SD-WAN의 가장 민주적인 분석: 아키텍처, 구성, 관리 및 함정

SD-WAN을 통해 우리에게 도착하기 시작한 질문의 수로 판단하면, 이 기술은 러시아에 완전히 뿌리내리기 시작했습니다. 당연히 공급업체는 잠들지 않고 자신의 개념을 제공하며 일부 용감한 개척자들은 이미 이를 네트워크에서 구현하고 있습니다.

우리는 거의 모든 공급업체와 협력하고 있으며 수년에 걸쳐 우리 연구실에서 소프트웨어 정의 솔루션의 모든 주요 개발자의 아키텍처를 조사했습니다. Fortinet의 SD-WAN은 통신 채널 간 트래픽 균형을 방화벽 소프트웨어에 구축하는 기능만 구축했다는 점에서 약간 다릅니다. 이 솔루션은 다소 민주적이므로 아직 글로벌 변화에 대비하지 못했지만 커뮤니케이션 채널을 보다 효과적으로 사용하려는 기업에서 일반적으로 고려합니다.

이 기사에서는 Fortinet의 SD-WAN을 구성하고 사용하는 방법, 이 솔루션이 누구에게 적합한지, 여기서 발생할 수 있는 위험에 대해 설명하고 싶습니다.

SD-WAN 시장에서 가장 유명한 플레이어는 두 가지 유형 중 하나로 분류될 수 있습니다.

1. 처음부터 SD-WAN 솔루션을 만든 스타트업. 이들 중 가장 성공적인 제품은 대기업에 인수된 후 엄청난 개발 추진력을 얻습니다. Cisco/Viptela, VMWare/VeloCloud, Nuage/Nokia의 이야기입니다.

2. 기존 라우터의 프로그래밍 가능성과 관리 가능성을 개발하면서 SD-WAN 솔루션을 개발한 대규모 네트워크 공급업체 - 이것이 Juniper, Huawei의 이야기입니다.

Fortinet은 그 길을 찾았습니다. 방화벽 소프트웨어에는 인터페이스를 가상 채널로 결합하고 기존 라우팅과 비교하여 복잡한 알고리즘을 사용하여 이들 간의 로드 균형을 조정할 수 있는 기능이 내장되어 있습니다. 이 기능을 SD-WAN이라고 합니다. Fortinet을 SD-WAN이라고 부를 수 있나요? 시장에서는 소프트웨어 정의가 컨트롤 플레인을 데이터 플레인, 전용 컨트롤러 및 오케스트레이터로부터 분리하는 것을 의미한다는 점을 점차 이해하고 있습니다. 포티넷에는 그런 것이 없습니다. 중앙 집중식 관리는 선택 사항이며 기존 Fortimanager 도구를 통해 제공됩니다. 하지만 제 생각에는 추상적인 진실을 찾거나 용어에 대해 논쟁하는 데 시간을 낭비해서는 안 됩니다. 실제 세계에서는 각 접근 방식마다 장점과 단점이 있습니다. 가장 좋은 방법은 이를 이해하고 작업에 해당하는 솔루션을 선택할 수 있는 것입니다.

Fortinet의 SD-WAN이 어떤 모습이고 무엇을 할 수 있는지 스크린샷을 통해 알려드리겠습니다.

작동 방식

두 개의 데이터 채널로 연결된 두 개의 분기가 있다고 가정해 보겠습니다. 이러한 데이터 링크는 일반 이더넷 인터페이스가 LACP-포트-채널로 결합되는 방식과 유사하게 하나의 그룹으로 결합됩니다. 오래된 사람들은 PPP 멀티링크를 기억할 것입니다. 이는 적절한 비유이기도 합니다. 채널은 물리적 포트, VLAN SVI, VPN 또는 GRE 터널일 수 있습니다.

VPN 또는 GRE는 일반적으로 인터넷을 통해 지점 로컬 네트워크를 연결할 때 사용됩니다. 물리적 포트 - 사이트 간에 L2 연결이 있거나 전용 MPLS/VPN을 통해 연결할 때 오버레이 및 암호화 없이 연결에 만족하는 경우. SD-WAN 그룹에서 물리적 포트가 사용되는 또 다른 시나리오는 인터넷에 대한 사용자의 로컬 액세스 균형을 맞추는 것입니다.

우리 스탠드에는 XNUMX개의 "통신 사업자"를 통해 작동하는 XNUMX개의 방화벽과 XNUMX개의 VPN 터널이 있습니다. 다이어그램은 다음과 같습니다.

VPN 터널은 P2P 인터페이스의 IP 주소가 있는 장치 간의 지점 간 연결과 유사하도록 인터페이스 모드에서 구성됩니다. 이는 특정 터널을 통한 통신이 작동하는지 확인하기 위해 핑을 보낼 수 있습니다. 트래픽이 암호화되어 반대쪽으로 이동하려면 터널로 라우팅하면 충분합니다. 대안은 서브넷 목록을 사용하여 암호화할 트래픽을 선택하는 것인데, 이는 구성이 더욱 복잡해짐에 따라 관리자를 크게 혼란스럽게 합니다. 대규모 네트워크에서는 ADVPN 기술을 사용하여 VPN을 구축할 수 있습니다. 이는 Cisco의 DMVPN 또는 Huawei의 DVPN과 유사하므로 설정이 더 쉽습니다.

양쪽에 BGP 라우팅이 있는 두 장치에 대한 사이트 간 VPN 구성

«ЦОД» (DC)
«Филиал» (BRN)

config system interface
 edit "WAN1"
  set vdom "Internet"
  set ip 1.1.1.1 255.255.255.252
  set allowaccess ping
  set role wan
  set interface "DC-BRD"
  set vlanid 111
 next
 edit "WAN2"
  set vdom "Internet"
  set ip 3.3.3.1 255.255.255.252
  set allowaccess ping
  set role lan
  set interface "DC-BRD"
  set vlanid 112
 next
 edit "BRN-Ph1-1"
  set vdom "Internet"
  set ip 192.168.254.1 255.255.255.255
  set allowaccess ping
  set type tunnel
  set remote-ip 192.168.254.2 255.255.255.255
  set interface "WAN1"
 next
 edit "BRN-Ph1-2"
  set vdom "Internet"
  set ip 192.168.254.3 255.255.255.255
  set allowaccess ping
  set type tunnel
  set remote-ip 192.168.254.4 255.255.255.255
  set interface "WAN2"
 next
end

config vpn ipsec phase1-interface
 edit "BRN-Ph1-1"
  set interface "WAN1"
  set local-gw 1.1.1.1
  set peertype any
  set net-device disable
  set proposal aes128-sha1
  set dhgrp 2
  set remote-gw 2.2.2.1
  set psksecret ***
 next
 edit "BRN-Ph1-2"
  set interface "WAN2"
  set local-gw 3.3.3.1
  set peertype any
  set net-device disable
  set proposal aes128-sha1
  set dhgrp 2
  set remote-gw 4.4.4.1
  set psksecret ***
 next
end

config vpn ipsec phase2-interface
 edit "BRN-Ph2-1"
  set phase1name "BRN-Ph1-1"
  set proposal aes256-sha256
  set dhgrp 2
 next
 edit "BRN-Ph2-2"
  set phase1name "BRN-Ph1-2"
  set proposal aes256-sha256
  set dhgrp 2
 next
end

config router static
 edit 1
  set gateway 1.1.1.2
  set device "WAN1"
 next
 edit 3
  set gateway 3.3.3.2
  set device "WAN2"
 next
end

config router bgp
 set as 65002
 set router-id 10.1.7.1
 set ebgp-multipath enable
 config neighbor
  edit "192.168.254.2"
   set remote-as 65003
  next
  edit "192.168.254.4"
   set remote-as 65003
  next
 end

 config network
  edit 1
   set prefix 10.1.0.0 255.255.0.0
  next
end

config system interface
 edit "WAN1"
  set vdom "Internet"
  set ip 2.2.2.1 255.255.255.252
  set allowaccess ping
  set role wan
  set interface "BRN-BRD"
  set vlanid 111
 next
 edit "WAN2"
  set vdom "Internet"
  set ip 4.4.4.1 255.255.255.252
  set allowaccess ping
  set role wan
  set interface "BRN-BRD"
  set vlanid 114
 next
 edit "DC-Ph1-1"
  set vdom "Internet"
  set ip 192.168.254.2 255.255.255.255
  set allowaccess ping
  set type tunnel
  set remote-ip 192.168.254.1 255.255.255.255
  set interface "WAN1"
 next
 edit "DC-Ph1-2"
  set vdom "Internet"
  set ip 192.168.254.4 255.255.255.255
  set allowaccess ping
  set type tunnel
  set remote-ip 192.168.254.3 255.255.255.255
  set interface "WAN2"
 next
end

config vpn ipsec phase1-interface
  edit "DC-Ph1-1"
   set interface "WAN1"
   set local-gw 2.2.2.1
   set peertype any
   set net-device disable
   set proposal aes128-sha1
   set dhgrp 2
   set remote-gw 1.1.1.1
   set psksecret ***
  next
  edit "DC-Ph1-2"
   set interface "WAN2"
   set local-gw 4.4.4.1
   set peertype any
   set net-device disable
   set proposal aes128-sha1
   set dhgrp 2
   set remote-gw 3.3.3.1
   set psksecret ***
  next
end

config vpn ipsec phase2-interface
  edit "DC-Ph2-1"
   set phase1name "DC-Ph1-1"
   set proposal aes128-sha1
   set dhgrp 2
  next
  edit "DC2-Ph2-2"
   set phase1name "DC-Ph1-2"
   set proposal aes128-sha1
   set dhgrp 2
  next
end

config router static
 edit 1
  set gateway 2.2.2.2
  et device "WAN1"
 next
 edit 3
  set gateway 4.4.4.2
  set device "WAN2"
 next
end

config router bgp
  set as 65003
  set router-id 10.200.7.1
  set ebgp-multipath enable
  config neighbor
   edit "192.168.254.1"
    set remote-as 65002
   next
  edit "192.168.254.3"
   set remote-as 65002
   next
  end

  config network
   edit 1
    set prefix 10.200.0.0 255.255.0.0
   next
end

제 생각에는 이 방식으로 VPN을 구성하는 것이 더 편리하기 때문에 구성을 텍스트 형식으로 제공하고 있습니다. 거의 모든 설정은 양쪽에서 동일하며 텍스트 형식에서는 복사하여 붙여넣을 수 있습니다. 웹 인터페이스에서 동일한 작업을 수행하면 실수하기 쉽습니다. 어딘가에 확인 표시를 잊어버리고 잘못된 값을 입력하십시오.

번들에 인터페이스를 추가한 후

모든 경로와 보안 정책은 이를 참조할 수 있지만 여기에 포함된 인터페이스는 참조할 수 없습니다. 최소한 내부 네트워크에서 SD-WAN으로의 트래픽을 허용해야 합니다. 이에 대한 규칙을 생성하면 IPS, 바이러스 백신, HTTPS 공개와 같은 보호 조치를 적용할 수 있습니다.

번들에 대해 SD-WAN 규칙이 구성되었습니다. 이는 특정 트래픽에 대한 밸런싱 알고리즘을 정의하는 규칙입니다. 이는 정책 기반 라우팅의 라우팅 정책과 유사합니다. 트래픽이 정책에 속하는 경우에만 설치되는 것은 다음 홉이나 일반적인 발신 인터페이스가 아니라 SD-WAN 번들에 추가된 인터페이스입니다. 이러한 인터페이스 간의 트래픽 균형 조정 알고리즘.

트래픽은 L3-L4 정보, 인식된 애플리케이션, 인터넷 서비스(URL 및 IP), 인식된 워크스테이션 및 랩톱 사용자에 의해 일반 흐름과 분리될 수 있습니다. 그런 다음 할당된 트래픽에 다음 균형 조정 알고리즘 중 하나를 할당할 수 있습니다.

인터페이스 기본 설정 목록에서 이 유형의 트래픽을 제공할 번들에 이미 추가된 인터페이스가 선택됩니다. 모든 인터페이스를 추가하지 않음으로써 높은 SLA로 값비싼 채널에 부담을 주지 않으려면 이메일과 같이 사용하는 채널을 정확하게 제한할 수 있습니다. FortiOS 6.4.1에서는 SD-WAN 번들에 추가된 인터페이스를 영역으로 그룹화하여 원격 사이트와의 통신을 위한 영역과 NAT를 사용한 로컬 인터넷 액세스를 위한 영역을 생성하는 등의 작업이 가능해졌습니다. 예, 그렇습니다. 일반 인터넷으로 이동하는 트래픽도 균형을 이룰 수 있습니다.

균형 조정 알고리즘 정보

Fortigate(Fortinet의 방화벽)가 채널 간에 트래픽을 분할하는 방법과 관련하여 시장에서 흔하지 않은 두 가지 흥미로운 옵션이 있습니다.

최저 비용(SLA) – 현재 SLA를 만족하는 모든 인터페이스 중에서 관리자가 수동으로 설정한 가중치(비용)가 낮은 인터페이스를 선택합니다. 이 모드는 백업 및 파일 전송과 같은 "대량" 트래픽에 적합합니다.

최고의 품질(SLA) – 이 알고리즘은 Fortigate 패킷의 일반적인 지연, 지터 및 손실 외에도 현재 채널 로드를 사용하여 채널 품질을 평가할 수도 있습니다. 이 모드는 VoIP, 화상회의 등 민감한 트래픽에 적합합니다.

이러한 알고리즘을 사용하려면 통신 채널 성능 측정기(성능 SLA)를 설정해야 합니다. 이 미터는 SLA 준수에 대한 정보(통신 채널의 패킷 손실, 대기 시간 및 지터)를 주기적으로(확인 간격) 모니터링하고 현재 품질 임계값을 충족하지 못하는 채널을 "거부"할 수 있습니다. 즉, 너무 많은 패킷이 손실되거나 너무 많은 패킷이 손실되고 있습니다. 대기 시간이 많습니다. 또한 미터는 채널 상태를 모니터링하고 응답이 반복적으로 손실되는 경우(비활성화 전 실패) 번들에서 일시적으로 채널을 제거할 수 있습니다. 복원되면 여러 번의 연속 응답(후 링크 복원) 후에 미터가 자동으로 채널을 번들로 반환하고 데이터가 이를 통해 다시 전송되기 시작합니다.

"미터" 설정은 다음과 같습니다.

웹 인터페이스에서는 ICMP-Echo-request, HTTP-GET 및 DNS 요청을 테스트 프로토콜로 사용할 수 있습니다. 명령줄에는 좀 더 많은 옵션이 있습니다. TCP-echo 및 UDP-echo 옵션은 물론 특수 품질 측정 프로토콜인 TWAMP도 사용할 수 있습니다.

측정 결과는 웹 인터페이스에서도 볼 수 있습니다.

그리고 명령줄에서 다음을 수행합니다.

문제 해결

규칙을 생성했지만 모든 것이 예상대로 작동하지 않는 경우 SD-WAN 규칙 목록에서 적중 횟수 값을 확인해야 합니다. 트래픽이 이 규칙에 속하는지 여부가 표시됩니다.

미터 자체의 설정 페이지에서 시간에 따른 채널 매개변수의 변화를 확인할 수 있습니다. 점선은 매개변수의 임계값을 나타냅니다.

웹 인터페이스에서 전송/수신된 데이터 양과 세션 수에 따라 트래픽이 어떻게 분산되는지 확인할 수 있습니다.

이 모든 것 외에도 패킷의 통과를 최대한 자세하게 추적할 수 있는 좋은 기회가 있습니다. 실제 네트워크에서 작업할 때 장치 구성에는 SD-WAN 포트 전반에 걸쳐 많은 라우팅 정책, 방화벽 및 트래픽 분산이 누적됩니다. 이 모든 것은 복잡한 방식으로 서로 상호 작용하며, 벤더가 패킷 처리 알고리즘에 대한 자세한 블록 다이어그램을 제공하지만 이론을 구축하고 테스트하는 것이 아니라 트래픽이 실제로 어디로 가는지 확인하는 것이 매우 중요합니다.

예를 들어, 다음 명령 세트는

diagnose debug flow filter saddr 10.200.64.15
diagnose debug flow filter daddr 10.1.7.2
diagnose debug flow show function-name
diagnose debug enable
diagnose debug trace 2

소스 주소가 10.200.64.15이고 대상 주소가 10.1.7.2인 두 개의 패킷을 추적할 수 있습니다.
10.7.1.2에서 10.200.64.15를 두 번 ping하고 콘솔의 출력을 확인합니다.

첫 번째 패키지:

두 번째 패키지:

다음은 방화벽이 수신한 첫 번째 패킷입니다.
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0."
VDOM – Internet, Proto=1 (ICMP), DMZ-Office – название L3-интерфейса. Type=8 – Echo.

그를 위한 새로운 세션이 생성되었습니다:
msg="allocate a new session-0006a627"

라우팅 정책 설정에서 일치하는 항목이 발견되었습니다.
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"

패킷은 VPN 터널 중 하나로 전송되어야 하는 것으로 나타났습니다.
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"

방화벽 정책에서 다음 허용 규칙이 감지됩니다.
msg="Allowed by Policy-3:"

패킷은 암호화되어 VPN 터널로 전송됩니다.
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1"
func=esp_output4 line=905 msg="IPsec encrypt/auth"

암호화된 패킷은 이 WAN 인터페이스의 게이트웨이 주소로 전송됩니다.
msg="send to 2.2.2.2 via intf-WAN1"

두 번째 패킷의 경우 모든 일이 유사하게 발생하지만 다른 VPN 터널로 전송되어 다른 방화벽 포트를 통해 떠납니다.
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"

솔루션의 장점

안정적인 기능과 사용자 친화적인 인터페이스. SD-WAN이 등장하기 전에 FortiOS에서 사용할 수 있었던 기능 세트는 완전히 보존되었습니다. 즉, 우리는 새로 개발된 소프트웨어가 아니라 입증된 방화벽 공급업체의 성숙한 시스템을 보유하고 있습니다. 전통적인 네트워크 기능 세트를 통해 편리하고 배우기 쉬운 웹 인터페이스를 제공합니다. 최종 장치에 원격 액세스 VPN 기능을 갖춘 SD-WAN 공급업체는 얼마나 됩니까?

보안레벨 80. FortiGate는 최고의 방화벽 솔루션 중 하나입니다. 인터넷에는 방화벽 설정 및 관리에 관한 많은 자료가 있으며 노동 시장에는 이미 공급업체의 솔루션을 숙달한 보안 전문가가 많이 있습니다.

SD-WAN 기능 가격은 XNUMX입니다. FortiGate에 SD-WAN 네트워크를 구축하는 데 드는 비용은 일반 WAN 네트워크를 구축하는 것과 같습니다. SD-WAN 기능을 구현하는 데 추가 라이선스가 필요하지 않기 때문입니다.

진입장벽 가격이 낮습니다. Fortigate는 다양한 성능 수준에 맞는 다양한 장치 등급을 갖추고 있습니다. 가장 젊고 가장 저렴한 모델은 예를 들어 3~5명의 직원이 사무실이나 판매 시점을 확장하는 데 매우 적합합니다. 많은 공급업체에서는 이렇게 성능이 낮고 저렴한 모델을 갖고 있지 않습니다.

고성능. SD-WAN 기능을 트래픽 밸런싱으로 축소함으로써 회사는 전문적인 SD-WAN ASIC을 출시할 수 있었습니다. 덕분에 SD-WAN 작동으로 인해 방화벽 성능이 전체적으로 저하되지 않습니다.

Fortinet 장비로 사무실 전체를 구현할 수 있습니다. 이들은 한 쌍의 방화벽, 스위치, Wi-Fi 액세스 포인트입니다. 이러한 사무실은 관리가 쉽고 편리합니다. 스위치와 액세스 포인트는 방화벽에 등록되어 관리됩니다. 예를 들어, 이 스위치를 제어하는 ​​방화벽 인터페이스에서 스위치 포트는 다음과 같이 보일 수 있습니다.

단일 장애 지점인 컨트롤러 부족. 공급업체 자체는 이에 중점을 두지만 이는 부분적으로만 이점이라고 할 수 있습니다. 컨트롤러를 보유한 공급업체의 경우 내결함성을 보장하는 것이 가상화 환경에서 적은 양의 컴퓨팅 리소스를 사용하는 가격으로 가장 저렴하기 때문입니다.

무엇을 찾아야할까요?

컨트롤 플레인과 데이터 플레인이 분리되지 않음. 이는 네트워크를 수동으로 구성하거나 이미 사용 가능한 기존 관리 도구인 FortiManager를 사용하여 구성해야 함을 의미합니다. 이러한 분리를 구현한 공급업체의 경우 네트워크가 자체적으로 조립됩니다. 관리자는 토폴로지를 조정하고 어딘가에서 무언가를 금지하기만 하면 됩니다. 하지만 FortiManager의 비장의 카드는 방화벽뿐만 아니라 스위치와 Wi-Fi 액세스 포인트, 즉 거의 전체 네트워크를 관리할 수 있다는 것입니다.

제어 가능성의 조건부 증가. 네트워크 구성을 자동화하는 데 기존 도구가 사용되기 때문에 SD-WAN 도입으로 네트워크 관리 효율성이 약간 향상됩니다. 반면, 공급업체는 먼저 방화벽 운영 체제용으로만 기능을 출시한 다음(즉시 사용 가능하게 함) 필요한 인터페이스로 관리 시스템을 보완하므로 새로운 기능을 더 빨리 사용할 수 있습니다.

일부 기능은 명령줄에서 사용할 수 있지만 웹 인터페이스에서는 사용할 수 없습니다. 때로는 무언가를 구성하기 위해 명령줄에 들어가는 것이 그리 두렵지 않지만, 웹 인터페이스에서 누군가 이미 명령줄에서 무언가를 구성했다는 사실을 보지 못하는 것은 두려운 일입니다. 그러나 이는 일반적으로 최신 기능에 적용되며 FortiOS 업데이트를 통해 점차적으로 웹 인터페이스의 기능이 향상됩니다.

어울리는

지점이 많지 않은 분들을 위해 8~10개의 지점으로 구성된 네트워크에서 복잡한 중앙 구성 요소가 포함된 SD-WAN 솔루션을 구현하는 데는 많은 비용이 들지 않을 수 있습니다. 중앙 구성 요소를 호스팅하려면 SD-WAN 장치 및 가상화 시스템 리소스에 대한 라이선스에 비용을 지출해야 합니다. 소규모 회사에는 일반적으로 무료 컴퓨팅 리소스가 제한되어 있습니다. 포티넷의 경우 방화벽만 구매하면 충분하다.

작은 가지가 많은 분들을 위해. 많은 공급업체의 경우 지점당 최소 솔루션 가격이 상당히 높으며 최종 고객의 비즈니스 관점에서는 흥미롭지 않을 수 있습니다. Fortinet은 매우 매력적인 가격으로 소형 장치를 제공합니다.

아직 너무 멀리 나아갈 준비가 되지 않은 분들을 위해. 컨트롤러, 독점 라우팅, 네트워크 계획 및 관리에 대한 새로운 접근 방식을 갖춘 SD-WAN을 구현하는 것은 일부 고객에게는 너무 큰 단계일 수 있습니다. 예, 이러한 구현은 궁극적으로 통신 채널 사용과 관리자의 작업을 최적화하는 데 도움이 되지만 먼저 많은 새로운 것을 배워야 합니다. 아직 패러다임 전환에 대한 준비가 되어 있지 않지만 커뮤니케이션 채널을 더 많이 활용하고 싶은 사람들에게는 Fortinet의 솔루션이 딱 맞습니다.

출처 : habr.com