Đánh giá theo số lượng câu hỏi bắt đầu đến với chúng tôi thông qua SD-WAN, công nghệ này đã bắt đầu bén rễ hoàn toàn ở Nga. Đương nhiên, các nhà cung cấp không ngủ quên và đưa ra các khái niệm của họ, và một số nhà tiên phong dũng cảm đã triển khai chúng trên mạng của họ.
Chúng tôi làm việc với hầu hết tất cả các nhà cung cấp và trong nhiều năm trong phòng thí nghiệm của chúng tôi, tôi đã cố gắng nghiên cứu kỹ kiến trúc của mọi nhà phát triển chính về các giải pháp do phần mềm xác định. SD-WAN của Fortinet ở đây hơi khác một chút, nó chỉ đơn giản xây dựng chức năng cân bằng lưu lượng giữa các kênh liên lạc vào phần mềm tường lửa. Giải pháp này khá dân chủ nên thường được các công ty chưa sẵn sàng cho những thay đổi toàn cầu nhưng muốn sử dụng các kênh truyền thông của mình hiệu quả hơn cân nhắc.
Trong bài viết này, tôi muốn cho bạn biết cách định cấu hình và làm việc với SD-WAN từ Fortinet, giải pháp này phù hợp với ai và những cạm bẫy bạn có thể gặp phải ở đây.
Những người chơi nổi bật nhất trong thị trường SD-WAN có thể được phân thành một trong hai loại:
1. Các công ty khởi nghiệp đã tạo ra giải pháp SD-WAN từ đầu. Thành công nhất trong số này nhận được động lực phát triển rất lớn sau khi được các công ty lớn mua lại - đây là câu chuyện của Cisco/Viptela, VMWare/VeloCloud, Nuage/Nokia
2. Các nhà cung cấp mạng lớn đã tạo ra giải pháp SD-WAN, phát triển khả năng lập trình và quản lý các bộ định tuyến truyền thống của họ - đây là câu chuyện của Juniper, Huawei
Fortinet đã tìm được đường đi của mình. Phần mềm tường lửa có chức năng tích hợp giúp kết hợp các giao diện của chúng thành các kênh ảo và cân bằng tải giữa chúng bằng các thuật toán phức tạp so với định tuyến thông thường. Chức năng này được gọi là SD-WAN. Những gì Fortinet đã làm có thể được gọi là SD-WAN không? Thị trường đang dần hiểu rằng Được xác định bằng phần mềm có nghĩa là tách Mặt phẳng điều khiển khỏi Mặt phẳng dữ liệu, bộ điều khiển chuyên dụng và bộ điều phối. Fortinet không có thứ gì như thế. Quản lý tập trung là tùy chọn và được cung cấp thông qua công cụ Fortimanager truyền thống. Nhưng theo tôi, bạn không nên tìm kiếm sự thật trừu tượng và lãng phí thời gian tranh cãi về các thuật ngữ. Trong thế giới thực, mỗi cách tiếp cận đều có ưu điểm và nhược điểm. Cách giải quyết tốt nhất là hiểu chúng và có thể lựa chọn giải pháp tương ứng với nhiệm vụ.
Tôi sẽ cố gắng cho bạn biết bằng ảnh chụp màn hình trong tay SD-WAN của Fortinet trông như thế nào và nó có thể làm gì.
Mọi thứ hoạt động như thế nào
Giả sử bạn có hai nhánh được kết nối bằng hai kênh dữ liệu. Các liên kết dữ liệu này được kết hợp thành một nhóm, tương tự như cách các giao diện Ethernet thông thường được kết hợp thành Kênh cổng LACP. Những người xưa sẽ nhớ đến PPP Multilink - cũng là một sự tương tự phù hợp. Các kênh có thể là cổng vật lý, VLAN SVI, cũng như đường hầm VPN hoặc GRE.
VPN hoặc GRE thường được sử dụng khi kết nối các mạng cục bộ chi nhánh qua Internet. Và cổng vật lý - nếu có kết nối L2 giữa các trang web hoặc khi kết nối qua MPLS/VPN chuyên dụng, nếu chúng tôi hài lòng với kết nối không có Lớp phủ và mã hóa. Một tình huống khác trong đó các cổng vật lý được sử dụng trong nhóm SD-WAN là cân bằng quyền truy cập cục bộ của người dùng vào Internet.
Tại chỗ của chúng tôi có bốn tường lửa và hai đường hầm VPN hoạt động thông qua hai “nhà khai thác truyền thông”. Sơ đồ trông như thế này:
Đường hầm VPN được định cấu hình ở chế độ giao diện sao cho chúng tương tự như kết nối điểm-điểm giữa các thiết bị có địa chỉ IP trên giao diện P2P, có thể được ping để đảm bảo hoạt động liên lạc qua một đường hầm cụ thể. Để lưu lượng được mã hóa và đi sang phía đối diện, việc định tuyến nó vào đường hầm là đủ. Cách khác là chọn lưu lượng để mã hóa bằng cách sử dụng danh sách mạng con, điều này khiến quản trị viên bối rối rất nhiều khi cấu hình trở nên phức tạp hơn. Trong một mạng lớn, bạn có thể sử dụng công nghệ ADVPN để xây dựng VPN; đây là công nghệ tương tự DMVPN của Cisco hoặc DVPN của Huawei, cho phép thiết lập dễ dàng hơn.
Cấu hình VPN Site-to-Site cho hai thiết bị có định tuyến BGP ở cả hai bên
«ЦОД» (DC)
«Филиал» (BRN)
config system interface
edit "WAN1"
set vdom "Internet"
set ip 1.1.1.1 255.255.255.252
set allowaccess ping
set role wan
set interface "DC-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 3.3.3.1 255.255.255.252
set allowaccess ping
set role lan
set interface "DC-BRD"
set vlanid 112
next
edit "BRN-Ph1-1"
set vdom "Internet"
set ip 192.168.254.1 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.2 255.255.255.255
set interface "WAN1"
next
edit "BRN-Ph1-2"
set vdom "Internet"
set ip 192.168.254.3 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.4 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "BRN-Ph1-1"
set interface "WAN1"
set local-gw 1.1.1.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 2.2.2.1
set psksecret ***
next
edit "BRN-Ph1-2"
set interface "WAN2"
set local-gw 3.3.3.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 4.4.4.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "BRN-Ph2-1"
set phase1name "BRN-Ph1-1"
set proposal aes256-sha256
set dhgrp 2
next
edit "BRN-Ph2-2"
set phase1name "BRN-Ph1-2"
set proposal aes256-sha256
set dhgrp 2
next
end
config router static
edit 1
set gateway 1.1.1.2
set device "WAN1"
next
edit 3
set gateway 3.3.3.2
set device "WAN2"
next
end
config router bgp
set as 65002
set router-id 10.1.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.2"
set remote-as 65003
next
edit "192.168.254.4"
set remote-as 65003
next
end
config network
edit 1
set prefix 10.1.0.0 255.255.0.0
next
end
config system interface
edit "WAN1"
set vdom "Internet"
set ip 2.2.2.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 4.4.4.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 114
next
edit "DC-Ph1-1"
set vdom "Internet"
set ip 192.168.254.2 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.1 255.255.255.255
set interface "WAN1"
next
edit "DC-Ph1-2"
set vdom "Internet"
set ip 192.168.254.4 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.3 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "DC-Ph1-1"
set interface "WAN1"
set local-gw 2.2.2.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 1.1.1.1
set psksecret ***
next
edit "DC-Ph1-2"
set interface "WAN2"
set local-gw 4.4.4.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 3.3.3.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "DC-Ph2-1"
set phase1name "DC-Ph1-1"
set proposal aes128-sha1
set dhgrp 2
next
edit "DC2-Ph2-2"
set phase1name "DC-Ph1-2"
set proposal aes128-sha1
set dhgrp 2
next
end
config router static
edit 1
set gateway 2.2.2.2
et device "WAN1"
next
edit 3
set gateway 4.4.4.2
set device "WAN2"
next
end
config router bgp
set as 65003
set router-id 10.200.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.1"
set remote-as 65002
next
edit "192.168.254.3"
set remote-as 65002
next
end
config network
edit 1
set prefix 10.200.0.0 255.255.0.0
next
end
Tôi đang cung cấp cấu hình ở dạng văn bản vì theo tôi, việc định cấu hình VPN theo cách này sẽ thuận tiện hơn. Hầu như tất cả các cài đặt đều giống nhau ở cả hai mặt, ở dạng văn bản, chúng có thể được thực hiện dưới dạng sao chép-dán. Nếu làm tương tự ở giao diện web rất dễ mắc lỗi - quên dấu tích ở đâu đó, nhập sai giá trị.
Sau khi chúng tôi thêm các giao diện vào gói
tất cả các tuyến đường và chính sách bảo mật có thể tham chiếu đến nó chứ không phải các giao diện có trong đó. Tối thiểu, bạn cần cho phép lưu lượng truy cập từ mạng nội bộ đến SD-WAN. Khi tạo quy tắc cho chúng, bạn có thể áp dụng các biện pháp bảo vệ như tiết lộ IPS, chống vi-rút và HTTPS.
Quy tắc SD-WAN được định cấu hình cho gói. Đây là những quy tắc xác định thuật toán cân bằng cho lưu lượng truy cập cụ thể. Chúng tương tự như các chính sách định tuyến trong Định tuyến dựa trên chính sách, chỉ là do lưu lượng truy cập nằm trong chính sách, đó không phải là bước nhảy tiếp theo hoặc giao diện gửi đi thông thường được cài đặt mà là các giao diện được thêm vào gói SD-WAN cộng thêm một thuật toán cân bằng lưu lượng giữa các giao diện này.
Lưu lượng truy cập có thể được tách biệt khỏi luồng chung bằng thông tin L3-L4, bằng các ứng dụng được công nhận, dịch vụ Internet (URL và IP), cũng như bởi người dùng máy trạm và máy tính xách tay được công nhận. Sau đó, một trong các thuật toán cân bằng sau có thể được gán cho lưu lượng được phân bổ:
Trong danh sách Tùy chọn giao diện, những giao diện đã được thêm vào gói sẽ phục vụ loại lưu lượng truy cập này sẽ được chọn. Bằng cách thêm không phải tất cả các giao diện, bạn có thể giới hạn chính xác những kênh bạn sử dụng, chẳng hạn như email, nếu bạn không muốn tạo gánh nặng cho các kênh đắt tiền có SLA cao đi kèm. Trong FortiOS 6.4.1, có thể nhóm các giao diện được thêm vào gói SD-WAN thành các vùng, chẳng hạn như tạo một vùng để liên lạc với các trang web từ xa và một vùng khác để truy cập Internet cục bộ bằng NAT. Vâng, vâng, lưu lượng truy cập Internet thông thường cũng có thể được cân bằng.
Về thuật toán cân bằng
Về cách Fortigate (tường lửa của Fortinet) có thể phân chia lưu lượng giữa các kênh, có hai tùy chọn thú vị không phổ biến trên thị trường:
Chi phí thấp nhất (SLA) – từ tất cả các giao diện đáp ứng SLA tại thời điểm hiện tại, giao diện có trọng lượng (chi phí) thấp hơn do quản trị viên đặt thủ công sẽ được chọn; chế độ này phù hợp với lưu lượng truy cập “số lượng lớn” như sao lưu và truyền tệp.
Chất lượng tốt nhất (SLA) – thuật toán này, ngoài độ trễ, jitter và mất gói thông thường của các gói Fortigate, còn có thể sử dụng tải kênh hiện tại để đánh giá chất lượng của các kênh; Chế độ này phù hợp với lưu lượng truy cập nhạy cảm như VoIP và hội nghị truyền hình.
Các thuật toán này yêu cầu thiết lập đồng hồ đo hiệu suất kênh truyền thông - Performance SLA. Máy đo này định kỳ (kiểm tra khoảng thời gian) giám sát thông tin về việc tuân thủ SLA: mất gói, độ trễ và độ giật trong kênh liên lạc và có thể “từ chối” những kênh hiện không đáp ứng ngưỡng chất lượng – chúng đang mất quá nhiều gói hoặc gặp quá nhiều sự cố độ trễ nhiều. Ngoài ra, đồng hồ đo còn theo dõi trạng thái của kênh và có thể tạm thời xóa kênh đó khỏi gói trong trường hợp mất phản hồi nhiều lần (lỗi trước khi không hoạt động). Khi được khôi phục, sau một số phản hồi liên tiếp (khôi phục liên kết sau), đồng hồ đo sẽ tự động đưa kênh trở lại gói và dữ liệu sẽ bắt đầu được truyền lại qua kênh đó.
Cài đặt “đồng hồ” trông như thế này:
Trong giao diện web, yêu cầu ICMP-Echo-request, HTTP-GET và DNS có sẵn dưới dạng giao thức thử nghiệm. Có thêm một số tùy chọn trên dòng lệnh: có sẵn các tùy chọn TCP-echo và UDP-echo, cũng như giao thức đo chất lượng chuyên dụng - TWAMP.
Kết quả đo cũng có thể được nhìn thấy trong giao diện web:
Và trên dòng lệnh:
Xử lý sự cố
Nếu bạn đã tạo quy tắc nhưng mọi thứ không hoạt động như mong đợi, bạn nên xem giá trị Hit Count trong danh sách Quy tắc SD-WAN. Nó sẽ cho biết liệu lưu lượng truy cập có rơi vào quy tắc này hay không:
Trên trang cài đặt của đồng hồ đo, bạn có thể thấy sự thay đổi các thông số kênh theo thời gian. Đường chấm chấm biểu thị giá trị ngưỡng của tham số
Trong giao diện web, bạn có thể thấy lưu lượng truy cập được phân bổ như thế nào theo lượng dữ liệu được truyền/nhận và số phiên:
Ngoài tất cả những điều này, còn có một cơ hội tuyệt vời để theo dõi việc truyền gói tin với độ chi tiết tối đa. Khi làm việc trong mạng thực, cấu hình thiết bị tích lũy nhiều chính sách định tuyến, tường lửa và phân phối lưu lượng trên các cổng SD-WAN. Tất cả những điều này tương tác với nhau một cách phức tạp và mặc dù nhà cung cấp cung cấp sơ đồ khối chi tiết của các thuật toán xử lý gói, điều rất quan trọng là không thể xây dựng và kiểm tra lý thuyết mà phải xem lưu lượng thực sự đi đến đâu.
Ví dụ: tập lệnh sau
diagnose debug flow filter saddr 10.200.64.15
diagnose debug flow filter daddr 10.1.7.2
diagnose debug flow show function-name
diagnose debug enable
diagnose debug trace 2
Cho phép bạn theo dõi hai gói có địa chỉ nguồn là 10.200.64.15 và địa chỉ đích là 10.1.7.2.
Chúng tôi ping 10.7.1.2 từ 10.200.64.15 hai lần và xem kết quả đầu ra trên bảng điều khiển.
Gói đầu tiên:
Gói thứ hai:
Đây là gói tin đầu tiên mà tường lửa nhận được:
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0."
VDOM – Internet, Proto=1 (ICMP), DMZ-Office – название L3-интерфейса. Type=8 – Echo.
Một phiên mới đã được tạo cho anh ấy:
msg="allocate a new session-0006a627"
Và một kết quả trùng khớp đã được tìm thấy trong cài đặt chính sách định tuyến
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"
Hóa ra gói cần được gửi đến một trong các đường hầm VPN:
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"
Quy tắc cho phép sau đây được phát hiện trong chính sách tường lửa:
msg="Allowed by Policy-3:"
Gói được mã hóa và gửi đến đường hầm VPN:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
Gói được mã hóa được gửi đến địa chỉ cổng cho giao diện WAN này:
msg="send to 2.2.2.2 via intf-WAN1"
Đối với gói thứ hai, mọi thứ diễn ra tương tự, nhưng nó được gửi đến một đường hầm VPN khác và rời khỏi một cổng tường lửa khác:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"
Ưu điểm của giải pháp
Chức năng đáng tin cậy và giao diện thân thiện với người dùng. Bộ tính năng có sẵn trong FortiOS trước khi SD-WAN ra đời vẫn được giữ nguyên hoàn toàn. Nghĩa là, chúng tôi không có phần mềm mới được phát triển mà là một hệ thống trưởng thành từ một nhà cung cấp tường lửa đã được chứng minh. Với bộ chức năng mạng truyền thống, giao diện web tiện lợi, dễ học. Có bao nhiêu nhà cung cấp SD-WAN có chức năng VPN truy cập từ xa trên các thiết bị cuối?
Mức độ bảo mật 80. FortiGate là một trong những giải pháp tường lửa hàng đầu. Có rất nhiều tài liệu trên Internet về cách thiết lập và quản lý tường lửa, và trên thị trường lao động có rất nhiều chuyên gia bảo mật đã nắm vững các giải pháp của nhà cung cấp.
Giá 0 cho chức năng SD-WAN. Việc xây dựng mạng SD-WAN trên FortiGate có chi phí tương đương với việc xây dựng mạng WAN thông thường trên đó, vì không cần giấy phép bổ sung để triển khai chức năng SD-WAN.
Giá rào cản gia nhập thấp. Fortigate có sự phân loại tốt các thiết bị cho các mức hiệu suất khác nhau. Những mô hình trẻ nhất và rẻ tiền nhất khá phù hợp để mở rộng văn phòng hoặc điểm bán hàng với khoảng 3-5 nhân viên. Nhiều nhà cung cấp đơn giản là không có những mẫu hiệu suất thấp và giá cả phải chăng như vậy.
Hiệu suất cao. Việc giảm chức năng SD-WAN để cân bằng lưu lượng đã cho phép công ty phát hành ASIC SD-WAN chuyên dụng, nhờ đó hoạt động SD-WAN không làm giảm toàn bộ hiệu suất của tường lửa.
Khả năng triển khai toàn bộ văn phòng trên thiết bị Fortinet. Đây là một cặp tường lửa, bộ chuyển mạch, điểm truy cập Wi-Fi. Một văn phòng như vậy rất dễ quản lý và thuận tiện - các thiết bị chuyển mạch và điểm truy cập được đăng ký trên tường lửa và được quản lý từ chúng. Ví dụ: đây là giao diện của một cổng chuyển đổi từ giao diện tường lửa điều khiển công tắc này:
Thiếu bộ điều khiển là một điểm thất bại. Bản thân nhà cung cấp tập trung vào vấn đề này, nhưng đây chỉ có thể gọi là lợi ích một phần, bởi vì đối với những nhà cung cấp có bộ điều khiển, việc đảm bảo khả năng chịu lỗi của họ là không tốn kém, thường phải trả giá bằng một lượng nhỏ tài nguyên máy tính trong môi trường ảo hóa.
Tìm gì
Không có sự tách biệt giữa Mặt phẳng điều khiển và Mặt phẳng dữ liệu. Điều này có nghĩa là mạng phải được cấu hình theo cách thủ công hoặc sử dụng các công cụ quản lý truyền thống đã có sẵn - FortiManager. Đối với các nhà cung cấp đã thực hiện việc phân tách như vậy, mạng sẽ tự lắp ráp. Quản trị viên có thể chỉ cần điều chỉnh cấu trúc liên kết của nó, cấm điều gì đó ở đâu đó, không cần gì hơn. Tuy nhiên, con át chủ bài của FortiManager là nó có thể quản lý không chỉ tường lửa mà còn cả các thiết bị chuyển mạch và điểm truy cập Wi-Fi, tức là gần như toàn bộ mạng.
Tăng khả năng kiểm soát có điều kiện. Do các công cụ truyền thống được sử dụng để tự động hóa cấu hình mạng nên khả năng quản lý mạng khi sử dụng SD-WAN sẽ tăng nhẹ. Mặt khác, chức năng mới sẽ khả dụng nhanh hơn, vì trước tiên nhà cung cấp chỉ phát hành nó cho hệ điều hành tường lửa (điều này ngay lập tức giúp bạn có thể sử dụng nó) và chỉ sau đó mới bổ sung vào hệ thống quản lý các giao diện cần thiết.
Một số chức năng có thể có sẵn từ dòng lệnh nhưng không có sẵn từ giao diện web. Đôi khi, việc vào dòng lệnh để định cấu hình một thứ gì đó không quá đáng sợ, nhưng thật đáng sợ khi không thấy trong giao diện web ai đó đã định cấu hình thứ gì đó từ dòng lệnh. Nhưng điều này thường áp dụng cho các tính năng mới nhất và dần dần, với các bản cập nhật FortiOS, khả năng của giao diện web sẽ được cải thiện.
Nó phù hợp với ai?
Dành cho những ai không có nhiều chi nhánh. Việc triển khai giải pháp SD-WAN với các thành phần trung tâm phức tạp trên mạng gồm 8-10 chi nhánh có thể không tốn nhiều chi phí - bạn sẽ phải chi tiền mua giấy phép cho các thiết bị SD-WAN và tài nguyên hệ thống ảo hóa để lưu trữ các thành phần trung tâm. Một công ty nhỏ thường có nguồn tài nguyên máy tính miễn phí hạn chế. Trong trường hợp của Fortinet, chỉ cần mua tường lửa là đủ.
Dành cho những người có nhiều cành nhỏ. Đối với nhiều nhà cung cấp, giá giải pháp tối thiểu cho mỗi chi nhánh khá cao và có thể không thú vị từ quan điểm kinh doanh của khách hàng cuối. Fortinet cung cấp các thiết bị nhỏ với mức giá rất hấp dẫn.
Dành cho những người chưa sẵn sàng bước quá xa. Việc triển khai SD-WAN với bộ điều khiển, định tuyến độc quyền và cách tiếp cận mới để quy hoạch và quản lý mạng có thể là một bước tiến quá lớn đối với một số khách hàng. Đúng, việc triển khai như vậy cuối cùng sẽ giúp tối ưu hóa việc sử dụng các kênh liên lạc và công việc của quản trị viên, nhưng trước tiên bạn sẽ phải học rất nhiều điều mới. Đối với những người chưa sẵn sàng cho sự thay đổi mô hình nhưng muốn khai thác nhiều hơn các kênh liên lạc của mình, giải pháp từ Fortinet là phù hợp.
Nguồn: www.habr.com