Kang menehi kritik dening nomer pitakonan sing wiwit teka kanggo kita liwat SD-WAN, teknologi wis wiwit sak tenane njupuk ROOT ing Rusia. Vendor, mesthi, ora turu lan menehi konsep, lan sawetara pionir sing wani wis ngetrapake ing jaringan kasebut.
Kita nggarap meh kabeh vendor, lan sajrone pirang-pirang taun ing laboratorium, aku bisa nyelidiki arsitektur saben pangembang utama solusi sing ditetepake piranti lunak. SD-WAN saka Fortinet stands sethitik loro kene, kang mung dibangun fungsi ngimbangi lalu lintas antarane saluran komunikasi menyang piranti lunak firewall. Solusi kasebut rada demokratis, mula biasane dianggep perusahaan sing durung siyap kanggo owah-owahan global, nanging pengin nggunakake saluran komunikasi kanthi luwih efektif.
Ing artikel iki aku arep kanggo pitutur marang kowe carane ngatur lan nggarap SD-WAN saka Fortinet, sing solusi iki cocok kanggo lan apa pitfalls sampeyan bisa nemokke kene.
Pemain sing paling misuwur ing pasar SD-WAN bisa diklasifikasikake dadi salah siji saka rong jinis:
1. Startups sing wis digawe solusi SD-WAN saka ngeruk. Sing paling sukses iki nampa dorongan gedhe kanggo pangembangan sawise dituku dening perusahaan gedhe - iki crita Cisco / Viptela, VMWare / VeloCloud, Nuage / Nokia.
2. Vendor jaringan gedhe sing wis nggawe solusi SD-WAN, ngembangake programmabilitas lan manajemen router tradisional - iki crita Juniper, Huawei
Fortinet bisa nemokake dalane. Piranti lunak firewall wis dibangun ing fungsi sing ndadekake iku bisa kanggo gabungke antarmuka menyang saluran virtual lan imbangan beban antarane wong-wong mau nggunakake algoritma Komplek dibandhingake nuntun conventional. Fungsi iki diarani SD-WAN. Apa Fortinet bisa diarani SD-WAN? Pasar mboko sithik ngerteni manawa Software-Defined tegese pamisahan Pesawat Kontrol saka Pesawat Data, pengontrol khusus, lan orkestra. Fortinet ora duwe apa-apa. Manajemen terpusat opsional lan ditawakake liwat alat Fortimanager tradisional. Nanging ing mratelakake panemume, sampeyan kudu ora golek bebener abstrak lan sampah wektu argue babagan istilah. Ing donya nyata, saben pendekatan duwe kaluwihan lan cacat. Cara sing paling apik yaiku ngerti lan bisa milih solusi sing cocog karo tugas kasebut.
Aku bakal nyoba kanggo pitutur marang kowe karo gambar ing tangan apa SD-WAN saka Fortinet katon lan apa bisa nindakake.
Carane kabeh bisa
Ayo nganggep sampeyan duwe rong cabang sing disambungake dening rong saluran data. Link data iki digabungake menyang grup, padha karo carane antarmuka Ethernet biasa digabungake menyang LACP-Port-Channel. Wong lawas bakal ngelingi PPP Multilink - uga analogi sing cocog. Saluran bisa dadi port fisik, VLAN SVI, uga trowongan VPN utawa GRE.
VPN utawa GRE biasane digunakake nalika nyambungake jaringan lokal cabang liwat Internet. Lan bandar fisik - yen ana sambungan L2 antarane situs, utawa nalika nyambungake liwat MPLS darmabakti / VPN, yen kita wareg karo sambungan tanpa Numpuki lan enkripsi. Skenario liyane sing port fisik digunakake ing grup SD-WAN yaiku ngimbangi akses lokal pangguna menyang Internet.
Ing stand kita ana papat firewall lan loro terowongan VPN sing beroperasi liwat rong "operator komunikasi". Diagram katon kaya iki:
Tunnel VPN dikonfigurasi ing mode antarmuka supaya padha karo sambungan point-to-point antarane piranti karo alamat IP ing antarmuka P2P, sing bisa ping kanggo mesthekake yen komunikasi liwat trowongan tartamtu bisa digunakake. Supaya lalu lintas bisa dienkripsi lan pindhah menyang sisih ngelawan, cukup kanggo ngarahake menyang trowongan. Alternatif kanggo milih lalu lintas kanggo enkripsi nggunakake dhaptar subnet, sing banget mbingungake administrator amarga konfigurasi dadi luwih rumit. Ing jaringan gedhe, sampeyan bisa nggunakake teknologi ADVPN kanggo mbangun VPN; iki minangka analog saka DMVPN saka Cisco utawa DVPN saka Huawei, sing ngidini persiyapan luwih gampang.
Konfigurasi VPN Site-to-Site kanggo rong piranti kanthi nuntun BGP ing loro-lorone
«ЦОД» (DC)
«Филиал» (BRN)
config system interface
edit "WAN1"
set vdom "Internet"
set ip 1.1.1.1 255.255.255.252
set allowaccess ping
set role wan
set interface "DC-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 3.3.3.1 255.255.255.252
set allowaccess ping
set role lan
set interface "DC-BRD"
set vlanid 112
next
edit "BRN-Ph1-1"
set vdom "Internet"
set ip 192.168.254.1 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.2 255.255.255.255
set interface "WAN1"
next
edit "BRN-Ph1-2"
set vdom "Internet"
set ip 192.168.254.3 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.4 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "BRN-Ph1-1"
set interface "WAN1"
set local-gw 1.1.1.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 2.2.2.1
set psksecret ***
next
edit "BRN-Ph1-2"
set interface "WAN2"
set local-gw 3.3.3.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 4.4.4.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "BRN-Ph2-1"
set phase1name "BRN-Ph1-1"
set proposal aes256-sha256
set dhgrp 2
next
edit "BRN-Ph2-2"
set phase1name "BRN-Ph1-2"
set proposal aes256-sha256
set dhgrp 2
next
end
config router static
edit 1
set gateway 1.1.1.2
set device "WAN1"
next
edit 3
set gateway 3.3.3.2
set device "WAN2"
next
end
config router bgp
set as 65002
set router-id 10.1.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.2"
set remote-as 65003
next
edit "192.168.254.4"
set remote-as 65003
next
end
config network
edit 1
set prefix 10.1.0.0 255.255.0.0
next
end
config system interface
edit "WAN1"
set vdom "Internet"
set ip 2.2.2.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 4.4.4.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 114
next
edit "DC-Ph1-1"
set vdom "Internet"
set ip 192.168.254.2 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.1 255.255.255.255
set interface "WAN1"
next
edit "DC-Ph1-2"
set vdom "Internet"
set ip 192.168.254.4 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.3 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "DC-Ph1-1"
set interface "WAN1"
set local-gw 2.2.2.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 1.1.1.1
set psksecret ***
next
edit "DC-Ph1-2"
set interface "WAN2"
set local-gw 4.4.4.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 3.3.3.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "DC-Ph2-1"
set phase1name "DC-Ph1-1"
set proposal aes128-sha1
set dhgrp 2
next
edit "DC2-Ph2-2"
set phase1name "DC-Ph1-2"
set proposal aes128-sha1
set dhgrp 2
next
end
config router static
edit 1
set gateway 2.2.2.2
et device "WAN1"
next
edit 3
set gateway 4.4.4.2
set device "WAN2"
next
end
config router bgp
set as 65003
set router-id 10.200.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.1"
set remote-as 65002
next
edit "192.168.254.3"
set remote-as 65002
next
end
config network
edit 1
set prefix 10.200.0.0 255.255.0.0
next
end
Aku nyedhiyakake konfigurasi ing wangun teks, amarga, miturut pendapatku, luwih trep kanggo ngatur VPN kanthi cara iki. Meh kabeh setelan padha ing loro-lorone; ing wangun teks padha bisa digawe minangka salinan-tempel. Yen sampeyan nindakake perkara sing padha ing antarmuka web, gampang salah - lali tandha cek ing endi wae, ketik nilai sing salah.
Sawise kita nambahake antarmuka menyang bundle
kabeh rute lan kabijakan keamanan bisa ngrujuk menyang, lan ora kanggo antarmuka klebu ing. Paling ora, sampeyan kudu ngidini lalu lintas saka jaringan internal menyang SD-WAN. Nalika nggawe aturan kanggo wong-wong mau, sampeyan bisa ngetrapake langkah-langkah protèktif kayata IPS, antivirus lan pambocoran HTTPS.
SD-WAN Aturan diatur kanggo mbendel. Iki minangka aturan sing nemtokake algoritma imbangan kanggo lalu lintas tartamtu. Padha padha karo kawicaksanan nuntun ing Routing Policy-Based, mung minangka asil saka lalu lintas tiba ing privasi, iku ora sabanjuré-hop utawa antarmuka metu biasanipun sing diinstal, nanging antarmuka ditambahake menyang SD-WAN mbendel plus algoritma imbangan lalu lintas antarane antarmuka iki.
Lalu lintas bisa dipisahake saka aliran umum kanthi informasi L3-L4, kanthi aplikasi sing diakoni, layanan Internet (URL lan IP), uga pangguna stasiun kerja lan laptop sing diakoni. Sawise iki, salah sawijining algoritma imbangan ing ngisor iki bisa ditugasake menyang lalu lintas sing diparengake:
Ing dhaptar Preferensi Antarmuka, antarmuka saka sing wis ditambahake menyang bundel sing bakal nglayani lalu lintas jinis iki dipilih. Kanthi nambah ora kabeh antarmuka, sampeyan bisa matesi persis saluran sing digunakake, ngomong, email, yen sampeyan ora pengin beban saluran larang karo SLA dhuwur karo. Ing FortiOS 6.4.1, antarmuka klompok ditambahake menyang bundel SD-WAN dadi zona, nggawe, contone, siji zona kanggo komunikasi karo situs remot, lan liyane kanggo akses Internet lokal nggunakake NAT. Ya, ya, lalu lintas sing menyang Internet biasa uga bisa seimbang.
Babagan algoritma imbangan
Babagan carane Fortigate (firewall saka Fortinet) bisa pamisah lalu lintas antarane saluran, ana rong pilihan menarik sing ora umum banget ing pasar:
Biaya paling murah (SLA) - saka kabeh antarmuka sing nyukupi SLA saiki, dipilih sing bobote murah (biaya), kanthi manual diatur dening administrator; mode iki cocok kanggo lalu lintas "bulk" kayata serep lan transfer file.
Kualitas paling apik (SLA) - algoritma iki, saliyane kanggo wektu tundha biasanipun, jitter lan mundhut saka paket Fortigate, uga bisa nggunakake mbukak saluran saiki kanggo netepke kualitas saluran; Mode iki cocok kanggo lalu lintas sensitif kayata VoIP lan konferensi video.
Algoritma kasebut mbutuhake nyetel meter kinerja saluran komunikasi - Performance SLA. Meter iki kanthi periodik (mriksa interval) ngawasi informasi babagan kepatuhan karo SLA: mundhut paket, latensi lan jitter ing saluran komunikasi, lan bisa "nolak" saluran kasebut sing saiki ora cocog karo ambang kualitas - lagi ilang akeh paket utawa ngalami banget. akeh latensi. Kajaba iku, meter ngawasi status saluran, lan bisa nyopot sementara saka bundel yen ana tanggapan sing bola-bali (gagal sadurunge ora aktif). Nalika dibalèkaké, sawise sawetara respon consecutive (mulihake link sawise), meter bakal kanthi otomatis bali saluran menyang mbendel, lan data bakal wiwiti ditularaké liwat maneh.
Iki minangka setelan "meter" katon:
Ing antarmuka web, ICMP-Echo-request, HTTP-GET lan panjalukan DNS kasedhiya minangka protokol tes. Ana sawetara opsi liyane ing baris printah: TCP-echo lan UDP-echo opsi kasedhiya, uga protokol pangukuran kualitas khusus - TWAMP.
Asil pangukuran uga bisa dideleng ing antarmuka web:
Lan ing baris printah:
Ngatasi masalah
Yen sampeyan nggawe aturan, nanging kabeh ora bisa kaya samesthine, sampeyan kudu katon ing Nilai Hit Count ing dhaftar Aturan SD-WAN. Bakal nuduhake manawa lalu lintas kasebut kalebu aturan iki:
Ing kaca setelan meter dhewe, sampeyan bisa ndeleng owah-owahan ing paramèter saluran saka wektu. Garis burik nuduhake nilai ambang parameter
Ing antarmuka web sampeyan bisa ndeleng kepiye lalu lintas disebarake kanthi jumlah data sing dikirim / ditampa lan jumlah sesi:
Saliyane kabeh iki, ana kesempatan sing apik kanggo nglacak dalan paket kanthi rinci maksimal. Nalika nggarap jaringan nyata, konfigurasi piranti nglumpukake akeh kabijakan rute, firewall, lan distribusi lalu lintas ing port SD-WAN. Kabeh iki sesambungan karo saben liyane ing cara Komplek, lan senadyan vendor nyedhiyani diagram pemblokiran rinci algoritma Processing paket, iku penting banget kanggo bisa ora mbangun lan nyoba teori, nanging kanggo ndeleng ngendi lalu lintas bener dadi.
Contone, set printah ing ngisor iki
diagnose debug flow filter saddr 10.200.64.15
diagnose debug flow filter daddr 10.1.7.2
diagnose debug flow show function-name
diagnose debug enable
diagnose debug trace 2
Ngidini sampeyan kanggo trek loro paket karo alamat sumber 10.200.64.15 lan alamat tujuan 10.1.7.2.
We ping 10.7.1.2 saka 10.200.64.15 kaping pindho lan katon ing output ing console.
Paket pertama:
Paket kedua:
Iki minangka paket pisanan sing ditampa dening firewall:
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0."
VDOM – Internet, Proto=1 (ICMP), DMZ-Office – название L3-интерфейса. Type=8 – Echo.
Sesi anyar wis digawe kanggo dheweke:
msg="allocate a new session-0006a627"
Lan cocog ditemokake ing setelan kabijakan rute
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"
Pranyata paket kasebut kudu dikirim menyang salah sawijining terowongan VPN:
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"
Aturan ijin ing ngisor iki dideteksi ing kabijakan firewall:
msg="Allowed by Policy-3:"
Paket kasebut dienkripsi lan dikirim menyang terowongan VPN:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
Paket sing dienkripsi dikirim menyang alamat gateway kanggo antarmuka WAN iki:
msg="send to 2.2.2.2 via intf-WAN1"
Kanggo paket kapindho, kabeh kedadeyan padha, nanging dikirim menyang trowongan VPN liyane lan metu liwat port firewall sing beda:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"
Pros saka solusi
Fungsi sing dipercaya lan antarmuka sing ramah pangguna. Set fitur sing kasedhiya ing FortiOS sadurunge tekane SD-WAN wis dilestarekake kanthi lengkap. Sing, kita ora duwe software mentas dikembangaké, nanging sistem diwasa saka vendor firewall buktiaken. Kanthi sakumpulan fungsi jaringan tradisional, antarmuka web sing trep lan gampang dipelajari. Carane akeh vendor SD-WAN duwe, ngomong, fungsi Remote-Akses VPN ing piranti pungkasan?
Tingkat keamanan 80. FortiGate minangka salah sawijining solusi firewall paling dhuwur. Ana akeh materi ing Internet babagan nyetel lan ngatur firewall, lan ing pasar tenaga kerja ana akeh spesialis keamanan sing wis nguwasani solusi vendor.
Zero rega kanggo fungsi SD-WAN. Mbangun jaringan SD-WAN ing FortiGate biaya padha karo mbangun jaringan WAN biasa, amarga ora ana lisensi tambahan sing dibutuhake kanggo ngleksanakake fungsi SD-WAN.
Low entry alangi rega. Fortigate nduweni gradasi piranti sing apik kanggo tingkat kinerja sing beda. Model sing paling enom lan paling murah cukup cocok kanggo ngembangake kantor utawa titik jual, umpamane, 3-5 karyawan. Akeh vendor mung ora duwe model sing murah lan terjangkau.
Kualitas apik. Ngurangi fungsi SD-WAN menyang imbangan lalu lintas ngidini perusahaan ngeculake SD-WAN ASIC khusus, amarga operasi SD-WAN ora nyuda kinerja firewall kanthi sakabehe.
Kemampuan kanggo ngetrapake kabeh kantor ing peralatan Fortinet. Iki minangka pasangan firewall, switch, titik akses Wi-Fi. Kantor kuwi gampang lan trep kanggo ngatur - ngalih lan titik akses didaftar ing firewall lan ngatur saka wong-wong mau. Contone, iki kaya port switch saka antarmuka firewall sing ngontrol switch iki:
Lack saka pengontrol minangka titik siji saka Gagal. Vendor piyambak fokus ing iki, nanging iki mung bisa disebut entuk manfaat ing bagean, amarga sing vendor sing duwe pengontrol, mesthekake toleransi fault inexpensive, paling asring ing rega jumlah cilik saka sumber daya komputerisasi ing lingkungan virtualization.
Apa sing kudu digoleki
Ora ana pamisahan antarane Control Plane lan Data Plane. Iki tegese jaringan kudu dikonfigurasi kanthi manual utawa nggunakake alat manajemen tradisional sing wis kasedhiya - FortiManager. Kanggo vendor sing wis ngleksanakake pamisahan kuwi, jaringan nglumpuk dhewe. Administrator mung kudu nyetel topologi, nglarang soko nang endi wae, ora liya. Nanging, kertu trump FortiManager iku bisa ngatur ora mung firewalls, nanging uga ngalih lan titik akses Wi-Fi, sing meh kabeh jaringan.
Tambah kondisional ing kontrol. Amarga kasunyatan manawa alat tradisional digunakake kanggo ngotomatisasi konfigurasi jaringan, manajemen jaringan kanthi introduksi SD-WAN mundhak rada. Ing tangan liyane, fungsi anyar kasedhiya luwih cepet, wiwit vendor pisanan diluncurake mung kanggo sistem operasi firewall (sing langsung ndadekake iku bisa kanggo nggunakake), lan mung banjur nambah sistem manajemen karo antarmuka sing perlu.
Sawetara fungsi bisa uga kasedhiya saka baris printah, nanging ora kasedhiya saka antarmuka web. Kadang iku ora dadi medeni kanggo pindhah menyang baris printah kanggo ngatur soko, nanging medeni ora kanggo ndeleng ing antarmuka web sing wong wis diatur soko saka baris printah. Nanging iki biasane ditrapake kanggo fitur paling anyar lan mboko sithik, kanthi nganyari FortiOS, kemampuan antarmuka web saya apik.
Sapa sing bakal cocog
Kanggo sing ora duwe akeh cabang. Ngleksanakake solusi SD-WAN karo komponen tengah Komplek ing jaringan 8-10 cabang bisa uga ora biaya lilin - sampeyan kudu nglampahi dhuwit ing lisensi kanggo piranti SD-WAN lan sumber daya sistem virtualisasi kanggo tuan rumah komponen tengah. Perusahaan cilik biasane duwe sumber daya komputasi gratis sing winates. Ing kasus Fortinet, cukup mung tuku firewall.
Kanggo sing duwe akeh cabang cilik. Kanggo akeh vendor, rega solusi minimal saben cabang cukup dhuwur lan bisa uga ora menarik saka sudut pandang bisnis pelanggan pungkasan. Fortinet nawakake piranti cilik kanthi rega sing apik banget.
Kanggo sing durung siap kanggo langkah adoh banget. Ngleksanakake SD-WAN kanthi pengontrol, rute kepemilikan, lan pendekatan anyar kanggo perencanaan lan manajemen jaringan bisa uga dadi langkah gedhe kanggo sawetara pelanggan. Ya, implementasine kasebut pungkasane bakal mbantu ngoptimalake panggunaan saluran komunikasi lan pakaryan para pangurus, nanging pisanan sampeyan kudu sinau akeh perkara anyar. Kanggo sing durung siyap kanggo owah-owahan paradigma, nanging pengin luwih akeh saluran komunikasi, solusi saka Fortinet mung pas.
Source: www.habr.com