安全SD-WAN依赖于众所周知的FortiOS功能,如IPsec、链路监控、高级路由、互联网服务数据库(ISDB)、流量整形、UTM检查和负载均衡。然后,管理员可以组合这些功能并设置规则,根据多个因素定义FortiGate如何引导跨广域网的流量,例如为流量确定的协议、服务或应用程序,以及链路的质量。请注意,SD-WAN控制出口流量,而不是入口流量。这意味着返回流量可能使用与SD-WAN为出口选择的链路不同的链接。
SD-WAN的一个好处是有效的广域网使用。也就是说,你可以使用公共(例如宽带或LTE)和私人(例如MPLS)链路来安全地将流量引导到不同的目的地:互联网、公共云、私有云和公司网络。这种使用不同类型的链路将站点连接到专用和公共网络的方法被称为混合广域网。使用混合广域网可以降低成本,主要是因为管理员通常将流量引导到低成本的快速互联网链路上,而不是高成本的慢速私人链路。其结果是,私有链路,如MPLS链路,通常仅用于引导关键流量,或作为高可用性的故障转移链路。
SD-WAN的另一个好处是提高了应用程序性能,因为你可以通过满足应用程序要求的最佳链路引导流量。在拥堵期间,你可以利用流量整形来优先考虑敏感和关键的应用程序,而不是不太重要的应用程序。
通常,管理员选择通过性能最好的链路发送敏感流量,同时使用最佳努力方法在一个或多个链路上分配非关键流量。昂贵的互联网链路通常用作备份链路,或仅用于引导关键流量。
由于互联网流量直接在本地网站上离开组织边界,管理员通常对互联网流量执行严格的安全策略。对于路由,典型的配置使用静态默认路由。然而,在某些情况下,在ISP和FortiGate之间使用BGP,特别是如果网站必须宣传公共IP前缀。
管理员还可以手动定义每个链路的上游和下游速度,以防止在流量分配期间饱和。或者,他们可以将FortiGate配置为使用SD-WAN带宽监控服务对FortiGuard运行速度测试,然后根据测试结果自动调整链路的上游和下游速度。
SD-WAN可以监控隧道的链路质量,并为敏感和关键流量选择性能最佳的链路。
对于路由,静态路由是可能的,但动态路由协议,如BGP,通常用于通过隧道交换信息。添加新站点时,动态路由更容易扩展。
与DIA类似,中心FortiGate可以对分支进行速度测试,以确定隧道的上游速度。然后,中心FortiGate可以将速度测试结果应用为隧道上的上游速度,用于流量整型目的。
在上图显示的示例中,每个站点都配置了两个覆盖层,一个使用互联网底层,另一个使用MPLS底层。SD-WAN引导分支到中心流量。
使用RIA的最常见原因是集中在中心上进行安全检查和互联网访问。例如,你可以拥有一个中央高端FortiGate设备,该设备可以检查离开组织并符合公司政策的所有互联网流量,而不是让每个低端分支FortiGate设备来检查流量,从而降低成本和管理开销。
使用RIA的另一个原因是DIA备份。例如,如果互联网链路上的互联网应用程序的性能比MPLS链路上的性能更差,或者只是互联网链路不可用,你可以将FortiGate配置为通过MPLS链路引导互联网流量。
要定义SD-WAN规则,请使用:
● 成员:这些是用于引导流量的逻辑或物理接口。
● 区域:区域是用于优化配置的成员组。
● 性能SLA规则:使用性能SLA规则,你可以定义如何监控成员的状态和要监控的性能标准。它可以是数据包丢失、抖动、延迟或几个标准的加权组合。
你首先定义要匹配的应用程序或流量的标准。然后,你指出要遵循的前瞻性策略,以引导跨一个或多个成员和区域的流量,包括要应用的策略和确定首选成员的性能指标。
在接下来中,你将了解有关组成SD-WAN规则的每个元素的更多信息。
你首先定义要匹配的应用程序或流量的标准。然后,你指出在一个或多个成员和区域之间引导流量时应遵循的远期策略,包括应用策略和确定首选成员的绩效指标。
根据正在使用的策略,首选成员是区域内最活跃的成员。然后,FortiGate使用首选成员(前提是他们可以接受)来引导流量。对于所有策略,如果你没有激活负载均衡模式,FortiGate会选择单个成员来引导流量。您将在单独的图片上发现可用的策略。
如果没有匹配用户定义的SD-WAN规则,则FortiGate使用隐式规则。
上图的示例显示了三条用户定义的规则。一个名为Critical-to-HQ的规则,用于引导从分支机构到总部的关键流量。该规则通过覆盖链路(T_INET和T_MPLS)将流量从LOCAL_SUBNET引导到HQ-Subnet。成员选择使用延迟标准完成,T_MPLS是选定的成员。FortiGate使用Critical-DIA和Non-Critical-DIA规则通过底层区域(端口1和端口2)引导DIA的流量,根据正在使用的应用程序区分链路选择。请注意,输出中仅显示规则配置的最重要部分。
默认情况下会创建一个隐式SD-WAN规则。它始终存在于SD-WAN规则列表的底部。如果没有匹配用户定义的SD-WAN规则,则使用隐式规则。这意味着FortiGate根据常规流程路由流量。默认情况下,隐式规则负载均衡所有可用SD-WAN成员之间的流量。在上面的示例中,隐式规则可以根据路由表中的最佳匹配,通过覆盖(T_INET,T_MPLS)或底层(port1,port2)成员引导流量。
你可以双击隐式规则来显示负载均衡选项。默认情况下,隐式规则负载根据源IP均衡流量。你可以根据源目标IP、会话、卷或溢出决定负载均衡。
成员(也称为链路)是你选择作为SD-WAN一部分的现有物理或逻辑FortiOS接口。然后,FortiGate使用接口根据配置的SD-WAN规则来引导流量。
当你在SD-WAN中配置成员时,你必须将其分配给区域,并可选地设置网关。区域是接口的逻辑分组。区域中的接口具有类似的配置要求。与FortiGate接口区域一样,SD-WAN区域的目标是在配置中引用它们,而不是单个成员,通过避免重复设置来优化配置。设置后,FortiGate使用网关设置作为下一跳,通过成员转发流量。
FortiGate默认创建一个区域,称为virtual-wan-link区域。如果你不将任何新成员分配到用户定义的区域,这就是FortiGate放置新成员的地方。
上图的示例显示了默认的SD-WAN区域——virtual-wan-link和两个用户定义的区域:underlay和overlay。底层区域包含端口1和端口2作为成员,用于基本的DIA设置。请注意,尽管该区域被命名为underlay,因为它包含这种类型的成员,但你可以分配任何你喜欢的名称。
底层是指你可以从ISP租赁或购买的物理链路,如电缆、DSL、光纤、MPLS、3G/4G/LTE和ATM链路。这些链路是ISP物理基础设施的一部分,负责跨网络交付数据包。穿过底层的流量仅限于ISP部署的路由策略,因此,数据包源和目标IP地址必须在ISP网络内路由。此限制使你有有限的选项来定义你的网络寻址计划。此外,通过底层传输的流量通常不会由ISP网络加密,这意味着如果发件人不加密数据,未经授权的各方可以访问敏感数据。
叠加是你在底层之上构建的虚拟链接。叠加的一个常见例子是IPsec隧道。由于原始数据包通常封装在ESP数据包中,因此通过IPsec隧道通信的网络不再局限于ISP的路由策略。此外,IPsec提供的隐私和身份验证功能可保护你的流量免受未经授权的访问。
这张上图显示了FortiGate作为SD-WAN成员支持的不同底层和叠加链路。
SD-WAN区域允许管理员对需要一组类似防火墙策略的成员进行分组。通常,这意味着将底层和叠加分组到不同的SD-WAN区域中。
默认情况下,FortiGate创建虚拟wan-link SD-WAN区域,你无法删除。它包含任何未明确分配给用户定义的SD-WAN区域的SDWAN成员。为你的SDWAN流量定义的防火墙策略必须引用SD-WAN区域,并且不能引用单个SD-WAN成员。
上图显示的拓扑显示了一个分支办公室,配置了两个SD-WAN区域:叠加和底层。叠加SD-WAN区域由IPsec隧道组成,底层SD-WAN区域由互联网链路和3G/4G链路组成。分支机构使用叠加访问总部网络,使用底层访问公共云中的服务。通过将SD-WAN成员划分为区域,你可以将同一组防火墙策略应用于区域,而不必将其应用于其单个成员,从而减少管理开销并构建更干净的配置。
FortiGate性能SLA监控每个成员的状态,无论它是活着还是死的,并测量成员数据包丢失、延迟和抖动。然后,SD-WAN使用成员健康信息根据配置的SD-WAN规则做出流量转向决策。例如,你可以指示FortiGate将互联网流量引导到成员那里,前提是该成员还活着,并且其延迟不超过给定的阈值。性能SLA还检测接口物理启动的情况,但FortiGate无法到达所需的目的地,并将相应的链路标记为死亡。
当你配置性能SLA时,你可以决定是主动还是被动地监控链路运行状况。在主动监控中,性能SLA定期检查成员的健康状况(默认情况下每500毫秒一次)将探针从成员发送到作为信标的一两台服务器。在被动监控中,性能SLA根据通过成员的流量来确定成员的健康状况。请注意,只有主动监控才能检测链路是活着还是死了。
上图的示例显示了一个名为Level3_DNS的条目。该条目包含众所周知的4.2.2.1和4.2.2.2 DNS服务器,两者都用于监控端口1和端口2的运行状况。性能SLA VPN_PING监控两个叠加隧道T_INET和T_MPLS的运行状况。结果表明,成员是活的(绿色箭头),没有报告数据包丢失,并且具有延迟的平均值(抖动也被测量,但在本例中不可见)。
在本节中,你将定义FortiGate用于监控链路质量的检测模式:
● 主动:FortiGate将活动探针发送到配置的服务器,以监控链路健康状况。
● 被动:FortiGate使用通过链接的流量来评估链接健康。它使用来自选定防火墙策略(启用参数passive-wan-health-measurement的防火墙策略)流量的会话信息。
● 首选被动:FortiGate使用被动监控,只有在没有通过链路的流量时,才会发送探针。
你最多可以指定两台服务器作为你的信标。这可以防止服务器出错,而不是链路。
SLA目标部分是可选的。在这里,你可以定义活成员的性能要求(延迟、抖动和数据包丢失阈值)。性能SLA使用带有一些SD-WAN规则策略的SLA目标,如最低成本(SLA),来决定链接是否符合流量引导条件。
链路状态部分可用于主动和首选被动探测模式。在这里,你可以定义FortiGate通过每个受监控链接发送探针的频率,以及你在声明链路死亡之前接受多少个失败的探针。
上图的示例显示了名为Level3_DNS的性能SLA的配置。它是用主动探针模式定义的,以及SLA目标和探针配置的默认值。它监控端口1和端口2两个底层接口的状态和性能。
● 手工:FortiGate根据配置顺序更喜欢成员。会员指标不考虑会员偏好。
● 最佳质量:根据配置的质量标准,FortiGate更喜欢表现最好的成员。
● 最低成本(SLA):FortiGate更喜欢符合配置的SLA目标的成员。如果多个成员达到SLA目标,则成员成本,然后是配置顺序,将用作平局。
请注意,对于所有策略,默认情况下,FortiGate必须检查首选成员是否拥有前往目的地的有效路线。如果成员没有有效的路由,那么FortiGate会检查oif列表中的下一个成员,以此类推,直到找到可接受的成员。此外,除手工外,所有策略都考虑成员偏好的成员指标。
你可以在手工和最低成本(SLA)策略下选择负载均衡策略。FortiGate应用负载均衡如下:
● 手工:区域内所有成员的负载均衡
● 最低成本(SLA):满足SLA目标的所有成员的负载均衡
当你激活负载均衡时,默认情况下,FortiGate会按照循环算法通过所有可用成员分配流量(会话以相等的部分和循环顺序分发到选定的接口)。通过CLI命令,你可以选择另一个负载均衡算法。一些可用的哈希模式是source-ip-based、source-dest-ip-based和inbandwidth。
● 源IP地址、源接口、防火墙用户和防火墙用户组。如果你想指定源接口,你应该使用CLI命令input-device和input-device-negate。
● 目标IP地址、IP协议、目标端口号
● 互联网服务
● 应用程序:单个应用程序、应用程序类别或应用程序组
● 服务类型(ToS)
SD-WAN规则为流量匹配提供了极大的灵活性。例如,你可以匹配来自特定身份验证用户的Netflix流量,或匹配指定为特定地址的ICMP流量-IP协议。
请注意,默认情况下,GUl规则配置菜单不会显示应用程序标准字段。如果你想使用此功能,你应该在config system global下从CLl启用标准可见性。
你以与常规防火墙策略相同的方式配置SD-WAN防火墙策略,只是在选择传出或传入接口时,你必须引用SDWAN区域的规范化接口。当你引用区域时,你可以通过避免重复的防火墙策略来简化配置。你不能在防火墙策略中使用SD-WAN区域的单个成员。
上图的示例显示了引用底层和叠加SD-WAN区域的防火墙策略。底层区域包含端口1和端口2作为成员,叠加区域包含T_INET和T_MPLS。作为源或目的地,这些策略还包含单个端口端口3的规范化接口。此接口不是SD-WAN区域的一部分。
静态路由很简单,通常用于小型网络。然而,策略路由更灵活,因为它们可以匹配的不仅仅是目标IP地址。例如,你可以将传入接口、源和目标子网、协议和端口号配置为匹配标准。由于常规策略路由优先于任何其他路由,因此尽可能缩小匹配标准是最佳做法。否则,预计由SD-WAN规则或转发信息库(FIB)中的其他路由路由的流量可以由常规策略路由来处理。
上图显示了使用FortiGate GUl配置的策略路由示例。策略路由指示FortiGate匹配端口5接收的流量,该流量来自10.0.1.0/24,目的地为主机10.10.10。流量还必须定向到TCP端口10444,策略路由才能匹配。FortiGate然后通过网关192.2.0.2将流量(转发流量操作)转发到port1。
请注意,当你将转发流量配置为动作时,目标地址、传出接口和网关地址设置必须与FIB中的路由匹配。否则,策略路由将被视为无效,因此被跳过。
还要注意,策略路由优先于SD-WAN规则,以及FIB中的任何路由。也就是说,如果数据包匹配策略路由,并且策略路由在FIB中具有匹配路由,那么FortiGate不会检查任何配置的SD-WAN规则或FIB中的路由。
由于目标是让SD-WAN选择最佳成员来转发流量,根据SD-WAN规则标准,最好配置你的路由设置,以便你的SD-WAN站点知道所有可能路由到所有可能的路由,这些路由都由SD-WAN处理。否则,SD-WAN可能无法选择最佳成员,不是因为它不符合应用程序要求,而是因为FortiGate没有目标和成员的路由。
你可以在SD-WAN中使用静态和动态路由。上图显示了为底层区域配置的静态默认路由示例,该路由用于在基本DIA设置中路由流量。
或者,你可以配置每个成员的静态路由,以便更精细地控制流量。然而,与区域的静态路由不同,区域的静态路由从成员配置中检索成员网关,具有成员静态路由,如果接口类型需要,则必须指定网关。
当你为区域创建静态路由时,FortiOS会默认分配距离为1的路由。FortioS默认分配如此低的距离,因为管理员通常希望他们的SD-WAN路由优先于FIB中的其他路由。但是,如果需要,你可以将距离更改为不同的值。单个成员的静态路由的默认距离为10。
在上图显示的示例中,端口1和端口2是底层区域的成员。管理员创建了一个引用此区域的默认静态路由。结果是,路由表显示区域每个成员的ECMP路由。此外,管理员通过port1为8.8.8.8创建了每个成员的静态路由。然后,SD-WAN规则可以使用所有三条路由来路由流量,或者在没有匹配规则时使用FIB来路由流量。
● SD-WAN规则是策略路由。与常规策略路由一样,SD-WAN规则根据多个标准路由流量。也就是说,当你配置SD-WAN规则时,内核会安装相应的策略路由,以反映SD-WAN规则中配置的源、目的地、服务和传出接口。
● 常规策略路由优先于SD-WAN规则。因此,如果你配置常规策略路由,你应该确保它们的匹配标准尽可能狭窄。否则,打算由SD-WAN处理的流量最终可能会由常规策略路由处理。
● FortiGate对新会话和脏会话执行路由查找。脏会话是在受到路由、防火墙策略或接口更改影响后必须由内核重新评估的会话。FortiGate对原始和回复流量执行路由查找。在路由查找期间,FortiGate还检查策略路由。
● 默认情况下,如果通往目的地的最佳路线不是SD-WAN成员,FortiGate会跳过SD-WAN规则。如果最佳路由与SD-WAN成员匹配,则规则中选定的成员必须具有前往目的地的有效路由,否则FortiGate会跳过该成员,并检查下一个最佳成员。如果没有成员有前往目的地的有效路由,那么FortiGate会跳过该规则。
● 隐式SD-WAN规则等于标准FIB查找。也就是说,如果流量与任何SDWAN规则不匹配,那么FortiGate使用常规流程路由流量,该流程包括在FIB中寻找最佳路由。如果最佳路由匹配等成本多路径(ECMP)路由(通常是这种情况),那么FortiGate负载使用配置的负载平衡算法平衡流量。
或者,你可以使用详细度级别4到6来使用CLl数据包捕获工具查看出口接口。
上图的示例显示了带有过滤器的捕获,该过滤器匹配任何带有SYN标志和端口443的数据包。因此,嗅探器输出显示所有SYN数据包到端口443(HTTPS)。
策略路由表中显示的策略路由有三种类型:常规策略路由、ISDB路由和SD-WAN规则。遵循以下规则来识别表中每种类型的策略路由:
● 常规策略路由被分配一个不高于65535的ID。在上图显示的输出中,第一个条目被分配了ID 1,这使其成为常规的策略路由。
● ISDB路由和SD-WAN规则分配的ID高于65535。然而,SD-WAN规则条目包括vwl_service字段,而ISDB路由条目不包括。vwl_service字段从SD-WAN配置的角度指示规则的ID和名称。在上图显示的输出中,第二个条目是ISDB路由,第三个条目是SD-WAN规则。
在一些与SD-WAN相关的CLI命令的输出中,你会注意到一些带有VWL的条目,如vwl_service或vwl_mbr_seq。vwl代表Virtual Wan Link,它与SD-WAN的原命名相对应。
注意vwl_service和vwl_mbr字段,它们表示允许创建路由的SD-WAN规则和用于引导流量的SD-WAN成员。
当数据包与规则匹配时,diagnose firewall proute list命令输出中显示的ID与调试流输出中显示的ID相对应。输出还包括传出接口列表,接口首选项从左到右排序。
出于故障排除目的,diagnose firewall proute list命令的输出还显示规则命中计数和上次命中规则的时间。
你可以使用diagnose sys session filter ?查看可用的过滤器,diagnose sys session filter以查看活动过滤器,diagnoss sys session filter clear 以重置过滤器设置。对IPv4流量使用命令diagnose sys session list,对IPv6流量使用命令diagnose sys session6 list。
上图的右侧显示了一个示例输出,其中包含有关会话表条目的详细信息。
仅突出显示与SD-WAN相关的信息。从左到右,从上到下:
● 匹配策略ID
● 应用程序ID(用于具有应用程序标准的SD-WAN规则)
● SD-WAN特定的会话信息。sdwan_mbr_seq和sdwan_service_id分别表示正在使用的SDWAN成员ID和SD-WAN规则ID。如果会话与SD-WAN隐式规则匹配,因此使用标准FIB路由进行处理,则这些SD-WAN字段不会出现。
对于这些活动,你可以依靠一些你已经知道的通用FortiGate监控工具,例如路由表、会话表或嵌入式数据包捕获工具。你还可以从FortiGate GUl接口提供的专用SDWAN监控工具中受益。在接下来中,你将发现FortiGate GUI提供的SD-WAN监控工具。
在此页面上,你可以查看:
● 静态路由与动态路由
● IPsec隧道状态
● SD-WAN接口性能
单击任何小部件以展开并获取每个主题的更多详细信息。SD-WAN小部件概述了每个受监控的SD-WAN链路的状态。
上图的示例显示了你可以通过单击SD-WAN小部件查看的详细信息。请注意,数据包丢失图报告一个接口处于中等水平,这意味着数据包丢失的10%-40%。
在上图显示的示例中,两个成员的数据包丢失率很高——超过40%。这在图表上显示为圆圈的红色部分。当你单击圆圈的红色部分时,FortiGate会过滤成员列表,以仅显示数据包丢失率高的成员——例如,T_INET和T_MPLS。
页面顶部的图表显示每个接口的流量分配,按带宽使用、流量或会话数量进行评估。
从此菜单中,你可以双击区域或接口行来调整其配置。
你还可以将鼠标悬停在成员或图形上,以获得特定数量的带宽、流量或会话。
如果你想调整视图,你可以通过拖放重新排列列,使用顶部栏左侧的参数菜单添加或删除列。你还可以对任何列进行过滤,以根据你正在寻找的内容调整显示。将鼠标悬停在列角上以查看过滤器配置图标。
如果你配置了SLA目标,它将在图表上显示为水平虚线。你可以快速检测成员状态。FortiGate GUl显示带有绿色向上箭头图标的活成员,以及带有红色向下箭头图标的死亡成员。对于错过的SLA目标,FortiGate以红色突出显示受影响的指标。重要的是要注意,绿色向上箭头仅表示服务器正在响应健康检查,无论数据包丢失、延迟和抖动值如何。这并不表明任何SLA都得到了满足。
你可以通过选择上方选项卡来显示数据包丢失、延迟或抖动的图表。你还可以将鼠标悬停在图表上,以获得特定数量的数据包丢失、延迟或抖动。由于在使用SD-WAN时,链路质量在链路选择中起着重要作用,因此监控SD-WAN成员接口的链路质量状态是一个很好的做法。你应该调查任何与数据包丢失、延迟或抖动有关的长期问题,以确保你的网络流量不会出现中断或性能下降。
在上图显示的示例中,选择了Level3_DNS性能SLA,并报告port2为活,port1为死。该图显示了两个受监控接口在过去10分钟内的延迟。
从此页面,你还可以更新性能SLA配置,或创建新配置。
单击小部件标题以详细查看相应的日志。单击事件名称以查看按事件名称过滤的日志。
在大多数情况下,你想要单击日志以充分了解事件。例如,表中突出显示的警告日志消息表明port2的状态从活着变成了死的。虽然上述详细信息没有显示,但日志报告port2停止转发流量,并且使用port2的规则中的成员首选项已更新以删除port2。
请注意,隐式SD-WAN规则名称不会出现在SD-WAN规则名称列中。当流量按照这条规则进行引导时,字段仍然是空的。
上图的表格显示了多个会话。表中的第一个会话被识别为Salesforce应用程序,与Critical-DIA规则匹配,并被发送到port1。选择端口1的原因是它的延迟最低。
表中的第二个会话被确定为Facebook应用程序,与Non-CriticalDIA规则相匹配,并被发送到端口2。非关键DIA规则指示FortiGate仅将匹配流量引导到端口2,前提是端口是活的。此行为与该会话的SD-WAN质量列中描述的原因相匹配。
通过掌握本课中涵盖的目标,你学会了如何配置、维护和监控FortiGate SD-WAN解决方案。
1164
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
