネルは、P2P インターフェイス上の IP アドレスを持つデバイス間のポイントツーポイント接続と同様になるようにインターフェイス モードで構成され、特定のトンネルを介した通信が機能していることを確認するために ping を送信できます。 トラフィックを暗号化して反対側に送信するには、トラフィックをトンネルにルーティングするだけで十分です。 別の方法は、サブネットのリストを使用して暗号化するトラフィックを選択することですが、構成がより複雑になるため、管理者は非常に混乱します。 大規模なネットワークでは、ADVPN テクノロジーを使用して VPN を構築できます。これは Cisco の DMVPN や Huawei の DVPN に似ており、セットアップが簡単です。

両側に BGP ルーティングを備えた XNUMX 台のデバイスのサイト間 VPN 構成

«ЦОД» (DC)
«Филиал» (BRN)

config system interface
 edit "WAN1"
  set vdom "Internet"
  set ip 1.1.1.1 255.255.255.252
  set allowaccess ping
  set role wan
  set interface "DC-BRD"
  set vlanid 111
 next
 edit "WAN2"
  set vdom "Internet"
  set ip 3.3.3.1 255.255.255.252
  set allowaccess ping
  set role lan
  set interface "DC-BRD"
  set vlanid 112
 next
 edit "BRN-Ph1-1"
  set vdom "Internet"
  set ip 192.168.254.1 255.255.255.255
  set allowaccess ping
  set type tunnel
  set remote-ip 192.168.254.2 255.255.255.255
  set interface "WAN1"
 next
 edit "BRN-Ph1-2"
  set vdom "Internet"
  set ip 192.168.254.3 255.255.255.255
  set allowaccess ping
  set type tunnel
  set remote-ip 192.168.254.4 255.255.255.255
  set interface "WAN2"
 next
end

config vpn ipsec phase1-interface
 edit "BRN-Ph1-1"
  set interface "WAN1"
  set local-gw 1.1.1.1
  set peertype any
  set net-device disable
  set proposal aes128-sha1
  set dhgrp 2
  set remote-gw 2.2.2.1
  set psksecret ***
 next
 edit "BRN-Ph1-2"
  set interface "WAN2"
  set local-gw 3.3.3.1
  set peertype any
  set net-device disable
  set proposal aes128-sha1
  set dhgrp 2
  set remote-gw 4.4.4.1
  set psksecret ***
 next
end

config vpn ipsec phase2-interface
 edit "BRN-Ph2-1"
  set phase1name "BRN-Ph1-1"
  set proposal aes256-sha256
  set dhgrp 2
 next
 edit "BRN-Ph2-2"
  set phase1name "BRN-Ph1-2"
  set proposal aes256-sha256
  set dhgrp 2
 next
end

config router static
 edit 1
  set gateway 1.1.1.2
  set device "WAN1"
 next
 edit 3
  set gateway 3.3.3.2
  set device "WAN2"
 next
end

config router bgp
 set as 65002
 set router-id 10.1.7.1
 set ebgp-multipath enable
 config neighbor
  edit "192.168.254.2"
   set remote-as 65003
  next
  edit "192.168.254.4"
   set remote-as 65003
  next
 end

 config network
  edit 1
   set prefix 10.1.0.0 255.255.0.0
  next
end

config system interface
 edit "WAN1"
  set vdom "Internet"
  set ip 2.2.2.1 255.255.255.252
  set allowaccess ping
  set role wan
  set interface "BRN-BRD"
  set vlanid 111
 next
 edit "WAN2"
  set vdom "Internet"
  set ip 4.4.4.1 255.255.255.252
  set allowaccess ping
  set role wan
  set interface "BRN-BRD"
  set vlanid 114
 next
 edit "DC-Ph1-1"
  set vdom "Internet"
  set ip 192.168.254.2 255.255.255.255
  set allowaccess ping
  set type tunnel
  set remote-ip 192.168.254.1 255.255.255.255
  set interface "WAN1"
 next
 edit "DC-Ph1-2"
  set vdom "Internet"
  set ip 192.168.254.4 255.255.255.255
  set allowaccess ping
  set type tunnel
  set remote-ip 192.168.254.3 255.255.255.255
  set interface "WAN2"
 next
end

config vpn ipsec phase1-interface
  edit "DC-Ph1-1"
   set interface "WAN1"
   set local-gw 2.2.2.1
   set peertype any
   set net-device disable
   set proposal aes128-sha1
   set dhgrp 2
   set remote-gw 1.1.1.1
   set psksecret ***
  next
  edit "DC-Ph1-2"
   set interface "WAN2"
   set local-gw 4.4.4.1
   set peertype any
   set net-device disable
   set proposal aes128-sha1
   set dhgrp 2
   set remote-gw 3.3.3.1
   set psksecret ***
  next
end

config vpn ipsec phase2-interface
  edit "DC-Ph2-1"
   set phase1name "DC-Ph1-1"
   set proposal aes128-sha1
   set dhgrp 2
  next
  edit "DC2-Ph2-2"
   set phase1name "DC-Ph1-2"
   set proposal aes128-sha1
   set dhgrp 2
  next
end

config router static
 edit 1
  set gateway 2.2.2.2
  et device "WAN1"
 next
 edit 3
  set gateway 4.4.4.2
  set device "WAN2"
 next
end

config router bgp
  set as 65003
  set router-id 10.200.7.1
  set ebgp-multipath enable
  config neighbor
   edit "192.168.254.1"
    set remote-as 65002
   next
  edit "192.168.254.3"
   set remote-as 65002
   next
  end

  config network
   edit 1
    set prefix 10.200.0.0 255.255.0.0
   next
end

私の意見では、この方法で VPN を構成する方が便利であるため、構成をテキスト形式で提供しています。 ほぼすべての設定は両面で同じなので、テキスト形式ではコピー＆ペーストで作成できます。 Web インターフェイスで同じことを行うと、どこかにチェックマークを付け忘れたり、間違った値を入力したりするなど、間違いを犯しやすくなります。

インターフェイスをバンドルに追加した後

すべてのルートとセキュリティ ポリシーはこれを参照できますが、それに含まれるインターフェイスは参照できません。 少なくとも、内部ネットワークから SD-WAN へのトラフィックを許可する必要があります。 ルールを作成すると、IPS、ウイルス対策、HTTPS 開示などの保護措置を適用できます。

SD-WAN ルールがバンドルに対して設定されています。 これらは、特定のトラフィックのバランシング アルゴリズムを定義するルールです。 これらは、ポリシーベース ルーティングのルーティング ポリシーに似ていますが、ポリシーに該当するトラフィックの結果としてのみ、インストールされるのはネクストホップや通常の送信インターフェイスではなく、SD-WAN バンドルに追加されるインターフェイスです。これらのインターフェイス間のトラフィック バランシング アルゴリズム。

トラフィックは、L3 ～ L4 情報、認識されたアプリケーション、インターネット サービス (URL および IP)、およびワークステーションやラップトップの認識されたユーザーによって、一般的なフローから分離できます。 この後、次のいずれかのバランシング アルゴリズムを、割り当てられたトラフィックに割り当てることができます。

[インターフェイス設定] リストでは、バンドルに既に追加されているインターフェイスのうち、このタイプのトラフィックを処理するインターフェイスが選択されます。 すべてのインターフェイスを追加するわけではありませんが、高価なチャネルに高い SLA の負担をかけたくない場合は、使用するチャネル (電子メールなど) を正確に制限できます。 FortiOS 6.4.1 では、SD-WAN バンドルに追加されたインターフェイスをゾーンにグループ化し、たとえば、リモート サイトとの通信用に XNUMX つのゾーンを作成し、NAT を使用したローカル インターネット アクセス用に別のゾーンを作成できるようになりました。 はい、はい、通常のインターネットに送信されるトラフィックもバランスをとることができます。

バランスアルゴリズムについて

Fortigate (フォーティネットのファイアウォール) がチャネル間でトラフィックを分割する方法に関しては、市場ではあまり一般的ではない XNUMX つの興味深いオプションがあります。

最低コスト (SLA) – 現時点で SLA を満たすすべてのインターフェイスのうち、管理者が手動で設定した重み (コスト) が低いインターフェイスが選択されます。 このモードは、バックアップやファイル転送などの「大量の」トラフィックに適しています。

最高品質 (SLA) – このアルゴリズムは、Fortigate パケットの通常の遅延、ジッター、損失に加えて、現在のチャネル負荷を使用してチャネルの品質を評価することもできます。 このモードは、VoIP やビデオ会議などの機密性の高いトラフィックに適しています。

これらのアルゴリズムでは、通信チャネル パフォーマンス メーター (パフォーマンス SLA) を設定する必要があります。 このメーターは定期的に (チェック間隔で) SLA への準拠に関する情報 (パケット損失、遅延、通信チャネルのジッター) を監視し、現在品質のしきい値を満たしていないチャネル (パケット損失が多すぎるか、パケット損失が多すぎるチャネル) を「拒否」できます。待ち時間が長い。 さらに、メーターはチャネルのステータスを監視し、応答が繰り返し失われる (非アクティブになる前の障害) 場合には、バンドルからチャネルを一時的に削除できます。 復元されると、数回連続して応答した後 (リンクの復元後に)、メーターは自動的にチャネルをバンドルに戻し、再びそのチャネルを介してデータの送信を開始します。

「メーター」の設定は次のようになります。

Web インターフェースでは、テストプロトコルとして ICMP-Echo-r​​equest、HTTP-GET、DNS リクエストが利用可能です。 コマンドラインにはもう少しオプションがあります。TCP-echo および UDP-echo オプションが利用できるほか、特殊な品質測定プロトコル TWAMP も利用できます。

測定結果は Web インターフェースでも確認できます。

コマンドラインでは次のようになります。

トラブルシューティング

ルールを作成したものの、すべてが期待どおりに機能しない場合は、SD-WAN ルール リストのヒット カウントの値を確認する必要があります。 トラフィックがこのルールに該当するかどうかが表示されます。

メーター自体の設定ページでは、時間の経過に伴うチャンネルパラメーターの変化を確認できます。 点線はパラメータのしきい値を示します

Web インターフェイスでは、送受信されるデータ量とセッション数によってトラフィックがどのように分散されるかを確認できます。

これらすべてに加えて、パケットの通過を最大限の詳細で追跡する絶好の機会があります。 実際のネットワークで動作する場合、デバイス構成には多くのルーティング ポリシー、ファイアウォール、SD-WAN ポート全体のトラフィック分散が蓄積されます。 これらすべてが複雑な方法で相互に作用し、ベンダーはパケット処理アルゴリズムの詳細なブロック図を提供していますが、理論を構築してテストするのではなく、トラフィックが実際にどこに行くのかを確認できることが非常に重要です。

たとえば、次のコマンドセットは

diagnose debug flow filter saddr 10.200.64.15
diagnose debug flow filter daddr 10.1.7.2
diagnose debug flow show function-name
diagnose debug enable
diagnose debug trace 2

送信元アドレス 10.200.64.15 と宛先アドレス 10.1.7.2 を持つ XNUMX つのパケットを追跡できます。
10.7.1.2 から 10.200.64.15 に XNUMX 回 ping を実行し、コンソール上の出力を確認します。

最初のパッケージ:

XNUMX番目のパッケージ:

ファイアウォールが受信した最初のパケットは次のとおりです。
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0."
VDOM – Internet, Proto=1 (ICMP), DMZ-Office – название L3-интерфейса. Type=8 – Echo.

新しいセッションが彼のために作成されました。
msg="allocate a new session-0006a627"

ルーティング ポリシー設定で一致が見つかりました
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"

パケットは VPN トンネルの XNUMX つに送信する必要があることがわかります。
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"

次の許可ルールがファイアウォール ポリシーで検出されました。
msg="Allowed by Policy-3:"

パケットは暗号化されて VPN トンネルに送信されます。
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1"
func=esp_output4 line=905 msg="IPsec encrypt/auth"

暗号化されたパケットは、この WAN インターフェイスのゲートウェイ アドレスに送信されます。
msg="send to 2.2.2.2 via intf-WAN1"

XNUMX 番目のパケットでは、すべてが同様に行われますが、別の VPN トンネルに送信され、別のファイアウォール ポートを経由して送信されます。
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"

ソリューションの長所

信頼できる機能とユーザーフレンドリーなインターフェイス。 SD-WAN の出現前に FortiOS で利用可能であった機能セットは完全に保持されています。 つまり、新しく開発されたソフトウェアはなく、実績のあるファイアウォール ベンダーが提供する成熟したシステムを使用しています。 従来の一連のネットワーク機能と、便利で習得しやすい Web インターフェイスを備えています。 たとえば、エンド デバイスにリモート アクセス VPN 機能を備えている SD-WAN ベンダーは何社あるでしょうか?

セキュリティレベル80。 FortiGate は、トップクラスのファイアウォール ソリューションの XNUMX つです。 インターネット上にはファイアウォールの設定と管理に関する資料がたくさんあり、労働市場にはベンダーのソリューションをすでに習得しているセキュリティ専門家がたくさんいます。

SD-WAN 機能の料金はゼロです。 SD-WAN 機能を実装するために追加のライセンスは必要ないため、FortiGate 上に SD-WAN ネットワークを構築する場合、通常の WAN ネットワークを構築する場合と同じコストがかかります。

参入障壁が低い。 Fortigate には、さまざまなパフォーマンス レベルに合わせて適切なデバイスが用意されています。 最も新しく、最も安価なモデルは、たとえば従業員 3 ～ 5 人によるオフィスや POS の拡張に非常に適しています。 多くのベンダーは、そのような低パフォーマンスで手頃な価格のモデルを持っていません。

ハイパフォーマンス。 SD-WAN の機能をトラフィック バランシングに削減することで、同社は専用の SD-WAN ASIC をリリースすることができました。そのおかげで、SD-WAN の動作によってファイアウォール全体のパフォーマンスが低下することはありません。

オフィス全体をフォーティネットの機器に実装する機能。 これらは、ファイアウォール、スイッチ、Wi-Fi アクセス ポイントのペアです。 このようなオフィスは管理が簡単で便利です。スイッチとアクセス ポイントはファイアウォールに登録され、ファイアウォールから管理されます。 たとえば、このスイッチを制御するファイアウォール インターフェイスから見たスイッチ ポートは次のようになります。

単一障害点としてのコントローラーの欠如。 ベンダー自身もこれに重点を置いていますが、コントローラーを備えたベンダーにとって、フォールト トレランスの確保は安価であり、ほとんどの場合、仮想化環境の少量のコンピューティング リソースを犠牲にして行われるため、これは一部の利点としか言えません。

何を探すか

コントロール プレーンとデータ プレーンの間に分離がない。 これは、ネットワークを手動で構成するか、すでに利用可能な従来の管理ツールである FortiManager を使用して構成する必要があることを意味します。 このような分離を実装しているベンダーの場合、ネットワークは自動的に組み立てられます。 管理者はトポロジを調整し、どこかで何かを禁止するだけで済み、それ以上は必要ありません。 しかし、FortiManagerの切り札は、ファイアウォールだけでなくスイッチやWi-Fiアクセスポイント、つまりネットワークのほぼ全体を管理できることだ。

条件付きの制御性の向上。 従来のツールを使用してネットワーク構成を自動化するため、SD-WAN の導入によりネットワークの管理性がわずかに向上します。 一方、ベンダーは最初にファイアウォール オペレーティング システム用にのみ新機能をリリースし (すぐに使用できるようになります)、その後初めて必要なインターフェイスを管理システムに追加するため、新しい機能がより早く利用可能になります。

一部の機能はコマンド ラインから利用できる場合がありますが、Web インターフェイスからは利用できません。 場合によっては、コマンド ラインにアクセスして何かを設定するのはそれほど怖くないこともありますが、誰かがすでにコマンド ラインから何かを設定していることが Web インターフェイスで表示されないのは怖いです。 ただし、これは通常、最新の機能に適用され、FortiOS のアップデートにより、Web インターフェイスの機能が徐々に改善されます。

合わせて

支店があまりない方向け。 8 ～ 10 のブランチからなるネットワーク上に複雑な中央コンポーネントを備えた SD-WAN ソリューションを実装する場合、ろうそくの費用はかかりません。中央コンポーネントをホストするための SD-WAN デバイスと仮想化システム リソースのライセンスにお金を費やす必要があります。 通常、小規模企業では無料のコンピューティング リソースが限られています。 Fortinet の場合、ファイアウォールを購入するだけで十分です。

細かい枝が多い方向け。 多くのベンダーにとって、ブランチあたりのソリューションの最低価格は非常に高額であり、エンドカスタマーのビジネスの観点からは興味をそそられない可能性があります。 フォーティネットは小型デバイスを非常に魅力的な価格で提供しています。

まだ一歩を踏み出す準備ができていない人へ。 コントローラー、独自のルーティング、ネットワーク計画と管理への新しいアプローチを備えた SD-WAN の実装は、一部のお客様にとっては大きすぎるステップである可能性があります。 はい、そのような実装は最終的には通信チャネルの使用と管理者の作業を最適化するのに役立ちますが、最初に多くの新しいことを学ぶ必要があります。 パラダイムシフトへの準備がまだ整っていないが、コミュニケーション チャネルをさらに活用したいと考えている人にとって、フォーティネットのソリューションはまさに最適です。

出所： habr.com