SDWAN İle Yük Devretme Nasıl Yapılandırılır

tuncaybas FortiGate, Network
Tanım

Bu makale, iki veya daha fazla bağlantı kullanan bir SD-WAN tasarımı için en iyi yapılandırma adımlarını açıklamaktadır. İkincil bağlantılar ‘bekleme’ durumundayken, tüm internet trafiği için bir birincil kullanılır. Tasarım, bağlantıların kullanılabilirliğini ve güvenilirliğini izlemeli, başarısız bağlantıları kaldırmalı ve oturumların ikincil ISP’ye geçmesine izin vermelidir.

Tasarım, oturumların yapılandırılabileceği veya yeniden çalışma için görevlendirilebileceği tekrar çevrimiçi olana kadar başarısız olan tüm bağlantıları izlemeye devam eder. 

 

Kaynak NAT IP değiştirilirse, TLS oturumlarının doğası belirli durumlarda geçersiz hale gelebileceğinden, bu tasarımın uyarıları ve diğer ayrıntılar bu makalenin ilerleyen kısımlarında ele alınmaktadır. 

Kapsam

 

SD-WAN’lı FortiGate.

 

Çözüm

Aşağıdaki topoloji göz önüne alındığında, bu örnek, biri port2′ye ve diğeri port10′a bağlı iki farklı ISP bağlantısı kullanacaktır.
Bu örnekte, daha fazla ISP bağlantısı alması ve tasarımı kolayca ölçeklenebilir hale getirmesi amaçlanan ‘İnternet’ adlı yeni bir SD-WAN Bölgesi oluşturulmuştur. 

sdwan isp yük devretme.png
Seçim için uygun olmayabileceklerinden, ISP arabirimlerinin mevcut yapılandırmaları veya alt ‘referansları’ olmadığından emin olun. 
Olduğu söyleniyor, bu öğretici bunun yeni bir yapılandırma olduğunu varsayar.

Adım 1: ISP arayüzlerini yapılandırın. 
Network -> Interfaces altında , statik genel IP ve ağ maskelerini ayarlamak için port2 ve port10′u düzenleyin. Gerektiği gibi ‘Alias’ ekleyin ve Rolü ‘WAN’ olarak ayarlayın.
step1_interface.png
Adım 2: P2P bağlantısını test edin.
Yalnızca bu ayarla, aynı çarpışma etki alanında olduğu için Ağ Geçidinin IP’sine ping atmak mümkün olmalıdır. 
Başka ayarlar eklemeden önce ağ geçidinin erişilebilirliğini test etmek için ‘exec ping’ kullanın. Test edilecek arabirimi tanımlamak için ping-seçeneklerini kullanın. 

exec ping-options interface port2

exec ping 198.51.100.17
PING 198.51.100.17 (198.51.100.17): 56 data bytes
64 bytes from 198.51.100.17: icmp_seq=0 ttl=255 time=0.2 ms
64 bytes from 198.51.100.17: icmp_seq=1 ttl=255 time=0.4 ms
64 bytes from 198.51.100.17: icmp_seq=2 ttl=255 time=0.1 ms
64 bytes from 198.51.100.17: icmp_seq=3 ttl=255 time=0.4 ms
64 bytes from 198.51.100.17: icmp_seq=4 ttl=255 time=0.3 ms

— 198.51.100.17 ping statistics —
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max = 0.1/0.2/0.4 ms

 

Adım 3: sd-wan bölgesini oluşturun.

 

SD-WAN bölgesi, MPLS, IPSEC, İnternet, Lan-to-LAN, vb. gibi farklı amaçlar için kullanılan bağlantılar olduğunda özellikle yararlı olan mantıksal bir bölümlendirmeye izin verecektir. zihin, gerektiğinde bölgeleri tasarlamayı kolaylaştıracaktır. 
-> Network -> SD-WAN -> SD-WAN Zones -> Create New -> SD-WAN Zone  gidin .
step3_sdwan_zone.png
  • Bir isim ver. Bu örnek için ‘İnternet’ kullanılacaktır.
  • ‘Arayüz üyeleri’ni seçin, başka bir menü açılacaktır. Henüz yeni ISP’yi içermediğine dikkat edin.
  • ‘Oluştur’u seçin ve yeni bir ‘SD-WAN Üyesi Düzenle’ menüsü açılır

step3_sdwan_members.png

 

  • Arayüzü seçin (bu durumda port2 ve port10).
  • SD-WAN Bölgesi = İnternet.
  • Ağ Geçidi = Ağ Geçidini buraya ekleyin.
  • Kaydetmek için Tamam’ı seçin .
Ek ISP’ler / Arayüzler için tekrarlayın ve bunları aynı bölgeye eklediğinizden emin olun. 
4. Adım: Performans SLA’larını ayarlayın.
Gerekli olmayan girişleri silin veya devre dışı bırakın. Aksi takdirde, uygun şekilde ayarlanmaz veya test edilmezlerse yanlış pozitiflere katkıda bulunabilirler. 
Bir girişi devre dışı bırakmak için, basitçe düzenleyin, Katılımcılar -> Belirt öğesini seçin ve ardından listeyi boş bırakın. 
Bu şekilde giriş, arayüz metriklerine ve durumlarına katkıda bulunmayacaktır. 
step4_adjust_probe.png
Bağlantı Durumu ve SLA Hedefinin, birlikte çalışmasına rağmen farklı sonuçları tetikleyecek iki farklı seçenek olduğunu unutmayın .
Bu tasarım, Bağlantı Durumu Araştırmalarına ve bir arıza meydana geldiğinde bağlantının Yönlendirme FIB’sinden çıkarılmasına ve ardından birden çok diğerinin tetiklenmesine neden olacak şekilde ‘mantıksal’ bir alt konuma yerleştirileceği ‘Statik Rotayı Güncelle’ ayarına dayanacaktır. oturumları kirletme ve kaynak-nat değişikliklerine neden olma gibi seçenekler. 
Aynı araştırma üzerinde birden çok sunucu yapılandırırken, bu , kuralın bir “arıza” durumunu tetiklemesi için  her ikisinin de başarısız olması gereken bir “VE” devresi olacaktır .
Birden fazla ‘Performans SLA Kuralı’ yapılandırırken, tüm kurallar katılımcı arayüzlerini etkileyecektir. Hepsinin aynı anda başarısız olması gerekir .
Bu tasarımda plan, iki Performans SLA Kuralına (Default_Office_365 ve status_probe) sahip olmaktır ; burada Office_365 bir HTTP araştırması kullanırken status_probe Ping kullanır. Bu, çoğu durumda bir bağlantının kapalı olup olmadığını ve ne zaman tekrar çevrimiçi olduğunu belirlerken daha iyi doğruluk sağlayacaktır. Bu durumlarda, Check interval, Failures before inactive ve Restore link After alanlarının her iki kuralda da aynı değerlere sahip olmasını  sağlamak idealdir .
step4_main_probe.png
Flapları önlemek için ‘Restore link after’ alanında yüksek bir değer ayarlamak genellikle iyi bir uygulamadır. Tekrar güvenilir olması sağlanana kadar ‘sağlıksız’ bir bağlantıdan bir süre kaçınılması gerektiğini varsayalım. 
Adım 5: Bir SD-WAN Kuralı oluşturun.
Bir RFC1918 özel adresinin ‘ters’ sürümünü kullanan ve tüm ‘genel İnternet Aralıkları’ ile eşleşen bir ilke oluşturulacaktır. Bu yöntem, özel adreslerde meydana gelen yanlış pozitiflerin ağdan çıkmasını önleyecektir.  
İsteğe bağlı olarak, bu nesneleri oluşturmak için bu makaleye ekli public_range komut dosyasını kullanın veya hedef olarak ‘Tümü’ seçeneğini kullanın. 
step5_rule_match_criteria.png
Bu politika, hangi arayüzün birincil olduğu üzerinde kontrol sağlamak için onu listenin en üstüne ayarlayarak “manuel” bir strateji kullanır. İlk olarak port10′un seçildiğine ve listenin başında yer aldığına dikkat edin, bu da onu kullanım sırasında ‘birincil’ arayüz haline getiriyor.
Bu ayarları tanımladıktan sonra kaydetmek için Tamam’ı seçin . 
step5_action.png
Adım 6: Statik Rotalar / FIB.
Ardından, sisteme ‘İnternet’ adlı SD-WAN bölgesini 0.0.0.0/0 varsayılan yol olarak kullanmasını söyleyin. 
Network -> Static Routes -> New static route altında yeni bir giriş oluşturun ve SD-WAN ‘Internet’i arayüz olarak ayarlayın ve kaydedin. 
step6_static_route.png
Adım 7: Güvenlik duvarı politikası.
Güvenlik duvarı ilkesi, LAN’dan ‘İnternet’ bölgesine oturumlara izin vermelidir. 
Policy & Objects -> Firewall Policy -> Create New Firewall Policy seçeneğine gidin
step7_firewall_match.png
NAT’ı etkinleştirdiğinizden ve ‘Giden Arayüz Adresini Kullan’ olarak ayarladığınızdan emin olun.
step7_firewall_nat.png
ISP , genel IP Bloğunun BGP üzerinden dalgalandığı geçiş ağları sağlıyorsa , bu adımda ‘IP Havuzu’nu kullanın. 
Bu ayarla, herhangi bir aktif oturum üzerinde küçük veya sıfıra yakın etki ile TAM SD-WAN Geçişlerine ulaşmak mümkündür. 
Adım 8: İnce ayar.
Son olarak, yük devretmenin sorunsuz bir şekilde gerçekleştiğinden emin olmak için birkaç ayarda ince ayar yapılması önerilir.
İsteğe bağlı olarak, birincil bağlantı yeniden sağlıklı olduğunda oturumların “yedek” olarak ayarlanmasını sağlamak için anlık rota değişikliğini (varsayılan) devre dışı bırakın. 
Bu seçeneğin uygulanabilirliği, kurulumun hedeflerine bağlıdır, ancak bu ayarın “etkinleştirilmesi” ve oturumların en az geçişe izin vermeyi bitirene kadar mevcut ISP’lerini kullanmaya devam etmesine izin verilmesi önerilebilir. 
config system global
set snat-route-change disable
end

 

Tüm ISP arayüzlerinde ‘oturum yolunu koru’ özelliğinin devre dışı olduğundan emin olun. Varsayılan olarak devre dışıdır, ancak ayarın devre dışı bırakıldığından emin olmak için kontrol etmek en iyi uygulamadır.
Bu ayar, oturumların mevcut yönlendirme bilgilerinin ‘kaldırılmasını’ ve ‘kirli’ olarak işaretlenmesini sağlar, yani yeni bir arayüz seçilebilir. 
config system interface
edit <interface>
set preserve-session-route disable (default setting)
next
end

 

 

Tasarımın test edilmesi ve onaylanması

 

Giden trafiği gerçek zamanlı olarak kontrol etmenin en kolay yolu, bir algılayıcı kullanmaktır. Bu örnek test, yinelenen paketlerin görülmesini önlemek için performans SLA’sını araştırmak için kullanılmayan bir IP (8.8.4.4) kullanır.

 

Bu örnek aynı zamanda, trafiğin durduğunu ancak arayüzün bağlantısının kesilmediğini garantilemek için test edilen bağlantıda bir ‘mantık’ hatası ortaya koymaktadır. Bu, test için çok önemlidir çünkü yalnızca probun başarısız olması arzu edilir . Fiberin Birincil ISP’den bağlantısı kesilerek port2 ve port10′un değişmeden kalmasına izin verilir.  

 

diag sniffer packet any “icmp and host 8.8.4.4″

 

Bu makalenin en üstündeki Topoloji şemasındaki ‘İş istasyonu’ndan 8.8.4.4′e sabit bir ping başlatıldı ve başarılı yanıtlar alındı.

Aşağıdaki sniffer sonuçları, fiber kablo port10 ISP’nin yönlendiricisinden çekildikten sonra port10 ile port2 arasında bir geçişin olduğu anı gösterir.

 

test_001.png

 

Bu bağlantıların ve araştırmaların ‘mevcut’ durumunu doğrulamak için bir SD-WAN sağlık kontrolü kullanmak da mümkündür:

 

diag sys sdwan health-check status <name or Enter>

 

 

Port10 durumunun ‘ölü’ olduğunu ve ‘mantıksal’ başarısız durumda olduğunu unutmayın. 

 

test_002.png

 

‘Statik rotayı güncelle’ seçeneği, bağlantının FIB veritabanından kaldırılmasına neden olur.

get router info routing-table all

 

 

 

test_003.png

 

Aynı 5-tuple bilgisini (orijinal kaynak bağlantı noktası 3511) tutmasına rağmen oturum ‘serisinin’ (veya kimliğinin) değiştiğini unutmayın. Buna rağmen, başarısızlıktan sonra farklı bir aygıt (arayüz) ve ağ geçidi kullanarak FortiGate’ten çıkmaya devam ediyor. 

 

‘snat-route-change’ ayarı çoğunlukla geri dönüş davranışını kontrol eder. SNAT IP değiştirilirse, bağlantı hatalarında oturumlar temizlenir . Bu, yeni bir rota aramasının gerçekleşmesine ve ikincil arayüzün seçilmesine izin veren beklenen bir davranış yanıtıdır. Yeni bir SNAT adresi belirlemek için yeni bir güvenlik duvarı ilkesi araması da gerekecektir. Onsuz, 5-tuple’ın hala ‘geçerli’ veya tutarlı olarak kabul edilmesinin hiçbir yolu yoktur. 

Ancak, TCP ve uygulamalar, yeniden bağlanma veya Katman-7 sürdürme mekanizmalarına güvenmelidir. 

 

test_004.png

 

snat-route-change enable <- Oturumlar anında başarısız olur.

snat-route-change disable <- Oturumlar, oturum süresince mevcut bağlantıyı kullanmaya devam edecek. Yeni oturumlar mevcut etkin bağlantıyı kullanır.

 

Mevcut durum, Adım 7′de belirtilen istisna ise ve genel IP farklı bağlantılar üzerinde dalgalanıyorsa, aşağıdaki ekran görüntüsünde gösterildiği gibi oturum temizlenmez. Yük devretme olayı üzerine, oturum “kirlenir” ve güncellenir. Bunun gelişmiş bir ayar olduğunu ve birden fazla ek adım ve test gerektirdiğini unutmamak önemlidir. Genel IP’nin aynı anda yalnızca tek bir yerde bulunabileceğini unutmayın, bu nedenle bunun sorunsuz çalışması için senkronize güncellemeler yapılmalıdır. 

 

test_005.png

 

İsteğe bağlı olarak, Bağlantı Durumu Araştırmalarının tarihsel bilgilerine tek tek bakın.

 

Daha uzun bir geçmiş gerekiyorsa Log & Report -> System Events -> SD-WAN Events bölümüne bakın .

 

diag sys sdwan sla-log status-probe 1

diag sys sdwan sla-log status-probe 2

 

 

test_006.png

 

Çözüm: 

 

Yukarıdaki ayarlar uygulanarak, günlüklerde ve sonuçlarda gösterildiği gibi, istenen SD-WAN yük devretme ve yeniden çalışma elde edilebilir.

655 total views, 2 views today

tuncaybas