教程篇(7.2) 01. 介绍 & SD-WAN ❀ Fortinet 网络安全架构师 NSE7

  在本课中，你将了解SD-WAN的概念、用例和主要组件。你还将了解如何使用FortiGate GUl来配置和监视基本的SD-WAN设置。

  在这节课中，你将学习上图显示的主题。

  通过了解SD-WAN解决方案及其用例，你应该能够识别可以部署SD-WAN以有效、安全地在广域网链路上分配流量的最常见场景。

  据Gartner称，软件定义的WAN（SD-WAN）在多个WAN连接上提供基于策略的动态应用程序路径选择，并支持其他服务链，如WAN优化和防火墙。Fortinet对SD-WAN的实现被称为安全SD-WAN，因为它还通过利用FortiOS中可用的内置安全功能来提供安全性。

　　安全SD-WAN依赖于众所周知的FortiOS功能，如IPsec、自动发现VPN（ADVPN）、链路监控、高级路由、互联网服务数据库（ISDB）、流量整形、UTM检查和负载均衡。然后，管理员可以组合这些功能并设置规则，根据多个因素定义FortiGate如何引导整个广域网的流量，例如为流量确定的协议、服务或应用程序；以及链接的质量。请注意，SD-WAN控制出口流量，而不是入口流量。这意味着返回流量可能会使用与SD-WAN选择的出口链路不同的链路。

　　SD-WAN的一个好处是有效使用广域网。也就是说，你可以使用公共（例如，宽带、LTE）和私人（例如，MPLS）链路来安全地将流量引导到不同的目的地：互联网、公共云、私有云和公司网络。这种使用不同类型的链路将站点连接到私人和公共网络的方法被称为混合广域网。使用混合广域网可以降低成本，主要是因为管理员通常通过低成本的快速互联网链路而不是通过高成本的慢速私人链路来引导流量。其结果是，私人链路，如MPLS链路，通常仅用于引导关键流量，或作为高可用性的故障转移链路。

　　SD-WAN的另一个好处是提高了应用程序性能，因为你可以通过满足应用程序要求的最佳链路引导流量。在拥堵期间，你可以利用流量整形来优先考虑敏感和关键的应用程序，而不是不太重要的应用程序。此外，对ADVPN快捷方式的支持使SD-WAN能够使用站点之间的直接IPsec隧道来引导流量，从而降低站点（辐条）之间流量的延迟，并减少中央位置（集线器）的负载。

   上图显示了Fortinet Secure SD-WAN解决方案的架构组件。

　　该体系结构的核心组件是FortiGate。当你使用FortiGate部署SD-WAN时，你可以利用FortiOS支持的现有连接、管理和下一代防火墙(NGFW)特性。这意味着你可以在单个设备中整合SD-WAN和安全性，因此称为安全SD-WAN。

　　由于FortiGate是Fortinet安全结构中的核心组件之一，因此通过扩展，你的SDWAN部署还可以受益于该结构中其他产品支持的许多功能。例如，你可以使用FortiManager为需要SD-WAN设置的分支执行零接触配置。类似地，你可以使用FortiSwitch连接你的SDWAN分支的WAN边缘和LAN边缘设备。

　　将FortiOS和FortiGate用于SD-WAN解决方案的一个关键优势是在SD-WAN中执行应用程序转向的能力。FortiGate使用其IPS引擎和FortiGuard提供的应用程序签名检查流量，以识别数千个应用程序。结果是，你可以将FortiGate配置为基于检测到的应用程序而不是端口、协议和IP地址来引导流量。无论数据包上的第3层和第4层信息如何，FortiGate都可以识别应用程序，这使得你在部署新应用程序和站点时可以显著减少管理开销并更轻松地扩展。

  直接互联网接入（DIA），也称为本地突破，可以说是SDWAN最常见的用例。一个网站有多个互联网链路（也称为底层链路），管理员希望FortiGate引导跨链路的互联网流量。这些链路使用不同类型的物理接口连接到FortiGate：物理端口、VLAN、链路聚合（LAG）、USB调制解调器或通过FortiExtender。

　　通常，敏感流量被加速并引导到性能最好的链路上，而非关键流量则使用最佳努力的方法分布在一个或多个链路上。昂贵的互联网链路通常用作备份链路，或仅用于引导关键流量。

　　由于互联网流量直接在本地网站上离开组织边界，管理员通常对互联网流量执行严格的安全政策。对于路由，典型的配置使用静态默认路由。然而，在某些情况下，BGP在ISP和FortiGate之间使用，特别是如果网站必须宣传公共IP前缀。

　　管理员还可以手动定义每个链路的上游和下游速度，以防止在流量分配期间饱和。或者，他们可以将FortiGate配置为使用SD-WAN带宽监控服务对FortiGuard运行速度测试，然后根据测试结果自动调整链接的上游和下游速度。

  上图展示了DIA的一个例子。FortiGate有两个互联网链接。其中一条链路连接wan1，另一条链路连接wan2。FortiGate两者都使用这些链路引导来自局域网的流量，并指向互联网上的云应用程序和网站。

  你可以使用SD-WAN来引导公司站点到站点的流量。通常，公司遵循hub-and-spoke拓扑结构，并使用VPN隧道（通常是拨号IPsec隧道）来传输站点之间的流量。隧道（也称为叠加链路）通过互联网和MPLS链接（也称为底层链接）建立。隧道还可以将互联网流量从辐条传输到枢纽，然后突破到互联网。这也被称为远程互联网接入（RIA），你将在本课中了解更多信息。 

　　SD-WAN可以监控隧道的链路质量，并为敏感和关键流量选择性能最佳的链路。如果使用ADVPN，SD-WAN可以将流量从父隧道卸载到快捷方式，从而减少辐条到辐条流量的延迟。SD-WAN还可以监控快捷隧道的运行状况，以确保它们符合已配置的服务级别协议（SLA）。

　　如果使用ADVPN，你应该在本地站点上应用所有必要的安全检查，因为辐条到辐条的流量最终将直接通过快捷方式，因此将绕过集线器上启用的任何检查。如果不使用ADVPN，你可以考虑对辐条应用限制性较小的策略，前提是你将集线器配置为执行所需的额外检查。

　　对于路由，动态路由协议，如BGP，通常用于通过隧道交换路由信息，并在添加新站点时更轻松地扩展。如果使用ADVPN，建议使用内部BGP（IBGP）来保留下一跳信息。

　　与DIA类似，集线器FortiGate可以对辐条进行速度测试，以确定隧道的上游速度。然后，集线器FortiGate可以将速度测试结果作为隧道的上游速度应用于流量整形。

  上图展示了一个使用SD-WAN引导站点到站点流量的部署示例。每个站点都配置了两个叠加配置，一个使用互联网底层，另一个使用MPLS底层。SDWAN引导辐对辐和辐对枢纽的流量。由于ADVPN是在网络上配置的，当通过网络发送辐条到辐条流量时，在辐条之间会自动建立快捷方式。然后，SD-WAN可以自动将辐条到辐条流量从父隧道卸载到快捷方式，从而提高性能。SD-WAN还监控捷径的健康状况，并根据其健康状况和可用性动态做出指导决策。

  RIA，也称为远程突破，是SD-WAN的另一个用例。来自辐条的互联网流量使用叠加链路通过广域网回程。当流量到达枢纽时，它就会冲向互联网。

　　使用RIA的最常见原因是在集线器上集中安全检查和互联网接入。例如，你可以有一个中央高端FortiGate设备来检查离开组织并符合公司政策的所有互联网流量，而不是让每个低端辐条FortiGate设备来检查流量，从而降低成本和管理开销。

　　使用RIA的另一个原因是DIA备份。例如，如果互联网链路上互联网应用程序的性能比MPLS链路更差，或者只是互联网链路不可用，你可以将FortiGate配置为通过MPLS链路引导互联网流量。

  上图展示了RIA的一个例子。站点1上的FortiGate设备没有使用本地互联网底层来转发互联网流量，而是通过在MPLS上构建的叠加层将互联网流量引导到枢纽。一旦流量到达枢纽，流量在进入互联网之前将接受彻底的安全检查。

  为了提高云应用程序的性能，同时保持网络流量安全，你可以针对云提供商在该地区提供的最近存在点（PoP）配置覆盖，从而减少延迟。你可以将FortiGate配置为连接到云提供商的内置VPN网关。或者，你可以在云中部署FortiGate VM，并针对它建立覆盖层。选择在云中部署FortiGate VM，使你能够在进入或离开云的流量上使用FortiOS安全功能，以及使用SD-WAN来引导来自云的会话。

　　出于性能原因，云入站连接通常直接从辐条建立，因为直接连接通常会导致最低的延迟。然而，在某些情况下，由于公司政策，或者因为云隧道仅在枢纽上可用，可以使用覆盖链路通过广域网回程。通过广域网回程云流量的另一个原因可能是性能。例如，一家公司可能会在辐条和集线器之间以及集线器和云之间使用高级广域网链路。高级链路的性能非常高，与直接从辐条访问本地PoP相比，通过广域网回程传输流量将带来更好的用户体验。

  上图展示了一个云入站的示例。站点1上的FortiGate设备有一个针对在云上运行的FortiGate VM的直接隧道。出于性能和安全原因，此隧道用于引导云应用程序的流量。此外，与站点1不同，站点2上的FortiGate设备使用覆盖到集线器来发送云应用程序的流量。然后，枢纽通过其本地云隧道路由流量。

  对于更大的部署，你可以扩展SD-WAN基础设计，以包括第二个SD-WAN网关。第二个网关可以位于不同的位置，以提供地理冗余。

　　在此类拓扑中，分支SD-WAN设备连接到两个（或更多）SD-WAN网关。FortiGate根据设备的状态、链路运行状况和SLA将流量引导到一个或另一个网关。

　　为了更轻松地管理和规则定义，管理员将按设备和位置对叠加链路进行分组。

　　除了地理冗余外，使用HA集群（FGCP或FGSP）的站点内冗余仍然是可能的。

　　你可以将地理冗余拓扑与ADVPN相结合。在这种情况下，所有站点都必须保留原始的BGP下一跳值。站点前缀必须保持不变，包括其原始的BGP下一跳值。实现这一目标的常见方法是使用路由反射功能。或者，你可以使用Phase2选择器进行ADVPN路由交换。你将在另一节课中了解有关这两个选项的更多信息。

  上图展示了一个部署示例，该部署使用SD-WAN以双中心地理冗余来引导流量。每个站点都配置了四个叠加，两个到主站点，一个在每个WAN底层链路上，两个到备用站点。SD-WAN将辐条到中心流量引导到主中心，并继续监控所有覆盖链路的运行状况。根据规则定义，SD-WAN根据链路质量或站点可用性触发回退到备用中心。

  为了提高可扩展性，随着你的解决方案的地理扩展和站点数量的增加，你可能会决定将设备的流量和管理细分到多个区域。对于每个区域，你可以定义单中心或双中心SD-WAN拓扑。

　　在每个地区，分支设备连接到区域SD-WAN网关。然后，区域网关以全网格设计在区域之间相互连接。当来自一个地区的用户需要连接到另一个地区的用户或应用程序时，流量将通过区域网关。

　　当每个区域内交换的流量明显高于通过区域的流量时，你应该考虑这样的设计。通常，区域对应于地理区域，但根据预期的流量，你可能需要考虑不同的分割。它可以是商店和工厂，也可以是适用于你业务的任何其他逻辑分组。

  上图展示了一个多区域拓扑的示例。每个区域都有自己的SD-WAN拓扑，可以是单中心或双中心。ADVPN快捷方式可以在每个地区的设备之间建立，但区域间流量必须始终流经区域中心。

 通过展示SD-WAN基础知识的能力，你应该能够理解SDWAN的基础知识，包括如何配置基本的DIA设置。

  配置SD-WAN的第一步是定义成员并将其分配给区域。此配置在SD-WAN区域页面中完成。

　　成员（也称为链路）是你选择成为SD-WAN一部分的现有物理或逻辑FortiOS接口。然后，这些接口用于根据配置的SD-WAN规则引导流量。

　　当你在SD-WAN中配置成员时，你必须将其分配给一个区域，并可选择设置网关。区域是接口的逻辑分组。区域中的接口具有相似的配置要求。与FortiGate接口区域一样，SD-WAN区域的目标是在配置中引用它们，而不是单个成员，通过避免重复设置来优化配置，并实现网络分割。设置时，网关设置用作通过成员转发流量的下一跳。

　　默认创建一个区域：virtual-wan-link。virtual-wan-link区域，是创建成员时放置成员的默认区域。当你将运行不支持区域的FortiGate设备升级到支持区域的版本时，也会使用默认区域。在升级期间，FortiGate将所有现有成员置于virtual-wan-link区域。

　　上图的示例显示了默认的SD-WAN区域virtual-wan-link和一个用户定义的区域：underlay。underlay区域包含端口1和端口2作为成员，用于基本的DIA设置。请注意，尽管该区域被命名为underlay，因为它包含此类类型的成员，但你可以分配任何你喜欢的名称。

  在你定义SD-WAN成员并将其分配给区域后，你可能希望在性能SLA页面上监控SD-WAN成员的健康状况。

　　FortiGate性能SLA监控每个成员的状态，无论其是活的还是死的，并测量成员数据包丢失、延迟和抖动。然后，SD-WAN使用成员健康信息根据配置的SD-WAN规则做出流量转向决策。例如，你可以指示FortiGate将互联网流量引导到成员，前提是该成员还活着，并且其延迟不超过给定的阈值。性能SLA还将检测接口物理启动的情况，但FortiGate无法到达所需的目的地，并将相应的链路标记为死了。

　　当你配置性能SLA时，默认情况下可以创建几个条目供你选择。默认条目根据众所周知的互联网服务（如FortiGuard、Google Search和Amazon AWS）来衡量成员的健康状况。或者，你可以创建自己的条目，并选择是主动还是被动地监控健康状况。在主动监控中，成员的健康状况会定期检查，默认每500毫秒一次，将探测器从成员发送到一个或两个作为信标的服务器。在被动监控中，成员的健康状况是根据通过成员的流量来确定的。

　　上图的示例显示了一个名为Level3_DNS的新条目。该条目包含众所周知的4.2.2.1和4.2.2.2 DNS服务器，两者都用于监控端口1和端口2的运行状况。结果显示，成员还活着（绿色箭头），没有报告数据包丢失，并且具有互联网上延迟和抖动的平均值。

  配置区域、成员和性能SLA后，是时候定义SD-WAN的流量转向规则了。这是在SD-WAN规则页面上完成的。

　　当你配置SD-WAN规则时，你首先定义要匹配的应用程序或流量模式。之后，你指示首选成员或区域，以引导匹配的流量，在某些情况下，成员必须满足性能指标，才有资格接收和转发流量。

　　SD-WAN规则的评估方式与防火墙策略相同：从上到下，使用第一个匹配。然而，与防火墙策略不同，它们用于引导流量，而不是允许流量。当你使用SD-WAN规则时，你必须配置相应的防火墙策略以允许SD-WAN流量。

　　默认情况下会创建一个隐式SD-WAN规则。如果用户定义的SD-WAN规则都不匹配，则使用隐式规则。默认情况下，隐式规则负载均衡所有可用SD-WAN成员的流量。

　　上图示例显示了两个名为Critical-DIA和Non-Critical-DIA的用户定义规则，这些规则用于在这个基本的DIA设置中引导流量。Critical-DIA指导GoToMeeting、Microsoft.Office.365.Portal和Salesforce流量走端口1和端口2之间延迟最低的成员。示例显示，选择端口1是因为它是旁边有复选标记。Non-Critical-DIA规则将Facebook和Twitter的流量引导到端口2。

　　如果两个用户定义的规则都不匹配，则使用位于列表底部的隐式规则。你可以看到它适用于所有IPv4和IPv6源和目标地址。对象名称旁边的图标(4和6)将IPv4对象与IPv6对象区分开来。

  对于众所周知的应用程序，你可以依靠FortiGuard服务并定义SD-WAN规则来引导每个应用程序或应用程序类别的流量。例如，你可以决定将游戏或Facebook等休闲应用程序引导到低成本链路，并为商业流量保留高质量、昂贵的链路。

　　默认情况下，应用程序检测标准的可见性隐藏在FortiGate GUl上。你必须使用全局命令set gui-app-detection-sdwan enable在CLI上启用功能可见性。请注意，如果GUl可见性被禁用，应用程序标准的配置将保持活动状态，并且配置在CLI上仍然可见。

　　除了应用程序和应用程序组外，你还可以选择应用程序类别作为IPv4规则的SD-WAN规则目标标准。

　　要确定哪些应用程序流经你的网络匹配定义的应用程序，请使用CLI命令diagnose sys sdwan internet-service-app-ctrl-category-list <id>。

 SD-WAN规则定义了SD-WAN中的流量转向策略。但是，除非有有效的路由与通过SDWAN成员的流量的目标地址相匹配，否则流量不会转发给SDWAN成员。

　　你可以在SD-WAN中使用静态和动态路由。上图显示了为底层区域配置的静态默认路由示例，该路由用于在我们的基本DIA设置中路由流量。当你为SD-WAN配置静态路由时，你通常会引用SD-WAN区域来简化配置。但是，你也可以引用单个成员，以便对流量进行更精细的控制。当你在静态路由中引用区域时，FortiGate会为区域中的每个成员安装单独的路由。然后，单个路由在路由表中显示为等成本多路径（ECMP）路由。

　　注意，在配置引用区域的静态路由时，不必指定网关地址，因为FortiGate从成员配置中检索它。

  除了拥有有效的路由外，你还必须具有允许SDWAN引导流量的防火墙策略。 

　　你以与常规防火墙策略相同的方式配置SD-WAN防火墙策略，但当选择流出或流入接口时，你必须引用SD-WAN区域。当你引用区域时，你可以通过避免重复的防火墙策略来简化配置。

　　你可能需要在防火墙策略中引用成员，因为你希望对流经该成员的流量应用不同的操作，例如应用不同的安全配置文件和NAT设置。由于你无法在防火墙策略中引用成员，变通办法是将单个成员放置在单独的区域中，然后在防火墙策略中引用该区域。

　　上图的示例显示了一个名为LAN-to-underlay的防火墙策略，该策略引用了underlay区域，该区域包含端口1和端口2作为成员。因此，FortiGate将允许在端口1或端口2上引导DIA流量，前提是它符合防火墙策略标准，并通过在策略上配置的安全检查。

  上图显示了迄今为止描述的基本SD-WAN DIA设置的等效CLI配置。SDWAN特定配置可以在config system sdwan下找到。在config system sdwan中，每个SD-WAN组件都有单独的配置部分。

　　上图显示的示例将CLI配置分为两组。第一部分显示区域、成员和性能SLA配置。第二部分显示SD-WAN规则配置。请注意，FortiOS使用health-check和service这两个术语分别指CLI上的性能SLA和规则配置。你将在其他课程中更详细地探索CLI配置。

  在将接口添加为SD-WAN成员之前，你必须首先删除对接口的任何配置引用。如果你的配置简单，这很好，但是如果你的配置有大量引用，那么引用删除和添加过程可能会非常耗时，并对网络造成破坏性。

　　另一种方法是使用FortiGate GUI上的接口页面上提供的集成接口功能。当你使用集成接口功能时，你可以指示FortiGate将接口迁移到SDWAN。结果是，FortiGate自动尝试在引用接口的每个配置对象上用选定的SDWAN区域替换单个接口。请注意，如果更改不适用于配置节点，或者FortiGate无法替换引用，则FortiGate将离开配置。

 通过了解SD-WAN的基本监控，你应该能够识别FortiGate GUI上可用的不同工具，以检查SD-WAN流量分布、运行状况和事件。

  你可以浏览到SD-WAN区域页面，以监控SD-WAN成员的流量分布。该页面包含基于带宽、音量或会话显示流量分布的图表。请注意，带宽是指数据速率，而流量是指数据量。 

　　你还可以将鼠标悬停在成员或图表上，以获取特定数量的带宽、流量或会话。上图的示例显示了基本DIA设置的相应流量分布图。

  你可以浏览到性能SLA页面来监控成员的健康状况。

　　你首先选择要检查的性能SLA（示例中的Level3_DNS）。然后，页面上的图表将使用选定的性能SLA显示每个成员的数据包丢失、延迟和抖动。请注意，图表中显示的信息仅限于最后10分钟。

　　你还可以将鼠标悬停在图表上，以获得数据包丢失、延迟或抖动的具体数值。上图的示例显示了基本DIA设置中使用的两个成员的相应健康图。

  SD-WAN小部件提供了成员健康状况及其使用情况的综合视图。上图示例显示了两个配置的SD-WAN成员：端口1和端口2。然而，端口1目前停机，这就是为什么只有流量通过端口2。

　　页面上的图表总结了在这种情况下仅活成员端口2的健康状况，并表明其中有多少成员属于一些预定义的数据包丢失、延迟和抖动范围。该示例显示，端口2上的数据包丢失和抖动在低范围内，其延迟在中等范围内。你可以单击一个范围来显示属于该范围内的成员列表。

  转发流量日志页面对于确定会话在SD-WAN中的分发方式和原因非常有用。确保启用默认禁用的SD-WAN规则名称和SD-WAN质量列。前者表示会话的匹配SD-WAN规则，后者表示会话被引导的成员和原因。

　　上图的表格显示了多个会话。表中的第一个会话被确定为Salesforce应用程序，与Critical-DIA规则匹配，并发送到端口1。选择端口1的原因是因为它的延迟最低。

　　表中的第二个会话被标识为一个Facebook应用程序，它匹配Non-CriticalDIA规则，并被发送到port2。Non-CriticalDIA规则指示FortiGate只将匹配的流量引导到端口2，前提是端口是活的。此行为与该会话的SD-WAN质量专栏中描述的原因相匹配。

  事件页面上的SD-WAN事件子部分显示报告SDN状态变化的日志。

　　在大多数情况下，你想要单击日志以完全理解事件。例如，表中的第三个日志表示端口1的状态从死状态变成了活状态。虽然没有显示第二个和第一个日志的详细信息，但日志报告端口1已准备好转发流量，并且使用端口1（Critical-DIA）的规则中的成员首选项已更新为包括端口1。

  通过掌握本课所涵盖的目标，你了解了SD-WAN最常见的用例、它的主要组件，以及如何配置和监视基本的SD-WAN DIA设置。

---