教程篇(6.4) 03. SD-WAN规则 ❀ SD-WAN ❀ Fortinet 网络安全架构师 NSE７

Posted 2021-08-04 meigang2012

 在本节课，你将学习SD-WAN规则。

 完成此部分后，你应该能够实现此幻灯片上显示的目标。

　　通过展示SD-WAN规则的能力，你应该能够基于链路质量配置动态链路选择，以确保业务关键应用程序的高可用性。

 SD-WAN规则允许你指定希望通过哪个接口路由的流量。通过配置SD-WAN规则，可以根据不同的策略选择出接口。规则的评估方式与防火墙策略相同：从上到下，使用第一个匹配。可以使用以下参数匹配流量：

　　● 源IP地址

　　● 目的IP地址

　　● 目的端口号

　　● ISDB地址对象作为目的地

　　● 防火墙应用程序作为目标

　　● 用户和用户组

　　● ToS

　　SD-WAN规则在匹配流量时提供了很大的灵活性。例如，你可以通过一个ISP路由来自特定认证用户的Netfix流量，而通过其它ISP路由你的Internet流量。

 SD-WAN可以使用ISDB以及应用程序控制数据库来引导应用程序沿着特定的链路。

　　FortiGuard维护这些数据库，FortiGate定期获得更新的副本。在使用应用程序控制数据库时，应该启用SSL深度检查，因为这是准确的应用程序标识的必要条件。

 FortiGate SD-WAN提供4种出接口选择：手工、最佳质量、最低成本(SLA)和最大带宽(SLA)。

　　使用手工选项，可以指定发送流量的接口优先级。如果流量符合规则条件，流量将根据接口优先级从第一个可用的接口出。此策略不依赖于性能SLA或SLA目标。

 最好的质量策略是基于链路的性能。在本幻灯片显示的示例中，port1和port2包含在接口优先级中。使用Port1(因为它是列表中的第一个接口)，直到Port1链路的质量达到10%，或者低于port2链路的质量。此时，port2接管。缺省情况下，质量阈值为10%。可以通过CLI命令set link-cost-threshold修改该阈值。注意，这里没有使用任何SLA目标。FortiGate是根据延迟、抖动或包丢失百分比来估计每条链路的质量。

 最后一个选项，在Quality criteria字段中，选择Customized profile，允许你基于相同的三个性能度量的组合来评估每个链接的质量。链路质量将由这个方程决定。

　　让权重值为零，以从等式中排除该条件。

 你也可以选择“下行带宽”、“上行带宽”或“双向带宽”，使FortiGate可以根据入方向、出方向的可用带宽或两者都选择链路。

　　使用这种类型的规则，必须通过CLI配置估计的上下行带宽。

 使用最低成本(SLA) 策略时，在性能SLA中选择SLA目标。注意，即使一个性能SLA有多个SLA目标，你也只能从特定的性能SLA中选择一个SLA目标。

　　当你选择最低成本(SLA)时，可以在一条SD-WAN规则中选择多个SLA目标。所有选中的SD-WAN成员接口必须满足所有选中的SLA目标，以此作为出接口的选择。

 FortiGate遵循本幻灯片所示的流程，根据最低成本(SLA)选择出接口。

　　例如，SD-WAN有四个成员：port1、port2、port3、port4。

　　首先，FortiGate考虑SLA目标，并将port4从潜在的出接口列表中删除，因为port4不满足SLA目标。

　　然后，FortiGate考虑从潜在列表中消除任何接口的成本。可以通过单击“网络> SD-WAN接口成员”下的“SD-WAN”配置成本值。FortiGate会选择成本较低的接口。在本幻灯片显示的示例中，port1和port2的成本都是5，而port3的成本是10。在这种情况下，FortiGate将从潜在的出接口列表中删除接口3。

　　最后，FortiGate检查所有接口的接口优先级，并选择出接口。在本幻灯片显示的示例中，port2比port1具有更高的优先级。此时，FortiGate会选择port2作为匹配规则的流量的出接口。

 该特性为SD-WAN规则引入了一种新的负载均衡模式。如果流量匹配规则设置，流量将在满足SLA目标的所有成员之间进行负载均衡。如果有多个SLA目标，流量将在满足所有目标的所有成员上进行负载均衡。该策略采用基于会话的轮询方式对流量进行负载均衡。

　　本幻灯片上的示例显示，port1、port2和port3满足SLA目标要求，而port4不满足。此时，匹配规则的流量将在port1、port2和port3之间进行负载均衡。

　　在使用这种方法时，FortiGate不会考虑成本或优先级。

 配置SD-WAN规则的CLI命令提供了更多选项。

　　使用input-device-negate enable选项，可以选择所有的接口作为可接受的源接口，但是使用命令set input-device配置的接口除外。启用input-device-negate后，SD-WAN规则将匹配除使用set input-device命令配置的接口之外的所有流入接口。

　　你可以选择在本节中了解的四种模式中的任何一种。你还可以选择自动模式。自动模式下，FortiGate根据链路质量选择SD-WAN成员。

　　● auto：根据链路质量选择接口

　　● manual：选择手工策略

　　● priority：选择最佳质量策略

　　● sla：选择最低成本策略

　　● load-balanced：选择最大带宽(SLA)策略

　　可以使用set default enable将SD-WAN作为默认服务。在本课程的后面，你将了解此选项的接口选择流程。

 完成此部分后，你应该能够实现此幻灯片上显示的目标。

　　通过演示SD-WAN策略路由的能力，你将了解任何流量的接口选择和路由流。

 SD-WAN规则是基于策略的路由，将特定的流量路由到一个或多个SD-WAN成员上。在策略路由方面。FortiGate首先检查常规策略路由，然后再检查SD-WAN策略路由。如果没有策略路由匹配流量，FortiGate会进行FIB查找。如果FIB-resolve接口是SD-WAN成员。FortiGate根据隐式规则下配置的负载均衡算法选择出接口。

 这张幻灯片显示了当FortiGate收到第一个包时选择SD-WAN出接口的标准。

　　从上到下(第一次匹配)检查SD-WAN策略路由。FortiGate将匹配规则下定义的规范，如入站接口、目的IP、源IP、源端口、目的端口等。

　　如果策略路由与入方向的报文匹配，FortiGate会检查SD-WAN规则设置。

　　使用缺省值set default disable，进行FIB查找以验证到达目的地的路由。选择出接口的要求如下：

　　● 与目的地的最佳匹配必须引用一个SD-WAN成员。

　　● 策略路由(proute)出接口(oif)只有在有到目的地的FlB路由时才被认为是可接受的。

　　　　● 选择proute的OIF_LIST(出站接口列表)中满足此要求的第一个oif。

　　　　● 如果没有oif满足此要求，则认为这条策略路由不匹配，SD-WAN策略路由查找将移动到下一条SD-WAN策略路由。

　　设置default enable + set gateway enable时，FortiGate将选择SD-WAN策略路由的第一个出接口，跳过FIB查找。

 在路由改变后，会话将重新验证，并可能故障转移到另一个SD-WAN成员。

　　路由变化可能发生的例子有：

　　● 当策略路由中接口的顺序发生变化时

　　● 当SD-WAN成员状态发生变化时

　　● 当有动态路由更新时

　　你可以使用本幻灯片所示的interface-level命令强制会话保持在相同的SD-WAN成员。

 完成此部分后，你应该能够实现此幻灯片上显示的目标。

　　通过在识别应用方法方面的能力展示，你应该能够理解并配置SD-WAN规则来匹配和路由应用流量。

 现在，你将学习从流量流中识别应用程序的一些方法。

　　一种方法是使用互联网服务数据库(ISDB)。由公共IP地址和目的端口组成的众所周知的互联网服务定义的数据库。ISDB经常从FortiGuard更新。此方法还可以立即识别应用程序。然而，尽管ISDB包括了所有最知名的互联网服务，但它并不包括所有这些服务。

　　自定义ISDB方法使用用户定义的ISDB。管理员可以创建自定义服务。自定义服务可以分为自定义服务组。该方法灵活，辨识速度快。尽管它需要人工维护。

　　另一种方法使用完全限定域名(FQDN)防火墙地址作为目的地。在这种方法中，FortiGate使用DNS将FQDN解析为IP地址。它简单快捷，但对于云服务或大多数知名的互联网服务来说并不准确。

 DSCP方法的一个要求是流量在到达FortiGate之前必须标记IP DSCP。用这种方法，FortiGate使用报文的DSCP标记来应用SD-WAN规则。这种方法对于将SD-WAN与现有体系结构集成是很有用的。然而，通过使用这种方法，你可能对流量识别有较少的控制。此外，用户或应用程序，或两者都可能干扰标记。

　　通过应用程序控制，FortiGate可以基于签名识别应用程序。众所周知的应用程序列表从FortiGuard服务器自动更新。此方法需要一个学习阶段，在此阶段中需要第一个会话来识别应用程序，并且可能与预期的SD-WAN规则不匹配。在初始学习阶段之后，动态缓存项被存储在ISDB中，以避免再次进入学习阶段。

　　使用客户应用控制方式，用户可以自定义应用控制签名。

 ISDB条目是从FortiGuard服务器动态更新的。由于自动更新，ISDB无需管理员进行任何维护。ISDB是一个由公共IP地址和目的端口组成的知名互联网服务定义的数据库。

　　ISDB数据库加载在内核中。每个ISDB表项都用一个从65536开始的数字标识。

　　每项资料包括：

　　● 一个方向，它可以是目的地，也可以是源头，或者两者都是。

　　● 对IP范围内部列表的引用

　　● 对IP号的引用

 你可以使用命令diagnose internet-service id来收集关于任何给定ISDB条目的所有IP地址和端口的信息。

　　如果你想获得关于哪些ISDB条目包含特定IP和特定端口的信息，你可以使用diagnose internet-service info命令。也可以使用diagnose internet-service match命令查找包含特定IP地址的ISDB表项。

 在界面上可以查看Internet Service Database下的所有ISDB条目。此外。你可以根据自己的网络需求启用或禁用任何IP范围和端口范围。

　　也可以通过命令config firewall internet-service-extension启用或禁用表项。这张幻灯片展示了管理员如何禁用Amazon-AWS服务的IP范围3.0.0.0的示例。

  通过该方法，可以在SD-WAN规则中指定需要匹配的应用，并将流量路由到该应用中。应用程序数据库从FortiGuard服务器动态更新。

　　对于这个方法，防火墙策略中必须有允许SD-WAN流量的应用控制配置文件。建议启用SSL深度检测，提高应用检测的准确性。如果你正在使用谷歌签名，则必须阻止QUIC流量。

　　第一个会话是识别应用程序的学习阶段，可能不符合预期的规则。

 应用控制依赖于IPS识别应用。IPS引擎需要第一个会话来识别应用。因此，到达任何目的地的第一个会话可能不匹配正确的规则。因为应用程序还没有被FortiGate识别，此时FortiGate必须做出路由决策。

　　当IPS识别出应用后，在动态ISDB表中添加一条带有目的IP地址和端口的表项。到同一目的地的任何后续会话都将使用ISDB条目来立即识别应用程序。

　　在本幻灯片所示的示例中，创建了一条规则来将匹配应用程序Dailymotion的流量路由到port2。最后一条规则将所有其他内容路由到port1。当你访问Dailymotion时, FortiGate将需要第一个会话来识别应用程序。第一个会话不匹配Dailymotion规则，因为应用程序还没有被IPS引擎识别。这第一个会话将通过所有访问规则，并将从port1路由出去。

　　一旦应用程序被IPS识别，它将创建一个动态ISDB表项，并将目的IP地址和目的端口添加到Dailymotion的动态ISDB表项中。这个条目将被推送到内核防火墙。

　　在下一个会话中，如果流量的目的地是动态ISDB表项下列出的IP地址和端口，FortiGate将使用动态ISDB缓存中的信息立即识别应用程序，并通过正确的SD-WAN规则路由流量。

　　动态ISDB数据库最多可以容纳512个条目。

 完成此部分后，你应该能够实现此幻灯片上显示的目标。

　　通过展示在SD-WAN诊断方面的能力，你应该能够维护高效和有效的SD-WAN解决方案。

 可以使用diagnose sys virtual-wan-link命令收集不同的信息，如幻灯片所示。当需要收集SD-WAN成员的基本信息时，可以使用diagnose sys virtual-wan-link命令查看SD-WAN成员的详细描述信息。

 你可以通过SD-WAN利用率监控器查看成员接口之间的流量分布情况，可以基于带宽或流量。

　　Volume视图更好地表示了通过所有成员接口发送和接收的流量；而带宽视图显示了通过会话的每个接口使用了多少带宽。会话视图显示了每个接口经过的会话数。

 在使用SD-WAN时，链路质量在选择链路时起着重要的作用，因此监控SD-WAN成员接口的链路质量状态是一个很好的实践。任何长时间的丢包和延迟问题都应该进行调查，以确保你的网络流量不会出现中断或性能下降。绿色箭头表示接口在SD-WAN组中是活跃的。红色箭头表示该接口在该特定状态检查中处于非活动状态。

　　当SD-WAN成员接口的路由被删除或添加到路由表中时，FortiGate也会生成系统事件日志。使用事件日志检查日志。

 你可以使用本幻灯片中显示的调试命令从CLI收集有关链路状态和健康检查日志的相同信息。diagnose sys virtual-wan-link health-check命令用来检查性能SLA中是否存在已死成员。

 负责执行SLA探测的流程是Inkmtd。你可以使用本幻灯片上显示的诊断命令收集有关链路监视器进程的不同信息。你必须选择一个适当的级别来收集特定的信息。

　　以收集ICMP探针的调试信息为例，可以使用如下命令：

　　diagnose debug enable

　　diagnose debug application link-monitor 8

 你可以通过转发流量日志中的“目的接口”列查看是否有流量外出SD-WAN成员接口。也可以通过CLI抓包工具使用4级和6级的详细信息查看出接口。

 你可以使用本幻灯片中显示的命令收集有关任何SD-WAN规则的详细信息。这将向你展示有关SD-WAN规则的详细描述，包括地址模式、协议、模式、链路成本因子、引用的健康检查、成员和成员序列。

 这张幻灯片显示了你在本课中涉及的目标。

　　通过掌握本课的目标，你学习了如何执行SD-WAN高级配置和路由。