Sodeč po številu vprašanj, ki so nam začela prihajati prek SD-WAN, se je tehnologija v Rusiji začela temeljito uveljavljati. Prodajalci seveda ne spijo in ponujajo svoje koncepte, nekateri pogumni pionirji pa jih že implementirajo na svoja omrežja.
Sodelujemo s skoraj vsemi ponudniki in v več letih v našem laboratoriju sem se uspel poglobiti v arhitekturo vsakega večjega razvijalca programsko definiranih rešitev. Tu nekoliko ločeno stoji SD-WAN podjetja Fortinet, ki je funkcionalnost uravnoteženja prometa med komunikacijskimi kanali preprosto vgradilo v programsko opremo požarnega zidu. Rešitev je precej demokratična, zato se o njej navadno odločajo podjetja, ki še niso pripravljena na globalne spremembe, vendar želijo svoje komunikacijske kanale uporabljati učinkoviteje.
V tem članku vam želim povedati, kako konfigurirati in delati s SD-WAN iz Fortineta, za koga je ta rešitev primerna in na kakšne pasti lahko naletite tukaj.
Najvidnejše igralce na trgu SD-WAN lahko razvrstimo v eno od dveh vrst:
1. Startupi, ki so rešitve SD-WAN ustvarili iz nič. Najuspešnejši med njimi dobijo velik zagon za razvoj, potem ko jih kupijo velika podjetja - to je zgodba Cisco/Viptela, VMWare/VeloCloud, Nuage/Nokia
2. Veliki prodajalci omrežij, ki so ustvarili rešitve SD-WAN, razvijajo možnost programiranja in upravljanja svojih tradicionalnih usmerjevalnikov – to je zgodba Juniperja, Huaweija
Fortinet je uspel najti pot. Programska oprema požarnega zidu je imela vgrajeno funkcionalnost, ki je omogočala združevanje njihovih vmesnikov v virtualne kanale in uravnavanje obremenitve med njimi z uporabo zapletenih algoritmov v primerjavi z običajnim usmerjanjem. To funkcionalnost so poimenovali SD-WAN. Ali se lahko to, kar je naredil Fortinet, imenuje SD-WAN? Trg postopoma razume, da programsko določeno pomeni ločitev nadzorne ravnine od podatkovne ravnine, namenskih krmilnikov in orkestratorjev. Fortinet nima nič takega. Centralizirano upravljanje je neobvezno in na voljo prek tradicionalnega orodja Fortimanager. Toda po mojem mnenju ne bi smeli iskati abstraktne resnice in izgubljati časa s prepiranjem o izrazih. V resničnem svetu ima vsak pristop svoje prednosti in slabosti. Najboljši izhod je, da jih razumemo in znamo izbrati rešitve, ki ustrezajo nalogam.
Poskušal vam bom povedati s posnetki zaslona v roki, kako izgleda SD-WAN iz Fortineta in kaj zmore.
Kako vse deluje
Predpostavimo, da imate dve veji, povezani z dvema podatkovnima kanaloma. Te podatkovne povezave so združene v skupino, podobno kot so običajni vmesniki Ethernet združeni v LACP-Port-Channel. Starejši se bodo spomnili PPP Multilink - tudi primerna analogija. Kanali so lahko fizična vrata, VLAN SVI, kot tudi tuneli VPN ali GRE.
VPN ali GRE se običajno uporabljata pri povezovanju podružničnih lokalnih omrežij prek interneta. In fizična vrata - če obstajajo L2 povezave med stranmi ali pri povezovanju preko namenskega MPLS/VPN, če smo zadovoljni s povezavo brez Overlaya in šifriranja. Drug scenarij, v katerem se fizična vrata uporabljajo v skupini SD-WAN, je uravnoteženje lokalnega dostopa uporabnikov do interneta.
Na naši stojnici so štirje požarni zidovi in dva VPN tunela, ki delujeta prek dveh »komunikacijskih operaterjev«. Diagram izgleda takole:
Tuneli VPN so konfigurirani v vmesniškem načinu tako, da so podobni povezavam od točke do točke med napravami z naslovi IP na vmesnikih P2P, ki jih je mogoče pingati, da se zagotovi, da komunikacija prek določenega predora deluje. Da je promet šifriran in gre na nasprotno stran, je dovolj, da ga usmerite v predor. Druga možnost je izbira prometa za šifriranje s seznami podomrežij, kar zelo zmede skrbnika, saj postane konfiguracija bolj zapletena. V velikem omrežju lahko uporabite tehnologijo ADVPN za izgradnjo VPN; to je analog DMVPN podjetja Cisco ali DVPN podjetja Huawei, ki omogoča lažjo nastavitev.
Konfiguracija VPN od mesta do mesta za dve napravi z usmerjanjem BGP na obeh straneh
«ЦОД» (DC)
«Филиал» (BRN)
config system interface
edit "WAN1"
set vdom "Internet"
set ip 1.1.1.1 255.255.255.252
set allowaccess ping
set role wan
set interface "DC-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 3.3.3.1 255.255.255.252
set allowaccess ping
set role lan
set interface "DC-BRD"
set vlanid 112
next
edit "BRN-Ph1-1"
set vdom "Internet"
set ip 192.168.254.1 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.2 255.255.255.255
set interface "WAN1"
next
edit "BRN-Ph1-2"
set vdom "Internet"
set ip 192.168.254.3 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.4 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "BRN-Ph1-1"
set interface "WAN1"
set local-gw 1.1.1.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 2.2.2.1
set psksecret ***
next
edit "BRN-Ph1-2"
set interface "WAN2"
set local-gw 3.3.3.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 4.4.4.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "BRN-Ph2-1"
set phase1name "BRN-Ph1-1"
set proposal aes256-sha256
set dhgrp 2
next
edit "BRN-Ph2-2"
set phase1name "BRN-Ph1-2"
set proposal aes256-sha256
set dhgrp 2
next
end
config router static
edit 1
set gateway 1.1.1.2
set device "WAN1"
next
edit 3
set gateway 3.3.3.2
set device "WAN2"
next
end
config router bgp
set as 65002
set router-id 10.1.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.2"
set remote-as 65003
next
edit "192.168.254.4"
set remote-as 65003
next
end
config network
edit 1
set prefix 10.1.0.0 255.255.0.0
next
end
config system interface
edit "WAN1"
set vdom "Internet"
set ip 2.2.2.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 4.4.4.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 114
next
edit "DC-Ph1-1"
set vdom "Internet"
set ip 192.168.254.2 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.1 255.255.255.255
set interface "WAN1"
next
edit "DC-Ph1-2"
set vdom "Internet"
set ip 192.168.254.4 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.3 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "DC-Ph1-1"
set interface "WAN1"
set local-gw 2.2.2.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 1.1.1.1
set psksecret ***
next
edit "DC-Ph1-2"
set interface "WAN2"
set local-gw 4.4.4.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 3.3.3.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "DC-Ph2-1"
set phase1name "DC-Ph1-1"
set proposal aes128-sha1
set dhgrp 2
next
edit "DC2-Ph2-2"
set phase1name "DC-Ph1-2"
set proposal aes128-sha1
set dhgrp 2
next
end
config router static
edit 1
set gateway 2.2.2.2
et device "WAN1"
next
edit 3
set gateway 4.4.4.2
set device "WAN2"
next
end
config router bgp
set as 65003
set router-id 10.200.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.1"
set remote-as 65002
next
edit "192.168.254.3"
set remote-as 65002
next
end
config network
edit 1
set prefix 10.200.0.0 255.255.0.0
next
end
Konfiguracijo ponujam v besedilni obliki, ker je po mojem mnenju bolj priročno konfigurirati VPN na ta način. Skoraj vse nastavitve so na obeh straneh enake, v tekstovni obliki pa jih lahko naredimo kot copy-paste. Če naredite isto v spletnem vmesniku, se zlahka zmotite - nekje pozabite kljukico, vnesete napačno vrednost.
Ko smo dodali vmesnike v sveženj
vse poti in varnostne politike se lahko nanašajo nanj, ne pa na vmesnike, ki so vanj vključeni. Najmanj morate dovoliti promet iz notranjih omrežij v SD-WAN. Ko zanje ustvarite pravila, lahko uporabite zaščitne ukrepe, kot so IPS, protivirusni program in razkritje HTTPS.
Pravila SD-WAN so konfigurirana za sveženj. To so pravila, ki določajo algoritem uravnoteženja za določen promet. Podobni so pravilnikom usmerjanja pri usmerjanju na podlagi pravilnika, le da zaradi prometa, ki spada pod pravilnik, ni nameščen naslednji skok ali običajni odhodni vmesnik, temveč vmesniki, dodani v sveženj SD-WAN plus algoritem za uravnoteženje prometa med temi vmesniki.
Promet je mogoče ločiti od splošnega toka po informacijah L3-L4, po prepoznanih aplikacijah, internetnih storitvah (URL in IP), pa tudi po prepoznanih uporabnikih delovnih postaj in prenosnikov. Po tem se lahko dodeljenemu prometu dodeli eden od naslednjih algoritmov za izravnavo:
Na seznamu Interface Preference so izbrani tisti vmesniki izmed že dodanih v sveženj, ki bodo služili tej vrsti prometa. Če ne dodate vseh vmesnikov, lahko natančno omejite, katere kanale uporabljate, recimo e-pošto, če ne želite s tem obremenjevati dragih kanalov z visokim SLA. V FortiOS 6.4.1 je postalo mogoče vmesnike, dodane v sveženj SD-WAN, združiti v cone, pri čemer je bilo na primer ustvarjeno eno območje za komunikacijo z oddaljenimi mesti in drugo za lokalni dostop do interneta z uporabo NAT. Da, da, promet, ki gre na običajen internet, se lahko tudi izravna.
O algoritmih za uravnoteženje
Glede tega, kako lahko Fortigate (požarni zid podjetja Fortinet) razdeli promet med kanali, obstajata dve zanimivi možnosti, ki na trgu nista zelo pogosti:
Najnižja cena (SLA) – izmed vseh vmesnikov, ki trenutno izpolnjujejo SLA, se izbere tisti z nižjo težo (ceno), ki jo ročno nastavi skrbnik; ta način je primeren za "množični" promet, kot so varnostne kopije in prenosi datotek.
Najboljša kakovost (SLA) – ta algoritem lahko poleg običajne zakasnitve, tresenja in izgube paketov Fortigate uporabi tudi trenutno obremenitev kanala za oceno kakovosti kanalov; Ta način je primeren za občutljiv promet, kot sta VoIP in videokonference.
Ti algoritmi zahtevajo nastavitev merilnika zmogljivosti komunikacijskega kanala - Performance SLA. Ta merilnik občasno (interval preverjanja) spremlja informacije o skladnosti s SLA: izgubo paketov, zakasnitvijo in tresenjem v komunikacijskem kanalu in lahko "zavrne" tiste kanale, ki trenutno ne dosegajo pragov kakovosti - izgubljajo preveč paketov ali doživljajo preveč veliko zakasnitve. Poleg tega merilnik spremlja stanje kanala in ga lahko začasno odstrani iz svežnja v primeru ponavljajoče se izgube odzivov (napake pred neaktivnostjo). Po obnovitvi, po več zaporednih odzivih (obnovi povezavo po), bo merilnik samodejno vrnil kanal v sveženj in podatki se bodo znova začeli prenašati po njem.
Tako izgleda nastavitev »meter«:
V spletnem vmesniku so kot testni protokoli na voljo ICMP-Echo-request, HTTP-GET in DNS request. V ukazni vrstici je možnosti nekoliko več: na voljo sta možnosti TCP-echo in UDP-echo ter specializirani protokol za merjenje kakovosti - TWAMP.
Rezultate meritev si lahko ogledate tudi v spletnem vmesniku:
In v ukazni vrstici:
Odpravljanje težav
Če ste ustvarili pravilo, vendar vse ne deluje po pričakovanjih, si oglejte vrednost števila zadetkov na seznamu pravil SD-WAN. Pokazalo bo, ali promet sploh spada v to pravilo:
Na strani z nastavitvami samega merilnika lahko vidite spremembo parametrov kanala skozi čas. Črtkana črta označuje mejno vrednost parametra
V spletnem vmesniku lahko vidite, kako je promet porazdeljen glede na količino prenesenih/prejetih podatkov in število sej:
Poleg vsega tega obstaja odlična priložnost za sledenje prehodu paketov z največjo podrobnostjo. Ko delate v resničnem omrežju, konfiguracija naprave kopiči veliko politik usmerjanja, požarnega zidu in porazdelitve prometa po vratih SD-WAN. Vse to medsebojno deluje na kompleksen način, in čeprav prodajalec zagotavlja podrobne blokovne diagrame algoritmov za obdelavo paketov, je zelo pomembno, da ne moremo graditi in testirati teorij, ampak videti, kam dejansko gre promet.
Na primer naslednji niz ukazov
diagnose debug flow filter saddr 10.200.64.15
diagnose debug flow filter daddr 10.1.7.2
diagnose debug flow show function-name
diagnose debug enable
diagnose debug trace 2
Omogoča sledenje dvema paketoma z izvornim naslovom 10.200.64.15 in ciljnim naslovom 10.1.7.2.
Dvakrat pingamo 10.7.1.2 iz 10.200.64.15 in pogledamo izhod na konzoli.
Prvi paket:
Drugi paket:
Tukaj je prvi paket, ki ga je prejel požarni zid:
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0."
VDOM – Internet, Proto=1 (ICMP), DMZ-Office – название L3-интерфейса. Type=8 – Echo.
Zanj je bila ustvarjena nova seja:
msg="allocate a new session-0006a627"
In ujemanje je bilo najdeno v nastavitvah pravilnika usmerjanja
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"
Izkazalo se je, da je treba paket poslati v enega od tunelov VPN:
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"
V pravilnikih požarnega zidu je zaznano naslednje dovoljeno pravilo:
msg="Allowed by Policy-3:"
Paket je šifriran in poslan v tunel VPN:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
Šifrirani paket je poslan na naslov prehoda za ta vmesnik WAN:
msg="send to 2.2.2.2 via intf-WAN1"
Za drugi paket se vse zgodi podobno, vendar je poslan v drug tunel VPN in zapusti druga vrata požarnega zidu:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"
Prednosti rešitve
Zanesljiva funkcionalnost in uporabniku prijazen vmesnik. Nabor funkcij, ki je bil na voljo v FortiOS pred pojavom SD-WAN, je v celoti ohranjen. To pomeni, da nimamo na novo razvite programske opreme, ampak zrel sistem preverjenega proizvajalca požarnega zidu. S tradicionalnim naborom omrežnih funkcij, priročnim in preprostim spletnim vmesnikom. Koliko prodajalcev SD-WAN ima, recimo, funkcijo oddaljenega dostopa VPN na končnih napravah?
Varnostna stopnja 80. FortiGate je ena najboljših rešitev požarnega zidu. Na internetu je veliko gradiva o postavljanju in upravljanju požarnih zidov, na trgu dela pa je veliko strokovnjakov za varnost, ki so že obvladali rešitve ponudnika.
Ničelna cena za funkcionalnost SD-WAN. Izgradnja omrežja SD-WAN na FortiGate stane enako kot izgradnja običajnega omrežja WAN na njem, saj za implementacijo funkcionalnosti SD-WAN niso potrebne dodatne licence.
Nizka vstopna cena. Fortigate ima dobro gradacijo naprav za različne ravni zmogljivosti. Najmlajši in najcenejši modeli so povsem primerni za razširitev pisarne ali prodajnega mesta za recimo 3-5 zaposlenih. Mnogi prodajalci preprosto nimajo tako nizko zmogljivih in cenovno dostopnih modelov.
Visoka zmogljivost. Zmanjšanje funkcionalnosti SD-WAN na uravnoteženje prometa je podjetju omogočilo izdajo specializiranega SD-WAN ASIC, zahvaljujoč kateremu delovanje SD-WAN ne zmanjša učinkovitosti požarnega zidu kot celote.
Možnost izvedbe celotne pisarne na opremi Fortinet. To je par požarnih zidov, stikal, dostopnih točk Wi-Fi. Takšna pisarna je enostavna in priročna za upravljanje - stikala in dostopne točke so registrirane na požarnih zidovih in upravljane z njih. Na primer, takole bi lahko izgledala vrata stikala iz vmesnika požarnega zidu, ki nadzoruje to stikalo:
Pomanjkanje krmilnikov kot ene same točke odpovedi. Na to se osredotoča tudi prodajalec sam, a temu lahko rečemo le delno korist, saj je za tiste prodajalce, ki imajo krmilnike, zagotavljanje njihove tolerance na napake poceni, največkrat za ceno majhne količine računalniških virov v virtualizacijskem okolju.
Kaj iskati
Ni ločevanja med nadzorno ravnino in podatkovno ravnino. To pomeni, da je treba omrežje konfigurirati ročno ali z uporabo tradicionalnih orodij za upravljanje, ki so že na voljo - FortiManager. Pri prodajalcih, ki imajo izvedeno takšno ločitev, se omrežje sestavi samo. Administrator mora morda samo prilagoditi svojo topologijo, nekje kaj prepovedati, nič več. Je pa adut FortiManagerja ta, da zna upravljati ne le s požarnimi zidovi, ampak tudi s stikali in dostopnimi točkami Wi-Fi, torej skoraj s celotnim omrežjem.
Pogojno povečanje vodljivosti. Zaradi dejstva, da se za avtomatizacijo konfiguracije omrežja uporabljajo tradicionalna orodja, se obvladljivost omrežja z uvedbo SD-WAN nekoliko poveča. Po drugi strani pa je nova funkcionalnost hitreje dostopna, saj jo proizvajalec najprej izda samo za operacijski sistem firewall (kar takoj omogoči njeno uporabo), šele nato dopolni sistem upravljanja s potrebnimi vmesniki.
Nekatere funkcije so morda na voljo v ukazni vrstici, vendar niso na voljo v spletnem vmesniku. Včasih ni tako strašljivo iti v ukazno vrstico, da bi nekaj konfigurirali, vendar je strašljivo, če v spletnem vmesniku ne vidite, da je nekdo že konfiguriral nekaj iz ukazne vrstice. Toda to običajno velja za najnovejše funkcije in postopoma se s posodobitvami FortiOS izboljšujejo zmogljivosti spletnega vmesnika.
Za primer
Za tiste, ki nimate veliko podružnic. Implementacija rešitve SD-WAN s kompleksnimi osrednjimi komponentami v omrežju 8-10 poslovalnic morda ne bo stala sveče – morali boste porabiti denar za licence za naprave SD-WAN in sredstva virtualizacijskega sistema za gostovanje osrednjih komponent. Majhno podjetje ima običajno omejene brezplačne računalniške vire. V primeru Fortineta je dovolj, da preprosto kupite požarne zidove.
Za tiste, ki imajo veliko majhnih podružnic. Za mnoge ponudnike je minimalna cena rešitve na poslovalnico precej visoka in morda ni zanimiva z vidika poslovanja končnega kupca. Fortinet ponuja majhne naprave po zelo ugodnih cenah.
Za tiste, ki še niste pripravljeni stopiti predaleč. Implementacija SD-WAN s krmilniki, lastniškim usmerjanjem in novim pristopom k načrtovanju in upravljanju omrežja je morda prevelik korak za nekatere stranke. Da, takšna izvedba bo na koncu pripomogla k optimizaciji uporabe komunikacijskih kanalov in dela skrbnikov, a najprej se boste morali naučiti veliko novega. Za tiste, ki še niste pripravljeni na spremembo paradigme, a želite iz svojih komunikacijskih kanalov iztisniti več, je rešitev Fortinet ravno pravšnja.
Vir: www.habr.com