Visdemokrātiskākā SD-WAN analīze: arhitektūra, konfigurācija, administrēšana un nepilnības

Spriežot pēc jautājumu skaita, kas mums sāka ienākt, izmantojot SD-WAN, tehnoloģija ir sākusi pamatīgi iesakņoties Krievijā. Pārdevēji, protams, nesnauž un piedāvā savas koncepcijas, un daži drosmīgi pionieri jau tos ievieš savos tīklos.

Mēs sadarbojamies ar gandrīz visiem piegādātājiem, un vairāku gadu laikā mūsu laboratorijā man izdevās iedziļināties katra lielākā programmatūras definēto risinājumu izstrādātāja arhitektūrā. Šeit nedaudz atšķiras no Fortinet SD-WAN, kas vienkārši izveidoja ugunsmūra programmatūrā trafika līdzsvarošanas funkcionalitāti starp sakaru kanāliem. Risinājums ir diezgan demokrātisks, tāpēc to parasti domā uzņēmumi, kas vēl nav gatavi globālām pārmaiņām, bet vēlas efektīvāk izmantot savus komunikācijas kanālus.

Šajā rakstā es vēlos jums pastāstīt, kā konfigurēt un strādāt ar SD-WAN no Fortinet, kam šis risinājums ir piemērots un ar kādām nepilnībām jūs varētu saskarties šeit.

Ievērojamākos spēlētājus SD-WAN tirgū var iedalīt vienā no diviem veidiem:

1. Startup uzņēmumi, kas ir radījuši SD-WAN risinājumus no nulles. Veiksmīgākie no tiem saņem milzīgu impulsu attīstībai pēc tam, kad tos nopirkuši lielie uzņēmumi - tas ir stāsts par Cisco/Viptela, VMWare/VeloCloud, Nuage/Nokia

2. Lieli tīkla pārdevēji, kuri ir radījuši SD-WAN risinājumus, attīstot savu tradicionālo maršrutētāju programmējamību un vadāmību – šis ir stāsts par Juniper, Huawei

Fortinet izdevās atrast savu ceļu. Ugunsmūra programmatūrai bija iebūvēta funkcionalitāte, kas ļāva apvienot to saskarnes virtuālos kanālos un līdzsvarot slodzi starp tiem, izmantojot sarežģītus algoritmus salīdzinājumā ar parasto maršrutēšanu. Šo funkcionalitāti sauca par SD-WAN. Vai to Fortinet var saukt par SD-WAN? Tirgus pamazām saprot, ka programmatūras definētais nozīmē vadības plaknes atdalīšanu no datu plaknes, īpašiem kontrolieriem un orķestrantiem. Fortinet nav nekā tāda. Centralizēta pārvaldība nav obligāta un tiek piedāvāta, izmantojot tradicionālo Fortimanager rīku. Bet, manuprāt, nevajadzētu meklēt abstraktu patiesību un tērēt laiku strīdiem par terminiem. Reālajā pasaulē katrai pieejai ir savas priekšrocības un trūkumi. Labākā izeja ir tos saprast un prast izvēlēties uzdevumiem atbilstošus risinājumus.

Es mēģināšu jums pastāstīt ar ekrānuzņēmumiem, kā izskatās Fortinet SD-WAN un ko tas spēj.

Kā tas viss darbojas

Pieņemsim, ka jums ir divas filiāles, kuras savieno divi datu kanāli. Šīs datu saites tiek apvienotas grupā, līdzīgi kā parastās Ethernet saskarnes tiek apvienotas LACP porta kanālā. Vecie cilvēki atcerēsies PPP Multilink - arī piemērota līdzība. Kanāli var būt fiziski porti, VLAN SVI, kā arī VPN vai GRE tuneļi.

VPN vai GRE parasti izmanto, savienojot filiāles lokālos tīklus, izmantojot internetu. Un fiziskie porti - ja starp vietnēm ir L2 savienojumi vai savienojoties, izmantojot īpašu MPLS/VPN, ja mūs apmierina savienojums bez pārklājuma un šifrēšanas. Vēl viens scenārijs, kurā SD-WAN grupā tiek izmantoti fiziskie porti, ir lietotāju lokālās piekļuves internetam līdzsvarošana.

Mūsu stendā ir četri ugunsmūri un divi VPN tuneļi, kas darbojas caur diviem “komunikāciju operatoriem”. Diagramma izskatās šādi:

VPN tuneļi ir konfigurēti interfeisa režīmā tā, lai tie būtu līdzīgi tiešajiem savienojumiem starp ierīcēm ar IP adresēm P2P saskarnēs, kuras var pārbaudīt, lai nodrošinātu, ka saziņa caur konkrētu tuneli darbojas. Lai satiksme tiktu šifrēta un virzītos uz pretējo pusi, pietiek ar to ievirzīt tunelī. Alternatīva ir atlasīt trafiku šifrēšanai, izmantojot apakštīklu sarakstus, kas ievērojami mulsina administratoru, jo konfigurācija kļūst sarežģītāka. Lielā tīklā varat izmantot ADVPN tehnoloģiju, lai izveidotu VPN; tas ir Cisco DMVPN vai Huawei DVPN analogs, kas atvieglo iestatīšanu.

Vietņu VPN konfigurācija divām ierīcēm ar BGP maršrutēšanu abās pusēs

«ЦОД» (DC)
«Филиал» (BRN)

config system interface
 edit "WAN1"
  set vdom "Internet"
  set ip 1.1.1.1 255.255.255.252
  set allowaccess ping
  set role wan
  set interface "DC-BRD"
  set vlanid 111
 next
 edit "WAN2"
  set vdom "Internet"
  set ip 3.3.3.1 255.255.255.252
  set allowaccess ping
  set role lan
  set interface "DC-BRD"
  set vlanid 112
 next
 edit "BRN-Ph1-1"
  set vdom "Internet"
  set ip 192.168.254.1 255.255.255.255
  set allowaccess ping
  set type tunnel
  set remote-ip 192.168.254.2 255.255.255.255
  set interface "WAN1"
 next
 edit "BRN-Ph1-2"
  set vdom "Internet"
  set ip 192.168.254.3 255.255.255.255
  set allowaccess ping
  set type tunnel
  set remote-ip 192.168.254.4 255.255.255.255
  set interface "WAN2"
 next
end

config vpn ipsec phase1-interface
 edit "BRN-Ph1-1"
  set interface "WAN1"
  set local-gw 1.1.1.1
  set peertype any
  set net-device disable
  set proposal aes128-sha1
  set dhgrp 2
  set remote-gw 2.2.2.1
  set psksecret ***
 next
 edit "BRN-Ph1-2"
  set interface "WAN2"
  set local-gw 3.3.3.1
  set peertype any
  set net-device disable
  set proposal aes128-sha1
  set dhgrp 2
  set remote-gw 4.4.4.1
  set psksecret ***
 next
end

config vpn ipsec phase2-interface
 edit "BRN-Ph2-1"
  set phase1name "BRN-Ph1-1"
  set proposal aes256-sha256
  set dhgrp 2
 next
 edit "BRN-Ph2-2"
  set phase1name "BRN-Ph1-2"
  set proposal aes256-sha256
  set dhgrp 2
 next
end

config router static
 edit 1
  set gateway 1.1.1.2
  set device "WAN1"
 next
 edit 3
  set gateway 3.3.3.2
  set device "WAN2"
 next
end

config router bgp
 set as 65002
 set router-id 10.1.7.1
 set ebgp-multipath enable
 config neighbor
  edit "192.168.254.2"
   set remote-as 65003
  next
  edit "192.168.254.4"
   set remote-as 65003
  next
 end

 config network
  edit 1
   set prefix 10.1.0.0 255.255.0.0
  next
end

config system interface
 edit "WAN1"
  set vdom "Internet"
  set ip 2.2.2.1 255.255.255.252
  set allowaccess ping
  set role wan
  set interface "BRN-BRD"
  set vlanid 111
 next
 edit "WAN2"
  set vdom "Internet"
  set ip 4.4.4.1 255.255.255.252
  set allowaccess ping
  set role wan
  set interface "BRN-BRD"
  set vlanid 114
 next
 edit "DC-Ph1-1"
  set vdom "Internet"
  set ip 192.168.254.2 255.255.255.255
  set allowaccess ping
  set type tunnel
  set remote-ip 192.168.254.1 255.255.255.255
  set interface "WAN1"
 next
 edit "DC-Ph1-2"
  set vdom "Internet"
  set ip 192.168.254.4 255.255.255.255
  set allowaccess ping
  set type tunnel
  set remote-ip 192.168.254.3 255.255.255.255
  set interface "WAN2"
 next
end

config vpn ipsec phase1-interface
  edit "DC-Ph1-1"
   set interface "WAN1"
   set local-gw 2.2.2.1
   set peertype any
   set net-device disable
   set proposal aes128-sha1
   set dhgrp 2
   set remote-gw 1.1.1.1
   set psksecret ***
  next
  edit "DC-Ph1-2"
   set interface "WAN2"
   set local-gw 4.4.4.1
   set peertype any
   set net-device disable
   set proposal aes128-sha1
   set dhgrp 2
   set remote-gw 3.3.3.1
   set psksecret ***
  next
end

config vpn ipsec phase2-interface
  edit "DC-Ph2-1"
   set phase1name "DC-Ph1-1"
   set proposal aes128-sha1
   set dhgrp 2
  next
  edit "DC2-Ph2-2"
   set phase1name "DC-Ph1-2"
   set proposal aes128-sha1
   set dhgrp 2
  next
end

config router static
 edit 1
  set gateway 2.2.2.2
  et device "WAN1"
 next
 edit 3
  set gateway 4.4.4.2
  set device "WAN2"
 next
end

config router bgp
  set as 65003
  set router-id 10.200.7.1
  set ebgp-multipath enable
  config neighbor
   edit "192.168.254.1"
    set remote-as 65002
   next
  edit "192.168.254.3"
   set remote-as 65002
   next
  end

  config network
   edit 1
    set prefix 10.200.0.0 255.255.0.0
   next
end

Es sniedzu konfigurāciju teksta formā, jo, manuprāt, VPN ir ērtāk konfigurēt šādi. Gandrīz visi iestatījumi abās pusēs ir vienādi, teksta formā tos var veikt kā kopēšanu-ielīmēšanu. Ja darāt to pašu tīmekļa saskarnē, ir viegli kļūdīties — kaut kur aizmirstiet atzīmi, ievadiet nepareizu vērtību.

Pēc saskarņu pievienošanas komplektam

visi maršruti un drošības politikas var atsaukties uz to, nevis uz tajā iekļautajām saskarnēm. Vismaz ir jāatļauj trafiks no iekšējiem tīkliem uz SD-WAN. Izveidojot tiem noteikumus, varat piemērot tādus aizsardzības pasākumus kā IPS, pretvīrusu un HTTPS atklāšana.

Komplektam ir konfigurēti SD-WAN noteikumi. Tie ir noteikumi, kas nosaka balansēšanas algoritmu noteiktai trafikai. Tās ir līdzīgas maršrutēšanas politikām uz politiku balstītā maršrutēšanā, tikai tāpēc, ka trafika ir pakļauta politikai, tiek instalēts nevis nākamā lēciena vai parastā izejošā saskarne, bet gan SD-WAN komplektam pievienotās saskarnes. trafika līdzsvarošanas algoritms starp šīm saskarnēm.

Trafiku no vispārējās plūsmas var atdalīt ar L3-L4 informāciju, atpazītām lietojumprogrammām, interneta pakalpojumiem (URL un IP), kā arī atzītiem darbstaciju un klēpjdatoru lietotājiem. Pēc tam piešķirtajai trafikai var piešķirt vienu no šiem balansēšanas algoritmiem:

Sarakstā Interfeisa preferences tiek atlasītas tās saskarnes, kas jau ir pievienotas komplektam un apkalpos šāda veida trafiku. Pievienojot ne visas saskarnes, varat precīzi ierobežot, kurus kanālus izmantojat, piemēram, e-pastu, ja nevēlaties ar to apgrūtināt dārgus kanālus ar augstu SLA. FortiOS 6.4.1 kļuva iespējams grupēt SD-WAN komplektam pievienotās saskarnes zonās, izveidojot, piemēram, vienu zonu saziņai ar attālām vietnēm un otru vietējai interneta piekļuvei, izmantojot NAT. Jā, jā, var sabalansēt arī trafiku, kas iet uz parasto internetu.

Par balansēšanas algoritmiem

Attiecībā uz to, kā Fortigate (ugunsmūris no Fortinet) var sadalīt trafiku starp kanāliem, ir divas interesantas iespējas, kas tirgū nav īpaši izplatītas:

Zemākās izmaksas (SLA) – no visām saskarnēm, kas uz doto brīdi apmierina SLA, tiek izvēlēta tā, kurai ir mazāks svars (izmaksas), ko manuāli uzstādījis administrators; šis režīms ir piemērots lielapjoma satiksmei, piemēram, dublēšanai un failu pārsūtīšanai.

Labākā kvalitāte (SLA) – šis algoritms papildus parastajai Fortigate pakešu aizkavei, nervozitātei un zudumam var izmantot arī pašreizējo kanālu slodzi, lai novērtētu kanālu kvalitāti; Šis režīms ir piemērots jutīgai trafikai, piemēram, VoIP un video konferencēm.

Šiem algoritmiem ir jāiestata sakaru kanāla veiktspējas mērītājs — Performance SLA. Šis skaitītājs periodiski (pārbaudes intervāls) uzrauga informāciju par atbilstību SLA: pakešu zudums, latentums un nervozitāte sakaru kanālā un var “noraidīt” tos kanālus, kuri šobrīd neatbilst kvalitātes sliekšņiem – tie zaudē pārāk daudz pakešu vai piedzīvo pārāk daudz. daudz latentuma. Turklāt skaitītājs uzrauga kanāla statusu un var īslaicīgi noņemt to no komplekta, ja atbildes tiek atkārtoti zaudētas (kļūmes pirms neaktīva). Atjaunojot, pēc vairākām secīgām atbildēm (atjaunot saiti pēc) skaitītājs automātiski atgriezīs kanālu komplektā, un caur to atkal tiks pārsūtīti dati.

Šādi izskatās “skaitītāja” iestatījums:

Tīmekļa saskarnē kā testa protokoli ir pieejami ICMP-Echo-request, HTTP-GET un DNS pieprasījums. Komandrindā ir nedaudz vairāk iespēju: ir pieejamas TCP-echo un UDP-echo opcijas, kā arī specializēts kvalitātes mērīšanas protokols - TWAMP.

Mērījumu rezultātus var redzēt arī tīmekļa saskarnē:

Un komandrindā:

Problēmu novēršana

Ja izveidojāt kārtulu, bet viss nedarbojas, kā paredzēts, SD-WAN kārtulu sarakstā vajadzētu apskatīt vērtību trāpījumu skaits. Tas parādīs, vai satiksme vispār atbilst šim noteikumam:

Pašā skaitītāja iestatījumu lapā var redzēt kanāla parametru izmaiņas laika gaitā. Punktētā līnija norāda parametra sliekšņa vērtību

Tīmekļa saskarnē varat redzēt, kā trafiks tiek sadalīts pēc pārsūtīto/saņemto datu apjoma un sesiju skaita:

Papildus tam visam ir lieliska iespēja maksimāli detalizēti izsekot pakešu pārejai. Strādājot reālā tīklā, ierīces konfigurācija uzkrāj daudzas maršrutēšanas politikas, ugunsmūri un trafika sadali pa SD-WAN portiem. Tas viss kompleksā veidā mijiedarbojas savā starpā, un, lai gan pārdevējs sniedz detalizētas pakešu apstrādes algoritmu blokshēmas, ir ļoti svarīgi spēt nevis veidot un pārbaudīt teorijas, bet gan redzēt, kur patiesībā notiek trafika.

Piemēram, šāda komandu kopa

diagnose debug flow filter saddr 10.200.64.15
diagnose debug flow filter daddr 10.1.7.2
diagnose debug flow show function-name
diagnose debug enable
diagnose debug trace 2

Ļauj izsekot divām paketēm ar avota adresi 10.200.64.15 un galamērķa adresi 10.1.7.2.
Mēs divreiz pingam 10.7.1.2 no 10.200.64.15 un apskatām izvadi konsolē.

Pirmā pakete:

Otrā pakete:

Šeit ir pirmā ugunsmūra saņemtā pakete:
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0."
VDOM – Internet, Proto=1 (ICMP), DMZ-Office – название L3-интерфейса. Type=8 – Echo.

Viņam ir izveidota jauna sesija:
msg="allocate a new session-0006a627"

Un maršrutēšanas politikas iestatījumos tika atrasta atbilstība
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"

Izrādās, ka pakete ir jānosūta uz vienu no VPN tuneļiem:
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"

Ugunsmūra politikās tiek atklāts šāds atļauju noteikums:
msg="Allowed by Policy-3:"

Pakete tiek šifrēta un nosūtīta uz VPN tuneli:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1"
func=esp_output4 line=905 msg="IPsec encrypt/auth"

Šifrētā pakete tiek nosūtīta uz vārtejas adresi šim WAN interfeisam:
msg="send to 2.2.2.2 via intf-WAN1"

Ar otro paketi viss notiek līdzīgi, taču tā tiek nosūtīta uz citu VPN tuneli un iziet caur citu ugunsmūra portu:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"

Risinājuma plusi

Uzticama funkcionalitāte un lietotājam draudzīgs interfeiss. FortiOS pieejamo funkciju kopums pirms SD-WAN parādīšanās ir pilnībā saglabāts. Tas nozīmē, ka mums nav tikko izstrādāta programmatūra, bet gan nobriedusi sistēma no pārbaudīta ugunsmūra pārdevēja. Ar tradicionālu tīkla funkciju komplektu, ērtu un viegli apgūstamu tīmekļa saskarni. Cik daudziem SD-WAN pārdevējiem ir, piemēram, attālās piekļuves VPN funkcionalitāte gala ierīcēs?

Drošības līmenis 80. FortiGate ir viens no populārākajiem ugunsmūra risinājumiem. Internetā ir daudz materiālu par ugunsmūru uzstādīšanu un administrēšanu, un darba tirgū ir daudz drošības speciālistu, kuri jau ir apguvuši pārdevēja risinājumus.

Nulles cena par SD-WAN funkcionalitāti. SD-WAN tīkla izveide FortiGate maksā tikpat, cik parasta WAN tīkla izveide uz tā, jo SD-WAN funkcionalitātes ieviešanai nav nepieciešamas papildu licences.

Zema ieejas barjeras cena. Fortigate ir laba ierīču gradācija dažādiem veiktspējas līmeņiem. Jaunākie un lētākie modeļi ir diezgan piemēroti biroja vai tirdzniecības vietas paplašināšanai, piemēram, 3-5 darbiniekiem. Daudziem pārdevējiem vienkārši nav tik zemas veiktspējas un pieejamu modeļu.

Augsta veiktspēja. SD-WAN funkcionalitātes samazināšana līdz trafika līdzsvarošanai ļāva uzņēmumam izlaist specializētu SD-WAN ASIC, pateicoties kuram SD-WAN darbība nesamazina ugunsmūra veiktspēju kopumā.

Iespēja ieviest visu biroju Fortinet aprīkojumā. Tie ir pāris ugunsmūri, slēdži, Wi-Fi piekļuves punkti. Šāds birojs ir viegli un ērti pārvaldāms – slēdži un piekļuves punkti tiek reģistrēti ugunsmūros un pārvaldīti no tiem. Piemēram, šādi varētu izskatīties slēdža ports no ugunsmūra interfeisa, kas kontrolē šo slēdzi:

Kontrolieru trūkums kā viens atteices punkts. Pats pārdevējs uz to koncentrējas, taču par ieguvumu to var saukt tikai daļēji, jo tiem pārdevējiem, kuriem ir kontrolieri, to defektu tolerances nodrošināšana ir lēta, visbiežāk par nelielu skaitļošanas resursu daudzumu virtualizācijas vidē.

Ko meklēt

Nav atdalīšanas starp vadības plakni un datu plakni. Tas nozīmē, ka tīkls ir jākonfigurē vai nu manuāli, vai izmantojot jau pieejamos tradicionālos pārvaldības rīkus – FortiManager. Pārdevējiem, kuri ir ieviesuši šādu atdalīšanu, tīkls tiek montēts pats. Administratoram var būt tikai jāpielāgo tā topoloģija, kaut kas kaut kur jāaizliedz, nekas vairāk. Tomēr FortiManager trumpis ir tas, ka tas spēj pārvaldīt ne tikai ugunsmūrus, bet arī slēdžus un Wi-Fi piekļuves punktus, tas ir, gandrīz visu tīklu.

Nosacīta vadāmības palielināšana. Sakarā ar to, ka tīkla konfigurācijas automatizēšanai tiek izmantoti tradicionālie rīki, tīkla vadāmība, ieviešot SD-WAN, nedaudz palielinās. No otras puses, jauna funkcionalitāte kļūst pieejama ātrāk, jo pārdevējs to vispirms izlaiž tikai ugunsmūra operētājsistēmai (kas nekavējoties ļauj to izmantot), un tikai pēc tam papildina vadības sistēmu ar nepieciešamajām saskarnēm.

Dažas funkcijas var būt pieejamas no komandrindas, taču tās nav pieejamas tīmekļa saskarnē. Dažreiz nav tik biedējoši ieiet komandrindā, lai kaut ko konfigurētu, taču ir biedējoši, ja tīmekļa saskarnē neredzat, ka kāds jau ir kaut ko konfigurējis no komandrindas. Bet tas parasti attiecas uz jaunākajām funkcijām, un pakāpeniski ar FortiOS atjauninājumiem tiek uzlabotas tīmekļa saskarnes iespējas.

Lai atbilstu

Tiem, kam nav daudz filiāļu. SD-WAN risinājuma ieviešana ar sarežģītiem centrālajiem komponentiem 8-10 filiāļu tīklā var nemaksāt sveci - jums būs jātērē nauda par SD-WAN ierīču licencēm un virtualizācijas sistēmas resursiem, lai izvietotu centrālo komponentu. Mazam uzņēmumam parasti ir ierobežoti bezmaksas skaitļošanas resursi. Fortinet gadījumā pietiek vienkārši iegādāties ugunsmūrus.

Tiem, kam ir daudz mazu zaru. Daudziem pārdevējiem minimālā risinājuma cena par filiāli ir diezgan augsta un var nebūt interesanta no gala klienta biznesa viedokļa. Fortinet piedāvā nelielas ierīces par ļoti pievilcīgām cenām.

Tiem, kuri vēl nav gatavi spert soli pārāk tālu. SD-WAN ieviešana ar kontrolieriem, patentētu maršrutēšanu un jaunu pieeju tīkla plānošanai un pārvaldībai dažiem klientiem var būt pārāk liels solis. Jā, šāda ieviešana galu galā palīdzēs optimizēt komunikācijas kanālu izmantošanu un administratoru darbu, taču vispirms būs jāapgūst daudz jauna. Tiem, kuri vēl nav gatavi paradigmas maiņai, bet vēlas izspiest vairāk no saviem saziņas kanāliem, Fortinet risinājums ir tieši piemērots.

Avots: www.habr.com