SD-WAN арқылы бізге келе бастаған сұрақтардың санына қарағанда, технология Ресейде түбегейлі тамыр жая бастады. Сатушылар, әрине, ұйықтап жатқан жоқ және өз тұжырымдамаларын ұсынады, ал кейбір батыл пионерлер оларды өз желілерінде енгізуде.
Біз барлық дерлік жеткізушілермен жұмыс істейміз және бірнеше жыл бойы зертханамызда бағдарламалық жасақтамамен анықталған шешімдердің әрбір ірі әзірлеушісінің архитектурасын зерттей алдым. Fortinet-тен SD-WAN бұл жерде сәл бөлек тұрады, ол желіаралық қалқан бағдарламалық құралына байланыс арналары арасындағы трафикті теңестіру функциясын жай ғана құрастырған. Шешім біршама демократиялық, сондықтан оны әдетте жаһандық өзгерістерге әлі дайын емес, бірақ байланыс арналарын тиімдірек пайдаланғысы келетін компаниялар қарастырады.
Бұл мақалада мен сізге Fortinet-тен SD-WAN қалай конфигурациялау және онымен жұмыс істеу керектігін айтқым келеді, бұл шешім кім үшін қолайлы және бұл жерде сіз қандай қиындықтарға тап болуыңыз мүмкін.
SD-WAN нарығындағы ең көрнекті ойыншыларды екі түрдің біріне жіктеуге болады:
1. SD-WAN шешімдерін нөлден жасаған стартаптар. Олардың ең табыстысы ірі компаниялар сатып алғаннан кейін дамуға үлкен серпін береді - бұл Cisco/Viptela, VMWare/VeloCloud, Nuage/Nokia тарихы.
2. SD-WAN шешімдерін жасаған, дәстүрлі маршрутизаторларының бағдарламалануы мен басқарылуын дамытқан ірі желі жеткізушілері - бұл Juniper, Huawei тарихы.
Fortinet өз жолын таба алды. Брандмауэр бағдарламалық жасақтамасы қарапайым маршруттаумен салыстырғанда олардың интерфейстерін виртуалды арналарға біріктіруге және күрделі алгоритмдер арқылы олардың арасындағы жүктемені теңестіруге мүмкіндік беретін кіріктірілген функционалдылыққа ие болды. Бұл функция SD-WAN деп аталды. Fortinet-ті SD-WAN деп атауға бола ма? Нарық бірте-бірте бағдарламалық құралмен анықталған басқару жазықтығының деректер жазықтығынан, арнайы контроллерлерден және оркестрлерден бөлінуін білдіретінін түсінеді. Fortinet-те мұндай ештеңе жоқ. Орталықтандырылған басқару міндетті емес және дәстүрлі Fortimanager құралы арқылы ұсынылады. Бірақ менің ойымша, абстрактілі шындықты іздеп, терминдер туралы дауласуға уақытты жоғалтпау керек. Нақты әлемде әрбір тәсілдің өз артықшылықтары мен кемшіліктері бар. Шығудың ең жақсы жолы - оларды түсіну және міндеттерге сәйкес шешімдерді таңдай білу.
Мен сізге Fortinet SD-WAN қалай көрінетінін және ол не істей алатынын қолымдағы скриншоттармен айтып беруге тырысамын.
Мұның бәрі қалай жұмыс істейді
Екі деректер арнасы арқылы қосылған екі тармақ бар делік. Бұл деректер сілтемелері әдеттегі Ethernet интерфейстерінің LACP-порт-арнасына біріктірілгеніне ұқсас топқа біріктірілген. Ескі адамдар PPP Multilink-ті есте сақтайды - бұл сондай-ақ қолайлы аналогия. Арналар физикалық порттар, VLAN SVI, сондай-ақ VPN немесе GRE туннельдері болуы мүмкін.
VPN немесе GRE әдетте филиалдық жергілікті желілерді Интернет арқылы қосу кезінде қолданылады. Ал физикалық порттар - егер тораптар арасында L2 қосылымдары болса немесе арнайы MPLS/VPN арқылы қосылған кезде, егер біз Overlay және шифрлаусыз қосылымға қанағаттансақ. SD-WAN тобында физикалық порттар пайдаланылатын басқа сценарий пайдаланушылардың Интернетке жергілікті қол жеткізуін теңестіру болып табылады.
Біздің стендте екі «байланыс операторы» арқылы жұмыс істейтін төрт желіаралық қалқан және екі VPN туннелі бар. Диаграмма келесідей көрінеді:
VPN туннельдері интерфейс режимінде конфигурацияланады, осылайша олар P2P интерфейстеріндегі IP мекенжайлары бар құрылғылар арасындағы нүктеден нүктеге қосылымдарға ұқсайды, олар белгілі бір туннель арқылы байланыстың жұмыс істеп тұрғанын қамтамасыз ету үшін пингпен өңделеді. Трафик шифрлануы және қарсы жаққа өтуі үшін оны туннельге бағыттау жеткілікті. Балама – конфигурация күрделене түскен сайын әкімшіні қатты шатастыратын ішкі желілер тізімдерін пайдаланып шифрлау үшін трафикті таңдау. Үлкен желіде VPN құру үшін ADVPN технологиясын пайдалануға болады; бұл Cisco-дан DMVPN немесе Huawei-ден DVPN аналогы, ол оңай орнатуға мүмкіндік береді.
Екі жағында BGP маршрутизациясы бар екі құрылғыға арналған сайттан сайтқа VPN конфигурациясы
«ЦОД» (DC)
«Филиал» (BRN)
config system interface
edit "WAN1"
set vdom "Internet"
set ip 1.1.1.1 255.255.255.252
set allowaccess ping
set role wan
set interface "DC-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 3.3.3.1 255.255.255.252
set allowaccess ping
set role lan
set interface "DC-BRD"
set vlanid 112
next
edit "BRN-Ph1-1"
set vdom "Internet"
set ip 192.168.254.1 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.2 255.255.255.255
set interface "WAN1"
next
edit "BRN-Ph1-2"
set vdom "Internet"
set ip 192.168.254.3 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.4 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "BRN-Ph1-1"
set interface "WAN1"
set local-gw 1.1.1.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 2.2.2.1
set psksecret ***
next
edit "BRN-Ph1-2"
set interface "WAN2"
set local-gw 3.3.3.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 4.4.4.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "BRN-Ph2-1"
set phase1name "BRN-Ph1-1"
set proposal aes256-sha256
set dhgrp 2
next
edit "BRN-Ph2-2"
set phase1name "BRN-Ph1-2"
set proposal aes256-sha256
set dhgrp 2
next
end
config router static
edit 1
set gateway 1.1.1.2
set device "WAN1"
next
edit 3
set gateway 3.3.3.2
set device "WAN2"
next
end
config router bgp
set as 65002
set router-id 10.1.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.2"
set remote-as 65003
next
edit "192.168.254.4"
set remote-as 65003
next
end
config network
edit 1
set prefix 10.1.0.0 255.255.0.0
next
end
config system interface
edit "WAN1"
set vdom "Internet"
set ip 2.2.2.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 4.4.4.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 114
next
edit "DC-Ph1-1"
set vdom "Internet"
set ip 192.168.254.2 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.1 255.255.255.255
set interface "WAN1"
next
edit "DC-Ph1-2"
set vdom "Internet"
set ip 192.168.254.4 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.3 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "DC-Ph1-1"
set interface "WAN1"
set local-gw 2.2.2.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 1.1.1.1
set psksecret ***
next
edit "DC-Ph1-2"
set interface "WAN2"
set local-gw 4.4.4.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 3.3.3.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "DC-Ph2-1"
set phase1name "DC-Ph1-1"
set proposal aes128-sha1
set dhgrp 2
next
edit "DC2-Ph2-2"
set phase1name "DC-Ph1-2"
set proposal aes128-sha1
set dhgrp 2
next
end
config router static
edit 1
set gateway 2.2.2.2
et device "WAN1"
next
edit 3
set gateway 4.4.4.2
set device "WAN2"
next
end
config router bgp
set as 65003
set router-id 10.200.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.1"
set remote-as 65002
next
edit "192.168.254.3"
set remote-as 65002
next
end
config network
edit 1
set prefix 10.200.0.0 255.255.0.0
next
end
Мен конфигурацияны мәтін түрінде ұсынамын, өйткені менің ойымша, VPN-ді осылай конфигурациялау ыңғайлырақ. Параметрлердің барлығы дерлік екі жағында бірдей; мәтіндік пішінде оларды көшіру-қою ретінде жасауға болады. Егер сіз веб-интерфейсте дәл осылай жасасаңыз, қателесу оңай - бір жерде құсбелгіні ұмытып, қате мәнді енгізіңіз.
Топтамаға интерфейстерді қосқаннан кейін
барлық маршруттар мен қауіпсіздік саясаттары оған кіретін интерфейстерге емес, оған сілтеме жасай алады. Кем дегенде, ішкі желілерден SD-WAN-ға трафикке рұқсат беру керек. Олар үшін ережелер жасаған кезде, IPS, антивирус және HTTPS ашу сияқты қорғаныс шараларын қолдануға болады.
SD-WAN ережелері жинақ үшін конфигурацияланған. Бұл нақты трафик үшін теңгерімдеу алгоритмін анықтайтын ережелер. Олар Саясатқа негізделген маршруттаудағы маршруттау саясаттарына ұқсас, тек саясатқа жататын трафиктің нәтижесінде ол келесі реттік немесе әдеттегі шығыс интерфейсі емес, сонымен қатар SD-WAN бумасына қосылған интерфейстер орнатылады. осы интерфейстер арасындағы трафикті теңестіру алгоритмі.
Трафикті жалпы ағыннан L3-L4 ақпараты, танылған қолданбалар, Интернет қызметтері (URL және IP), сондай-ақ жұмыс станциялары мен ноутбуктердің танымал пайдаланушылары арқылы бөлуге болады. Осыдан кейін бөлінген трафикке келесі теңдестіру алгоритмдерінің бірін тағайындауға болады:
Интерфейс теңшелімдері тізімінде трафиктің осы түріне қызмет ететін жинаққа қосылған интерфейстер таңдалады. Барлық емес интерфейстерді қосу арқылы қымбат арналарды жоғары SLA-мен жүктегіңіз келмесе, қандай арналарды, мысалы, электрондық поштаны пайдаланатыныңызды шектей аласыз. FortiOS 6.4.1-де SD-WAN бумасына қосылған интерфейстерді аймақтарға топтастыру мүмкін болды, мысалы, қашықтағы сайттармен байланысу үшін бір аймақты және NAT арқылы жергілікті Интернетке қол жеткізу үшін екіншісін құру. Иә, иә, кәдімгі Интернетке түсетін трафик те теңестірілуі мүмкін.
Теңдестіру алгоритмдері туралы
Fortigate (Fortinet-тен брандмауэр) трафикті арналар арасында қалай бөлуге болатынына қатысты, нарықта өте кең таралған емес екі қызықты нұсқа бар:
Ең төмен құны (SLA) – қазіргі уақытта SLA-ны қанағаттандыратын барлық интерфейстердің ішінен әкімші қолмен белгілеген салмағы аз (құны) таңдалады; бұл режим сақтық көшірме жасау және файлдарды тасымалдау сияқты «жаппай» трафик үшін қолайлы.
Ең жақсы сапа (SLA) – бұл алгоритм Fortigate пакеттерінің әдеттегі кешігуіне, діріліне және жоғалуына қосымша арналардың сапасын бағалау үшін ағымдағы арна жүктемесін де пайдалана алады; Бұл режим VoIP және бейне конференция сияқты сезімтал трафик үшін қолайлы.
Бұл алгоритмдер байланыс арнасының өнімділік көрсеткішін орнатуды талап етеді - Performance SLA. Бұл есептегіш кезеңді түрде (тексеру аралығы) SLA сәйкестігі туралы ақпаратты бақылайды: байланыс арнасындағы пакеттің жоғалуы, кідіріс (кідіріс) және діріл (діріл) және қазіргі уақытта сапа шегіне сәйкес келмейтін арналарды «қабылдамай» алады – олар жоғалуда. тым көп пакеттер немесе тым көп кешігу. Сонымен қатар, есептегіш арнаның күйін бақылайды және жауаптардың қайталануы жоғалған жағдайда (белсенді емес болғанға дейінгі сәтсіздіктер) оны пакеттен уақытша алып тастай алады. Қалпына келтірген кезде, бірнеше рет жауаптардан кейін (сілтемені қалпына келтіру) метр арнаны автоматты түрде бумаға қайтарады және ол арқылы деректер қайтадан беріле бастайды.
«Өлшегіш» параметрі келесідей:
Веб-интерфейсте ICMP-Echo-request, HTTP-GET және DNS сұраулары сынақ хаттамалары ретінде қол жетімді. Пәрмен жолында тағы біраз опциялар бар: TCP-echo және UDP-echo опциялары, сонымен қатар мамандандырылған сапаны өлшеу протоколы - TWAMP бар.
Өлшеу нәтижелерін веб-интерфейсте де көруге болады:
Және пәрмен жолында:
Ақаулық себебін іздеу және түзету
Ережені жасасаңыз, бірақ бәрі күткендей жұмыс істемесе, SD-WAN ережелері тізіміндегі Hit Count мәнін қарауыңыз керек. Ол трафиктің осы ережеге сәйкес келетінін көрсетеді:
Есептегіштің параметрлер бетінде уақыт өте келе арна параметрлерінің өзгеруін көруге болады. Нүктелі сызық параметрдің шекті мәнін көрсетеді
Веб-интерфейсте трафиктің жіберілетін/қабылданатын деректер көлемі және сеанстар саны бойынша қалай бөлінетінін көруге болады:
Мұның бәрінен басқа, пакеттердің өтуін барынша егжей-тегжейлі бақылауға тамаша мүмкіндік бар. Нақты желіде жұмыс істегенде, құрылғы конфигурациясы көптеген маршруттау саясаттарын, желіаралық қалқанды және SD-WAN порттары арқылы трафикті бөлуді жинақтайды. Мұның бәрі бір-бірімен күрделі түрде өзара әрекеттеседі және сатушы пакеттерді өңдеу алгоритмдерінің егжей-тегжейлі блок-схемаларын ұсынса да, теорияларды құру және сынау емес, трафиктің қай жерде жүретінін көру өте маңызды.
Мысалы, келесі пәрмендер жинағы
diagnose debug flow filter saddr 10.200.64.15
diagnose debug flow filter daddr 10.1.7.2
diagnose debug flow show function-name
diagnose debug enable
diagnose debug trace 2
10.200.64.15 бастапқы мекенжайы және 10.1.7.2 тағайындалған мекенжайы бар екі пакетті қадағалауға мүмкіндік береді.
Біз 10.7.1.2-тен 10.200.64.15 екі рет пинг жасаймыз және консольдегі шығысқа қараймыз.
Бірінші пакет:
Екінші пакет:
Міне брандмауэр қабылдаған бірінші пакет:
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0."
VDOM – Internet, Proto=1 (ICMP), DMZ-Office – название L3-интерфейса. Type=8 – Echo.
Ол үшін жаңа сессия құрылды:
msg="allocate a new session-0006a627"
Маршрутизация саясаты параметрлерінде сәйкестік табылды
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"
Пакетті VPN туннельдерінің біріне жіберу керек екені белгілі болды:
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"
Брандмауэр саясаттарында келесі рұқсат ету ережесі анықталады:
msg="Allowed by Policy-3:"
Пакет шифрланады және VPN туннеліне жіберіледі:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
Шифрланған пакет осы WAN интерфейсінің шлюз мекенжайына жіберіледі:
msg="send to 2.2.2.2 via intf-WAN1"
Екінші пакет үшін бәрі бірдей болады, бірақ ол басқа VPN туннельіне жіберіледі және басқа брандмауэр порты арқылы кетеді:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"
Шешімнің артықшылығы
Сенімді функционалдылық және пайдаланушыға ыңғайлы интерфейс. SD-WAN пайда болғанға дейін FortiOS жүйесінде қол жетімді болған мүмкіндіктер жиынтығы толығымен сақталған. Яғни, бізде жаңадан әзірленген бағдарламалық жасақтама жоқ, бірақ дәлелденген брандмауэр жеткізушісінің жетілген жүйесі бар. Желілік функциялардың дәстүрлі жиынтығымен, ыңғайлы және үйренуге оңай веб-интерфейсімен. Қанша SD-WAN жеткізушілерінде, айталық, соңғы құрылғыларда қашықтан қол жеткізу VPN функциясы бар?
Қауіпсіздік деңгейі 80. FortiGate - желіаралық қалқанның ең жақсы шешімдерінің бірі. Интернетте желіаралық қалқандарды орнату және басқару бойынша көптеген материалдар бар, ал еңбек нарығында жеткізушінің шешімдерін игерген көптеген қауіпсіздік мамандары бар.
SD-WAN функциясының нөлдік бағасы. FortiGate жүйесінде SD-WAN желісін құру ондағы кәдімгі WAN желісін құрумен бірдей тұрады, өйткені SD-WAN функционалдығын жүзеге асыру үшін қосымша лицензиялар қажет емес.
Кіру кедергісінің төмен бағасы. Fortigate әртүрлі өнімділік деңгейлері үшін құрылғылардың жақсы градациясына ие. Ең жас және ең арзан модельдер кеңсені немесе сату орнын, айталық, 3-5 қызметкермен кеңейту үшін өте қолайлы. Көптеген сатушыларда мұндай төмен өнімділік пен қол жетімді үлгілер жоқ.
Жоғары өнімділік. SD-WAN функционалдығын трафик теңгеріміне азайту компанияға мамандандырылған SD-WAN ASIC шығаруға мүмкіндік берді, соның арқасында SD-WAN операциясы тұтастай брандмауэрдің өнімділігін төмендетпейді.
Fortinet жабдығында тұтас кеңсені енгізу мүмкіндігі. Бұл желіаралық қалқандар, қосқыштар, Wi-Fi кіру нүктелері. Мұндай кеңсені басқару оңай және ыңғайлы - коммутаторлар мен кіру нүктелері брандмауэрлерде тіркеледі және олардан басқарылады. Мысалы, коммутатор порты осы қосқышты басқаратын брандмауэр интерфейсінен келесідей болуы мүмкін:
Бір ғана сәтсіздік нүктесі ретінде контроллерлердің болмауы. Жеткізушінің өзі осыған назар аударады, бірақ мұны тек ішінара пайда деп атауға болады, өйткені контроллерлері бар жеткізушілер үшін олардың ақауларға төзімділігін қамтамасыз ету қымбат емес, көбінесе виртуалдандыру ортасында есептеу ресурстарының аз мөлшерінің бағасымен.
Нені іздеу керек
Басқару жазықтығы мен деректер жазықтығы арасында айырмашылық жоқ. Бұл желіні қолмен немесе бұрыннан бар дәстүрлі басқару құралдарын - FortiManager арқылы конфигурациялау керек дегенді білдіреді. Мұндай бөлуді жүзеге асырған жеткізушілер үшін желі өзі жиналады. Әкімшіге оның топологиясын реттеу, бір жерде бір нәрсеге тыйым салу қажет болуы мүмкін, басқа ештеңе жоқ. Дегенмен, FortiManager-тің трамплиндік картасы - ол желіаралық қалқандарды ғана емес, сонымен қатар коммутаторлар мен Wi-Fi кіру нүктелерін, яғни бүкіл желіні дерлік басқара алады.
Басқару мүмкіндігін шартты түрде арттыру. Желінің конфигурациясын автоматтандыру үшін дәстүрлі құралдар пайдаланылғандықтан, SD-WAN енгізу арқылы желіні басқару мүмкіндігі аздап артады. Екінші жағынан, жаңа функциялар тезірек қол жетімді болады, өйткені сатушы оны алдымен желіаралық қалқан операциялық жүйесі үшін шығарады (бұл оны бірден пайдалануға мүмкіндік береді), содан кейін ғана басқару жүйесін қажетті интерфейстермен толықтырады.
Кейбір функциялар пәрмен жолында қол жетімді болуы мүмкін, бірақ веб-интерфейстен қол жетімді емес. Кейде бірдеңені конфигурациялау үшін пәрмен жолына кіру соншалықты қорқынышты емес, бірақ веб-интерфейсте біреу пәрмен жолынан бірдеңені конфигурациялағанын көрмеу қорқынышты. Бірақ бұл әдетте ең жаңа мүмкіндіктерге қатысты және бірте-бірте FortiOS жаңартулары арқылы веб-интерфейс мүмкіндіктері жақсарады.
Қолайлы
Көп филиалдары жоқ адамдар үшін. 8-10 тармақтан тұратын желіде күрделі орталық құрамдастары бар SD-WAN шешімін енгізу қымбатқа түспеуі мүмкін - орталық компоненттерді орналастыру үшін SD-WAN құрылғыларына лицензиялар мен виртуализация жүйесінің ресурстарына ақша жұмсауға тура келеді. Шағын компанияда әдетте шектеулі тегін есептеу ресурстары болады. Fortinet жағдайында желіаралық қалқандарды сатып алу жеткілікті.
Кішкентай бұтақтары көп адамдар үшін. Көптеген жеткізушілер үшін бір филиал үшін шешімнің ең төменгі бағасы өте жоғары және соңғы тұтынушының бизнесі тұрғысынан қызықты болмауы мүмкін. Fortinet шағын құрылғыларды өте тартымды бағамен ұсынады.
Әлі тым алысқа қадам басуға дайын емес адамдар үшін. SD-WAN жүйесін контроллерлермен, меншікті маршруттаумен және желіні жоспарлау мен басқаруға жаңа көзқараспен енгізу кейбір тұтынушылар үшін тым үлкен қадам болуы мүмкін. Иә, мұндай іске асыру, сайып келгенде, байланыс арналарын пайдалануды және әкімшілер жұмысын оңтайландыруға көмектеседі, бірақ алдымен сізге көптеген жаңа нәрселерді үйренуге тура келеді. Парадигманы өзгертуге әлі дайын емес, бірақ байланыс арналарынан көбірек сығып алғысы келетіндер үшін Fortinet шешімі дұрыс.
Ақпарат көзі: www.habr.com