Sądząc po liczbie pytań, które zaczęły do nas docierać za pośrednictwem SD-WAN, technologia zaczęła się całkowicie zakorzeniać w Rosji. Sprzedawcy oczywiście nie śpią i oferują swoje koncepcje, a niektórzy odważni pionierzy już wdrażają je w swoich sieciach.
Współpracujemy z niemal wszystkimi dostawcami, a przez kilka lat pracy w naszym laboratorium udało mi się zgłębić architekturę każdego liczącego się producenta rozwiązań definiowanych programowo. Nieco wyróżnia się tutaj SD-WAN firmy Fortinet, która po prostu wbudowała w oprogramowanie firewall funkcjonalność równoważenia ruchu pomiędzy kanałami komunikacyjnymi. Rozwiązanie ma charakter raczej demokratyczny, dlatego najczęściej rozważają je firmy, które nie są jeszcze gotowe na globalne zmiany, ale chcą efektywniej wykorzystać swoje kanały komunikacji.
W tym artykule chcę Ci powiedzieć, jak skonfigurować i pracować z SD-WAN firmy Fortinet, dla kogo to rozwiązanie jest odpowiednie i jakie pułapki możesz tu napotkać.
Najbardziej znaczących graczy na rynku SD-WAN można podzielić na jeden z dwóch typów:
1. Startupy, które od podstaw stworzyły rozwiązania SD-WAN. Te, które odniosły największy sukces, po zakupie przez duże firmy otrzymują ogromny impuls do rozwoju – taka jest historia Cisco/Viptela, VMWare/VeloCloud, Nuage/Nokia
2. Duzi dostawcy sieci, którzy stworzyli rozwiązania SD-WAN, rozwijając programowalność i łatwość zarządzania swoich tradycyjnych routerów – oto historia Junipera, Huawei
Fortinetowi udało się znaleźć drogę. Oprogramowanie zapory sieciowej posiadało wbudowaną funkcjonalność, która umożliwiała łączenie ich interfejsów w kanały wirtualne i równoważenie obciążenia pomiędzy nimi przy użyciu złożonych algorytmów w porównaniu do konwencjonalnego routingu. Funkcjonalność ta została nazwana SD-WAN. Czy to, co stworzyła firma Fortinet, można nazwać SD-WAN? Rynek stopniowo rozumie, że definiowane programowo oznacza oddzielenie płaszczyzny sterowania od płaszczyzny danych, dedykowanych kontrolerów i orkiestratorów. Fortinet nie ma czegoś takiego. Scentralizowane zarządzanie jest opcjonalne i oferowane za pośrednictwem tradycyjnego narzędzia Fortimanager. Jednak moim zdaniem nie należy szukać abstrakcyjnej prawdy i tracić czasu na kłótnie o terminy. W prawdziwym świecie każde podejście ma swoje zalety i wady. Najlepszym wyjściem jest ich zrozumienie i umiejętność doboru rozwiązań adekwatnych do postawionych zadań.
Postaram się Wam opowiedzieć na zrzutach ekranu, jak wygląda SD-WAN od Fortineta i co potrafi.
Jak wszystko działa
Załóżmy, że masz dwie gałęzie połączone dwoma kanałami danych. Te łącza danych są łączone w grupę, podobnie jak zwykłe interfejsy Ethernet są łączone w kanał portu LACP. Starzy ludzie pamiętają PPP Multilink – także odpowiednia analogia. Kanałami mogą być porty fizyczne, VLAN SVI, a także tunele VPN lub GRE.
VPN lub GRE są zwykle używane podczas łączenia oddziałowych sieci lokalnych przez Internet. Oraz porty fizyczne – jeśli między lokacjami są połączenia L2, lub przy łączeniu się przez dedykowany MPLS/VPN, jeśli zadowala nas połączenie bez Overlay i szyfrowania. Innym scenariuszem wykorzystania portów fizycznych w grupie SD-WAN jest równoważenie lokalnego dostępu użytkowników do Internetu.
Na naszym stoisku znajdują się cztery firewalle i dwa tunele VPN działające poprzez dwóch „operatorów komunikacji”. Schemat wygląda następująco:
Tunele VPN są konfigurowane w trybie interfejsu, dzięki czemu przypominają połączenia punkt-punkt pomiędzy urządzeniami posiadającymi adresy IP na interfejsach P2P, które można pingować, aby upewnić się, że komunikacja przez konkretny tunel działa. Aby ruch został zaszyfrowany i skierował się na przeciwną stronę, wystarczy skierować go do tunelu. Alternatywą jest wybranie ruchu do szyfrowania przy użyciu list podsieci, co znacznie dezorientuje administratora, gdy konfiguracja staje się bardziej złożona. W dużej sieci można wykorzystać technologię ADVPN do zbudowania VPN; jest to analogia DMVPN firmy Cisco lub DVPN firmy Huawei, co pozwala na łatwiejszą konfigurację.
Konfiguracja VPN typu lokacja-lokacja dla dwóch urządzeń z routingiem BGP po obu stronach
«ЦОД» (DC)
«Филиал» (BRN)
config system interface
edit "WAN1"
set vdom "Internet"
set ip 1.1.1.1 255.255.255.252
set allowaccess ping
set role wan
set interface "DC-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 3.3.3.1 255.255.255.252
set allowaccess ping
set role lan
set interface "DC-BRD"
set vlanid 112
next
edit "BRN-Ph1-1"
set vdom "Internet"
set ip 192.168.254.1 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.2 255.255.255.255
set interface "WAN1"
next
edit "BRN-Ph1-2"
set vdom "Internet"
set ip 192.168.254.3 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.4 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "BRN-Ph1-1"
set interface "WAN1"
set local-gw 1.1.1.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 2.2.2.1
set psksecret ***
next
edit "BRN-Ph1-2"
set interface "WAN2"
set local-gw 3.3.3.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 4.4.4.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "BRN-Ph2-1"
set phase1name "BRN-Ph1-1"
set proposal aes256-sha256
set dhgrp 2
next
edit "BRN-Ph2-2"
set phase1name "BRN-Ph1-2"
set proposal aes256-sha256
set dhgrp 2
next
end
config router static
edit 1
set gateway 1.1.1.2
set device "WAN1"
next
edit 3
set gateway 3.3.3.2
set device "WAN2"
next
end
config router bgp
set as 65002
set router-id 10.1.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.2"
set remote-as 65003
next
edit "192.168.254.4"
set remote-as 65003
next
end
config network
edit 1
set prefix 10.1.0.0 255.255.0.0
next
end
config system interface
edit "WAN1"
set vdom "Internet"
set ip 2.2.2.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 4.4.4.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 114
next
edit "DC-Ph1-1"
set vdom "Internet"
set ip 192.168.254.2 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.1 255.255.255.255
set interface "WAN1"
next
edit "DC-Ph1-2"
set vdom "Internet"
set ip 192.168.254.4 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.3 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "DC-Ph1-1"
set interface "WAN1"
set local-gw 2.2.2.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 1.1.1.1
set psksecret ***
next
edit "DC-Ph1-2"
set interface "WAN2"
set local-gw 4.4.4.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 3.3.3.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "DC-Ph2-1"
set phase1name "DC-Ph1-1"
set proposal aes128-sha1
set dhgrp 2
next
edit "DC2-Ph2-2"
set phase1name "DC-Ph1-2"
set proposal aes128-sha1
set dhgrp 2
next
end
config router static
edit 1
set gateway 2.2.2.2
et device "WAN1"
next
edit 3
set gateway 4.4.4.2
set device "WAN2"
next
end
config router bgp
set as 65003
set router-id 10.200.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.1"
set remote-as 65002
next
edit "192.168.254.3"
set remote-as 65002
next
end
config network
edit 1
set prefix 10.200.0.0 255.255.0.0
next
end
Podaję konfigurację w formie tekstowej, ponieważ moim zdaniem wygodniej jest skonfigurować VPN w ten sposób. Prawie wszystkie ustawienia są takie same po obu stronach, w formie tekstowej można je wprowadzić metodą kopiuj-wklej. Jeśli zrobisz to samo w interfejsie internetowym, łatwo popełnić błąd - zapomnij gdzieś o zaznaczeniu, wprowadź złą wartość.
Po dodaniu interfejsów do pakietu
wszystkie trasy i zasady bezpieczeństwa mogą odnosić się do niego, a nie do zawartych w nim interfejsów. Musisz przynajmniej zezwolić na ruch z sieci wewnętrznych do SD-WAN. Tworząc dla nich reguły, możesz zastosować środki ochronne, takie jak IPS, antywirus i ujawnienie HTTPS.
Reguły SD-WAN są skonfigurowane dla pakietu. Są to reguły definiujące algorytm równoważenia dla konkretnego ruchu. Są one podobne do zasad routingu w routingu opartym na zasadach, z tą tylko różnicą, że w wyniku ruchu objętego tą polityką instalowany jest nie interfejs następnego skoku lub zwykły interfejs wychodzący, ale interfejsy dodane do pakietu SD-WAN plus algorytm równoważenia ruchu pomiędzy tymi interfejsami.
Ruch od ogólnego przepływu można oddzielić informacjami L3-L4, rozpoznanymi aplikacjami, usługami internetowymi (URL i IP), a także rozpoznanymi użytkownikami stacji roboczych i laptopów. Następnie do przydzielonego ruchu można przypisać jeden z poniższych algorytmów równoważenia:
Na liście Preferencje interfejsu wybierane są te interfejsy spośród już dodanych do pakietu, które będą obsługiwać ten typ ruchu. Dodając nie wszystkie interfejsy, możesz dokładnie ograniczyć kanały, z których korzystasz, np. pocztę e-mail, jeśli nie chcesz obciążać nią drogich kanałów wysokim poziomem SLA. W FortiOS 6.4.1 pojawiła się możliwość grupowania interfejsów dodanych do pakietu SD-WAN w strefy, tworząc np. jedną strefę do komunikacji ze zdalnymi lokalizacjami, a drugą do lokalnego dostępu do Internetu za pomocą NAT. Tak, tak, ruch, który trafia do zwykłego Internetu, również można zrównoważyć.
O algorytmach równoważących
Jeśli chodzi o sposób, w jaki Fortigate (firewall firmy Fortinet) może dzielić ruch pomiędzy kanałami, istnieją dwie interesujące opcje, które nie są zbyt powszechne na rynku:
Najniższy koszt (SLA) – ze wszystkich interfejsów spełniających aktualnie SLA, wybierany jest ten o niższej wadze (koszcie), ustawionej ręcznie przez administratora; ten tryb jest odpowiedni dla ruchu „masowego”, takiego jak kopie zapasowe i przesyłanie plików.
Najlepsza jakość (SLA) – algorytm ten oprócz typowego opóźnienia, jittera i utraty pakietów Fortigate, może także wykorzystać aktualne obciążenie kanału do oceny jakości kanałów; Ten tryb jest odpowiedni dla wrażliwego ruchu, takiego jak VoIP i wideokonferencje.
Algorytmy te wymagają skonfigurowania miernika wydajności kanału komunikacyjnego – Performance SLA. Miernik ten okresowo (co sprawdza) monitoruje informacje o zgodności z SLA: utratę pakietów, opóźnienie (latency) i jitter (jitter) w kanale komunikacyjnym i może „odrzucić” te kanały, które aktualnie nie spełniają progów jakościowych – tracą zbyt wiele pakietów lub występują zbyt duże opóźnienia. Dodatkowo miernik monitoruje stan kanału i może tymczasowo usunąć go z wiązki w przypadku powtarzającej się utraty odpowiedzi (awarie przed dezaktywacją). Po przywróceniu, po kilku kolejnych odpowiedziach (po przywróceniu łącza), miernik automatycznie przywróci kanał do wiązki i dane ponownie zaczną przez niego przesyłać.
Tak wygląda ustawienie „miernika”:
W interfejsie sieciowym jako protokoły testowe dostępne są żądania ICMP-Echo, HTTP-GET i żądania DNS. Nieco więcej opcji znajduje się w linii poleceń: dostępne są opcje TCP-echo i UDP-echo, a także specjalistyczny protokół pomiaru jakości - TWAMP.
Wyniki pomiarów można zobaczyć także w interfejsie WWW:
Oraz w wierszu poleceń:
Rozwiązywanie problemów
Jeśli utworzyłeś regułę, ale wszystko nie działa zgodnie z oczekiwaniami, powinieneś sprawdzić wartość Hit Count na liście reguł SD-WAN. Pokaże, czy ruch w ogóle podlega tej regule:
Na stronie ustawień samego miernika można zobaczyć zmianę parametrów kanału w czasie. Linia przerywana wskazuje wartość progową parametru
W interfejsie internetowym możesz zobaczyć rozkład ruchu według ilości przesłanych/odebranych danych i liczby sesji:
Oprócz tego istnieje doskonała możliwość śledzenia przepływu pakietów z maksymalną szczegółowością. Podczas pracy w prawdziwej sieci konfiguracja urządzenia gromadzi wiele zasad routingu, firewalli i dystrybucji ruchu pomiędzy portami SD-WAN. Wszystko to oddziałuje na siebie w złożony sposób i chociaż sprzedawca udostępnia szczegółowe diagramy blokowe algorytmów przetwarzania pakietów, bardzo ważne jest, aby móc nie budować i testować teorii, ale zobaczyć, dokąd faktycznie idzie ruch.
Na przykład następujący zestaw poleceń
diagnose debug flow filter saddr 10.200.64.15
diagnose debug flow filter daddr 10.1.7.2
diagnose debug flow show function-name
diagnose debug enable
diagnose debug trace 2
Umożliwia śledzenie dwóch pakietów o adresie źródłowym 10.200.64.15 i adresie docelowym 10.1.7.2.
Dwukrotnie pingujemy 10.7.1.2 z 10.200.64.15 i sprawdzamy wynik na konsoli.
Pierwszy pakiet:
Drugi pakiet:
Oto pierwszy pakiet odebrany przez zaporę:
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0."
VDOM – Internet, Proto=1 (ICMP), DMZ-Office – название L3-интерфейса. Type=8 – Echo.
Stworzono dla niego nową sesję:
msg="allocate a new session-0006a627"
Znaleziono dopasowanie w ustawieniach zasad routingu
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"
Okazuje się, że pakiet należy wysłać do jednego z tuneli VPN:
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"
W zasadach zapory sieciowej wykryto następującą regułę zezwalającą:
msg="Allowed by Policy-3:"
Pakiet jest szyfrowany i przesyłany do tunelu VPN:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
Zaszyfrowany pakiet jest wysyłany na adres bramy dla tego interfejsu WAN:
msg="send to 2.2.2.2 via intf-WAN1"
W przypadku drugiego pakietu wszystko dzieje się podobnie, tyle że jest on wysyłany do innego tunelu VPN i wychodzi przez inny port firewalla:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"
Plusy rozwiązania
Niezawodna funkcjonalność i przyjazny interfejs użytkownika. Zestaw funkcji, który był dostępny w FortiOS przed pojawieniem się SD-WAN, został w pełni zachowany. Oznacza to, że nie mamy nowo opracowanego oprogramowania, ale dojrzały system od sprawdzonego dostawcy firewalli. Z tradycyjnym zestawem funkcji sieciowych, wygodnym i łatwym do nauczenia się interfejsem internetowym. Ilu dostawców rozwiązań SD-WAN oferuje na przykład funkcję Remote Access VPN na urządzeniach końcowych?
Poziom bezpieczeństwa 80. FortiGate to jedno z najlepszych rozwiązań typu firewall. W Internecie jest mnóstwo materiałów na temat konfigurowania i administrowania firewallami, a na rynku pracy jest wielu specjalistów ds. bezpieczeństwa, którzy opanowali już rozwiązania dostawcy.
Zerowa cena za funkcjonalność SD-WAN. Budowa sieci SD-WAN na platformie FortiGate kosztuje tyle samo, co budowa na niej zwykłej sieci WAN, ponieważ do wdrożenia funkcjonalności SD-WAN nie są potrzebne żadne dodatkowe licencje.
Niska cena bariery wejścia. Fortigate ma dobrą gradację urządzeń dla różnych poziomów wydajności. Najmłodsze i najtańsze modele doskonale nadają się do rozbudowy biura lub punktu sprzedaży o, powiedzmy, 3-5 pracowników. Wielu dostawców po prostu nie ma w swojej ofercie modeli o tak niskiej wydajności i przystępnej cenie.
Wysoka wydajność Ograniczenie funkcjonalności SD-WAN do równoważenia ruchu pozwoliło firmie wypuścić na rynek specjalizowany układ SD-WAN ASIC, dzięki któremu działanie SD-WAN nie zmniejsza wydajności firewalla jako całości.
Możliwość wdrożenia całego biura na sprzęcie Fortinet. Jest to para zapór sieciowych, przełączników, punktów dostępu Wi-Fi. Zarządzanie takim biurem jest łatwe i wygodne - przełączniki i punkty dostępowe są rejestrowane na firewallach i zarządzane z ich poziomu. Na przykład tak może wyglądać port przełącznika z poziomu interfejsu zapory sterującej tym przełącznikiem:
Brak sterowników jako pojedynczy punkt awarii. Sam sprzedawca skupia się na tym, ale można to nazwać korzyścią tylko po części, bo dla tych dostawców, którzy posiadają kontrolery, zapewnienie ich odporności na awarie jest niedrogie, najczęściej za cenę niewielkiej ilości zasobów obliczeniowych w środowisku wirtualizacyjnym.
Na co zwrócić uwagę
Brak separacji pomiędzy płaszczyzną sterowania i płaszczyzną danych. Oznacza to, że sieć należy skonfigurować ręcznie lub przy użyciu dostępnych już tradycyjnych narzędzi do zarządzania – FortiManager. W przypadku dostawców, którzy wdrożyli taki podział, sieć jest składana samodzielnie. Administrator może jedynie dostosować swoją topologię, zabronić czegoś gdzieś i nic więcej. Atutem FortiManagera jest jednak to, że potrafi zarządzać nie tylko firewallami, ale także przełącznikami i punktami dostępowymi Wi-Fi, czyli niemal całą siecią.
Warunkowe zwiększenie sterowalności. Ze względu na to, że do automatyzacji konfiguracji sieci wykorzystywane są tradycyjne narzędzia, możliwości zarządzania siecią wraz z wprowadzeniem SD-WAN nieznacznie wzrastają. Z drugiej strony nowa funkcjonalność staje się dostępna szybciej, gdyż producent najpierw udostępnia ją wyłącznie dla systemu operacyjnego typu firewall (co od razu umożliwia jej użycie), a dopiero potem uzupełnia system zarządzania o niezbędne interfejsy.
Niektóre funkcje mogą być dostępne z wiersza poleceń, ale nie są dostępne z poziomu interfejsu internetowego. Czasami wejście do wiersza poleceń, aby coś skonfigurować, nie jest takie straszne, ale przerażające jest to, że w interfejsie internetowym nie widać, że ktoś już skonfigurował coś z wiersza poleceń. Zwykle dotyczy to jednak najnowszych funkcji i stopniowo wraz z aktualizacjami FortiOS poprawiane są możliwości interfejsu internetowego.
Aby to pasowało
Dla tych, którzy nie mają wielu oddziałów. Wdrożenie rozwiązania SD-WAN ze złożonymi komponentami centralnymi w sieci składającej się z 8-10 oddziałów może nie kosztować świeczki - będziesz musiał wydać pieniądze na licencje na urządzenia SD-WAN i zasoby systemu wirtualizacji w celu hostowania komponentów centralnych. Mała firma ma zazwyczaj ograniczone bezpłatne zasoby obliczeniowe. W przypadku Fortinet wystarczy po prostu kupić firewalle.
Dla tych, którzy mają dużo małych gałęzi. Dla wielu dostawców minimalna cena rozwiązania w przeliczeniu na oddział jest dość wysoka i może nie być interesująca z punktu widzenia biznesu klienta końcowego. Fortinet oferuje małe urządzenia w bardzo atrakcyjnych cenach.
Dla tych, którzy nie są jeszcze gotowi na krok za daleko. Wdrożenie SD-WAN wraz z kontrolerami, autorskim routingiem i nowym podejściem do planowania i zarządzania siecią może być dla niektórych klientów zbyt dużym krokiem. Tak, takie wdrożenie docelowo pomoże zoptymalizować wykorzystanie kanałów komunikacji i pracę administratorów, ale najpierw będziesz musiał nauczyć się wielu nowych rzeczy. Dla tych, którzy nie są jeszcze gotowi na zmianę paradygmatu, ale chcą wycisnąć więcej ze swoich kanałów komunikacji, rozwiązanie Fortinet jest w sam raz.
Źródło: www.habr.com