Súdiac podľa množstva otázok, ktoré k nám začali prichádzať cez SD-WAN, sa technológia začala v Rusku dôkladne udomácňovať. Predajcovia, prirodzene, nespia a ponúkajú svoje koncepty a niektorí odvážni priekopníci ich už implementujú do svojich sietí.
Spolupracujeme takmer so všetkými dodávateľmi a za niekoľko rokov v našom laboratóriu sa mi podarilo preniknúť do architektúry každého významného vývojára softvérovo definovaných riešení. Trochu stranou tu stojí SD-WAN od Fortinetu, ktorý jednoducho zabudoval funkčnosť vyrovnávania prevádzky medzi komunikačnými kanálmi do softvéru firewallu. Riešenie je skôr demokratické, preto o ňom zvyčajne uvažujú spoločnosti, ktoré ešte nie sú pripravené na globálne zmeny, ale chcú efektívnejšie využívať svoje komunikačné kanály.
V tomto článku vám chcem povedať, ako nakonfigurovať a pracovať s SD-WAN od Fortinet, pre koho je toto riešenie vhodné a s akými nástrahami sa tu môžete stretnúť.
Najvýznamnejších hráčov na trhu SD-WAN možno rozdeliť do dvoch typov:
1. Startups, ktoré vytvorili SD-WAN riešenia od začiatku. Najúspešnejšie z nich dostávajú obrovský impulz pre vývoj po kúpe veľkými spoločnosťami – to je príbeh Cisco/Viptela, VMWare/VeloCloud, Nuage/Nokia
2. Veľkí predajcovia sietí, ktorí vytvorili riešenia SD-WAN, rozvíjali programovateľnosť a spravovateľnosť svojich tradičných smerovačov – to je príbeh spoločností Juniper, Huawei
Fortinet si dokázal nájsť cestu. Softvér brány firewall mal vstavanú funkčnosť, ktorá umožňovala kombinovať ich rozhrania do virtuálnych kanálov a vyrovnávať záťaž medzi nimi pomocou zložitých algoritmov v porovnaní s konvenčným smerovaním. Táto funkcia sa nazývala SD-WAN. Môže sa to, čo Fortinet nazývať SD-WAN? Trh postupne chápe, že softvérovo definované znamená oddelenie riadiacej roviny od dátovej roviny, vyhradených ovládačov a orchestrátorov. Fortinet nič také nemá. Centralizovaná správa je voliteľná a ponúka sa prostredníctvom tradičného nástroja Fortimanager. Ale podľa mňa by ste nemali hľadať abstraktnú pravdu a strácať čas hádaním sa o termínoch. V reálnom svete má každý prístup svoje výhody a nevýhody. Najlepším východiskom je porozumieť im a vedieť si vybrať riešenia, ktoré zodpovedajú úlohám.
Pokúsim sa vám povedať so snímkami obrazovky, ako vyzerá SD-WAN od Fortinetu a čo dokáže.
Ako to celé funguje
Predpokladajme, že máte dve vetvy prepojené dvoma dátovými kanálmi. Tieto dátové linky sú spojené do skupiny, podobne ako bežné ethernetové rozhrania sú kombinované do LACP-Port-Channel. Starovekí si spomenú na PPP Multilink – tiež vhodné prirovnanie. Kanály môžu byť fyzické porty, VLAN SVI, ako aj VPN alebo GRE tunely.
VPN alebo GRE sa zvyčajne používajú pri pripájaní pobočkových lokálnych sietí cez internet. A fyzické porty – ak existujú L2 spojenia medzi lokalitami, alebo pri pripojení cez dedikovaný MPLS/VPN, ak sme spokojní s pripojením bez Overlay a šifrovania. Ďalším scenárom, v ktorom sa fyzické porty používajú v skupine SD-WAN, je vyváženie lokálneho prístupu používateľov k internetu.
V našom stánku sú štyri firewally a dva VPN tunely fungujúce cez dvoch „komunikačných operátorov“. Schéma vyzerá takto:
Tunely VPN sú nakonfigurované v režime rozhrania tak, aby boli podobné pripojeniam typu point-to-point medzi zariadeniami s adresami IP na rozhraniach P2P, ktoré možno testovať pomocou príkazu ping, aby sa zaistilo, že komunikácia cez konkrétny tunel funguje. Aby bola premávka zašifrovaná a smerovala na opačnú stranu, stačí ju nasmerovať do tunela. Alternatívou je vybrať prenos na šifrovanie pomocou zoznamov podsietí, čo značne mätie administrátora, keďže sa konfigurácia stáva zložitejšou. Vo veľkej sieti môžete použiť technológiu ADVPN na vytvorenie VPN; ide o analóg DMVPN od Cisco alebo DVBN od Huawei, čo umožňuje jednoduchšie nastavenie.
Konfigurácia VPN typu Site-to-Site pre dve zariadenia so smerovaním BGP na oboch stranách
«ЦОД» (DC)
«Филиал» (BRN)
config system interface
edit "WAN1"
set vdom "Internet"
set ip 1.1.1.1 255.255.255.252
set allowaccess ping
set role wan
set interface "DC-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 3.3.3.1 255.255.255.252
set allowaccess ping
set role lan
set interface "DC-BRD"
set vlanid 112
next
edit "BRN-Ph1-1"
set vdom "Internet"
set ip 192.168.254.1 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.2 255.255.255.255
set interface "WAN1"
next
edit "BRN-Ph1-2"
set vdom "Internet"
set ip 192.168.254.3 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.4 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "BRN-Ph1-1"
set interface "WAN1"
set local-gw 1.1.1.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 2.2.2.1
set psksecret ***
next
edit "BRN-Ph1-2"
set interface "WAN2"
set local-gw 3.3.3.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 4.4.4.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "BRN-Ph2-1"
set phase1name "BRN-Ph1-1"
set proposal aes256-sha256
set dhgrp 2
next
edit "BRN-Ph2-2"
set phase1name "BRN-Ph1-2"
set proposal aes256-sha256
set dhgrp 2
next
end
config router static
edit 1
set gateway 1.1.1.2
set device "WAN1"
next
edit 3
set gateway 3.3.3.2
set device "WAN2"
next
end
config router bgp
set as 65002
set router-id 10.1.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.2"
set remote-as 65003
next
edit "192.168.254.4"
set remote-as 65003
next
end
config network
edit 1
set prefix 10.1.0.0 255.255.0.0
next
end
config system interface
edit "WAN1"
set vdom "Internet"
set ip 2.2.2.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 4.4.4.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 114
next
edit "DC-Ph1-1"
set vdom "Internet"
set ip 192.168.254.2 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.1 255.255.255.255
set interface "WAN1"
next
edit "DC-Ph1-2"
set vdom "Internet"
set ip 192.168.254.4 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.3 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "DC-Ph1-1"
set interface "WAN1"
set local-gw 2.2.2.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 1.1.1.1
set psksecret ***
next
edit "DC-Ph1-2"
set interface "WAN2"
set local-gw 4.4.4.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 3.3.3.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "DC-Ph2-1"
set phase1name "DC-Ph1-1"
set proposal aes128-sha1
set dhgrp 2
next
edit "DC2-Ph2-2"
set phase1name "DC-Ph1-2"
set proposal aes128-sha1
set dhgrp 2
next
end
config router static
edit 1
set gateway 2.2.2.2
et device "WAN1"
next
edit 3
set gateway 4.4.4.2
set device "WAN2"
next
end
config router bgp
set as 65003
set router-id 10.200.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.1"
set remote-as 65002
next
edit "192.168.254.3"
set remote-as 65002
next
end
config network
edit 1
set prefix 10.200.0.0 255.255.0.0
next
end
Konfiguráciu poskytujem v textovej forme, pretože podľa môjho názoru je pohodlnejšie nakonfigurovať VPN týmto spôsobom. Takmer všetky nastavenia sú na oboch stranách rovnaké, v textovej forme ich možno vykonať formou kopírovania a vkladania. Ak urobíte to isté vo webovom rozhraní, je ľahké urobiť chybu - zabudnite niekde začiarknutie, zadajte nesprávnu hodnotu.
Potom, čo sme pridali rozhrania do balíka
všetky cesty a bezpečnostné politiky sa naň môžu odvolávať a nie na rozhrania, ktoré sú v ňom zahrnuté. Minimálne musíte povoliť prenos z interných sietí do SD-WAN. Keď pre ne vytvoríte pravidlá, môžete použiť ochranné opatrenia, ako sú IPS, antivírus a sprístupnenie HTTPS.
Pre balík sú nakonfigurované pravidlá SD-WAN. Ide o pravidlá, ktoré definujú algoritmus vyvažovania pre konkrétnu prevádzku. Podobajú sa politikám smerovania v Smerovaní založenom na politike, len ako výsledok prevádzky spadajúcej pod politiku, nie je nainštalovaný ďalší skok alebo obvyklé odchádzajúce rozhranie, ale rozhrania pridané do balíka SD-WAN plus algoritmus vyvažovania prevádzky medzi týmito rozhraniami.
Prevádzka môže byť oddelená od všeobecného toku informáciami L3-L4, uznávanými aplikáciami, internetovými službami (URL a IP), ako aj uznávanými používateľmi pracovných staníc a notebookov. Potom môže byť pridelenej prevádzke priradený jeden z nasledujúcich vyvažovacích algoritmov:
V zozname Predvoľby rozhrania sú vybraté tie rozhrania z tých, ktoré už boli pridané do balíka a ktoré budú obsluhovať tento typ prevádzky. Pridaním nie všetkých rozhraní môžete presne obmedziť, ktoré kanály používate, povedzme, e-mail, ak tým nechcete zaťažovať drahé kanály vysokou SLA. Vo FortiOS 6.4.1 bolo možné zoskupiť rozhrania pridané do balíka SD-WAN do zón, čím sa vytvorila napríklad jedna zóna pre komunikáciu so vzdialenými lokalitami a druhá pre lokálny prístup k internetu pomocou NAT. Áno, áno, aj návštevnosť, ktorá smeruje na bežný internet, môže byť vyrovnaná.
O vyrovnávacích algoritmoch
Pokiaľ ide o to, ako môže Fortigate (firewall od Fortinetu) rozdeliť prevádzku medzi kanály, existujú dve zaujímavé možnosti, ktoré nie sú na trhu príliš bežné:
Najnižšia cena (SLA) – zo všetkých rozhraní, ktoré momentálne spĺňajú SLA, sa vyberie to s nižšou váhou (nákladom), manuálne nastavenou administrátorom; tento režim je vhodný pre „hromadnú“ prevádzku, ako sú zálohy a prenosy súborov.
Najlepšia kvalita (SLA) – tento algoritmus môže okrem bežného oneskorenia, jitteru a straty paketov Fortigate použiť aj aktuálne zaťaženie kanála na posúdenie kvality kanálov; Tento režim je vhodný pre citlivú prevádzku, ako sú VoIP a videokonferencie.
Tieto algoritmy vyžadujú nastavenie merača výkonu komunikačného kanála – Performance SLA. Tento merač pravidelne (kontrolný interval) monitoruje informácie o súlade so SLA: strata paketov, latencia a jitter v komunikačnom kanáli a môže „odmietnuť“ tie kanály, ktoré momentálne nespĺňajú prahy kvality – strácajú príliš veľa paketov alebo majú príliš veľa veľa latencie. Okrem toho merač monitoruje stav kanála a môže ho dočasne odstrániť zo zväzku v prípade opakovanej straty odpovedí (poruchy pred neaktívnym). Po obnovení, po niekoľkých po sebe idúcich odpovediach (obnoviť odkaz potom), merací prístroj automaticky vráti kanál do zväzku a dáta sa cez neho začnú znova prenášať.
Takto vyzerá nastavenie „merača“:
Vo webovom rozhraní sú ako testovacie protokoly dostupné ICMP-Echo-request, HTTP-GET a DNS request. Na príkazovom riadku je trochu viac možností: K dispozícii sú možnosti TCP-echo a UDP-echo, ako aj špecializovaný protokol merania kvality - TWAMP.
Výsledky merania je možné vidieť aj vo webovom rozhraní:
A na príkazovom riadku:
Riešenie problémov
Ak ste vytvorili pravidlo, ale všetko nefunguje podľa očakávania, mali by ste sa pozrieť na hodnotu Hit Count v zozname pravidiel SD-WAN. Ukáže, či návštevnosť vôbec spadá do tohto pravidla:
Na stránke nastavení samotného meracieho prístroja môžete vidieť zmenu parametrov kanála v priebehu času. Bodkovaná čiara označuje prahovú hodnotu parametra
Vo webovom rozhraní môžete vidieť, ako je rozložená návštevnosť podľa množstva prenesených/prijatých dát a počtu relácií:
K tomu všetkému je tu vynikajúca možnosť maximálne detailne sledovať prechod paketov. Pri práci v skutočnej sieti sa v konfigurácii zariadenia hromadí mnoho smerovacích politík, firewallov a distribúcie prevádzky cez porty SD-WAN. To všetko navzájom komplexne interaguje, a hoci predajca poskytuje podrobné blokové diagramy algoritmov spracovania paketov, je veľmi dôležité, aby ste nemohli budovať a testovať teórie, ale aby ste videli, kam prevádzka skutočne smeruje.
Napríklad nasledujúci súbor príkazov
diagnose debug flow filter saddr 10.200.64.15
diagnose debug flow filter daddr 10.1.7.2
diagnose debug flow show function-name
diagnose debug enable
diagnose debug trace 2
Umožňuje sledovať dva pakety so zdrojovou adresou 10.200.64.15 a cieľovou adresou 10.1.7.2.
Dvakrát pingneme na 10.7.1.2 z 10.200.64.15 a pozrieme sa na výstup na konzole.
Prvý balík:
Druhý balík:
Tu je prvý paket prijatý bránou firewall:
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0."
VDOM – Internet, Proto=1 (ICMP), DMZ-Office – название L3-интерфейса. Type=8 – Echo.
Bola pre neho vytvorená nová relácia:
msg="allocate a new session-0006a627"
A v nastaveniach politiky smerovania sa našla zhoda
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"
Ukázalo sa, že paket musí byť odoslaný do jedného z tunelov VPN:
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"
V pravidlách brány firewall sa zistilo nasledujúce povoľovacie pravidlo:
msg="Allowed by Policy-3:"
Paket je zašifrovaný a odoslaný do tunela VPN:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
Zašifrovaný paket sa odošle na adresu brány pre toto rozhranie WAN:
msg="send to 2.2.2.2 via intf-WAN1"
Pre druhý paket sa všetko deje podobne, ale je odoslaný do iného tunela VPN a odchádza cez iný port brány firewall:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"
Plusy riešenia
Spoľahlivá funkčnosť a užívateľsky prívetivé rozhranie. Sada funkcií, ktorá bola dostupná vo FortiOS pred príchodom SD-WAN, zostala plne zachovaná. To znamená, že nemáme novovyvinutý softvér, ale vyzretý systém od osvedčeného dodávateľa firewallu. S tradičnou sadou sieťových funkcií, pohodlným a ľahko naučiteľným webovým rozhraním. Koľko predajcov SD-WAN má, povedzme, funkciu VPN vzdialeného prístupu na koncových zariadeniach?
Úroveň zabezpečenia 80. FortiGate je jedným z najlepších firewallových riešení. Na internete je množstvo materiálov o nastavovaní a správe firewallov a na trhu práce je veľa bezpečnostných špecialistov, ktorí už ovládajú riešenia dodávateľa.
Nulová cena za funkčnosť SD-WAN. Vybudovanie SD-WAN siete na FortiGate stojí rovnako ako vybudovanie bežnej WAN siete na nej, keďže na implementáciu SD-WAN funkcionality nie sú potrebné žiadne ďalšie licencie.
Nízka vstupná bariérová cena. Fortigate má dobrú gradáciu zariadení pre rôzne úrovne výkonu. Najmladšie a najlacnejšie modely sú celkom vhodné na rozšírenie kancelárie alebo predajného miesta napríklad o 3-5 zamestnancov. Mnoho predajcov jednoducho nemá také nízkovýkonné a cenovo dostupné modely.
Vysoký výkon. Redukcia funkcionality SD-WAN na vyvažovanie prevádzky umožnila spoločnosti vydať špecializovaný SD-WAN ASIC, vďaka ktorému prevádzka SD-WAN neznižuje výkon firewallu ako celku.
Možnosť implementovať celú kanceláriu na zariadení Fortinet. Ide o dvojicu firewallov, prepínačov, prístupových bodov Wi-Fi. Správa takejto kancelárie je jednoduchá a pohodlná – prepínače a prístupové body sú registrované na firewalloch a spravované z nich. Takto môže napríklad vyzerať port prepínača z rozhrania brány firewall, ktoré riadi tento prepínač:
Nedostatok ovládačov ako jediný bod zlyhania. Samotný predajca sa na to zameriava, ale prínosom sa to dá nazvať len čiastočne, pretože pre tých predajcov, ktorí majú radiče, je zabezpečenie ich odolnosti voči chybám lacné, najčastejšie za cenu malého množstva výpočtových prostriedkov vo virtualizačnom prostredí.
Čo hľadať
Žiadne oddelenie medzi riadiacou rovinou a dátovou rovinou. To znamená, že sieť musí byť nakonfigurovaná buď manuálne, alebo pomocou už dostupných tradičných nástrojov na správu – FortiManager. Pre predajcov, ktorí zaviedli takéto oddelenie, je sieť zostavená sama. Administrátor môže potrebovať iba upraviť jeho topológiu, niekde niečo zakázať, nič viac. Tromfom FortiManageru však je, že dokáže spravovať nielen firewally, ale aj prepínače a prístupové body Wi-Fi, teda takmer celú sieť.
Podmienečné zvýšenie ovládateľnosti. Vzhľadom na skutočnosť, že tradičné nástroje sa používajú na automatizáciu konfigurácie siete, spravovateľnosť siete so zavedením SD-WAN sa mierne zvyšuje. Na druhej strane sa nová funkcionalita sprístupňuje rýchlejšie, keďže ju predajca najskôr uvoľní len pre operačný systém firewall (čo ju okamžite umožní použiť) a až potom doplní riadiaci systém o potrebné rozhrania.
Niektoré funkcie môžu byť dostupné z príkazového riadka, ale nie sú dostupné z webového rozhrania. Niekedy nie je také strašidelné ísť do príkazového riadku a niečo nakonfigurovať, ale je strašidelné nevidieť vo webovom rozhraní, že niekto už niečo nakonfiguroval z príkazového riadku. To sa však zvyčajne týka najnovších funkcií a postupne s aktualizáciami FortiOS sa možnosti webového rozhrania zlepšujú.
Do obleku
Pre tých, ktorí nemajú veľa pobočiek. Implementácia riešenia SD-WAN s komplexnými centrálnymi komponentmi v sieti 8-10 pobočiek nemusí stáť sviečku - budete musieť minúť peniaze na licencie pre zariadenia SD-WAN a prostriedky virtualizačného systému na hosťovanie centrálnych komponentov. Malá spoločnosť má zvyčajne obmedzené voľné výpočtové zdroje. V prípade Fortinetu stačí firewally jednoducho dokúpiť.
Pre tých, ktorí majú veľa malých ratolestí. Pre mnohých predajcov je minimálna cena riešenia na pobočku dosť vysoká a nemusí byť zaujímavá z pohľadu biznisu koncového zákazníka. Fortinet ponúka malé zariadenia za veľmi atraktívne ceny.
Pre tých, ktorí ešte nie sú pripravení zakročiť príliš ďaleko. Implementácia SD-WAN s radičmi, proprietárnym smerovaním a novým prístupom k plánovaniu a správe siete môže byť pre niektorých zákazníkov príliš veľkým krokom. Áno, takáto implementácia v konečnom dôsledku pomôže optimalizovať využitie komunikačných kanálov a prácu administrátorov, no najskôr sa budete musieť naučiť veľa nových vecí. Pre tých, ktorí ešte nie sú pripravení na zmenu paradigmy, ale chcú zo svojich komunikačných kanálov vyžmýkať viac, je riešenie od Fortinetu to pravé.
Zdroj: hab.com