آموزش ساخت SD-WAN در FortiGate

آموزش پیکربندی SD-WAN در FortiGate

SD-WAN (Software-Defined Wide Area Network) یک راهکار پیشرفته برای مدیریت و بهینه سازی ترافیک شبکه های گسترده (Wide Area Network) است که با ترکیب امنیت جامع شبکه و قابلیت های پیشرفته مسیریابی، به کاربران این امکان را می دهد تا Load Balance و Failover ترافیک اینترنت را بین دو یا چندین Interface ایجاد کنند. این راهکار نه تنها باعث استفاده بهینه از پهنای باند (Bandwidth Optimization) و کاهش تأخیر (Latency Reduction) می شود، بلکه با یکپارچه سازی با FortiGuard Security Services، امنیت شبکه را در بالاترین سطح حفظ می کند. این مقاله به بررسی عمیق مزایا، قابلیت های کلیدی و معماری 7.4 FortiGate SD-WAN می پردازد.

 

مروری بر این مقاله

• Configuring the SD-WAN Interface
• SD-WAN Member
• Static Route
• Implicit SD-WAN Algorithm
• Firewall Policies
• Link Monitoring and Failover
• Results
• SD-WAN Rules
• Strategy

 

Configuring the SD-WAN Interface
ابتدا، باید Interface های مورد نظر انتخاب و به یک زون اضافه شود. Interfaceهای انتخابی می توانند از هر نوعی باشند (فیزیکی،Aggregate ،VLAN،IPsec و غیره) اما Interface مدنظر نباید هیچ کانفیگی داشته باشد یعنی رفرنس آن باید صفر باشد.
کانفیگ مدنظر در این مرحله: دو Interface پیکربندی و به زون پیش فرض SD-WAN به نام (Virtual-WAN-Link) اضافه می شوند. این مثال از ترکیبی از آدرس های IP ثابت و پویا (Dynamic) استفاده می کند.

نکته: شما میتوانید Interface مورد نظر خود را هم به صورت Static IP و یا Dynamic IP تعریف نمایید.

پس از ایجاد اعضای SD-WAN و اضافه کردن آنها به یک زون، می توان از این زون در Policy های فایروال استفاده کرد و آن زون را در Static Routes به کار برد.

 

SD-WAN Member

1. Interfaceهای WAN1 و WAN2 را پیکربندی کنید.
2. حالت آدرس دهی Interface برای WAN1 را از حالت Manual به DHCP تغییر دهید و Distance آن را به 10 تغییر دهید.
3. آدرس Interface در WAN2 را 10.100.20.1 / 255.255.255.0 تنظیم کنید.
4. به بخش Network > SD-WAN بروید، تب SD-WAN Zones را انتخاب کنید و روی Create New > SD-WAN Member کلیک کنید.
5. Interface را WAN1 قرار دهید
6. SD-WAN Zone را به همان مقدار پیش فرض virtual-wan-link باقی بگذارید.

7. از آنجایی که WAN1 از DHCP استفاده می کند، Gateway را 0.0.0.0 قرار دهید.
   (اگر قابلیت مشاهده IPv6 در Interface کاربری (GUI) فعال باشد، می توان یک  Gateway IPv6 نیز برای هر عضو اضافه کرد.)
8. Cost را همان صفر بگذارید.
   (فیلد Cost در استراتژی (Lowest Cost (SLA استفاده می شود. لینکی که کمترین هزینه را داشته باشد برای عبور ترافیک انتخاب می شود. کمترین مقدار ممکن برای Cost برابر با 0 است.)
9. Status را Enable قرار داده و روی OK کلیک کنید.
10. مراحل ذکر شده را برای WAN2 تکرار کنید و Gateway را به درگاه ارائه دهنده اینترنت (ISP) تنظیم کنید. (در این مثال 10.100.20.2)

به طور پیش فرض، Retrieve Default Gateway از سرور (گزینه defaultgw در CLI) برای Interface های DHCP فعال است. این قابلیت باعث می شود اطلاعات Default Gateway از سرور DHCP دریافت شده و برای ایجاد یک Default Route از طریق Interface DHCP با فاصله (Distance) پیش فرض Administrative استفاده شود. (پیش فرض Administrative برای Interface های DHCP برابر با 5 و برای Static Routes برابر با 10 است. هنگام پیکربندی SD-WAN برای Load Balancing  بار 50/50، مهم است که فاصله Interface DHCP را به 10 تنظیم کنید تا هر دو مسیر توازن بار را به طور مساوی مدیریت کنند.)

 

 

Static Route

در زمانی که شما از SD-WAN استفاده میکنید نیاز نیست در بخش Static Route گیت وی هرکدام از Interfaceها را جداگانه وارد کنید بلکه زون SD-WAN خود را انتخاب و معرفی میکنید.

 FortiGate با استفاده از "Equal Cost Multi-Path (ECMP)" بر اساس فاصله (Distance) و اولویت (Priority)، مسیر یا مسیرهای ترجیحی را تعیین می کند.

1. به مسیر Network > Static Routes بروید.
2. روی Create New کلیک کنید. صفحه ایجاد Static Route جدید باز می شود.
3. Destination را روی Subnet تنظیم کنید و آدرس IP و ماسک زیرشبکه را به صورت 0.0.0.0/0.0.0.0 بگذارید.
4. در فیلد Interface، SD-WAN را انتخاب کنید.

 

5. Status را Enable قرار داده و روی OK کلیک کنید.

به طور پیش فرض، یک Static Route یا Default Route که خروجی آن از یک زون SD-WAN است، فاصله Administrative Distance آن برابر با 1 است. برای تغییر فاصله پیش فرض Interface در CLI: config router static edit <static-route-entry> set distance <AD> next end

 

Implicit SD-WAN Algorithm

 SD-WAN Rules تعیین می کنند که ترافیک به کدام عضو SD-WAN هدایت شود. اگر هیچ Rule تعریف نشده باشد ازDefault Implicit Rule استفاده می شود که می تواند یکی از چهار الگوریتم Load Balancing را انتخاب کند. روش های متداول برای توزیع مساوی ترافیک بین دو یا چند اتصال WAN شامل موارد زیر است:

ابتدا به مسیر Network > SD-WAN بروید و وارد تب SD-WAN Rules شوید و بر اساس نیاز شبکه خود یکی از Methodهای زیر را انتخاب کنید.

•  (CLI Command: source-ip-based) Source IP: ترافیک بر اساس الگوریتم هش از IP مبدا توزیع می شود.
• Session (CLI Command: weight-based): در این حالت، ترافیک بر اساس تعداد Session جاری هر Member توزیع می شود. برای ایجاد تعادل مساوی بین دو Member در SD-WAN، از Weight 50 برای هر یک از دو Member استفاده کنید.
• Source-Destination IP (CLI Command: source-dest-ip-based): ترافیک بر اساس الگوریتم هش از IP مبدا و مقصد توزیع می شود.
• Volume (CLI Command: measured-volume-based): ترافیک بر اساس میزان پهنای باند استفاده شده توسط هر Interface، متعادل می شود.

 

Firewall Policies

زون های SD-WAN می توانند در Policyها به عنوان Interface های مبدأ و مقصد استفاده شوند. اعضای SD-WAN جداگانه نمی توانند در Policyها استفاده شوند.
شما باید یک Policy پیکربندی کنید که اجازه عبور ترافیک از شبکه داخلی سازمان شما به SD-WAN Zoneرا بدهد. Policyهایی که برای SD-WAN Zone تنظیم شده اند، برای همهInterface های SD-WAN که در آن Zone قرار دارند اعمال می شود.

برای ایجاد یک Policy فایروال برای SD-WAN:

1. به مسیر Policy & Objects > Firewall Policy بروید.
2. روی Create New کلیک کنید. صفحه ایجاد Policy جدید باز می شود.
3. مطابق با نیازهای شبکه خود، Policy مورد نظر را تنظیم نمایید. لطفاً توجه داشته باشید که فیلد Destination باید حتماً بر روی virtual-wan-link تنظیم شود و گزینه NAT نیز فعال گردد.

4. Policy را Enable کنید و سپس روی OK کلیک کنید.

Link Monitoring and Failover

پایش لینک Performance SLA وضعیت سلامت لینک های متصل به Interface های SD-WAN Member را با ارسال سیگنال های بررسی (پروتکل هایPING-DNS-HTTP) به یک سرور می سنجد و کیفیت لینک را بر اساس تأخیر (Latency)، نوسان (Jitter) و میزان از دست رفتن بسته ها (Packet Loss) ارزیابی می کند. اگر یک لینک دچار خرابی شود، مسیرهای مرتبط با آن حذف شده و ترافیک به لینک های دیگر هدایت می شود. زمانی که لینک مجدداً فعال شود، مسیرها دوباره برقرار می شوند. این فرایند از ارسال ترافیک به لینک خراب و از دست رفتن آن جلوگیری می کند.

برای پیکربندی یک Performance SLA:

1. به مسیر Network > SD-WAN بروید، زبانه Performance SLAs را انتخاب کنید و روی Create New کلیک کنید.
2. یک نام برای SLA وارد کنید و Protocol را روی Ping تنظیم کنید.
3. در قسمت Server، آدرس سرور تشخیص (در این مثال 8.8.8.8 و google.com) را وارد کنید.
4. در قسمت Participants، گزینه Specify را انتخاب کرده و WAN1 و WAN2 را اضافه کنید.
5. معیارهای لازم را در Link Status پیکربندی کنید.
6. با توجه به نیاز خود SLA Target را فعال و پیش فرض را به (Latency: 10ms / Jitter threshold: 5ms ) تغییر دهید.
7. مطمئن شوید که گزینه Update Static Route فعال است. این گزینه مسیرهای استاتیک برای Interface غیرفعال را غیرفعال کرده و هنگام بازیابی لینک، مسیرها را مجدداً برقرار می کند.
8. روی OK کلیک کنید.

Results

حال برای مشاهده ی نتیجه ی کانفیگ SD-WAN صفحات زیر را میتوانیم ببینیم و از درستی کانفیگ خود اطمینان پیدا کنیم.

1. Interface Usage

2. Performance SLA

3. Routing Table

4. Firewall Policy

Interface Usage

به مسیر Network > SD-WAN بروید و زبانه SD-WAN Zones را انتخاب کنید تا استفاده از Interface های SD-WAN را بررسی کنید.

Bandwidth

گزینه Bandwidth را انتخاب کنید تا میزان داده های دانلود و آپلود شده برای هر Interface را مشاهده کنید.

Volume

گزینه Volume را انتخاب کنید تا نمودارهای دایره ای (Donut Charts) مربوط به بایت های دریافت شده و ارسال شده در Interface ها را مشاهده کنید.

Sessions

گزینه Sessions را انتخاب کنید تا نمودار دایره ای تعداد Session های فعال در هر Interface را ببینید.

Performance SLA

به مسیر Network > SD-WAN بروید، زبانه Performance SLAs را انتخاب کنید و SLA را از جدول (سرور در این مثال) انتخاب کنید تا میزان Packet Loss، Latency و Jitter را بر روی هر عضو SD-WAN در سرور بررسی سلامت مشاهده کنید.

Packet loss

گزینه Packet Loss را انتخاب کنید تا درصد بسته های از دست رفته برای هر عضو را مشاهده کنید.

Latency

گزینه Latency را انتخاب کنید تا تأخیر کنونی به میلی ثانیه برای هر عضو را ببینید.

Jitter

گزینه Jitter را انتخاب کنید تا نوسان به میلی ثانیه برای هر عضو را مشاهده کنید.

Routing Table

به مسیر Dashboard > Network بروید، ویجت Routing را گسترش دهید و گزینه Static & Dynamic را انتخاب کنید تا تمام Static و Dynamic Routes را بررسی کنید.

Firewall Policy

به مسیر Policy & Objects > Firewall Policy بروید تا Policyهای SD-WAN را بررسی کنید.

SD-WAN Rules

SD-WAN Rules کنترل می کنند که چگونه Sessionها بین اعضای SD-WAN توزیع شوند. این قوانین از طریق GUI و CLI قابل تنظیم هستند. برای دسترسی به این تنظیمات از طریق GUI، به Network > SD-WAN > SD-WAN Rules بروید.

Strategy

استراتژی تعیین می کند که چگونه ترتیب Interface ها و یا Zoneها با تغییر شرایط لینک تغییر کند. می توانید از استراتژی های زیر استفاده کنید:

1. خودکار (Automatic Strategy):

استراتژی خودکار یک قانون قدیمی (Legacy Rule) است که به شما امکان می دهد Outgoing Interface را بر اساس رتبه بندی عملکرد آن نسبت به سایر Interface های SD-WAN انتخاب کنید.

مثال: شما متوجه شده اید که یک اپلیکیشن غیرضروری (Non-Critical Application) مقدار زیادی از پهنای باند را اشغال می کند و می خواهید آن را به پایین ترین کیفیت لینک در هر لحظه ممکن اولویت بندی کنید.

گزینه خودکار تنها در CLI در دسترس است. اگر از GUI برای ویرایش Rule استفاده کنید، بازنویسی خواهد شد، زیرا در GUI نمی توانید گزینه خودکار را انتخاب کنید.

2. حالت دستی (Manual Mode):

در این Mode بررسی سلامت (Health Checks) وجود ندارد. این Ruleها مانند Policy-Based Routes هستند ولی ویژگی هایی مثل مسیریابی آگاه به اپلیکیشن (Application-Aware Routing) و مسیریابی با برچسب BGP (BGP-Tag Routing) دارند.

یک Manual Strategy Rule شامل موارد زیر است:

• تعریف Interface های مورد استفاده
• مرتب سازی Interface ها بر اساس اولویت (Preference) یا استفاده از یک الگوریتم تعادل بار (Load Balancing Algorithm) برای توزیع ترافیک از Interface های مشخص شده.

3. حالت بهترین کیفیت (Best Quality Mode):

SD-WAN بهترین لینک را برای انتقال ترافیک با مقایسه فاکتور هزینه لینک (Link-Cost Factor) انتخاب می کند. (لیست Link-Cost Factor: Latency – Jitter – Packet Loss – Downstream – Upstream – Bandwidth – Customized profile)

مثال: Interface های SD-WAN شما (WAN1 و WAN2) به دو ارائه دهنده خدمات اینترنتی (ISP) متصل هستند و شما می خواهید خدمات Gmail از لینکی با کمترین تأخیر (Latency) استفاده کنند.

4. کمترین هزینه (Lowest Cost - SLA Mode):

SD-WAN لینکی را انتخاب می کند که کمترین هزینه را دارد و شرایط SLA را برای انتقال ترافیک برآورده می کند. (کمترین هزینه ممکن 0 است.) اگر چند لینک واجد شرایط با هزینه مشابه باشند، ترتیب اولویت Interface (Interface Preference Order) برای انتخاب لینک استفاده می شود.

مثال: Interface های SD-WAN شما به نام WAN1 و WAN2 به دو ارائه دهنده خدمات اینترنتی (ISP) متصل هستند. هزینه (Cost) WAN2 کمتر از WAN1 است. شما می خواهید خدمات Gmail را طوری پیکربندی کنید که از لینکی با هزینه کمتر استفاده کند، اما کیفیت لینک باید استانداردهای تأخیر (Latency) ۱۰ میلی ثانیه و نوسان (Jitter) ۵ میلی ثانیه را رعایت کند.

5. تعادل بار (Load Balancing):

استراتژی حداکثر پهنای باند (Maximum Bandwidth) که قبل از نسخه 7.4.1 FortiOS استفاده می شد، اکنون به عنوان استراتژی تعادل بار شناخته می شود. این استراتژی می تواند در حالت دستی و استراتژی کمترین هزینه (Manual Mode and the Lowest Cost (SLA)) پیکربندی شود.

• زمانی که استراتژی تعادل بار در حالت Manual پیکربندی می شود، اهداف SLA مورد استفاده قرار نمی گیرند.

• زمانی که استراتژی تعادل بار در استراتژی Lowest Cost (SLA) پیکربندی می شود، اهداف SLA مورد استفاده قرار می گیرند.

عملکرد استراتژی تعادل بار همانند استراتژی حداکثر پهنای باند (SLA) باقی می ماند زمانی که در داخل استراتژی lowest cost (SLA) پیکربندی شود: ترافیک را از تمامی Interface ها که اهداف SLA را برآورده می کنند، متعادل می کند. هزینه رابط در زمان انتخاب بهترین مسیر هنگام استفاده از استراتژی تعادل بار در نظر گرفته نمی شود.