Nous travaillons avec presque tous les fournisseurs et, au fil des ans, dans notre laboratoire, j'ai eu le temps de me plonger dans l'architecture de tous les principaux dĂ©veloppeurs de solutions dĂ©finies par logiciel. Le SD-WAN de Fortinet est un peu Ă part ici, qui a simplement intĂ©grĂ© la fonctionnalitĂ© d'Ă©quilibrage du trafic entre les canaux de communication dans le logiciel de pare-feu. La solution est plutĂŽt dĂ©mocratique, elle est donc gĂ©nĂ©ralement envisagĂ©e dans les entreprises oĂč elles ne sont pas encore prĂȘtes pour des changements globaux, mais souhaitent utiliser leurs canaux de communication plus efficacement.
Dans cet article, je veux vous dire comment configurer et travailler avec Fortinet SD-WAN, qui est la bonne solution pour cette solution, et quels piĂšges vous pouvez rencontrer ici.
Les acteurs les plus notables du marchĂ© SD-WAN peuvent ĂȘtre classĂ©s en deux types:
1. Les startups qui ont créé des solutions SD-WAN à partir de rien. Les plus réussis d'entre eux reçoivent une énorme impulsion de développement lorsqu'ils sont achetés par de grandes entreprises - c'est l'histoire de Cisco / Viptela, VMWare / VeloCloud, Nuage / Nokia
2. Les grands fournisseurs de réseaux qui ont créé des solutions SD-WAN, développant la programmabilité et la gérabilité de leurs routeurs traditionnels sont de l'histoire ancienne Juniper, Huawei
Fortinet a réussi à trouver son chemin. La fonctionnalité a été intégrée au logiciel des pare-feu, ce qui permet de combiner leurs interfaces en canaux virtuels et d'équilibrer la charge entre eux à l'aide d'algorithmes complexes par rapport au routage habituel. Cette fonctionnalité s'appelle SD-WAN. Est-ce que ce que Fortinet a appelé SD-WAN? Le marché développe progressivement une compréhension que le Software-Defined signifie la séparation du Control Plane du Data Plane, des contrÎleurs dédiés, des orchestrateurs. Fortinet n'a rien de tel. La gestion centralisée est facultative et est proposée à l'aide de l'outil traditionnel Fortimanager. Mais à mon avis, il ne faut pas chercher la vérité abstraite et perdre du temps à se disputer sur les termes. Dans le monde réel, toute approche a ses mérites et ses inconvénients. La meilleure solution est de les comprendre et de pouvoir choisir des solutions qui correspondent aux tùches.
Je vais essayer de vous dire, avec des captures d'Ă©cran en main, Ă quoi ressemble et peut faire le SD-WAN de Fortinet.
Comment ça fonctionne
Supposons que vous ayez deux branches connectĂ©es par deux liaisons de donnĂ©es. Ces canaux de transmission de donnĂ©es sont regroupĂ©s de la mĂȘme maniĂšre que les interfaces Ethernet ordinaires sont regroupĂ©es dans le LACP-Port-Channel. Les anciens se souviendront de PPP Multilink, qui est Ă©galement une analogie appropriĂ©e. Les canaux peuvent ĂȘtre des ports physiques, des SVI VLAN et des tunnels VPN ou GRE.
VPN ou GRE est généralement utilisé lors de la connexion de réseaux locaux de succursales sur Internet. Et les ports physiques - en présence de connexions L2 entre les sites, ou lors de la connexion via un MPLS / VPN dédié, si nous sommes satisfaits de la connexion sans Overlay et cryptage. Un autre scénario dans lequel les ports physiques sont utilisés dans le groupe SD-WAN consiste à équilibrer l'accÚs local des utilisateurs à Internet.
Sur notre stand, il y a quatre pare-feu et deux tunnels VPN fonctionnant à travers deux «opérateurs télécoms». Le schéma ressemble à ceci:
les tunnels VPN sont configurĂ©s en mode frontal, de sorte qu'ils ressemblent Ă des connexions point Ă point entre des appareils avec des adresses IP sur des interfaces P2P qui peuvent ĂȘtre cinglĂ©es et s'assurent que la connexion se fait via un le tunnel fonctionne. Pour que le trafic soit chiffrĂ© et aille du cĂŽtĂ© opposĂ©, il suffit de l'acheminer dans le tunnel. L'alternative - sĂ©lectionner le trafic pour le chiffrement Ă l'aide de listes de sous-rĂ©seaux, dĂ©route grandement l'administrateur car la configuration devient plus complexe. Dans un grand rĂ©seau, pour construire un VPN, vous pouvez utiliser la technologie ADVPN, c'est un analogue du DMVPN de Cisco ou du DVPN de Huawei, ce qui simplifie la configuration.
Configuration VPN site à site pour deux appareils avec routage BGP des deux cÎtés
«» (DC)
«» (BRN)
config system interface
âedit "WAN1"
ââset vdom "Internet"
ââset ip 1.1.1.1 255.255.255.252
ââset allowaccess ping
ââset role wan
ââset interface "DC-BRD"
ââset vlanid 111
ânext
âedit "WAN2"
ââset vdom "Internet"
ââset ip 3.3.3.1 255.255.255.252
ââset allowaccess ping
ââset role lan
ââset interface "DC-BRD"
ââset vlanid 112
ânext
âedit "BRN-Ph1-1"
ââset vdom "Internet"
ââset ip 192.168.254.1 255.255.255.255
ââset allowaccess ping
ââset type tunnel
ââset remote-ip 192.168.254.2 255.255.255.255
ââset interface "WAN1"
ânext
âedit "BRN-Ph1-2"
ââset vdom "Internet"
ââset ip 192.168.254.3 255.255.255.255
ââset allowaccess ping
ââset type tunnel
ââset remote-ip 192.168.254.4 255.255.255.255
ââset interface "WAN2"
ânext
end
config vpn ipsec phase1-interface
âedit "BRN-Ph1-1"
ââset interface "WAN1"
ââset local-gw 1.1.1.1
ââset peertype any
ââset net-device disable
ââset proposal aes128-sha1
ââset dhgrp 2
ââset remote-gw 2.2.2.1
ââset psksecret ***
ânext
âedit "BRN-Ph1-2"
ââset interface "WAN2"
ââset local-gw 3.3.3.1
ââset peertype any
ââset net-device disable
ââset proposal aes128-sha1
ââset dhgrp 2
ââset remote-gw 4.4.4.1
ââset psksecret ***
ânext
end
config vpn ipsec phase2-interface
âedit "BRN-Ph2-1"
ââset phase1name "BRN-Ph1-1"
ââset proposal aes256-sha256
ââset dhgrp 2
ânext
âedit "BRN-Ph2-2"
ââset phase1name "BRN-Ph1-2"
ââset proposal aes256-sha256
ââset dhgrp 2
ânext
end
config router static
âedit 1
ââset gateway 1.1.1.2
ââset device "WAN1"
ânext
âedit 3
ââset gateway 3.3.3.2
ââset device "WAN2"
ânext
end
config router bgp
âset as 65002
âset router-id 10.1.7.1
âset ebgp-multipath enable
âconfig neighbor
ââedit "192.168.254.2"
âââset remote-as 65003
âânext
ââedit "192.168.254.4"
âââset remote-as 65003
âânext
âend
âconfig network
ââedit 1
âââset prefix 10.1.0.0 255.255.0.0
âânext
end
config system interface
âedit "WAN1"
ââset vdom "Internet"
ââset ip 2.2.2.1 255.255.255.252
ââset allowaccess ping
ââset role wan
ââset interface "BRN-BRD"
ââset vlanid 111
ânext
âedit "WAN2"
ââset vdom "Internet"
ââset ip 4.4.4.1 255.255.255.252
ââset allowaccess ping
ââset role wan
ââset interface "BRN-BRD"
ââset vlanid 114
ânext
âedit "DC-Ph1-1"
ââset vdom "Internet"
ââset ip 192.168.254.2 255.255.255.255
ââset allowaccess ping
ââset type tunnel
ââset remote-ip 192.168.254.1 255.255.255.255
ââset interface "WAN1"
ânext
âedit "DC-Ph1-2"
ââset vdom "Internet"
ââset ip 192.168.254.4 255.255.255.255
ââset allowaccess ping
ââset type tunnel
ââset remote-ip 192.168.254.3 255.255.255.255
ââset interface "WAN2"
ânext
end
config vpn ipsec phase1-interface
â edit "DC-Ph1-1"
ââ set interface "WAN1"
ââ set local-gw 2.2.2.1
ââ set peertype any
ââ set net-device disable
ââ set proposal aes128-sha1
ââ set dhgrp 2
ââ set remote-gw 1.1.1.1
ââ set psksecret ***
â next
â edit "DC-Ph1-2"
ââ set interface "WAN2"
ââ set local-gw 4.4.4.1
ââ set peertype any
ââ set net-device disable
ââ set proposal aes128-sha1
ââ set dhgrp 2
ââ set remote-gw 3.3.3.1
ââ set psksecret ***
â next
end
config vpn ipsec phase2-interface
â edit "DC-Ph2-1"
ââ set phase1name "DC-Ph1-1"
ââ set proposal aes128-sha1
ââ set dhgrp 2
â next
â edit "DC2-Ph2-2"
ââ set phase1name "DC-Ph1-2"
ââ set proposal aes128-sha1
ââ set dhgrp 2
â next
end
config router static
âedit 1
ââset gateway 2.2.2.2
ââet device "WAN1"
ânext
âedit 3
ââset gateway 4.4.4.2
ââset device "WAN2"
ânext
end
config router bgp
â set as 65003
â set router-id 10.200.7.1
â set ebgp-multipath enable
â config neighbor
ââ edit "192.168.254.1"
âââ set remote-as 65002
ââ next
ââedit "192.168.254.3"
âââset remote-as 65002
ââ next
â end
â config network
ââ edit 1
âââ set prefix 10.200.0.0 255.255.0.0
â ânext
end
Je donne la configuration sous forme de texte, car, Ă mon avis, il est plus pratique de configurer VPN de cette façon. Presque tous les paramĂštres sont identiques des deux cĂŽtĂ©s; sous forme de texte, ils peuvent ĂȘtre effectuĂ©s par copier-coller. Si vous faites la mĂȘme chose dans l'interface Web, il est facile de se tromper: oublier une coche quelque part, entrer la mauvaise valeur.
Une fois que nous avons ajouté des interfaces au bundle,
toutes les routes et politiques de sĂ©curitĂ© peuvent s'y rĂ©fĂ©rer, et non les interfaces qui y sont incluses. Au minimum, le trafic des rĂ©seaux internes vers le SD-WAN doit ĂȘtre autorisĂ©. Lorsque vous crĂ©ez des rĂšgles pour eux, vous pouvez appliquer des mesures de protection telles que la divulgation IPS, antivirus et HTTPS.
Les rÚgles SD-WAN sont configurées pour le bundle. Ce sont les rÚgles qui déterminent l'algorithme d'équilibrage pour un trafic spécifique. Ils sont similaires aux stratégies de routage dans le routage basé sur des stratégies, uniquement en raison du trafic relevant de la stratégie, et non du prochain saut ou d'une interface sortante réguliÚre, mais les interfaces ajoutées au bundle SD-WAN plus l'algorithme d'équilibrage du trafic entre ces interfaces.
Le trafic peut ĂȘtre sĂ©parĂ© du flux gĂ©nĂ©ral par des informations L3-L4, par des applications reconnues, des services Internet (URL et IP), ainsi que par des utilisateurs reconnus de postes de travail et d'ordinateurs portables. AprĂšs cela, l'un des algorithmes d'Ă©quilibrage suivants peut ĂȘtre affectĂ© au trafic dĂ©diĂ©:
La liste des prĂ©fĂ©rences d'interface sĂ©lectionne ces interfaces parmi celles dĂ©jĂ ajoutĂ©es au bundle qui serviront ce type de trafic. En n'ajoutant pas toutes les interfaces, vous pouvez restreindre les canaux que vous utilisez, par exemple le courrier Ă©lectronique, si vous ne voulez pas le charger avec des canaux coĂ»teux avec un SLA Ă©levĂ©. Dans FortiOS 6.4.1, il est devenu possible de regrouper les interfaces ajoutĂ©es au bundle SD-WAN en zones, crĂ©ant, par exemple, une zone pour la communication avec des sites distants et une autre pour l'accĂšs Internet local Ă l'aide de NAT. Oui, le trafic qui va Ă Internet ordinaire peut Ă©galement ĂȘtre Ă©quilibrĂ©.
Ă propos des algorithmes d'Ă©quilibrage
En ce qui concerne la façon dont Fortigate (un pare-feu de Fortinet) est capable de répartir le trafic entre les canaux, il existe deux options intéressantes qui ne sont pas trÚs courantes sur le marché: le
plus bas coût (SLA) - parmi toutes les interfaces qui satisfont au SLA pour le moment, celle avec le poids le plus bas est choisie (coût) défini manuellement par l'administrateur; ce mode convient aux trafics "lourds" tels que les sauvegardes et les transferts de fichiers.
Meilleure qualité (SLA) - cet algorithme, en plus du délai habituel, de la gigue et de la perte de paquets Fortigate, peut utiliser la charge actuelle du canal pour évaluer la qualité des canaux; ce mode convient au trafic sensible tel que la VoIP et la visioconférence.
Ces algorithmes nécessitent la mise en place du SLA de performance. Ce compteur surveille périodiquement (intervalle de contrÎle) les informations sur la conformité SLA: perte de paquets, latence et gigue dans le canal de communication - et peut «rejeter» les canaux qui ne satisfont actuellement pas aux seuils de qualité - perdent trop de paquets ou donnent trop de retard. De plus, le compteur surveille l'état du canal, et peut temporairement le retirer du bundle en cas de pertes répétées de réponses (échecs avant inactif). Lors de la restauration, aprÚs plusieurs réponses reçues successivement (restauration de la liaison aprÚs), le compteur renverra automatiquement le canal au faisceau et les données seront à nouveau transmises.
Voici Ă quoi ressemble le paramĂštre "compteur":
Dans l'interface Web, ICMP-Echo-request, HTTP-GET et DNS request sont disponibles en tant que protocole de test. Il y a un peu plus d'options sur la ligne de commande: les options TCP-echo et UDP-echo sont disponibles, ainsi qu'un protocole de mesure de qualité spécialisé - TWAMP.
Les rĂ©sultats de mesure peuvent ĂȘtre consultĂ©s dans l'interface Web:
Et dans la ligne de commande:
DĂ©pannage
Si vous avez créé une rÚgle et que tout ne fonctionne pas comme prévu, vous devez consulter la valeur du nombre de hits dans la liste RÚgles SD-WAN. Il montrera si le trafic tombe dans cette rÚgle du tout:
Sur la page de configuration du compteur, vous pouvez voir le changement des paramÚtres de canal au fil du temps. La ligne pointillée indique la valeur seuil du paramÚtre Dans l'
interface Web, vous pouvez voir comment le trafic est réparti en fonction du volume de données transmises / reçues et du nombre de sessions:
En plus de tout cela, il existe une excellente opportunitĂ© de suivre le passage des paquets avec un maximum de dĂ©tails. Lorsque vous travaillez dans un rĂ©seau rĂ©el, la configuration de l'appareil accumule de nombreuses politiques de routage, pare-feu et distribution du trafic sur les ports SD-WAN. Tout cela interagit de maniĂšre complexe, et bien que le fournisseur fournisse des schĂ©mas fonctionnels dĂ©taillĂ©s d'algorithmes de traitement de paquets, il est trĂšs important de ne pas pouvoir construire et tester des thĂ©ories, mais voir oĂč va rĂ©ellement le trafic.
Par exemple, l'ensemble de commandes suivant suivra deux paquets avec une adresse source de 10.200.64.15 et une adresse de destination de 10.1.7.2. Ping 10.7.1.2 Ă partir de 10.200.64.15 deux fois et regardez la sortie sur la console. Premier paquet: DeuxiĂšme paquet:
diagnose debug flow filter saddr 10.200.64.15
diagnose debug flow filter daddr 10.1.7.2
diagnose debug flow show function-name
diagnose debug enable
diagnose debug trace 2
Voici le premier paquet reçu par le pare-feu: Une nouvelle session a Ă©tĂ© crĂ©Ă©e pour lui: Et une correspondance a Ă©tĂ© trouvĂ©e dans les paramĂštres des politiques de routage Il s'avĂšre que le paquet doit ĂȘtre envoyĂ© Ă l'un des tunnels VPN: Une rĂšgle d'autorisation est trouvĂ©e dans les politiques du pare-feu: Le paquet est chiffrĂ© et envoyĂ© au tunnel VPN: ChiffrĂ© le paquet est envoyĂ© Ă l'adresse de la passerelle pour cette interface WAN: Pour le deuxiĂšme paquet, tout est pareil, mais il est envoyĂ© vers un tunnel VPN diffĂ©rent et part par un port de pare-feu diffĂ©rent:
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0."
VDOM â Internet, Proto=1 (ICMP), DMZ-Office â L3-. Type=8 â Echo.
msg="allocate a new session-0006a627"
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"
msg="Allowed by Policy-3:"
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
msg="send to 2.2.2.2 via intf-WAN1"
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"
Avantages de la solution
Fonctionnalité fiable et interface conviviale. L'ensemble de fonctionnalités qui était disponible dans FortiOS avant l'avÚnement du SD-WAN est complÚtement préservé. Autrement dit, nous n'avons pas de logiciel nouvellement développé, mais un systÚme mature d'un fournisseur de pare-feu éprouvé. Avec l'ensemble traditionnel de fonctions réseau, une interface Web pratique et facile à apprendre. Combien de fournisseurs de SD-WAN ont, par exemple, une fonctionnalité VPN d'accÚs à distance sur leurs terminaux?
Niveau de sécurité 80. FortiGate fait partie des meilleures solutions de pare-feu. Il existe de nombreux documents sur Internet pour configurer et administrer les pare-feu, et de nombreux spécialistes de la sécurité sur le marché du travail maßtrisent déjà les solutions du fournisseur.
Aucun coût pour la fonctionnalité SD-WAN.Il en coûte autant de construire un réseau SD-WAN sur FortiGate que de construire un réseau WAN régulier dessus, car aucune licence supplémentaire n'est nécessaire pour implémenter la fonctionnalité SD-WAN.
Seuil d'entrée bas pour le prix. Fortigate a une bonne gradation d'appareils pour des performances différentes. Les modÚles les plus jeunes et les moins chers conviennent tout à fait pour élever un bureau ou un point de vente pour, par exemple, 3 à 5 employés. De nombreux fournisseurs ne proposent tout simplement pas de modÚles aussi peu performants et abordables.
Haute performance. La réduction de la fonctionnalité SD-WAN à l'équilibrage du trafic a permis à l'entreprise de publier un ASIC SD-WAN spécialisé, grùce auquel le fonctionnement du SD-WAN ne réduit pas les performances du pare-feu en général.
La possibilité d'implémenter un bureau entier sur des équipements Fortinet.Ce sont quelques pare-feu, commutateurs, points d'accÚs Wi-Fi. Ce bureau est facile et pratique à gérer - les commutateurs et les points d'accÚs sont enregistrés sur les pare-feu et contrÎlés à partir d'eux. Par exemple, voici à quoi peut ressembler un port de commutateur à partir de l'interface du pare-feu qui contrÎle ce commutateur:
Aucun contrĂŽleur comme point de dĂ©faillance unique. Le fournisseur lui-mĂȘme se concentre sur cela, mais cela ne peut ĂȘtre qualifiĂ© de plus qu'en partie, car les fournisseurs qui ont des contrĂŽleurs garantissant leur tolĂ©rance aux pannes sont peu coĂ»teux, le plus souvent au prix d'une petite quantitĂ© de ressources informatiques dans un environnement de virtualisation.
Ce qu'il faut chercher
Manque de sĂ©paration du plan de contrĂŽle et du plan de donnĂ©es . Cela signifie que le rĂ©seau doit ĂȘtre configurĂ© manuellement ou Ă l'aide des outils de gestion traditionnels existants - FortiManager. Pour les fournisseurs qui ont mis en Ćuvre une telle sĂ©paration, le rĂ©seau est assemblĂ© par lui-mĂȘme. L'administrateur peut seulement avoir besoin d'ajuster sa topologie, d'interdire quelque chose quelque part, rien de plus. Cependant, l'atout de FortiManager est qu'il peut gĂ©rer non seulement les pare-feu, mais aussi les commutateurs et les points d'accĂšs Wi-Fi, c'est-Ă -dire la quasi-totalitĂ© du rĂ©seau.
Croissance conditionnelle de la contrĂŽlabilitĂ©.En raison du fait que les outils traditionnels sont utilisĂ©s pour automatiser la configuration du rĂ©seau, la gĂ©rabilitĂ© du rĂ©seau avec la mise en Ćuvre du SD-WAN n'augmente pas de maniĂšre significative. D'autre part, les nouvelles fonctionnalitĂ©s deviennent disponibles plus rapidement, puisque le fournisseur ne les publie d'abord que pour le systĂšme d'exploitation du pare-feu (ce qui permet immĂ©diatement de les utiliser), et ne complĂšte ensuite le systĂšme de contrĂŽle qu'avec les interfaces nĂ©cessaires.
Certaines fonctionnalitĂ©s peuvent ĂȘtre disponibles Ă partir de la ligne de commande, mais pas disponibles Ă partir de l'interface Web. Parfois, il nâest pas si effrayant dâaller sur la ligne de commande pour configurer quelque chose, car câest effrayant de ne pas voir dans lâinterface Web que quelque chose a dĂ©jĂ Ă©tĂ© configurĂ© par quelqu'un depuis la ligne de commande. Mais cela concerne gĂ©nĂ©ralement les derniĂšres fonctionnalitĂ©s et progressivement, avec les mises Ă jour de FortiOS, les capacitĂ©s de l'interface Web se resserrent.
C'est pour qui
Pour ceux qui n'ont pas beaucoup de succursales. La mise en Ćuvre d'une solution SD-WAN avec des composants centraux complexes sur un rĂ©seau de 8 Ă 10 succursales peut ne pas valoir la chandelle - vous devrez dĂ©penser de l'argent en licences pour les pĂ©riphĂ©riques SD-WAN et les ressources du systĂšme de virtualisation pour hĂ©berger les composants centraux. Une petite entreprise manque gĂ©nĂ©ralement de ressources informatiques gratuites. Dans le cas de Fortinet, il vous suffit d'acheter des pare-feu.
Ceux qui ont beaucoup de petites branches. Pour de nombreux fournisseurs, le prix minimum de la solution pour une agence est assez Ă©levĂ© et peut ne pas ĂȘtre intĂ©ressant du point de vue de l'activitĂ© du client final. Fortinet propose des petits appareils Ă un prix trĂšs attractif.
Ceux qui ne sont pas encore prĂȘts Ă aller trop loin.La mise en Ćuvre du SD-WAN avec des contrĂŽleurs, un routage propriĂ©taire et une nouvelle approche de la planification et de la gestion du rĂ©seau peut ĂȘtre trop importante pour certains clients. Oui, une telle implĂ©mentation permettra Ă terme d'optimiser l'utilisation des canaux de communication et le travail des administrateurs, mais il faut d'abord en apprendre beaucoup. Pour ceux qui ne sont pas encore prĂȘts pour le changement de paradigme, mais qui souhaitent tirer davantage parti de leurs canaux de communication, la solution Fortinet est parfaitement adaptĂ©e.