Судећи по броју питања која су почела да нам стижу преко СД-ВАН-а, технологија је у Русији почела темељно да пушта корење. Продавци, наравно, не спавају и нуде своје концепте, а неки храбри пионири их већ имплементирају на својим мрежама.
Радимо са скоро свим добављачима и током неколико година у нашој лабораторији успео сам да продрем у архитектуру сваког већег програмера софтверски дефинисаних решења. СД-ВАН из Фортинет-а се овде мало издваја, који је једноставно уградио функционалност балансирања саобраћаја између комуникационих канала у софтвер заштитног зида. Решење је прилично демократско, па га најчешће разматрају компаније које још нису спремне за глобалне промене, али желе да ефикасније користе своје комуникационе канале.
У овом чланку желим да вам кажем како да конфигуришете и радите са СД-ВАН-ом из Фортинет-а, коме је ово решење погодно и на које замке можете наићи овде.
Најистакнутији играчи на СД-ВАН тржишту могу се класификовати у један од два типа:
1. Стартапи који су креирали СД-ВАН решења од нуле. Најуспешнији од њих добијају огроман подстицај за развој након што их купе велике компаније - ово је прича о Цисцо/Виптели, ВМВаре/ВелоЦлоуд, Нуаге/Нокиа
2. Велики мрежни добављачи који су креирали СД-ВАН решења, развијајући програмибилност и управљивост својих традиционалних рутера - ово је прича о Јунипер, Хуавеи
Фортинет је успео да пронађе свој пут. Софтвер заштитног зида је имао уграђену функционалност која је омогућила комбиновање њихових интерфејса у виртуелне канале и балансирање оптерећења између њих помоћу сложених алгоритама у поређењу са конвенционалним рутирањем. Ова функционалност је названа СД-ВАН. Може ли се оно што је Фортинет назвало СД-ВАН? Тржиште постепено схвата да софтверски дефинисано значи одвајање контролне равни од равни података, наменских контролора и оркестратора. Фортинет нема ништа слично. Централизовано управљање је опционо и нуди се кроз традиционални Фортиманагер алат. Али по мом мишљењу, не треба тражити апстрактну истину и губити време расправљајући о терминима. У стварном свету, сваки приступ има своје предности и мане. Најбољи излаз је да их разумете и умете да изаберете решења која одговарају задацима.
Покушаћу да вам кажем са снимцима екрана како изгледа СД-ВАН из Фортинет-а и шта може да уради.
Како све функционише
Претпоставимо да имате две гране повезане са два канала података. Ове везе података се комбинују у групу, слично као што се обични Етхернет интерфејси комбинују у ЛАЦП-порт-канал. Олдтајмери ће запамтити ППП Мултилинк - такође одговарајућу аналогију. Канали могу бити физички портови, ВЛАН СВИ, као и ВПН или ГРЕ тунели.
ВПН или ГРЕ се обично користе када се повезују локалне мреже огранака преко Интернета. И физички портови – ако постоје Л2 везе између сајтова, или када се повезујете преко наменског МПЛС/ВПН-а, ако смо задовољни везом без преклапања и енкрипције. Други сценарио у коме се физички портови користе у СД-ВАН групи је балансирање локалног приступа корисника Интернету.
На нашем штанду постоје четири фиревалл-а и два ВПН тунела који раде преко два „комуникацијска оператера“. Дијаграм изгледа овако:
ВПН тунели су конфигурисани у режиму интерфејса тако да су слични везама од тачке до тачке између уређаја са ИП адресама на П2П интерфејсима, који се могу пинговати да би се осигурало да комуникација кроз одређени тунел функционише. Да би саобраћај био шифрован и отишао на супротну страну, довољно је да га усмерите у тунел. Алтернатива је да изаберете саобраћај за шифровање користећи листе подмрежа, што у великој мери збуњује администратора јер конфигурација постаје сложенија. У великој мрежи можете да користите АДВПН технологију за прављење ВПН-а; ово је аналог ДМВПН-а компаније Цисцо или ДВПН-а компаније Хуавеи, што омогућава лакше подешавање.
Сите-то-Сите ВПН конфигурација за два уређаја са БГП рутирањем на обе стране
«ЦОД» (DC)
«Филиал» (BRN)
config system interface
edit "WAN1"
set vdom "Internet"
set ip 1.1.1.1 255.255.255.252
set allowaccess ping
set role wan
set interface "DC-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 3.3.3.1 255.255.255.252
set allowaccess ping
set role lan
set interface "DC-BRD"
set vlanid 112
next
edit "BRN-Ph1-1"
set vdom "Internet"
set ip 192.168.254.1 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.2 255.255.255.255
set interface "WAN1"
next
edit "BRN-Ph1-2"
set vdom "Internet"
set ip 192.168.254.3 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.4 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "BRN-Ph1-1"
set interface "WAN1"
set local-gw 1.1.1.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 2.2.2.1
set psksecret ***
next
edit "BRN-Ph1-2"
set interface "WAN2"
set local-gw 3.3.3.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 4.4.4.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "BRN-Ph2-1"
set phase1name "BRN-Ph1-1"
set proposal aes256-sha256
set dhgrp 2
next
edit "BRN-Ph2-2"
set phase1name "BRN-Ph1-2"
set proposal aes256-sha256
set dhgrp 2
next
end
config router static
edit 1
set gateway 1.1.1.2
set device "WAN1"
next
edit 3
set gateway 3.3.3.2
set device "WAN2"
next
end
config router bgp
set as 65002
set router-id 10.1.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.2"
set remote-as 65003
next
edit "192.168.254.4"
set remote-as 65003
next
end
config network
edit 1
set prefix 10.1.0.0 255.255.0.0
next
end
config system interface
edit "WAN1"
set vdom "Internet"
set ip 2.2.2.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 4.4.4.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 114
next
edit "DC-Ph1-1"
set vdom "Internet"
set ip 192.168.254.2 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.1 255.255.255.255
set interface "WAN1"
next
edit "DC-Ph1-2"
set vdom "Internet"
set ip 192.168.254.4 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.3 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "DC-Ph1-1"
set interface "WAN1"
set local-gw 2.2.2.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 1.1.1.1
set psksecret ***
next
edit "DC-Ph1-2"
set interface "WAN2"
set local-gw 4.4.4.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 3.3.3.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "DC-Ph2-1"
set phase1name "DC-Ph1-1"
set proposal aes128-sha1
set dhgrp 2
next
edit "DC2-Ph2-2"
set phase1name "DC-Ph1-2"
set proposal aes128-sha1
set dhgrp 2
next
end
config router static
edit 1
set gateway 2.2.2.2
et device "WAN1"
next
edit 3
set gateway 4.4.4.2
set device "WAN2"
next
end
config router bgp
set as 65003
set router-id 10.200.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.1"
set remote-as 65002
next
edit "192.168.254.3"
set remote-as 65002
next
end
config network
edit 1
set prefix 10.200.0.0 255.255.0.0
next
end
Дајем конфигурацију у текстуалном облику, јер је, по мом мишљењу, згодније конфигурисати ВПН на овај начин. Скоро сва подешавања су иста са обе стране, у текстуалном облику могу се направити као цопи-пасте. Ако урадите исту ствар у веб интерфејсу, лако је погрешити - заборавите негде квачицу, унесите погрешну вредност.
Након што смо додали интерфејсе у пакет
све руте и безбедносне политике се могу односити на њега, а не на интерфејсе који су у њему укључени. Као минимум, потребно је да дозволите саобраћај са интерних мрежа на СД-ВАН. Када креирате правила за њих, можете да примените заштитне мере као што су ИПС, антивирус и ХТТПС откривање.
СД-ВАН правила су конфигурисана за пакет. Ово су правила која дефинишу алгоритам балансирања за одређени саобраћај. Оне су сличне политикама рутирања у рутирању заснованом на политикама, само као резултат саобраћаја који потпада под политику, није инсталиран следећи скок или уобичајени одлазни интерфејс, већ интерфејси додати СД-ВАН пакету плус алгоритам за балансирање саобраћаја између ових интерфејса.
Саобраћај се може одвојити од општег тока Л3-Л4 информацијама, препознатим апликацијама, Интернет сервисима (УРЛ и ИП), као и признатим корисницима радних станица и лаптопова. Након тога, један од следећих алгоритама за балансирање може се доделити додељеном саобраћају:
На листи Преференце интерфејса су изабрани они интерфејси из оних који су већ додати у пакет који ће опслуживати овај тип саобраћаја. Додавањем не свих интерфејса, можете тачно да ограничите које канале користите, рецимо, е-пошту, ако не желите да тиме оптерећујете скупе канале високим СЛА. У ФортиОС-у 6.4.1 постало је могуће груписати интерфејсе који су додати СД-ВАН пакету у зоне, креирајући, на пример, једну зону за комуникацију са удаљеним локацијама, а другу за локални приступ Интернету користећи НАТ. Да, да, саобраћај који иде на обичан Интернет такође се може избалансирати.
О алгоритмима за балансирање
Што се тиче тога како Фортигате (заштитни зид из Фортинет-а) може да подели саобраћај између канала, постоје две занимљиве опције које нису баш уобичајене на тржишту:
Најнижа цена (СЛА) – од свих интерфејса који тренутно задовољавају СЛА, бира се онај са мањом тежином (ценом), који је ручно подесио администратор; овај режим је погодан за „велики“ саобраћај као што су резервне копије и пренос датотека.
Најбољи квалитет (СЛА) – овај алгоритам, поред уобичајеног кашњења, подрхтавања и губитка Фортигате пакета, такође може да користи тренутно оптерећење канала за процену квалитета канала; Овај режим је погодан за осетљив саобраћај као што су ВоИП и видео конференције.
Ови алгоритми захтевају постављање мерача перформанси комуникационог канала - Перформанце СЛА. Овај мерач периодично (интервал провере) прати информације о усклађености са СЛА: губитак пакета, кашњење и подрхтавање у каналу комуникације и може да „одбије“ оне канале који тренутно не испуњавају праг квалитета – губе превише пакета или се превише јављају много кашњења. Поред тога, мерач прати статус канала и може га привремено уклонити из пакета у случају поновљеног губитка одговора (кварови пре неактивности). Када се врати, након неколико узастопних одговора (врати везу после), мерач ће аутоматски вратити канал у пакет и подаци ће поново почети да се преносе кроз њега.
Овако изгледа подешавање „мерача“:
У веб интерфејсу, ИЦМП-Ецхо-рекуест, ХТТП-ГЕТ и ДНС захтев су доступни као протоколи за тестирање. Постоји мало више опција на командној линији: доступне су опције ТЦП-ецхо и УДП-ецхо, као и специјализовани протокол за мерење квалитета - ТВАМП.
Резултати мерења се такође могу видети у веб интерфејсу:
И на командној линији:
Решавање проблема
Ако сте креирали правило, али све не ради како је очекивано, требало би да погледате вредност броја погодака на листи СД-ВАН правила. То ће показати да ли саобраћај уопште спада у ово правило:
На страници подешавања самог мерача можете видети промену параметара канала током времена. Испрекидана линија означава граничну вредност параметра
У веб интерфејсу можете видети како се саобраћај дистрибуира према количини пренетих/примљених података и броју сесија:
Уз све ово, постоји одлична прилика за праћење проласка пакета са максималним детаљима. Када радите у стварној мрежи, конфигурација уређаја акумулира многе смернице рутирања, заштитни зид и дистрибуцију саобраћаја преко СД-ВАН портова. Све ово је у интеракцији једно са другим на комплексан начин, и иако добављач даје детаљне блок дијаграме алгоритама за обраду пакета, веома је важно бити у могућности да не градите и тестирате теорије, већ да видите куда саобраћај заправо иде.
На пример, следећи скуп команди
diagnose debug flow filter saddr 10.200.64.15
diagnose debug flow filter daddr 10.1.7.2
diagnose debug flow show function-name
diagnose debug enable
diagnose debug trace 2
Омогућава вам да пратите два пакета са изворном адресом 10.200.64.15 и адресом одредишта 10.1.7.2.
Двапут пингујемо 10.7.1.2 са 10.200.64.15 и гледамо излаз на конзоли.
Први пакет:
Други пакет:
Ево првог пакета који је примио заштитни зид:
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0."
VDOM – Internet, Proto=1 (ICMP), DMZ-Office – название L3-интерфейса. Type=8 – Echo.
За њега је направљена нова сесија:
msg="allocate a new session-0006a627"
И пронађено је подударање у подешавањима политике рутирања
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"
Испоставило се да пакет треба послати у један од ВПН тунела:
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"
Следеће правило за дозвољавање је откривено у смерницама заштитног зида:
msg="Allowed by Policy-3:"
Пакет је шифрован и послат у ВПН тунел:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
Шифровани пакет се шаље на адресу мрежног пролаза за овај ВАН интерфејс:
msg="send to 2.2.2.2 via intf-WAN1"
За други пакет, све се дешава слично, али се шаље у други ВПН тунел и одлази кроз други порт заштитног зида:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"
Предности решења
Поуздана функционалност и корисничко сучеље. Скуп функција који је био доступан у ФортиОС-у пре појаве СД-ВАН-а је у потпуности очуван. Односно, немамо новоразвијени софтвер, већ зрео систем провереног добављача заштитног зида. Са традиционалним скупом мрежних функција, погодним веб интерфејсом који се лако учи. Колико добављача СД-ВАН-а има, рецимо, ВПН функционалност за даљински приступ на крајњим уређајима?
Ниво безбедности 80. ФортиГате је једно од најбољих решења за заштитни зид. На Интернету постоји много материјала о постављању и администрирању заштитних зидова, а на тржишту рада постоји много стручњака за безбедност који су већ савладали решења произвођача.
Нулта цена за СД-ВАН функционалност. Изградња СД-ВАН мреже на ФортиГате-у кошта исто као и изградња обичне ВАН мреже на њој, пошто нису потребне додатне лиценце за имплементацију СД-ВАН функционалности.
Ниска цена улазне баријере. Фортигате има добру градацију уређаја за различите нивое перформанси. Најмлађи и најјефтинији модели су сасвим погодни за проширење канцеларије или продајног места за, рецимо, 3-5 запослених. Многи продавци једноставно немају тако ниске перформансе и приступачне моделе.
Високих перформанси. Смањење СД-ВАН функционалности на балансирање саобраћаја омогућило је компанији да објави специјализовани СД-ВАН АСИЦ, захваљујући којем СД-ВАН рад не смањује перформансе заштитног зида у целини.
Могућност имплементације читаве канцеларије на Фортинет опреми. Ово су пар заштитних зидова, прекидачи, Ви-Фи приступне тачке. Таква канцеларија је лака и згодна за управљање - прекидачи и приступне тачке се региструју на заштитним зидовима и њима се управља. На пример, овако би могао да изгледа порт комутатора из интерфејса заштитног зида који контролише овај прекидач:
Недостатак контролера као јединствена тачка квара. Сам продавац се фокусира на ово, али то се може назвати само делимично користи, јер за оне продавце који имају контролере, осигурање њихове толеранције грешака је јефтино, најчешће по цени мале количине рачунарских ресурса у окружењу виртуелизације.
Шта тражити
Нема раздвајања између контролне равни и равни података. То значи да мрежа мора бити конфигурисана или ручно или коришћењем традиционалних алата за управљање који су већ доступни - ФортиМанагер. За продавце који су имплементирали такво раздвајање, мрежа се сама склапа. Администратор можда треба само да подеси топологију, негде забрани нешто, ништа више. Ипак, адут ФортиМанагер-а је то што може да управља не само заштитним зидовима, већ и свичевима и Ви-Фи приступним тачкама, односно скоро целом мрежом.
Условно повећање управљивости. Због чињенице да се традиционални алати користе за аутоматизацију мрежне конфигурације, управљивост мрежом са увођењем СД-ВАН се незнатно повећава. С друге стране, нова функционалност постаје брже доступна, пошто је продавац прво издаје само за оперативни систем фиревалл (који одмах омогућава њено коришћење), а тек онда систем управљања допуњује потребним интерфејсима.
Неке функције могу бити доступне из командне линије, али нису доступне на веб интерфејсу. Понекад није страшно ући у командну линију да бисте нешто конфигурисали, али је страшно не видети у веб интерфејсу да је неко већ нешто конфигурисао из командне линије. Али ово се обично односи на најновије функције и постепено, са ажурирањима ФортиОС-а, могућности веб интерфејса се побољшавају.
За кога је погодан?
За оне који немају много филијала. Имплементација СД-ВАН решења са сложеним централним компонентама на мрежи од 8-10 филијала можда неће коштати свећу - мораћете да потрошите новац на лиценце за СД-ВАН уређаје и ресурсе система виртуелизације за хостовање централних компоненти. Мала компанија обично има ограничене бесплатне рачунарске ресурсе. У случају Фортинет-а, довољно је једноставно купити заштитне зидове.
За оне који имају пуно малих грана. За многе добављаче, минимална цена решења по филијали је прилично висока и можда није интересантна са становишта пословања крајњег купца. Фортинет нуди мале уређаје по веома атрактивним ценама.
За оне који још нису спремни да закорачи предалеко. Имплементација СД-ВАН-а са контролерима, власничким рутирањем и новим приступом планирању и управљању мрежом може бити превелики корак за неке купце. Да, таква имплементација ће на крају помоћи у оптимизацији коришћења комуникационих канала и рада администратора, али прво ћете морати да научите много нових ствари. За оне који још нису спремни за промену парадигме, али желе да исцеде више из својих комуникационих канала, решење из Фортинет-а је баш право.
Извор: ввв.хабр.цом