Berdasarkan bilangan soalan yang mula sampai kepada kami melalui SD-WAN, teknologi itu telah mula berakar umbi di Rusia. Vendor, secara semula jadi, tidak tidur dan menawarkan konsep mereka, dan beberapa perintis yang berani sudah pun melaksanakannya pada rangkaian mereka.
Kami bekerja dengan hampir semua vendor, dan selama beberapa tahun di makmal kami, saya berjaya menyelidiki seni bina setiap pembangun utama penyelesaian yang ditentukan perisian. SD-WAN dari Fortinet berdiri sedikit di sini, yang hanya membina fungsi mengimbangi trafik antara saluran komunikasi ke dalam perisian tembok api. Penyelesaiannya agak demokratik, jadi ia biasanya dipertimbangkan oleh syarikat yang belum bersedia untuk perubahan global, tetapi ingin menggunakan saluran komunikasi mereka dengan lebih berkesan.
Dalam artikel ini saya ingin memberitahu anda bagaimana untuk mengkonfigurasi dan bekerja dengan SD-WAN dari Fortinet, untuk siapa penyelesaian ini sesuai dan apakah masalah yang mungkin anda hadapi di sini.
Pemain yang paling menonjol dalam pasaran SD-WAN boleh diklasifikasikan kepada salah satu daripada dua jenis:
1. Pemula yang telah mencipta penyelesaian SD-WAN dari awal. Yang paling berjaya daripada ini menerima dorongan besar untuk pembangunan selepas dibeli oleh syarikat besar - ini adalah kisah Cisco/Viptela, VMWare/VeloCloud, Nuage/Nokia
2. Vendor rangkaian besar yang telah mencipta penyelesaian SD-WAN, membangunkan kebolehprograman dan kebolehurusan penghala tradisional mereka - ini adalah kisah Juniper, Huawei
Fortinet berjaya mencari jalannya. Perisian firewall mempunyai fungsi terbina dalam yang memungkinkan untuk menggabungkan antara muka mereka ke dalam saluran maya dan mengimbangi beban antara mereka menggunakan algoritma yang kompleks berbanding dengan penghalaan konvensional. Fungsi ini dipanggil SD-WAN. Bolehkah apa yang Fortinet dipanggil SD-WAN? Pasaran secara beransur-ansur memahami bahawa Ditakrifkan Perisian bermaksud pengasingan Satah Kawalan daripada Satah Data, pengawal khusus dan pengaturcara. Fortinet tidak mempunyai apa-apa seperti itu. Pengurusan berpusat adalah pilihan dan ditawarkan melalui alat Fortimanager tradisional. Tetapi pada pendapat saya, anda tidak sepatutnya mencari kebenaran abstrak dan membuang masa berhujah tentang istilah. Dalam dunia sebenar, setiap pendekatan mempunyai kelebihan dan kekurangannya. Jalan keluar terbaik ialah memahaminya dan dapat memilih penyelesaian yang sesuai dengan tugasan.
Saya akan cuba memberitahu anda dengan tangkapan skrin di tangan rupa SD-WAN daripada Fortinet dan perkara yang boleh dilakukannya.
Bagaimana ia berfungsi
Katakan anda mempunyai dua cawangan yang disambungkan oleh dua saluran data. Pautan data ini digabungkan menjadi satu kumpulan, sama seperti cara antara muka Ethernet biasa digabungkan menjadi LACP-Port-Channel. Pemasa lama akan mengingati PPP Multilink - juga analogi yang sesuai. Saluran boleh menjadi port fizikal, VLAN SVI, serta terowong VPN atau GRE.
VPN atau GRE biasanya digunakan apabila menyambungkan rangkaian tempatan cawangan melalui Internet. Dan port fizikal - jika terdapat sambungan L2 antara tapak, atau apabila menyambung melalui MPLS/VPN khusus, jika kami berpuas hati dengan sambungan tanpa Tindanan dan penyulitan. Satu lagi senario di mana port fizikal digunakan dalam kumpulan SD-WAN ialah mengimbangi akses tempatan pengguna ke Internet.
Di pendirian kami terdapat empat tembok api dan dua terowong VPN yang beroperasi melalui dua "pengendali komunikasi". Rajah kelihatan seperti ini:
Terowong VPN dikonfigurasikan dalam mod antara muka supaya ia serupa dengan sambungan titik ke titik antara peranti dengan alamat IP pada antara muka P2P, yang boleh diping untuk memastikan komunikasi melalui terowong tertentu berfungsi. Untuk membolehkan trafik disulitkan dan pergi ke seberang, cukup untuk mengarahkannya ke dalam terowong. Alternatifnya ialah memilih trafik untuk penyulitan menggunakan senarai subnet, yang sangat mengelirukan pentadbir apabila konfigurasi menjadi lebih kompleks. Dalam rangkaian yang besar, anda boleh menggunakan teknologi ADVPN untuk membina VPN; ini adalah analog DMVPN daripada Cisco atau DVPN daripada Huawei, yang membolehkan persediaan lebih mudah.
Konfigurasi VPN tapak ke tapak untuk dua peranti dengan penghalaan BGP pada kedua-dua belah pihak
«ЦОД» (DC)
«Филиал» (BRN)
config system interface
edit "WAN1"
set vdom "Internet"
set ip 1.1.1.1 255.255.255.252
set allowaccess ping
set role wan
set interface "DC-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 3.3.3.1 255.255.255.252
set allowaccess ping
set role lan
set interface "DC-BRD"
set vlanid 112
next
edit "BRN-Ph1-1"
set vdom "Internet"
set ip 192.168.254.1 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.2 255.255.255.255
set interface "WAN1"
next
edit "BRN-Ph1-2"
set vdom "Internet"
set ip 192.168.254.3 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.4 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "BRN-Ph1-1"
set interface "WAN1"
set local-gw 1.1.1.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 2.2.2.1
set psksecret ***
next
edit "BRN-Ph1-2"
set interface "WAN2"
set local-gw 3.3.3.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 4.4.4.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "BRN-Ph2-1"
set phase1name "BRN-Ph1-1"
set proposal aes256-sha256
set dhgrp 2
next
edit "BRN-Ph2-2"
set phase1name "BRN-Ph1-2"
set proposal aes256-sha256
set dhgrp 2
next
end
config router static
edit 1
set gateway 1.1.1.2
set device "WAN1"
next
edit 3
set gateway 3.3.3.2
set device "WAN2"
next
end
config router bgp
set as 65002
set router-id 10.1.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.2"
set remote-as 65003
next
edit "192.168.254.4"
set remote-as 65003
next
end
config network
edit 1
set prefix 10.1.0.0 255.255.0.0
next
end
config system interface
edit "WAN1"
set vdom "Internet"
set ip 2.2.2.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 4.4.4.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 114
next
edit "DC-Ph1-1"
set vdom "Internet"
set ip 192.168.254.2 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.1 255.255.255.255
set interface "WAN1"
next
edit "DC-Ph1-2"
set vdom "Internet"
set ip 192.168.254.4 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.3 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "DC-Ph1-1"
set interface "WAN1"
set local-gw 2.2.2.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 1.1.1.1
set psksecret ***
next
edit "DC-Ph1-2"
set interface "WAN2"
set local-gw 4.4.4.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 3.3.3.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "DC-Ph2-1"
set phase1name "DC-Ph1-1"
set proposal aes128-sha1
set dhgrp 2
next
edit "DC2-Ph2-2"
set phase1name "DC-Ph1-2"
set proposal aes128-sha1
set dhgrp 2
next
end
config router static
edit 1
set gateway 2.2.2.2
et device "WAN1"
next
edit 3
set gateway 4.4.4.2
set device "WAN2"
next
end
config router bgp
set as 65003
set router-id 10.200.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.1"
set remote-as 65002
next
edit "192.168.254.3"
set remote-as 65002
next
end
config network
edit 1
set prefix 10.200.0.0 255.255.0.0
next
end
Saya menyediakan konfigurasi dalam bentuk teks, kerana, pada pendapat saya, lebih mudah untuk mengkonfigurasi VPN dengan cara ini. Hampir semua tetapan adalah sama pada kedua-dua belah pihak; dalam bentuk teks ia boleh dibuat sebagai salin-tampal. Jika anda melakukan perkara yang sama dalam antara muka web, mudah untuk membuat kesilapan - lupakan tanda semak di suatu tempat, masukkan nilai yang salah.
Selepas kami menambah antara muka pada berkas
semua laluan dan dasar keselamatan boleh merujuk kepadanya, dan bukan kepada antara muka yang disertakan di dalamnya. Sekurang-kurangnya, anda perlu membenarkan trafik dari rangkaian dalaman ke SD-WAN. Apabila anda membuat peraturan untuk peraturan tersebut, anda boleh menggunakan langkah perlindungan seperti IPS, antivirus dan pendedahan HTTPS.
Peraturan SD-WAN dikonfigurasikan untuk berkas. Ini adalah peraturan yang mentakrifkan algoritma pengimbangan untuk trafik tertentu. Ia serupa dengan dasar penghalaan dalam Penghalaan Berasaskan Dasar, hanya akibat trafik yang berada di bawah dasar tersebut, bukan lompatan seterusnya atau antara muka keluar biasa yang dipasang, tetapi antara muka yang ditambahkan pada himpunan SD-WAN ditambah. algoritma pengimbangan trafik antara antara muka ini.
Trafik boleh diasingkan daripada aliran umum oleh maklumat L3-L4, oleh aplikasi yang diiktiraf, perkhidmatan Internet (URL dan IP), serta oleh pengguna stesen kerja dan komputer riba yang diiktiraf. Selepas ini, salah satu daripada algoritma pengimbangan berikut boleh diberikan kepada trafik yang diperuntukkan:
Dalam senarai Keutamaan Antara Muka, antara muka daripada yang telah ditambahkan pada himpunan yang akan menyediakan trafik jenis ini dipilih. Dengan menambahkan bukan semua antara muka, anda boleh mengehadkan saluran yang anda gunakan, katakan, e-mel, jika anda tidak mahu membebankan saluran mahal dengan SLA yang tinggi dengannya. Dalam FortiOS 6.4.1, antara muka kumpulan yang ditambahkan pada berkas SD-WAN menjadi mungkin ke dalam zon, mewujudkan, sebagai contoh, satu zon untuk komunikasi dengan tapak terpencil, dan satu lagi untuk akses Internet tempatan menggunakan NAT. Ya, ya, trafik yang pergi ke Internet biasa juga boleh seimbang.
Mengenai algoritma pengimbangan
Mengenai cara Fortigate (tembok api daripada Fortinet) boleh memisahkan trafik antara saluran, terdapat dua pilihan menarik yang tidak begitu biasa di pasaran:
Kos Terendah (SLA) – daripada semua antara muka yang memenuhi SLA pada masa ini, yang mempunyai berat (kos) yang lebih rendah, ditetapkan secara manual oleh pentadbir, dipilih; mod ini sesuai untuk trafik "pukal" seperti sandaran dan pemindahan fail.
Kualiti Terbaik (SLA) – algoritma ini, sebagai tambahan kepada kelewatan biasa, kegelisahan dan kehilangan paket Fortigate, juga boleh menggunakan beban saluran semasa untuk menilai kualiti saluran; Mod ini sesuai untuk trafik sensitif seperti VoIP dan persidangan video.
Algoritma ini memerlukan penyediaan meter prestasi saluran komunikasi - Performance SLA. Meter ini secara berkala (semakan selang) memantau maklumat tentang pematuhan dengan SLA: kehilangan paket, kependaman dan kegelisahan dalam saluran komunikasi, dan boleh "menolak" saluran tersebut yang pada masa ini tidak memenuhi ambang kualiti - mereka kehilangan terlalu banyak paket atau mengalami terlalu banyak. banyak kependaman. Di samping itu, meter memantau status saluran, dan boleh mengeluarkannya buat sementara waktu daripada berkas sekiranya berlaku kehilangan respons berulang (gagal sebelum tidak aktif). Apabila dipulihkan, selepas beberapa tindak balas berturut-turut (pulihkan pautan selepas), meter akan secara automatik mengembalikan saluran kepada berkas, dan data akan mula dihantar melaluinya semula.
Inilah rupa tetapan "meter":
Dalam antara muka web, ICMP-Echo-request, HTTP-GET dan permintaan DNS tersedia sebagai protokol ujian. Terdapat sedikit lagi pilihan pada baris arahan: Pilihan TCP-echo dan UDP-echo tersedia, serta protokol pengukuran kualiti khusus - TWAMP.
Hasil pengukuran juga boleh dilihat dalam antara muka web:
Dan pada baris arahan:
Penyelesaian masalah
Jika anda mencipta peraturan, tetapi semuanya tidak berfungsi seperti yang diharapkan, anda harus melihat nilai Hit Count dalam senarai Peraturan SD-WAN. Ia akan menunjukkan sama ada trafik termasuk dalam peraturan ini sama sekali:
Pada halaman tetapan meter itu sendiri, anda boleh melihat perubahan dalam parameter saluran dari semasa ke semasa. Garis putus-putus menunjukkan nilai ambang parameter
Dalam antara muka web anda boleh melihat cara trafik diedarkan mengikut jumlah data yang dihantar/diterima dan bilangan sesi:
Sebagai tambahan kepada semua ini, terdapat peluang yang sangat baik untuk menjejaki laluan paket dengan perincian maksimum. Apabila bekerja dalam rangkaian sebenar, konfigurasi peranti mengumpul banyak dasar penghalaan, firewall dan pengedaran trafik merentas port SD-WAN. Semua ini berinteraksi antara satu sama lain dengan cara yang kompleks, dan walaupun vendor menyediakan gambar rajah blok terperinci algoritma pemprosesan paket, adalah sangat penting untuk tidak membina dan menguji teori, tetapi untuk melihat ke mana trafik sebenarnya pergi.
Sebagai contoh, set arahan berikut
diagnose debug flow filter saddr 10.200.64.15
diagnose debug flow filter daddr 10.1.7.2
diagnose debug flow show function-name
diagnose debug enable
diagnose debug trace 2
Membolehkan anda menjejaki dua paket dengan alamat sumber 10.200.64.15 dan alamat destinasi 10.1.7.2.
Kami ping 10.7.1.2 daripada 10.200.64.15 dua kali dan melihat output pada konsol.
Pakej pertama:
Pakej kedua:
Berikut ialah paket pertama yang diterima oleh firewall:
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0."
VDOM – Internet, Proto=1 (ICMP), DMZ-Office – название L3-интерфейса. Type=8 – Echo.
Sesi baharu telah dibuat untuknya:
msg="allocate a new session-0006a627"
Dan padanan ditemui dalam tetapan dasar penghalaan
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"
Ternyata paket itu perlu dihantar ke salah satu terowong VPN:
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"
Peraturan membenarkan berikut dikesan dalam dasar tembok api:
msg="Allowed by Policy-3:"
Paket disulitkan dan dihantar ke terowong VPN:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
Paket yang disulitkan dihantar ke alamat get laluan untuk antara muka WAN ini:
msg="send to 2.2.2.2 via intf-WAN1"
Untuk paket kedua, semuanya berlaku sama, tetapi ia dihantar ke terowong VPN lain dan keluar melalui port firewall yang berbeza:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"
Kebaikan penyelesaian
Fungsi yang boleh dipercayai dan antara muka mesra pengguna. Set ciri yang tersedia dalam FortiOS sebelum kemunculan SD-WAN telah dipelihara sepenuhnya. Iaitu, kami tidak mempunyai perisian yang baru dibangunkan, tetapi sistem matang daripada vendor firewall yang terbukti. Dengan set fungsi rangkaian tradisional, antara muka web yang mudah dan mudah dipelajari. Berapakah bilangan vendor SD-WAN yang mempunyai, katakan, fungsi Remote-Access VPN pada peranti akhir?
Tahap keselamatan 80. FortiGate adalah salah satu penyelesaian tembok api teratas. Terdapat banyak bahan di Internet tentang menyediakan dan mentadbir tembok api, dan di pasaran buruh terdapat banyak pakar keselamatan yang telah menguasai penyelesaian vendor.
Harga sifar untuk fungsi SD-WAN. Membina rangkaian SD-WAN pada FortiGate kos sama seperti membina rangkaian WAN biasa di atasnya, kerana tiada lesen tambahan diperlukan untuk melaksanakan fungsi SD-WAN.
Harga penghalang masuk yang rendah. Fortigate mempunyai penggredan peranti yang baik untuk tahap prestasi yang berbeza. Model termuda dan paling murah agak sesuai untuk mengembangkan pejabat atau tempat jualan dengan, katakan, 3-5 pekerja. Ramai vendor tidak mempunyai model berprestasi rendah dan mampu milik.
Prestasi tinggi. Mengurangkan fungsi SD-WAN kepada pengimbangan trafik membolehkan syarikat mengeluarkan SD-WAN ASIC khusus, berkat operasi SD-WAN yang tidak mengurangkan prestasi tembok api secara keseluruhan.
Keupayaan untuk melaksanakan keseluruhan pejabat pada peralatan Fortinet. Ini ialah sepasang tembok api, suis, titik akses Wi-Fi. Pejabat sedemikian mudah dan senang diurus - suis dan titik akses didaftarkan pada tembok api dan diuruskan daripadanya. Sebagai contoh, ini adalah rupa port suis daripada antara muka tembok api yang mengawal suis ini:
Kekurangan pengawal sebagai satu titik kegagalan. Vendor itu sendiri memberi tumpuan kepada perkara ini, tetapi ini hanya boleh dipanggil faedah sebahagiannya, kerana bagi vendor yang mempunyai pengawal, memastikan toleransi kesalahan mereka adalah murah, selalunya pada harga sejumlah kecil sumber pengkomputeran dalam persekitaran virtualisasi.
Apa yang perlu dicari
Tiada pemisahan antara Satah Kawalan dan Satah Data. Ini bermakna rangkaian mesti dikonfigurasikan sama ada secara manual atau menggunakan alatan pengurusan tradisional yang sudah tersedia - FortiManager. Bagi vendor yang telah melaksanakan pemisahan sedemikian, rangkaian itu dipasang sendiri. Pentadbir mungkin hanya perlu melaraskan topologinya, melarang sesuatu di suatu tempat, tidak lebih. Walau bagaimanapun, kad truf FortiManager ialah ia boleh menguruskan bukan sahaja firewall, tetapi juga suis dan titik akses Wi-Fi, iaitu, hampir keseluruhan rangkaian.
Peningkatan bersyarat dalam kebolehkawalan. Disebabkan oleh fakta bahawa alat tradisional digunakan untuk mengautomasikan konfigurasi rangkaian, kebolehurusan rangkaian dengan pengenalan SD-WAN meningkat sedikit. Sebaliknya, fungsi baharu tersedia dengan lebih pantas, memandangkan vendor mula-mula mengeluarkannya hanya untuk sistem pengendalian firewall (yang serta-merta membolehkan untuk menggunakannya), dan hanya kemudian menambah sistem pengurusan dengan antara muka yang diperlukan.
Sesetengah fungsi mungkin tersedia daripada baris arahan, tetapi tidak tersedia daripada antara muka web. Kadangkala ia tidak begitu menakutkan untuk pergi ke baris arahan untuk mengkonfigurasi sesuatu, tetapi menakutkan untuk tidak melihat dalam antara muka web bahawa seseorang telah mengkonfigurasi sesuatu daripada baris arahan. Tetapi ini biasanya digunakan pada ciri terbaharu dan secara beransur-ansur, dengan kemas kini FortiOS, keupayaan antara muka web dipertingkatkan.
Untuk dipadankan
Bagi mereka yang tidak mempunyai banyak cawangan. Melaksanakan penyelesaian SD-WAN dengan komponen pusat yang kompleks pada rangkaian 8-10 cawangan mungkin tidak memerlukan kos - anda perlu membelanjakan wang untuk lesen peranti SD-WAN dan sumber sistem virtualisasi untuk mengehoskan komponen pusat. Sebuah syarikat kecil biasanya mempunyai sumber pengkomputeran percuma yang terhad. Dalam kes Fortinet, cukup dengan hanya membeli tembok api.
Bagi mereka yang mempunyai banyak cawangan kecil. Bagi kebanyakan vendor, harga penyelesaian minimum bagi setiap cawangan adalah agak tinggi dan mungkin tidak menarik dari sudut pandangan perniagaan pelanggan akhir. Fortinet menawarkan peranti kecil pada harga yang sangat menarik.
Bagi mereka yang belum bersedia untuk melangkah terlalu jauh. Melaksanakan SD-WAN dengan pengawal, penghalaan proprietari dan pendekatan baharu kepada perancangan dan pengurusan rangkaian mungkin merupakan langkah yang terlalu besar untuk sesetengah pelanggan. Ya, pelaksanaan sedemikian akhirnya akan membantu mengoptimumkan penggunaan saluran komunikasi dan kerja pentadbir, tetapi mula-mula anda perlu mempelajari banyak perkara baharu. Bagi mereka yang belum bersedia untuk anjakan paradigma, tetapi ingin menggunakan lebih banyak saluran komunikasi mereka, penyelesaian daripada Fortinet adalah tepat.
Sumber: www.habr.com