Ex numero quaestionum, quae per SD-WAN ad nos venire coeperunt, technicae artes in Russia penitus radicari inceperunt. Venditores naturaliter non dormiunt et suas notiones offerunt, et quidam fortes propugnatores iam eos in retiacula exsequuntur.
Omnibus fere concionatoribus laboramus, et per plures annos in laboratorio nostro potuimus mittere in architecturam cuiuslibet maioris elit solutionum programmatum definitarum. SD-WAN a Fortinet paulum hic seorsum stat, quod simpliciter aedificavit functionem conpensationis commercii inter canales communicationis in programmatum firewall. Solutio est magis popularis, ideo considerari solet a societatibus quae nondum ad mutationes globales paratae sunt, sed volentes canales communicationis eorum efficacius uti.
In hoc articulo volo tibi dicere quomodo configurare ac laborare cum SD-WAN a Fortinet, cui haec solutio apta est et quas casus hic occurras.
Maxime histriones in mercatu SD-Wan in unum duorum generum collocari possunt:
1. Startups qui solutiones SD-WAN de integro creaverunt. Horum felicissimi ingentem progressionem impetum accipiunt postquam magnis societatibus emit - haec est fabula de Cisco/Viptela, VMWare/VelOCloud, Nuage/Nokia
2. Magnae retis venditores qui solutiones SD-WAN creaverunt, programmabilitatem et tractabilitatem itineris traditionalium suorum explicaverunt - haec est historia Juniperi, Huawei.
Fortinet curo reperire viam. Software murus - in functionality quod effecit ut interfaces in virtualis canales coniungeret et onere inter eos utens complexu algorithms comparati ad fugas conventionales compararet. Haec officiatio SD-WAN appellata est. Quid Fortinet dici potest SD-LURIDUS? Mercatus paulatim intellegit Software-Definitam separationem Plani a Data Plani, moderatoris dicati, et orchestratorum significat. Fortinet nihil tale. Centralised administratio libitum est et per instrumentum traditum Fortimanager oblatum. Sed, ut opinor, non debes quaerere veritatem abstractam et tempus terere de terminis disputando. In rerum cuiusque accessu commoda et incommoda habet. Optima via est eas intelligere ac solutiones eligere posse quae operibus respondeant.
Conabor tibi dicere cum screenshots manu quid SD-WAN de Fortinet simile et quid facere possit.
Quomodo omnia operatur
Sumamus tibi duos ramos duos canales e data connexos. Hae notae nexus in globum coniunguntur, similes quam interfaces regulares Aer in LACP-Port-Channel componuntur. Veteres timentes meminerunt PPP Multilink - etiam apta analogia. Canales possunt esse portus corporis, VLAN SVI, necnon cuniculos VPN vel GRE.
VPN vel GRE typice adhibentur cum retiacula localia in interreti connectens. Portus autem corporis - si nexus sint L2 inter situs, vel connectens cum dicato MPLS/VPN, si nexu contenti sumus sine operimento et encryptione. Alterum missionis in quo physicae portus in SD-WAN globus adhibentur, accessum localem interreti usorum aequat.
In nostro statu sunt quattuor firewalls et duo cuniculos VPN operantes per duos "operatores communicationis". Tabula vultus sic est:
Cuniculi VPN in modo interfaciei configurantur ita ut similes sint nexus punctorum inter machinas cum IP inscriptionibus in P2P interfaces, quae pingi possunt ut communicatio per aliquod cuniculum operetur. Ut negotiatio in crypta et in contrariam partem eat, satis est eam in cuniculum vertere. Relinquitur mercaturam encryptionis eligere utentes tabulae subnetuum, quae multum confundit administratorem sicut figuratio magis implicata est. In retis magna, technologia ADVPN uti potes ad aedificandum VPN, hoc analogum DMVPN ex Cisco vel DVPN ab Huawei, quod faciliorem paroemiam concedit.
Site-ad-Site VPN config duabus machinis cum BGP utrinque fusis
«ЦОД» (DC)
«Филиал» (BRN)
config system interface
edit "WAN1"
set vdom "Internet"
set ip 1.1.1.1 255.255.255.252
set allowaccess ping
set role wan
set interface "DC-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 3.3.3.1 255.255.255.252
set allowaccess ping
set role lan
set interface "DC-BRD"
set vlanid 112
next
edit "BRN-Ph1-1"
set vdom "Internet"
set ip 192.168.254.1 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.2 255.255.255.255
set interface "WAN1"
next
edit "BRN-Ph1-2"
set vdom "Internet"
set ip 192.168.254.3 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.4 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "BRN-Ph1-1"
set interface "WAN1"
set local-gw 1.1.1.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 2.2.2.1
set psksecret ***
next
edit "BRN-Ph1-2"
set interface "WAN2"
set local-gw 3.3.3.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 4.4.4.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "BRN-Ph2-1"
set phase1name "BRN-Ph1-1"
set proposal aes256-sha256
set dhgrp 2
next
edit "BRN-Ph2-2"
set phase1name "BRN-Ph1-2"
set proposal aes256-sha256
set dhgrp 2
next
end
config router static
edit 1
set gateway 1.1.1.2
set device "WAN1"
next
edit 3
set gateway 3.3.3.2
set device "WAN2"
next
end
config router bgp
set as 65002
set router-id 10.1.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.2"
set remote-as 65003
next
edit "192.168.254.4"
set remote-as 65003
next
end
config network
edit 1
set prefix 10.1.0.0 255.255.0.0
next
end
config system interface
edit "WAN1"
set vdom "Internet"
set ip 2.2.2.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 4.4.4.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 114
next
edit "DC-Ph1-1"
set vdom "Internet"
set ip 192.168.254.2 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.1 255.255.255.255
set interface "WAN1"
next
edit "DC-Ph1-2"
set vdom "Internet"
set ip 192.168.254.4 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.3 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "DC-Ph1-1"
set interface "WAN1"
set local-gw 2.2.2.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 1.1.1.1
set psksecret ***
next
edit "DC-Ph1-2"
set interface "WAN2"
set local-gw 4.4.4.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 3.3.3.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "DC-Ph2-1"
set phase1name "DC-Ph1-1"
set proposal aes128-sha1
set dhgrp 2
next
edit "DC2-Ph2-2"
set phase1name "DC-Ph1-2"
set proposal aes128-sha1
set dhgrp 2
next
end
config router static
edit 1
set gateway 2.2.2.2
et device "WAN1"
next
edit 3
set gateway 4.4.4.2
set device "WAN2"
next
end
config router bgp
set as 65003
set router-id 10.200.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.1"
set remote-as 65002
next
edit "192.168.254.3"
set remote-as 65002
next
end
config network
edit 1
set prefix 10.200.0.0 255.255.0.0
next
end
Formam textus config praebeo, quia, mea sententia, commodius est VPN hoc modo configurare. Omnes fere uncinis utrinque eaedem sunt, in textu formata ut exemplaris crustulum fieri possunt. Si idem in interfaciei interreti feceris, facile est errare - obliuisci notam alicubi, valorem iniquum inire.
Post interfaces ad nos addidit fasciculum
omnia itinera et rationes securitatis ad eam referri possunt, non ad interfaces inclusas. Ad minimum, necesse est ut negotiatio ab internis retis ad SD-WAN permittat. Cum regulas eis creas, mensuras tutelares adhibere potes ut IPS, antivirus et HTTPS aperiri.
Regulae SD-WAN pro fasciculo configurantur. Hae sunt regulae quae algorithmum aequationem definiunt pro certis negotiationis. Similes sunt rationes emittendi in Politia-Substructio Routing, solum ex negotiatione sub consilio cadentium, non est proximum vel exitu consueto interfaciei inauguratus, sed interfaces addita fasciculo SD-WAN plus commercium inter haec interfaces aequante algorithmo.
Negotiatio separari potest a fluxu generali per informationes L3-L4, per applicationes agnitae, per officia interretialis (URL et IP), necnon a agnitis usoribus workstationum et laptop. Post hoc, unum ex sequentium conparatione algorithmarum negotiatio sortita assignari potest;
In indice interfacetionis Praeferentiae, illae interfaces ex illis iam additis fasciculo qui huic speciei negotiationis servituri sunt, seliguntur. Non omnes interfaces addito, quos canales uteris, dicunt, email si non vis canales magno SLA onerare cum ea. In FortiOS 6.4.1, fieri potest ut coetus interfaces adiectas fasciculo SD-WAN in zonas creans, exempli gratia, unam zonam communicandi cum locis remotis, et aliam ad accessum localem interretialem utentem NAT. Ita, ita, negotiatio quae ad interreti regularis accedit etiam compensari potest.
De algorithms conpensatione
Quoad quomodo Fortigate ( fire murus a Fortinet ) negotiationes inter canales scindere possunt , duae optiones iucundae quae in mercatu non admodum sunt communes sunt ;
Lowest Pretium (SLA) – ab omnibus interfationibus, quae momento SLA satisfaciunt, alter cum inferiore pondere (cost), ab Administratore manuali constitutus, seligitur; hic modus aptus est ad "mole" negotiationem ut tergum et fasciculi translationes.
Best Quality (SLA) - Hoc algorithmus, praeter moras solitas, jitterarum et iacturam Fortigate facis, uti potest etiam onus vena canalis ad qualitatem canalium perpendendam; Hic modus aptus est ad commercium sensitivum sicut VoIP et video conferendi.
Haec algorithms postulant canalem communicationis ad metrum perficiendum - Euismod SLA. Hoc metrum periodice (reprehendo intervallum) monitores informationes de obsequio cum SLA: fasciculus damnum, latency et jitter in canali communicationis, possunt "rejicere" illos canales qui nunc non occurrent qualitati liminum - amittunt nimis multi facis vel etiam experiuntur multo latency. Praeterea, metri monitores status canalis, eamque ad tempus e fasciculo removere possunt, si repetitae respon- siones (defectis ante inertes). Metrum, post aliquot responsiones consecutivas (post nexum restitue), automatice alveum ad fasciculum reddet, et notitia iterum per illam transmitti incipiet.
Hoc est quod "meter" similis est occasus:
In interfacio interretiali, petitio ICMP-Echo-, HTTP-GET et DNS petitio protocolla in promptu sunt. Sunt paulo plura optiones in linea mandatorum: optiones TCP-echo et UDP-echo praesto sunt, necnon protocollo mensurae qualitatis propriae - TWAMP.
Mensuratio eventus etiam in interreti tela videri potest:
Et in linea preceptorum;
Troubleshooting
Si regulam creasti, sed omnia ut expectata non operantur, debes respicere valorem Hit Comitis in indice SD-WAN Regulae. In hac regula num commercium incidat omnino ostendet;
In uncinis ipsius paginae metricae, mutationem parametri in tempore canalis videre potes. Punctatum indicat limen valorem parametri
In instrumento interretiali videre potes quomodo negotiationis distribuitur moles notitiarum transmissarum/acceptarum et numerus sessionum:
Praeter haec omnia, optima opportunitas est ad transitum fasciculorum cum maxima specie indagare. Cum in retis reali operando, fabrica configurationis accumulat multas rationes excitandas, firewallas, ac per SD-WAN portus distributio negotiationis. Haec omnia inter se implicata modo implicata sunt, et licet venditor accuratiorem impedimentum diagrammatum fasciculi algorithmorum expediendi praebet, magni momenti est ut theorias aedificare ac probare non possit, sed videre quo negotiatio actu pergat.
Exempli gratia haec praecepta
diagnose debug flow filter saddr 10.200.64.15
diagnose debug flow filter daddr 10.1.7.2
diagnose debug flow show function-name
diagnose debug enable
diagnose debug trace 2
Permittit tibi duas fasciculos indagare cum fonte inscriptionis 10.200.64.15 et destinatum inscriptionis 10.1.7.2.
10.7.1.2 ab 10.200.64.15 bis pingimus et exitum consolatorium spectamus.
Primum sarcina:
Secunda sarcina:
Hic primum fasciculum a firewall accepit;
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0."
VDOM – Internet, Proto=1 (ICMP), DMZ-Office – название L3-интерфейса. Type=8 – Echo.
Nova pro eo sessio creata est;
msg="allocate a new session-0006a627"
Et par inventa est in fundis consilium excitandis
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"
Evenit ut fasciculus unus e cuniculis VPN mittere debeat;
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"
Haec regula permittens deprehenditur in consiliis firewall:
msg="Allowed by Policy-3:"
Fasciculus encryptus est et ad VPN cuniculum mittitur;
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
Encrypted fasciculus mittitur ad portam inscriptionis huius interface LURIDUS:
msg="send to 2.2.2.2 via intf-WAN1"
Ad secundum fasciculum, omnia similiter fiunt, sed ad alium cuniculum VPN mittitur et per alium portum firewall relinquit;
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"
Pros solutionis
Certa functionality et user-amica interface. Pluma positum quod in FortiOS ante adventum SD-WAN praesto erat plene conservatum est. Hoc est, programmata nuper enucleata non habemus, sed systema perfectum a probato firewall venditoris. Cum traditional paro of retis functionibus, opportuno ac facili ad discendum interfacies. Quot venditores SD-WAN habent, dicunt, VPN functionis remotae accessus in machinis fine?
Securitas gradu LXXX. FortiGate est una solutionum firewall top. Multum materiae est in Interreti in incendiis instituendis et administrandis, et in mercatu laboris multi periti securitatis sunt qui solutiones venditoris iam dominati sunt.
Nulla pretium pro SD-WAN functionality. Aedificationem network SD-WAN in FortiGate idem constat ac retis LURIDUS regularis in ea aedificans, cum nullae praeterea licentiae necessariae sint ad munus SD-WAN efficiendum.
Low entry obice pretium. Fortigare bonam machinis gradationem pro diversis gradibus agendis habet. Minima et vilissima exemplaria satis idonea sunt ad augendum munus vel punctum venditionis, ut dicunt, 3-5 operarii. Multi concionatores tantum non habent tam humilis effectus et parabilis exempla.
Princeps perficientur. Reducendo SD-WAN functionem ad mercaturam librandam permisit societatem specialem SD-WAN ASIC dimittere, ob quam operatio SD-WAN non tamquam totius ignis persecutio minuit.
Facultas peragendi totum officium in apparatu Fortinet. Hae sunt binae ignium, permutationum, accessus Wi-FI puncta. Tali officio facilis et opportunus ad administrandum - virgas et accessus punctorum in firewalls descripti sunt et ex iis tractantur. Exempli gratia, hoc est quod portum transiens videri potest ab interface firewall quod hoc transitum moderatur:
Defectum moderatoris ut unum punctum deficiendi. Venditor ipse hoc intendit, sed hoc tantum beneficium ex parte dici potest, quod pro iis venditoribus qui moderatores habent, eorum culpae tolerantiae vilis est, plerumque pretio parvae facultatum computandi in virtualizatione environment.
Quid enim expectamus
Nulla separatio inter Planum Imperium et Planum Data. Id significat retis configurari debere vel manually vel instrumentorum administratione tradito utens iam in promptu - FortiManager. Nam venditores, qui talem separationem impleverunt, reticulum ipsum convenerunt. Administrator tantum debet suam topologiam aptare, alicubi prohibere aliquid, nihil amplius. Nihilominus, FortiManager scriptor tubae card est quod non solum firewalls, sed etiam virgas et puncta accessi Wi-FI administrare potest, id est, paene totum ornatum.
Conditionalis auctus in controllability. Ob hoc quod instrumenta traditionalia ad configurationem retis automatum adhibentur, tractabilitas retis cum introductione SD-WAN leviter augetur. Ex altera parte, nova functionalitas citius praesto fit, cum venditor primum eam solum ad systema operandi firewall (quod statim uti potest), tunc demum administrationem systematis interfacientibus necessariis supplet.
Quaedam functiones praesto esse possunt ex linea mandatorum, sed ex instrumento interretiali praesto non est. Aliquando non tam FORMIDULOSUS est in linea imperativa aliquid configurare, sed timet non videre in interface quod aliquis iam aliquid ex linea mandatorum configuraverit. Sed hoc fere convenit novis notis et paulatim, cum FortiOS updates, facultates interfaciendi textus emendantur.
quis accedere
Nam qui multos ramos non habent. Solutionem SD-WAN exsequendam cum complexis centralibus componentibus in retis 8-10 ramorum ut candelam non constabit - habebis pecuniam in licentias pro SD-WAN machinis ac facultatibus systematis virtualis ad medias partes versari. Parva societas plerumque liberum computandi facultates limitata est. In Fortinet, satis est focos simpliciter emere.
Qui enim amet minima. Multis venditoribus, minima solutio pretium per ramum satis altum est et non potest esse interesting ex parte negotii finis emptoris. Fortinet parvas strophas at allectissimas pretia offert.
Pro his qui non sunt parati ad nimium adhuc ingrediuntur. Exsequens SD-WAN cum moderatoris, fugae proprietatis, et novus accessus ad retis consilio et administratione gradus aliquot clientium nimis magnus esse potest. Ita, talis exsecutio ultimo adiuvabit usum canalium communicationis et operis administratorum, sed primum multa nova discere debebis. Pro his qui ad paradigma adipiscendum nondum parati sunt, sed plura e canalibus communicationis eorum exprimere volunt, solutio Fortinet iusta est.
Source: www.habr.com