Afgaande op het aantal vragen dat via SD-WAN bij ons binnenkwam, begint de technologie wortel te schieten in Rusland. Verkopers slapen natuurlijk niet en bieden hun concepten aan, en sommige moedige pioniers implementeren ze al op hun netwerken.
We werken met vrijwel alle leveranciers, en gedurende een aantal jaren heb ik mij in ons laboratorium kunnen verdiepen in de architectuur van elke grote ontwikkelaar van softwaregedefinieerde oplossingen. SD-WAN van Fortinet staat hier een beetje apart, dat eenvoudigweg de functionaliteit van het balanceren van verkeer tussen communicatiekanalen in de firewallsoftware heeft ingebouwd. De oplossing is nogal democratisch en wordt daarom meestal overwogen door bedrijven die nog niet klaar zijn voor mondiale veranderingen, maar hun communicatiekanalen effectiever willen gebruiken.
In dit artikel wil ik je vertellen hoe je SD-WAN van Fortinet configureert en ermee werkt, voor wie deze oplossing geschikt is en welke valkuilen je hierbij tegen kunt komen.
De meest prominente spelers op de SD-WAN-markt kunnen in twee typen worden ingedeeld:
1. Startups die vanaf het begin SD-WAN-oplossingen hebben gemaakt. De meest succesvolle hiervan krijgen een enorme impuls voor ontwikkeling nadat ze zijn gekocht door grote bedrijven - dit is het verhaal van Cisco/Viptela, VMWare/VeloCloud, Nuage/Nokia
2. Grote netwerkleveranciers die SD-WAN-oplossingen hebben ontwikkeld en de programmeerbaarheid en beheerbaarheid van hun traditionele routers hebben ontwikkeld - dit is het verhaal van Juniper, Huawei
Fortinet wist zijn weg te vinden. De firewallsoftware had ingebouwde functionaliteit die het mogelijk maakte om hun interfaces te combineren tot virtuele kanalen en de belasting daartussen te verdelen met behulp van complexe algoritmen in vergelijking met conventionele routering. Deze functionaliteit werd SD-WAN genoemd. Kan wat Fortinet SD-WAN heten? De markt begrijpt geleidelijk dat Software-Defined de scheiding betekent tussen het besturingsvlak en het datavlak, speciale controllers en orkestrators. Fortinet heeft zoiets niet. Gecentraliseerd beheer is optioneel en wordt aangeboden via de traditionele Fortimanager-tool. Maar naar mijn mening moet je niet op zoek gaan naar abstracte waarheid en tijd verspillen met discussiëren over termen. In de echte wereld heeft elke aanpak zijn voor- en nadelen. De beste uitweg is om ze te begrijpen en oplossingen te kunnen kiezen die overeenkomen met de taken.
Ik zal je met screenshots in de hand proberen te vertellen hoe SD-WAN van Fortinet eruit ziet en wat het kan.
Hoe alles werkt
Laten we aannemen dat u twee takken heeft die zijn verbonden door twee datakanalen. Deze datalinks worden gecombineerd tot een groep, vergelijkbaar met hoe reguliere Ethernet-interfaces worden gecombineerd tot een LACP-poortkanaal. Oldtimers zullen zich PPP Multilink herinneren - ook een geschikte analogie. Kanalen kunnen fysieke poorten, VLAN SVI, maar ook VPN- of GRE-tunnels zijn.
VPN of GRE worden doorgaans gebruikt bij het verbinden van lokale filiaalnetwerken via internet. En fysieke poorten - als er L2-verbindingen zijn tussen sites, of bij verbinding via een speciale MPLS/VPN, als we tevreden zijn met de verbinding zonder overlay en codering. Een ander scenario waarin fysieke poorten worden gebruikt in een SD-WAN-groep balanceert de lokale toegang van gebruikers tot internet.
Op onze stand staan vier firewalls en twee VPN-tunnels die werken via twee “communicatieoperatoren”. Het diagram ziet er als volgt uit:
VPN-tunnels zijn in interfacemodus geconfigureerd, zodat ze vergelijkbaar zijn met point-to-point-verbindingen tussen apparaten met IP-adressen op P2P-interfaces, die kunnen worden gepingd om ervoor te zorgen dat de communicatie via een bepaalde tunnel werkt. Om het verkeer te versleutelen en naar de andere kant te laten gaan, volstaat het om het de tunnel in te leiden. Het alternatief is het selecteren van verkeer voor encryptie met behulp van lijsten met subnetten, wat de beheerder enorm in verwarring brengt naarmate de configuratie complexer wordt. In een groot netwerk kun je ADVPN-technologie gebruiken om een VPN te bouwen; dit is een analoog van DMVPN van Cisco of DVPN van Huawei, wat een eenvoudiger installatie mogelijk maakt.
Site-to-Site VPN-configuratie voor twee apparaten met BGP-routering aan beide kanten
«ЦОД» (DC)
«Филиал» (BRN)
config system interface
edit "WAN1"
set vdom "Internet"
set ip 1.1.1.1 255.255.255.252
set allowaccess ping
set role wan
set interface "DC-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 3.3.3.1 255.255.255.252
set allowaccess ping
set role lan
set interface "DC-BRD"
set vlanid 112
next
edit "BRN-Ph1-1"
set vdom "Internet"
set ip 192.168.254.1 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.2 255.255.255.255
set interface "WAN1"
next
edit "BRN-Ph1-2"
set vdom "Internet"
set ip 192.168.254.3 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.4 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "BRN-Ph1-1"
set interface "WAN1"
set local-gw 1.1.1.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 2.2.2.1
set psksecret ***
next
edit "BRN-Ph1-2"
set interface "WAN2"
set local-gw 3.3.3.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 4.4.4.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "BRN-Ph2-1"
set phase1name "BRN-Ph1-1"
set proposal aes256-sha256
set dhgrp 2
next
edit "BRN-Ph2-2"
set phase1name "BRN-Ph1-2"
set proposal aes256-sha256
set dhgrp 2
next
end
config router static
edit 1
set gateway 1.1.1.2
set device "WAN1"
next
edit 3
set gateway 3.3.3.2
set device "WAN2"
next
end
config router bgp
set as 65002
set router-id 10.1.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.2"
set remote-as 65003
next
edit "192.168.254.4"
set remote-as 65003
next
end
config network
edit 1
set prefix 10.1.0.0 255.255.0.0
next
end
config system interface
edit "WAN1"
set vdom "Internet"
set ip 2.2.2.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 4.4.4.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 114
next
edit "DC-Ph1-1"
set vdom "Internet"
set ip 192.168.254.2 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.1 255.255.255.255
set interface "WAN1"
next
edit "DC-Ph1-2"
set vdom "Internet"
set ip 192.168.254.4 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.3 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "DC-Ph1-1"
set interface "WAN1"
set local-gw 2.2.2.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 1.1.1.1
set psksecret ***
next
edit "DC-Ph1-2"
set interface "WAN2"
set local-gw 4.4.4.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 3.3.3.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "DC-Ph2-1"
set phase1name "DC-Ph1-1"
set proposal aes128-sha1
set dhgrp 2
next
edit "DC2-Ph2-2"
set phase1name "DC-Ph1-2"
set proposal aes128-sha1
set dhgrp 2
next
end
config router static
edit 1
set gateway 2.2.2.2
et device "WAN1"
next
edit 3
set gateway 4.4.4.2
set device "WAN2"
next
end
config router bgp
set as 65003
set router-id 10.200.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.1"
set remote-as 65002
next
edit "192.168.254.3"
set remote-as 65002
next
end
config network
edit 1
set prefix 10.200.0.0 255.255.0.0
next
end
Ik geef de configuratie in tekstvorm, omdat het naar mijn mening handiger is om de VPN op deze manier te configureren. Bijna alle instellingen zijn aan beide zijden hetzelfde; in tekstvorm kunnen ze worden gemaakt als copy-paste. Als u hetzelfde doet in de webinterface, kunt u gemakkelijk een fout maken: vergeet ergens een vinkje, voer de verkeerde waarde in.
Nadat we de interfaces aan de bundel hadden toegevoegd
alle routes en beveiligingsbeleid kunnen ernaar verwijzen, en niet naar de interfaces die erin zijn opgenomen. U moet minimaal verkeer van interne netwerken naar SD-WAN toestaan. Wanneer u er regels voor maakt, kunt u beschermende maatregelen toepassen, zoals IPS, antivirus en HTTPS-openbaarmaking.
SD-WAN-regels zijn geconfigureerd voor de bundel. Dit zijn regels die het balanceringsalgoritme voor specifiek verkeer definiëren. Ze zijn vergelijkbaar met het routeringsbeleid in Policy-Based Routing, alleen als gevolg van verkeer dat onder het beleid valt, is het niet de volgende hop of de gebruikelijke uitgaande interface die wordt geïnstalleerd, maar de interfaces die zijn toegevoegd aan de SD-WAN-bundel plus een verkeersbalanceringsalgoritme tussen deze interfaces.
Verkeer kan worden gescheiden van de algemene stroom door L3-L4-informatie, door erkende applicaties, internetdiensten (URL en IP), maar ook door erkende gebruikers van werkstations en laptops. Hierna kan een van de volgende balanceringsalgoritmen worden toegewezen aan het toegewezen verkeer:
In de lijst Interfacevoorkeuren worden de interfaces geselecteerd uit de interfaces die al aan de bundel zijn toegevoegd en die dit type verkeer bedienen. Door niet alle interfaces toe te voegen, kun je precies beperken welke kanalen je gebruikt, bijvoorbeeld e-mail, als je dure kanalen daar niet met een hoge SLA mee wilt belasten. In FortiOS 6.4.1 werd het mogelijk om interfaces die aan de SD-WAN-bundel waren toegevoegd in zones te groeperen, waardoor bijvoorbeeld één zone ontstond voor communicatie met externe sites en een andere voor lokale internettoegang via NAT. Ja, ja, ook het verkeer dat naar het reguliere internet gaat, kan in balans worden gebracht.
Over balanceringsalgoritmen
Wat betreft hoe Fortigate (een firewall van Fortinet) het verkeer tussen kanalen kan verdelen, zijn er twee interessante opties die niet zo gebruikelijk zijn op de markt:
Laagste kosten (SLA) – uit alle interfaces die op dit moment voldoen aan de SLA, wordt degene met het laagste gewicht (kosten), handmatig ingesteld door de beheerder, geselecteerd; deze modus is geschikt voor “bulk” verkeer zoals back-ups en bestandsoverdrachten.
Beste kwaliteit (SLA) – dit algoritme kan, naast de gebruikelijke vertraging, jitter en verlies van Fortigate-pakketten, ook de huidige kanaalbelasting gebruiken om de kwaliteit van kanalen te beoordelen; Deze modus is geschikt voor gevoelig verkeer zoals VoIP en videoconferenties.
Voor deze algoritmen is het instellen van een prestatiemeter voor het communicatiekanaal vereist: Prestatie-SLA. Deze meter controleert periodiek (controle-interval) informatie over de naleving van de SLA: pakketverlies, latentie en jitter in het communicatiekanaal, en kan die kanalen “afwijzen” die momenteel niet aan de kwaliteitsdrempels voldoen – ze verliezen te veel pakketten of ervaren te veel veel latentie. Bovendien bewaakt de meter de status van het kanaal en kan deze tijdelijk uit de bundel verwijderen bij herhaald verlies van reacties (storingen vóór inactief). Bij herstel zal de meter, na verschillende opeenvolgende reacties (herstel link daarna), automatisch het kanaal terugsturen naar de bundel en zullen er weer gegevens doorheen worden verzonden.
Zo ziet de “meter”-instelling eruit:
In de webinterface zijn ICMP-Echo-request, HTTP-GET en DNS-request beschikbaar als testprotocollen. Er zijn iets meer opties op de opdrachtregel: TCP-echo- en UDP-echo-opties zijn beschikbaar, evenals een gespecialiseerd kwaliteitsmeetprotocol - TWAMP.
De meetresultaten zijn ook te zien in de webinterface:
En op de opdrachtregel:
Probleemoplossen
Als u een regel hebt gemaakt, maar alles werkt niet zoals verwacht, moet u kijken naar de waarde van het aantal treffers in de lijst met SD-WAN-regels. Het zal laten zien of het verkeer überhaupt onder deze regel valt:
Op de instellingenpagina van de meter zelf kunt u de verandering in kanaalparameters in de loop van de tijd zien. De stippellijn geeft de drempelwaarde van de parameter aan
In de webinterface kunt u zien hoe het verkeer wordt verdeeld aan de hand van de hoeveelheid verzonden/ontvangen gegevens en het aantal sessies:
Naast dit alles is er een uitstekende mogelijkheid om de doorgang van pakketten met maximaal detail te volgen. Wanneer u in een echt netwerk werkt, verzamelt de apparaatconfiguratie veel routeringsbeleid, firewalls en verkeersdistributie over SD-WAN-poorten. Dit alles staat op een complexe manier met elkaar in wisselwerking, en hoewel de leverancier gedetailleerde blokdiagrammen van pakketverwerkingsalgoritmen levert, is het erg belangrijk om geen theorieën te kunnen bouwen en testen, maar om te zien waar het verkeer daadwerkelijk naartoe gaat.
Bijvoorbeeld de volgende reeks opdrachten
diagnose debug flow filter saddr 10.200.64.15
diagnose debug flow filter daddr 10.1.7.2
diagnose debug flow show function-name
diagnose debug enable
diagnose debug trace 2
Hiermee kunt u twee pakketten volgen met een bronadres van 10.200.64.15 en een bestemmingsadres van 10.1.7.2.
We pingen 10.7.1.2 tweemaal vanaf 10.200.64.15 en bekijken de uitvoer op de console.
Eerste pakket:
Tweede pakket:
Hier is het eerste pakket dat door de firewall wordt ontvangen:
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0."
VDOM – Internet, Proto=1 (ICMP), DMZ-Office – название L3-интерфейса. Type=8 – Echo.
Er is een nieuwe sessie voor hem aangemaakt:
msg="allocate a new session-0006a627"
En er werd een overeenkomst gevonden in de routeringsbeleidsinstellingen
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"
Het blijkt dat het pakket naar een van de VPN-tunnels moet worden verzonden:
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"
De volgende toestemmingsregel wordt gedetecteerd in het firewallbeleid:
msg="Allowed by Policy-3:"
Het pakket wordt gecodeerd en naar de VPN-tunnel gestuurd:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
Het gecodeerde pakket wordt naar het gateway-adres voor deze WAN-interface verzonden:
msg="send to 2.2.2.2 via intf-WAN1"
Voor het tweede pakket gebeurt alles op dezelfde manier, maar het wordt naar een andere VPN-tunnel gestuurd en vertrekt via een andere firewallpoort:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"
Voordelen van de oplossing
Betrouwbare functionaliteit en gebruiksvriendelijke interface. De set functies die beschikbaar was in FortiOS vóór de komst van SD-WAN is volledig behouden gebleven. Dat wil zeggen dat we geen nieuw ontwikkelde software hebben, maar een volwassen systeem van een bewezen firewallleverancier. Met een traditionele set netwerkfuncties en een handige en eenvoudig te leren webinterface. Hoeveel SD-WAN-leveranciers hebben bijvoorbeeld Remote-Acces VPN-functionaliteit op eindapparaten?
Beveiligingsniveau 80. FortiGate is een van de beste firewalloplossingen. Er is veel materiaal op internet te vinden over het opzetten en beheren van firewalls, en op de arbeidsmarkt zijn er veel beveiligingsspecialisten die de oplossingen van de leverancier al onder de knie hebben.
Nulprijs voor SD-WAN-functionaliteit. Het bouwen van een SD-WAN-netwerk op FortiGate kost hetzelfde als het bouwen van een regulier WAN-netwerk erop, omdat er geen extra licenties nodig zijn om de SD-WAN-functionaliteit te implementeren.
Lage toegangsprijs. Fortigate heeft een goede gradatie van apparaten voor verschillende prestatieniveaus. De jongste en goedkoopste modellen zijn prima geschikt om een kantoor of verkooppunt uit te breiden met bijvoorbeeld 3-5 medewerkers. Veel leveranciers hebben simpelweg niet zulke laag presterende en betaalbare modellen.
Hoge prestaties. Door de SD-WAN-functionaliteit terug te brengen tot verkeersbalancering kon het bedrijf een gespecialiseerde SD-WAN ASIC uitbrengen, waardoor SD-WAN-werking de prestaties van de firewall als geheel niet vermindert.
De mogelijkheid om een heel kantoor te implementeren op Fortinet-apparatuur. Dit zijn een paar firewalls, schakelaars en Wi-Fi-toegangspunten. Zo'n kantoor is eenvoudig en gemakkelijk te beheren: switches en toegangspunten worden geregistreerd op firewalls en van daaruit beheerd. Zo zou een switchpoort er bijvoorbeeld uit kunnen zien vanuit de firewallinterface die deze switch bestuurt:
Gebrek aan controllers als single point of Failure. De leverancier richt zich hier zelf op, maar dit kan slechts ten dele een voordeel worden genoemd, omdat voor die leveranciers die controllers hebben, het garanderen van hun fouttolerantie goedkoop is, meestal tegen de prijs van een kleine hoeveelheid computerbronnen in een virtualisatieomgeving.
Wat te zoeken
Geen scheiding tussen Control Plane en Data Plane. Dit betekent dat het netwerk handmatig moet worden geconfigureerd of met behulp van de traditionele beheertools die al beschikbaar zijn: FortiManager. Voor leveranciers die een dergelijke scheiding hebben doorgevoerd, wordt het netwerk zelf samengesteld. De beheerder hoeft wellicht alleen de topologie aan te passen, ergens iets te verbieden, meer niet. De troef van FortiManager is echter dat het niet alleen firewalls kan beheren, maar ook switches en Wi-Fi-toegangspunten, dat wil zeggen vrijwel het hele netwerk.
Voorwaardelijke toename van de beheersbaarheid. Doordat traditionele tools worden gebruikt om de netwerkconfiguratie te automatiseren, neemt de netwerkbeheerbaarheid met de introductie van SD-WAN licht toe. Aan de andere kant komt nieuwe functionaliteit sneller beschikbaar, omdat de leverancier deze eerst alleen voor het firewall-besturingssysteem vrijgeeft (waardoor het direct gebruik ervan mogelijk maakt), en pas daarna het beheersysteem aanvult met de benodigde interfaces.
Sommige functionaliteit is mogelijk beschikbaar via de opdrachtregel, maar is niet beschikbaar via de webinterface. Soms is het niet zo eng om naar de opdrachtregel te gaan om iets te configureren, maar het is eng om niet in de webinterface te zien dat iemand al iets vanaf de opdrachtregel heeft geconfigureerd. Maar dit geldt meestal voor de nieuwste features en geleidelijk aan worden met FortiOS-updates de mogelijkheden van de webinterface verbeterd.
Passend
Voor degenen die niet veel vestigingen hebben. Het implementeren van een SD-WAN-oplossing met complexe centrale componenten op een netwerk van 8-10 filialen kost misschien niet de kaars - u zult geld moeten uitgeven aan licenties voor SD-WAN-apparaten en virtualisatiesysteembronnen om de centrale componenten te hosten. Een klein bedrijf beschikt doorgaans over beperkte gratis computerbronnen. In het geval van Fortinet volstaat het om simpelweg firewalls te kopen.
Voor degenen die veel kleine takken hebben. Voor veel leveranciers is de minimale oplossingsprijs per vestiging vrij hoog en misschien niet interessant vanuit het oogpunt van de bedrijfsvoering van de eindklant. Fortinet biedt kleine apparaten aan tegen zeer aantrekkelijke prijzen.
Voor degenen die nog niet klaar zijn om een stap te ver te zetten. Het implementeren van SD-WAN met controllers, eigen routing en een nieuwe benadering van netwerkplanning en -beheer kan voor sommige klanten een te grote stap zijn. Ja, een dergelijke implementatie zal uiteindelijk helpen het gebruik van communicatiekanalen en het werk van beheerders te optimaliseren, maar eerst zul je veel nieuwe dingen moeten leren. Voor degenen die nog niet klaar zijn voor een paradigmaverschuiving, maar meer uit hun communicatiekanalen willen halen, is de oplossing van Fortinet precies goed.
Bron: www.habr.com