23T28 SD-WAN Fortigate v7.0.11 w 9 min. [Konfiguracja Fortinet]

Link do artykułu.

0:00 Wprowadzenie

0:45 Topologia

1:24 Konfiguracja Network SD-WAN

2:17 Konfiguracja Trasy Domyślnej

3:09 Konfiguracja Performance SLA

4:21 Konfiguracja Reguł

8:26 Podsumowanie

TranskrypcjA

Cześć. Dzisiaj odcinek na temat dwóch operatorów Fortigate i łączenia tego całego środowiska przy pomocy rozwiązania SD-WAN w wydaniu Fortineta. Czyli jak badać jakość i jak konfigurować poszczególne uplinki, w jaki sposób definiować opóźnienie, utratę pakietów na tym rozwiązaniu naszym Gateway’a Fortigate i w ten sposób zapewnić możliwie najlepsze rozwiązanie czy najlepszą jakość dostępu do danej usługi poprzez łączę internetowe.

No to zaczynamy od topologii. Na dole mamy system Windows następnie mamy Gateway’a w postaci Fortigate, dwa uplinki na porcie 3 i 2. Mamy następnie dwa połączenia WAN’owe. WAN_1, WAN_2 i tu jakiś operator i na nim będziemy konfigurować połączenie i badanie Azure. Mamy tu oczywiście jakieś adresacje na każdym WAN’ie. One nie są aż takie istotne w tym momencie ważne żeby zapamiętać że port4 to jest port LAN, port 3 i 2 to są porty VAN na Fortigate.

To idziemy teraz do konfiguracji. Zaczynamy od konfiguracji kontekstu SD-WAN czyli Network SD-WAN. Następnie tworzymy nową strefę. Tą strefę nazwiemy sobie SD-WAN i do tej strefy będziemy teraz dodawać  interfejsy. Pierwszy interfejs WAN1 port3 i przypisanie strefy SD-WAN. Dajemy OK i następnie drugi interfejs. Przypisujemy w podobny sposób interfejs WAN2, strefę SD-WAN. Nie zmieniamy kosztu tutaj ani priorytetu – domyślne wartości. Każdy więc z tych linków będzie tak samo ważny. Mamy widać tutaj podpięte dwa interfejsy do strefy, mamy adresację, mamy jakąś statystykę ruchu.

Kolejnym krokiem jest konfiguracja trasy domyślnej czyli Destination wszystkie zera i przypisujemy interfejs. Interfejsem będzie SD-WAN
czyli strefa. Zapisujemy. Mamy już statyczną trasę do wyjścia do internetu stworzoną. Czas na politykę czyli tworzymy politykę Firewalla. Domyślcie mamy oczywiście blokowanie ruchu więc stworzymy konfigurację czy regułę, która pozwoli nam wyjść z portu LAN’owego – port4, i portami SD-WAN, czyli całą grupą dwóch portów. Reszta będzie All czyli Source, Destination i Service all. Tutaj nic nie ograniczamy i zatwierdzamy. Mamy już Firewall’ai politykę Firewall’a skonfigurowaną.

Teraz możemy wrócić do konfiguracji SD-WAN’u. Konfigurujemy teraz Performance SLA. To jest wskaźnik czy taka definicja, metody jak będziemy badać jakość. A więc tworzymy nowy wpis, nazywamy go microsoft_azure – będziemy badać do Azure tą jakość naszego połączenia przez VAN każdym linkiem. Protokół Ping, nazwa FQDN azure.microsoft.com Wszystkie linki, które są w SD-WAN’ie skonfigurowane. Co będziemy tutaj mierzyć? SLA Target czyli Latency, Jitter i Packet Loss. Co tu jest jeszcze ważne,
tu na dole jeżeli połączenie będzie nieaktywne to będzie aktualizowało wpis statycznego routingu. Tu chodzi o to, że jeżeli będzie awaria danego linku to żeby routing był tak zmodyfikowany żeby przez to połączenie nam nie pchało pakietów.

No i teraz mamy tutaj już monitoring, możemy zobaczyć sobie te trzy parametry. Te tutaj na dole a one się odświeżą i będziemy widzieć status. No i widzimy, że jest na zielono. Nas najbardziej w tym przykładzie będzie interesować opóźnienie. Obecne opóźnienie jest na poziomie 43 milisekund na obu połączeniach VAN. Konfigurujemy więc pierwszą regułę. Możemy zobaczyć domyślna reguła jaka jest. W domyślnej regule mamy tutaj wagi ale do tego jeszcze przejdziemy, równo rozłożone więc zakładamy, że ruch będzie rozkładany po równo na każdym z linków. Source IP mamy brak definicji więc tutaj nie możemy nic wskazać. Ale jeżeli byśmy definiowali to możemy balansowanie ruchu uzależnić od tego skąd ten ruch wychodzi.

Dalej możemy ustawić sobie wagi dla ilości sesji czyli 2:1 to dwa razy więcej sesji będzie tutaj na WAN’ie zielonym 1/3 sesji na WAN’ie żółtym. Jeżeli mamy po równo wagi to wiadomo po 50%. Tutaj z kolei możemy ustawić też hold’y na ilość ruchu przez każde połączenie WAN na kierunku wejściowym i wyjściowym. Jeżeli nic nie zmieniamy to jak widać jest wszystko po 0%, jeżeli zmienimy tutaj daną wartość czyli tutaj wysycimy, na przykład ustawimy wartość na 500 kbps to tylko 500 kbps będzie w tym kierunku działało, reszta ruchu będzie szła tym łączem WAN2 bo tu nie mamy żadnego ograniczenia.

Jeżeli ustawimy różne wartości no to widzimy, że wtedy procentowo będzie się ten ruch inaczej rozkładał. Mamy 5 do 30 czyli 5 to będzie te 14% na zielono a 30 to będzie ta część na żółto. Możemy sobie więc definiować tu proporcjami ruchu wchodzącego i wychodzącego. Mamy możliwość określenia Destination IP – też nie mamy tu definicji więc nic nie widzimy ale możemy definiować Load Balancing i ten algorytm względem tego do jakiego serwera ruch idzie. No i na końcu możemy tak jak na początku było widać ostatnia opcja to jest wagi dla poszczególnych połączeń WAN. No i one odpowiednio nam kształtują proporcje wysyłanego ruchu przez każde z połączeń. Nic tutaj nie zmieniamy w domyślnych ustawieniach.

Możemy natomiast stworzyć nową regułę oprócz tej domyślnej i tutaj możemy więcej informacji zawrzeć czy naszych polityk. Nazwijmy tą regułę Rule_SD-WAN. Możemy tu oczywiście już wtedy zdefiniować jakie to będą adresy Source i Destination. Tu akurat wpisujemy również All. Możemy zdefiniować jaki protokół ale to co jest najważniejsze to jaki rodzaj strategii będzie wybierany przy wyborze danego łącza i o ile tam było po prostu przy domyślnej polityce tylko wagi i dzielenie obciążenia na poszczególne WAN’owe połączenia tak tutaj możemy różne strategie wybrać. Ta strategia to jest Best Quality czyli najlepsza jakość i to jest najczęstsza strategia dla połączeń w internecie czyli my szukamy sposobu jak z najwyższą jakością podłączyć daną aplikację poprzez nie gwarantowany internet.

Więc wybieramy Best Quality, wybieramy sobie jaki to będzie interfejs. Możemy dodać dwa. Musimy wybrać również jaki będziemy stosować ten SLA profil, ten który stworzyliśmy wcześniej i jaki parametr z tego profilu będzie używany. My będziemy tutaj w tym przykładzie Latency czyli opóźnienie badać. Zatwierdzamy i mamy naszą regułę stworzoną. Teraz możemy zbadać sobie z naszego Windowsa czy wychodzimy do internetu badając cały czas ten wcześniej zdefiniowany na Fortigate adres FQDN azure.microsoft.com. No i widać, że ruch wychodzi i jest ta łączność zapewniona. Tak samo do innych adresów na przykład do 888 też widać, że jest ruch. Widzimy, że nadal poziom opóźnień, który badamy i który sobie skonfigurowaliśmy w polityce jest poniżej progu. Próg mieliśmy 150 milisekund, to jest 45 więc oba połączenia działają i są wykorzystywane.

Na dzisiaj to tyle, jeżeli masz jakieś pytania co do SD-WAN’U, sposobu konfiguracji, zalet, wad to oczywiście daj znać w komentarzu. Chętnie przeczytam. Jeżeli masz jakieś swoje przemyślenia w tym zakresie. Na dzisiaj to tyle, do usłyszenia w kolejnym odcinku.