SD-WAN [Konfiguracja Fortigate]
Wstęp
W dzisiejszych czasach coraz częściej słyszy się o SD-WANie i coraz więcej firm decyduje się na to rozwiązanie. Ale czym jest SD-WAN?
Software Defined WAN czyli sieć zarządzana za pomocą oprogramowania. Tradycyjne sieci opierają na się na konfiguracji pojedycznych, fizycznych urządzeniach, natomiast SD-WAN posiada oprogramowanie, dzięki któremu administrator konfiguruje wszystkie łącza (głównie dostawców internetowych) z jednego miejsca. Dodatkowo posiada on interfejs graficzny przyjemny dla średniozaawansowanych administratorów.
SD-WAN łączy wiele cech, takie jak: Qos, traffic shaping, failover czy pre-routing. Możemy kompleksowo optymalizować, dostosowywać trasy ruchu oraz nadawać im różne priorytety. Pozwala na elastyczność i dostosowanie konfiguracji wedle potrzeb. W skrócie SD-WAN łączy technologie wcześniej używane w sieciach tylko wszystko robimy z poziomu jednego oprogramowania.
Warto dodać, że jeśli mamy skonfigurowanego SD-WANa dodając kolejne łącza WAN będą o
Zastosowań jest dużo, dzisiaj przedstawię scenariusz, gdzie będziemy brać pod uwagę jakość połączenia na łączach WAN
Wstęp
Utworzenie interfejsu SD-WAN
Dodanie trasy statycznej
Utworzenie reguły dla LAN
Utworzenie próbki jakości
Utworzenie reguły dla SD-WAN
Test konfiguracji
Artykuł w formie video obejrzysz tutaj 🙂
Topologia jakiej użyję
Konfiguracja SD-WAN
Gdy mamy gotową adresację, logujemy się do Fortigate i kierujemy się do zakładki Network > SD-WAN by zdefiniować naszego SD-WANa
Najpierw utworzymy nasz interfejs, klikamy „Create New” i SD-WAN Zone
Nadajemy nazwę i niżej zatwierdzamy OK
Teraz dodamy nasze interfejsy WAN, klikamy „Create New” > SD-WAN Member i uzupełniamy pola
Interface: wybieramy pierwszy interfejs WAN
SD-WAN Zone: wcześniej utworzona strefa
Gateway: automatycznie pokazuje nam bramę dla tego interfejsu, dlatego zostawiamy
Możemy z tego miejsca nadać priorytety na dane łącza, narazie nie będziemy tego robić
Czynność powtarzamy dla drugiego interfejsu
Widzimy, że nasz panel został zaktualizowany
Teraz utworzymy trasę statyczną dla naszego interfejsu SD-WAN, przechodzimy do Network > Static Routes i klikamy „Create New”
Po wybraniu interfejsu na SD-WAN znika nam pole Gateway Address, Destination zostawiamy na 0.0.0.0/0 czyli każdy adres będzie docelowym
Utworzymy teraz nową regułę z dostępem do internetu dla LAN, przechodzimy Policy & Objects > Firewall Policy, klikamy „Create New” i uzupełniamy pola
Name: nazwa
Incoming interface: interfejs LAN
Outgoing interface: interfejs SD-WAN
Source: all
Destination: all
Service: all
Ważne aby była zaznaczona opcja NAT
„All” oznacza wszystko, możemy dostosować wedle potrzeb źródło celu lub aplikacje które mają mieć dostęp do internetu
Wykorzystamy SD-WAN do tego, aby sprawdzał co jakiś czas opóźnienie dla danego serwisu, jest to przydatne w celu badania jakości połączenia
Przechodzimy do zakładki Network > SD-WAN > Performance SLAs, klikamy „Create New” i uzupełniamy pola
Name: nazwa profilu
Probe mode: Active czyli co pewien czas ciągle próbkuje
Protocol: wybieramy protokół który nas interesuje w tym przypadku ping
Server: podajemy adres ip danej usługi, możemy mieć kilka jednocześnie
Participants: ALL SD-WAN Members, aby testowane były wszystkie łącza, które zadeklarowaliśmy
Załączamy SLA Target, odpowiada za szczegóły testowania jakości połączenia
Latency treshold – wartość opóźnienia jaka będzie brana pod uwagę
Jitter treshold – zakłócenia
Packet Loss treshold – straty pakietów
Link Status określa co ile ma być wysyłany testowy ping
Update static route – oznacza to, że jeśli Fortigate wykryje że trasa statyczna jest nieosiągalna, zmieni ją
Widzimy, że testowanie już się zaczęło i będzie trwało cyklicznie dopóki tego nie zmienimy
Teraz utworzymy regułę dla SD-WAN, która służy do rozkładania ruchu pomiędzy łączami WAN. Przechodzimy do zakładki SD-WAN Rules. Domyślnie mamy regułę która ma kilka opcji działania:
- SOURCE IP rozkłada ruch na podstawie adresu
- SESSIONS możemy zastosować wagę danego łącza
3. SPILLOVER rozkłada łącza na konkretne wartości
4. SOURCE-DESTINATION IP
5. VOLUME czyli stosunek jednego do drugiego łącza
Są to opcje, gdy mamy prosty scenariusz i chcemy rozłożyć ruch pomiędzy nimi
Oprócz tego stworzymy swoją regułę wykorzystując wcześniej utworzone próbkowanie łącz, klikamy „Create New” i uzupełniamy pola
Name: nazwa reguły
Source: all – możemy podać konkretnego hosta lub grupę hostów
Destination: all – możemy podać konkretny serwis czy aplikację
Protocol number: możemy wyszczególnić który protokół, zostawiając ANY Fortigate bierze pod uwagę wszystkie
Określamy co będzie brane pod uwage – my skupiamy się na najlepszej jakości łącz
Interface preference: podajemy nasze łącza WAN
Measured SLA: wybieramy naszą wcześniej utworzoną próbkę
Quality criteria: Latency – możemy wybrać inne wartości które nas interesują, ja wybrałem opóźnienie
Test Konfiguracji
Jest wiele sposobów na sprawdzenie poprawnego działania SD-WAN, zależy jaką konfiguracje chcemy sprawdzić. Podstawowym testem jest failover, czyli automatyczne przełączanie podczas przerwania jednego z łączy.
Lub logujemy się na komputer w sieci LAN i wysyłamy pinga np. do adresu wskazanego w próbkowaniu
Wartość -t oznacza ciągłe wysyłanie pakietów do momentu przerwania
Wartość -l 1000 oznacza wielkość pakietów
Widzimy jak wartości próbkowania się zmieniają, gdy jest kolor zielony oznacza, że mieścimy się w zakresie, który wcześniej zdefiniowaliśmy
![Hotspot [Konfiguracja Mikrotik]](https://netadminpro.pl/wp-content/uploads/2024/09/2.jpg)
