教程篇(7.0) 02. FortiGate基础架构 & SD-WAN本地分汇 ❀ Fortinet 网络安全专家 NSE 4
Posted meigang2012
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了教程篇(7.0) 02. FortiGate基础架构 & SD-WAN本地分汇 ❀ Fortinet 网络安全专家 NSE 4相关的知识,希望对你有一定的参考价值。
在本课中,你将了解FortiGate上可用的SD-WAN功能。
本节课,你将学习这上图显示的主题。
完成本节后,你应该能够实现上图显示的目标。
通过展示SD-WAN中的能力,你应该能够配置SD-WAN区域、成员和流量负载均衡,以便在FortiGate上有效地使用多个WAN链路。
SD-WAN是由一组可以连接不同链路类型的成员接口组成的虚拟接口。FortiGate将所有成员接口组合为一个单独的虚拟接口:SD-WAN接口。使用SD-WAN可以简化配置,管理员只需配置一组路由和防火墙策略,并将其应用到所有成员接口上。每个VDOM只能有一个SD-WAN接口。
部署SD-WAN的主要动机之一是有效使用WAN,当你使用多个WAN链路时。有效的广域网使用是通过各种负载均衡算法实现的,例如带宽使用、会话或应用程序感知路由。SD-WAN的另一个重要特征是链路质量测量。通过使用ping或HTTP回复, FortiGate可以确定每个链路的延迟、抖动或包丢失百分比,并根据这些测量值动态选择链路。这确保了关键业务应用程序的高可用性(HA)。
现在,你将了解SD-WAN用例。在上图显示的示例中,客户严重依赖昂贵且不灵活的MPLS。所有流量都通过MPLS电路路由到供应商云,然后根据应用程序路由到公共云或internet。正如前面提到的,在这个场景中没有灵活性,而且对于客户来说,这是一个昂贵的解决方案。客户如何在不增加昂贵的基础设施的情况下增加冗余、灵活性、可靠性,以及最重要的安全性?本节课你将学习解决方案。
在上图显示的示例中,客户希望为业务关键型应用程序保留MPLS,同时增加灵活性和冗余。MPLS被用于基于最佳路径发送业务关键流量(例如语音和视频),具有更少的延迟、抖动或包丢失。如果当前路径降级到策略阈值以下,业务关键流量将被重新路由到新的隧道。此外,非关键流量在不同线路上进行负载平衡,以最大化带宽或最小化成本。同时分支机构可以直接安全接入互联网,提高云应用性能,并根据需要对SaaS和laaS内容进行负载均衡。
在上图显示的例子中,昂贵的MPLS被两条互联网VPN隧道所取代,但却获得了强大的弹性和冗余。通过替换MPLS,客户可以在最大化质量的同时最小化成本。SD-WAN解决方案是一种网络应用感知的解决方案,可以动态选择最佳的WAN来维持更高的SLA。
配置SD-WAN时,必须指定至少两个成员接口、关联的网关和一个SD-WAN区域。你应该在FortiGate的初始设置阶段尽早配置SD-WAN,因为如果某个接口已经被防火墙策略或静态路由引用,则不能将其作为成员接口使用。如果使用接口作为SD-WAN成员,且该接口被防火墙策略或静态路由引用,必须先删除关联的防火墙策略和静态路由,才能将该接口分配为SD-WAN成员。SD-WAN支持物理接口、VLAN接口、聚合接口和IPsec接口。
你还可以在以后方便地添加另一个成员接口,以添加更多的带宽或QoS选项。
FortiGate将所有成员接口组成一个虚拟接口,用于创建路由:SD-WAN接口。使用SD-WAN可以简化配置,因为管理员只需配置一组路由,就可以应用到所有的成员接口上。每个VDOM只能有一个SD-WAN接口。
当启用SD-WAN功能时,会自动生成一条隐式规则。如果其他任何规则的条件都不满足,则使用隐式规则。该隐式规则的目的是平衡所有可用的SD-WAN成员链路之间的流量。在本课的后面,你将学习SD-WAN规则。
SD-WAN负载均衡使用的流量分配方法与等价多路径(ECMP)类似。然而,SD-WAN链路负载均衡还包括一种额外的均衡方法:使用量。
缺省情况下,load-balance-mode设置为source-ip-based。但可以将负载均衡模式修改为以下任意一种:
● source-ip-based:一个源IP的所有流量都发送到同一个接口。
● weight-based:权重越大的接口优先级越高,流量越大。
● usage-based:所有流量都发送到列表的第一个接口。当该接口的带宽超过溢出限制时,新的流量将被发送到下一个接口。
● source-dest-ip-based:源IP和目的IP负载均衡。从源IP到目的IP的所有流量都发送到同一个接口。
● measured-volume-based:基于卷的负载平衡。流量根据流量(以字节为单位)进行负载均衡。更多的流量会被发送到容量比越大的接口。
可以将SD-WAN接口划分为更小的逻辑组,称为SD-WAN区域。然后,你可以在防火墙策略中使用这些SD-WAN区域,以便对正在检查和允许的流量进行更细粒度的控制。你可以为SD-WAN成员创建多个SD-WAN区域。但是,多个区域之间不能共享SD-WAN成员。缺省情况下,FortiGate已经创建了virtual-wan-link区域。
创建SD-WAN成员时,需要指定接口、SD-WAN区域和网关地址。你可以使用FortiGate上创建的默认SD-WAN区域,也可以创建一个新的SD-WAN区域。将SD-WAN接口分配到SD-WAN区域后,可以选择更改该区域。
启用SD-WAN功能,并配置成员接口和负载均衡方式后,在创建静态路由时,名称为SD-WAN的逻辑接口会自动加入到接口列表中。接下来,必须使用该虚拟接口创建路由。
对于防火墙策略,必须使用SD-WAN区域作为源接口或目的接口。防火墙策略中不能使用单个成员或SD-WAN虚拟接口。通过SD-WAN接口创建的防火墙策略允许流量通过任意成员接口转发。
在实现SD-WAN时,仍然需要配置缺省路由。缺省情况下,SD-WAN接口的路由配置不需要配置网关地址,因为FortiGate会根据成员接口的网关信息将数据包转发到相应的网关。
即使必须使用SD-WAN虚拟接口配置路由,FortiGate也会在路由表中为成员接口安装单独的路由。这些路由具有相同的属性(目的地址和子网、距离和优先级),并且都是活动的。这允许FortiGate在接口中断的情况下删除单个路由,并将所有流量重定向到剩余的成员接口,而不影响整个SD-WAN负载均衡组。
答案:A
答案:B
现在你了解了FortiGate上的SD-WAN功能。接下来,你将了解SD-WAN性能SLA和链路质量测量。
完成本节后,你应该能够实现上图显示的目标。、
通过展示SD-WAN性能SLA的能力,你应该能够配置SDWAN性能SLA,并确定FortiGate如何测量链路质量。
现在,你将了解组成性能SLA窗口的两个部分:链路健康监控(或状态检查)和SLA目标。
链路健康监控是一种检测路径上的路由器何时停止或降级的机制。
FortiGate可以根据你选择的检测方式,检测参与性能SLA的每个SD-WAN成员接口的状态(或健康状况)。
● Active:通过向配置好的服务器发送探测报文来测量链路健康。
● Passive:使用在启用了passive-wan-health-measurement的防火墙策略上捕获的会话信息来测量链路健康状况。
● Prefe Passive:使用通过SD-WAN成员的流量来测量链路健康状况。当成员接口上没有流量经过时,会向配置好的服务器发送探测报文,检测链路的健康度。
你可以指定最多两个服务器作为你的信标。这可以防止出现故障的是服务器,而不是链接。
在GUI中,可以指定成员,也可以选择所有SD-WAN成员作为参与者。在CLI中,现在可以添加成员0,这相当于将所有成员添加为特定性能SLA的参与者。
在内核中增加一个FIB路由表项,通过每个参与接口到达性能SLA页面中定义的服务器。这些内核路由被标记为proto=17。这些核心路由将独立于通常的路由源。
GUl提供了三个协议选项来执行状态检查:ping、HTTP和DNS,但在CLI中有六个选项。这些选项包括:ping、HTTP和DNS,就像在GUI上一样,还包括TCP echo、UDP echo和双向主动测量协议(TWAMP)。
与此性能SLA相关联的流量的服务质量由SLA目标定义。分配给该性能SLA的SD-WAN成员链路必须满足SLA目标,才能在其他参与链路中进行选择。你可以根据需要配置延迟、抖动和丢包阈值,并创建细粒度SLA目标,以便针对特定的应用对SD-WAN进行微调。
尽管SLA目标是在性能SLA页面上指定的,但实际上并没有使用它们。该页面上配置的值仅在被规则引用时使用。你可以为每个性能SLA创建多个SLA目标,尽管你希望这样做的场景并不多。
一种情况是,如果你位于一个分支机构,并且使用几个运行在同一服务器总部上的不同应用程序。你可以创建一个性能SLA来在该服务器上执行健康检查,但是对于不同的应用程序有不同的SLA目标。你可以对一些应用程序制定宽松的规则,但对其他应用程序则要严格一些。但是,如果应用程序运行在不同的服务器上,则需要为每个应用程序创建不同的性能SLA,以便针对特定的应用程序服务器进行健康检查。而且对于该应用程序,每个性能SLA只需要一个SLA目标。
链路状态包含指定系统检查链路状态的频率的设置,以确定是否需要将流量转移到另一个链路。“未激活前失效”和“设置后恢复链路”会阻止系统在链路之间不断地来回传输流量,这种情况称为振荡。
性能SLA(健康检查)测量连接到参与性能SLA的成员接口的链路质量。三种不同的标准用于此测量:延迟、抖动和包丢失百分比。
这些值用于规则中的SLA标准,这些规则用于根据每个成员的链路质量路由流量。
其中,“Packet loss”、“Latency”和“Jitter”是基于性能SLA所在服务器的响应(短时间内的平均值)。系统从第一个服务器启动。如果该服务器变得不可用,那么它将切换到第二个服务器。它一直与第二台服务器保持在一起,直到它变得不可用,这时它回到第一个服务器。如果两个服务器都不可用,则认为性能SLA失效。
需要注意的是,绿色向上的箭头仅表示服务器正在响应健康检查,而与数据包丢失、延迟和抖动值无关。这并不是任何一个SLA得到满足的迹象。
用于配置性能SLA的CLI命令提供了更多的选项,tcp-echo、udp-echo、tcp-connect、ftp和twamp选项只能在CLI下配置。这些选项提供了不同的方法来测量支持它们的任意两个设备之间的往返网络性能。根据你选择的性能SLA协议,还有其他仅在CLI可用的选项。有关这些选项的更多信息,请参阅docs.fortinet.com上的CLI参考指南。
配置延时、抖动、丢包质量的告警和告警阈值。这些在GUI上也不可用。
你可以使用上图中显示的命令配置链路状态参数。用户还可以通过GUI和CLI配置多个不同值的SLA目标。
答案:B
答案:A
现在你了解了SD-WAN性能SLA。接下来,你将了解SD-WAN规则。
完成本节后,你应该能够实现上图显示的目标。
通过在SD-WAN规则中展示能力,你应该能够基于链路质量配置动态链路选择,以确保业务关键型应用程序的高可用性。
SD-WAN规则允许你指定要通过哪个接口路由哪些流量。通过配置SD-WAN规则,可以根据链路的“SLA目标”页面的设置,根据延时、抖动或丢包百分比选择出接口。规则的评估方式与防火墙策略相同:从上到下,使用第一个匹配。可以通过以下参数匹配流量:
● 源IP地址
● 目的IP地址
● 目的端口号
● ISDB地址对象作为目标
● 防火墙应用程序作为目标
● 用户或用户组
● 服务类型(ToS)
SD-WAN规则在匹配流量时提供了很大的灵活性。例如,你可以将特定的经过身份验证的用户的Netflix流量路由到一个ISP,而将剩余的internet流量路由到另一个ISP。
SD-WAN可以使用Internet服务数据库,以及应用程序控制数据库来引导应用程序走特定的链路。
FortiGuard维护这些数据库,FortiGate定期获得更新的副本。在使用应用控制数据库时,应该启用SSL检查以获得最准确的应用程序标识。
FortiGate SD-WAN提供四种选择出接口的策略:手工、最佳质量、最低Cost(SLA)和觉最大带宽(SLA)。
选择“手工”时,可以指定流量从哪个接口发出。如果匹配,则根据接口优先级从第一个可用的接口流出。此策略不依赖于性能SLA或SLA目标。
最佳质量策略是基于网络的性能。在上图显示的示例中,port1和port2包含在接口首选项中。因此,一直使用port1(因为它是列表中的第一个),直到该网络的质量标准比port2差10%,此时port2将接管。缺省情况下,质量标准为10%,但可以在CLI下使用set link-costthreshold命令修改。请注意,这里没有使用任何SLA。对性能SLA (DC_PBX_SLA)的质量检查仅根据质量标准使用服务器信息(运行状况检查)。你可以选择延迟、抖动和丢包百分比。你还可以使用带宽选项(下行带宽、上行带宽或双向带宽),以便FortiGate根据流入、流出或双向流量的可用带宽选择链路。这是有用的,因为用户可能使用一些应用程序主要用于下载,而其他应用程序主要用于上传。
最后一个选项是自定议配置文件,它允许你根据其标准值的组合来选择链接。链接质量由这个方程决定。
值越大,该标准在选择中的权重就越大。将权重值设为0,从方程中排除该标准。
当使用最低cost(SLA)策略时,可以从性能SLA中选择一个SLA目标来度量流量。注意,即使一个性能SLA有多个SLA目标,你也只能从该特定性能SLA中选择一个SLA目标。
FortiGate按照上图所示的流程选择最低cost(SLA)的出接口。
例如,SD-WAN有四个成员:接口1~接口4。参考上图的表格。
首先,FortiGate考虑了SLA,并从出接口选择中排除了接口4。基于SLA, FortiGate将考虑三个接口。
然后,FortiGate考虑了消除任何接口的Cost。可以在“SD-WAN接口成员”下的“Network > SD-WAN”中配置cost。FortiGate选择cost较低的接口。在这上图的例子中,port1和port2的cost值为5,port3的cost值为10。在这种情况下,FortiGate将不再考虑接口3,而将port1和port2作为出接口。
最后,FortiGate检查所有接口的优先级,选择出接口。在上图的例子中,port2的优先级高于port1。在这种情况下,FortiGate选择port2作为匹配规则的流量的出接口。
该功能为SD-WAN规则引入了一种新的负载均衡模式。如果流量符合规则规格,则在选中的成员之间进行负载均衡,满足SLA规格。如果有多个SLA条件,则只对满足最多SLA条件的成员进行负载均衡。
上图的示例显示port1、2和3满足SLA要求,而port4不满足。此时,命中规则的流量在port1、port2和port3之间负载均衡。
使用这种方法,FortiGate不考虑成本或优先级。
特定于应用程序的规则的评估方式与防火墙策略相同:从上到下,使用第一个匹配。
当启用SD-WAN功能时,会自动生成一条隐式规则。如果不满足任何其他规则的条件,则使用隐式规则。该隐式规则的目的是平衡所有可用的SD-WAN成员链路之间的流量。
双击隐式规则显示负载均衡选项。
与ISDB路由类似,SD-WAN规则也具有策略路由的功能。它们优先于路由表中的任何其他路由。对于策略路由,FortiGate首先检查常规策略路由,然后再检查SD-WAN策略路由。
答案:B
答案:A
现在你了解了SD-WAN规则。接下来,你将了解SD-WAN诊断。
完成本节后,你应该能够实现上图显示的目标。
通过展示SD-WAN诊断能力,你应该能够维护一个高效和有效的SD-WAN解决方案。
通过SD-WAN使用情况监视器可以查看各成员接口之间流量的分布情况,包括带宽和流量。
Volume视图可以更好地表示所有成员接口之间发送和接收的流量;而带宽视图显示了每个接口通过会话所使用的带宽。会话视图显示了每个接口通过的会话数。
由于在使用SD-WAN时,链路质量对选路有很大的影响,因此监控SD-WAN成员接口的链路质量状态是一种很好的做法。你应该调查任何与包丢失和延迟有关的长期问题,以确保网络流量不会出现中断或性能下降。绿色箭头表示接口在SD-WAN组中处于活跃状态。红色箭头表示接口对于该特定状态检查是不活动的。
当SD-WAN成员接口的路由被删除或添加到路由表时,FortiGate也会产生系统事件日志。使用事件日志检查日志。
通过“转发流量”日志中的“目的接口”列可以查看流量是否出SD-WAN成员接口。也可以使用CLI抓包工具查看输出接口,详细级别为4、6。
答案:B
答案:B
恭喜你!你已经学完了这一课。现在,你将回顾你在这一课中涉及的目标。
上图展示了你在这节课中涉及的目标。
通过掌握本课讨论的目标,你了解了如何配置、维护和诊断FortiGate SD-WAN解决方案。
以上是关于教程篇(7.0) 02. FortiGate基础架构 & SD-WAN本地分汇 ❀ Fortinet 网络安全专家 NSE 4的主要内容,如果未能解决你的问题,请参考以下文章
教程篇(7.0) 03. FortiGate基础架构 & 虚拟域(VDOM) ❀ Fortinet 网络安全专家 NSE 4
教程篇(7.0) 08. FortiGate基础架构 & 诊断 ❀ Fortinet 网络安全专家 NSE 4
教程篇(7.0) 07. FortiGate基础架构 & 高可用性(HA) ❀ Fortinet 网络安全专家 NSE 4
教程篇(7.0) 04. FortiGate基础架构 & 二层交换 ❀ Fortinet 网络安全专家 NSE 4
教程篇(7.0) 05. FortiGate基础架构 & IPsec安全隧道 ❀ Fortinet 网络安全专家 NSE 4
教程篇(7.0) 06. FortiGate基础架构 & 单点登录(FSSO) ❀ Fortinet 网络安全专家 NSE 4