پارتیان
پارتیان ابتکار پایدارپایگاه دانشجزئیات مقاله

پایگاه دانش

آموزش ساخت SD-WAN در FortiGate

۱۴ مهر ۱۴۰۳
0
2
242
آموزش ساخت SD-WAN در FortiGate

آموزش پیکربندی SD-WAN در FortiGate

SD-WAN (Software-Defined Wide Area Network) یک راهکار پیشرفته برای مدیریت و بهینه سازی ترافیک شبکه های گسترده (Wide Area Network) است که با ترکیب امنیت جامع شبکه و قابلیت های پیشرفته مسیریابی، به کاربران این امکان را می دهد تا Load Balance و Failover ترافیک اینترنت را بین دو یا چندین Interface ایجاد کنند. این راهکار نه تنها باعث استفاده بهینه از پهنای باند (Bandwidth Optimization) و کاهش تأخیر (Latency Reduction) می شود، بلکه با یکپارچه سازی با FortiGuard Security Services، امنیت شبکه را در بالاترین سطح حفظ می کند. این مقاله به بررسی عمیق مزایا، قابلیت های کلیدی و معماری 7.4 FortiGate SD-WAN می پردازد.

 

مروری بر این مقاله

 

Configuring the SD-WAN Interface
ابتدا، باید Interface های مورد نظر انتخاب و به یک زون اضافه شود. Interfaceهای انتخابی می توانند از هر نوعی باشند (فیزیکی،Aggregate ،VLAN،IPsec و غیره) اما Interface مدنظر نباید هیچ کانفیگی داشته باشد یعنی رفرنس آن باید صفر باشد.
کانفیگ مدنظر در این مرحله: دو Interface پیکربندی و به زون پیش فرض SD-WAN به نام (Virtual-WAN-Link) اضافه می شوند. این مثال از ترکیبی از آدرس های IP ثابت و پویا (Dynamic) استفاده می کند.

نکته: شما میتوانید Interface مورد نظر خود را هم به صورت Static IP و یا Dynamic IP تعریف نمایید.

پس از ایجاد اعضای SD-WAN و اضافه کردن آنها به یک زون، می توان از این زون در Policy های فایروال استفاده کرد و آن زون را در Static Routes به کار برد.

 

SD-WAN Member

    1. Interfaceهای WAN1 و WAN2 را پیکربندی کنید.
    2. حالت آدرس دهی Interface برای WAN1 را از حالت Manual به DHCP تغییر دهید و Distance آن را به 10 تغییر دهید.
    3. آدرس Interface در WAN2 را 10.100.20.1 / 255.255.255.0 تنظیم کنید.
    4. به بخش Network > SD-WAN بروید، تب SD-WAN Zones را انتخاب کنید و روی Create New > SD-WAN Member کلیک کنید.
    5. Interface را WAN1 قرار دهید
    6. SD-WAN Zone را به همان مقدار پیش فرض virtual-wan-link باقی بگذارید.

    SD-WAN1

    1. از آنجایی که WAN1 از DHCP استفاده می کند، Gateway را 0.0.0.0 قرار دهید.
      (اگر قابلیت مشاهده
      IPv6 در Interface کاربری (GUI) فعال باشد، می توان یک  Gateway IPv6 نیز برای هر عضو اضافه کرد.)
    2. Cost را همان صفر بگذارید.
      (فیلد
      Cost در استراتژی (Lowest Cost (SLA استفاده می شود. لینکی که کمترین هزینه را داشته باشد برای عبور ترافیک انتخاب می شود. کمترین مقدار ممکن برای Cost برابر با 0 است.)
    3. Status را Enable قرار داده و روی OK کلیک کنید.
    4. مراحل ذکر شده را برای WAN2 تکرار کنید و Gateway را به درگاه ارائه دهنده اینترنت (ISP) تنظیم کنید. (در این مثال 10.100.20.2)

    SD-WAN2

    SD-WAN00
    به طور پیش فرض، Retrieve Default Gateway از سرور (گزینه defaultgw در CLI) برای Interface های DHCP فعال است. این قابلیت باعث می شود اطلاعات Default Gateway از سرور DHCP دریافت شده و برای ایجاد یک Default Route از طریق Interface DHCP با فاصله (Distance) پیش فرض Administrative استفاده شود. (پیش فرض Administrative برای Interface های DHCP برابر با 5 و برای Static Routes برابر با 10 است. هنگام پیکربندی SD-WAN برای Load Balancing  بار 50/50، مهم است که فاصله Interface DHCP را به 10 تنظیم کنید تا هر دو مسیر توازن بار را به طور مساوی مدیریت کنند.)

     

     

    Static Route

    در زمانی که شما از SD-WAN استفاده میکنید نیاز نیست در بخش Static Route گیت وی هرکدام از Interfaceها را جداگانه وارد کنید بلکه زون SD-WAN خود را انتخاب و معرفی میکنید.

     FortiGate با استفاده از "Equal Cost Multi-Path (ECMP)" بر اساس فاصله (Distance) و اولویت (Priority)، مسیر یا مسیرهای ترجیحی را تعیین می کند.

    1. به مسیر Network > Static Routes بروید.
    2. روی Create New کلیک کنید. صفحه ایجاد Static Route جدید باز می شود.
    3. Destination را روی Subnet تنظیم کنید و آدرس IP و ماسک زیرشبکه را به صورت 0.0.0.0/0.0.0.0 بگذارید.
    4. در فیلد Interface، SD-WAN را انتخاب کنید.

     SD-WAN3

    1. Status را Enable قرار داده و روی OK کلیک کنید.
    SD-WAN01

    به طور پیش فرض، یک Static Route یا Default Route که خروجی آن از یک زون SD-WAN است، فاصله Administrative Distance آن برابر با 1 است.
    برای تغییر فاصله پیش فرض Interface در CLI:

    config router static
    edit <static-route-entry>
    set distance <AD>
    next
    end

     

    Implicit SD-WAN Algorithm

     SD-WAN Rules تعیین می کنند که ترافیک به کدام عضو SD-WAN هدایت شود. اگر هیچ Rule تعریف نشده باشد ازDefault Implicit Rule استفاده می شود که می تواند یکی از چهار الگوریتم Load Balancing را انتخاب کند. روش های متداول برای توزیع مساوی ترافیک بین دو یا چند اتصال WAN شامل موارد زیر است:

    ابتدا به مسیر Network > SD-WAN بروید و وارد تب SD-WAN Rules شوید و بر اساس نیاز شبکه خود یکی از Methodهای زیر را انتخاب کنید.

    •  (CLI Command: source-ip-based) Source IP: ترافیک بر اساس الگوریتم هش از IP مبدا توزیع می شود.
    • Session (CLI Command: weight-based): در این حالت، ترافیک بر اساس تعداد Session جاری هر Member توزیع می شود. برای ایجاد تعادل مساوی بین دو Member در SD-WAN، از Weight 50 برای هر یک از دو Member استفاده کنید.
    • Source-Destination IP (CLI Command: source-dest-ip-based): ترافیک بر اساس الگوریتم هش از IP مبدا و مقصد توزیع می شود.
    • Volume (CLI Command: measured-volume-based): ترافیک بر اساس میزان پهنای باند استفاده شده توسط هر Interface، متعادل می شود.

     

    Firewall Policies

    زون های SD-WAN می توانند در Policyها به عنوان Interface های مبدأ و مقصد استفاده شوند. اعضای SD-WAN جداگانه نمی توانند در Policyها استفاده شوند.
    شما باید یک Policy پیکربندی کنید که اجازه عبور ترافیک از شبکه داخلی سازمان شما به SD-WAN Zoneرا بدهد. Policyهایی که برای SD-WAN Zone تنظیم شده اند، برای همهInterface های SD-WAN که در آن Zone قرار دارند اعمال می شود.

    برای ایجاد یک Policy فایروال برای SD-WAN:

    1. به مسیر Policy & Objects > Firewall Policy بروید.
    2. روی Create New کلیک کنید. صفحه ایجاد Policy جدید باز می شود.
    3. مطابق با نیازهای شبکه خود، Policy مورد نظر را تنظیم نمایید. لطفاً توجه داشته باشید که فیلد Destination باید حتماً بر روی virtual-wan-link تنظیم شود و گزینه NAT نیز فعال گردد.
    1. Policy را Enable کنید و سپس روی OK کلیک کنید.

    Link Monitoring and Failover

    پایش لینک Performance SLA وضعیت سلامت لینک های متصل به Interface های SD-WAN Member را با ارسال سیگنال های بررسی (پروتکل هایPING-DNS-HTTP) به یک سرور می سنجد و کیفیت لینک را بر اساس تأخیر (Latency)، نوسان (Jitter) و میزان از دست رفتن بسته ها (Packet Loss) ارزیابی می کند. اگر یک لینک دچار خرابی شود، مسیرهای مرتبط با آن حذف شده و ترافیک به لینک های دیگر هدایت می شود. زمانی که لینک مجدداً فعال شود، مسیرها دوباره برقرار می شوند. این فرایند از ارسال ترافیک به لینک خراب و از دست رفتن آن جلوگیری می کند.

    برای پیکربندی یک Performance SLA:

    1. به مسیر Network > SD-WAN بروید، زبانه Performance SLAs را انتخاب کنید و روی Create New کلیک کنید.
    2. یک نام برای SLA وارد کنید و Protocol را روی Ping تنظیم کنید.
    3. در قسمت Server، آدرس سرور تشخیص (در این مثال 8.8.8.8 و google.com) را وارد کنید.
    4. در قسمت Participants، گزینه Specify را انتخاب کرده و WAN1 و WAN2 را اضافه کنید.
    5. معیارهای لازم را در Link Status پیکربندی کنید.
    6. با توجه به نیاز خود SLA Target را فعال و پیش فرض را به (Latency: 10ms / Jitter threshold: 5ms ) تغییر دهید.
    7. مطمئن شوید که گزینه Update Static Route فعال است. این گزینه مسیرهای استاتیک برای Interface غیرفعال را غیرفعال کرده و هنگام بازیابی لینک، مسیرها را مجدداً برقرار می کند.
    8. روی OK کلیک کنید.

    SD-WAN4

    Results

    حال برای مشاهده ی نتیجه ی کانفیگ SD-WAN صفحات زیر را میتوانیم ببینیم و از درستی کانفیگ خود اطمینان پیدا کنیم.

    1. Interface Usage

    2. Performance SLA

    3. Routing Table

    4. Firewall Policy

    Interface Usage

    به مسیر Network > SD-WAN بروید و زبانه SD-WAN Zones را انتخاب کنید تا استفاده از Interface های SD-WAN را بررسی کنید.

    Bandwidth

    گزینه Bandwidth را انتخاب کنید تا میزان داده های دانلود و آپلود شده برای هر Interface را مشاهده کنید.

    SD-WAN5


    Volume

    گزینه Volume را انتخاب کنید تا نمودارهای دایره ای (Donut Charts) مربوط به بایت های دریافت شده و ارسال شده در Interface ها را مشاهده کنید.

    SD-WAN6

    Sessions

    گزینه Sessions را انتخاب کنید تا نمودار دایره ای تعداد Session های فعال در هر Interface را ببینید.

    SD-WAN7

    Performance SLA

    به مسیر Network > SD-WAN بروید، زبانه Performance SLAs را انتخاب کنید و SLA را از جدول (سرور در این مثال) انتخاب کنید تا میزان Packet Loss، Latency و Jitter را بر روی هر عضو SD-WAN در سرور بررسی سلامت مشاهده کنید.

    Packet loss

    گزینه Packet Loss را انتخاب کنید تا درصد بسته های از دست رفته برای هر عضو را مشاهده کنید.

    SD-WAN8

    Latency

    گزینه Latency را انتخاب کنید تا تأخیر کنونی به میلی ثانیه برای هر عضو را ببینید.

    SD-WAN9

    Jitter

    گزینه Jitter را انتخاب کنید تا نوسان به میلی ثانیه برای هر عضو را مشاهده کنید.

    SD-WAN10

    Routing Table

    به مسیر Dashboard > Network بروید، ویجت Routing را گسترش دهید و گزینه Static & Dynamic را انتخاب کنید تا تمام Static و Dynamic Routes را بررسی کنید.

    SD-WAN11

    Firewall Policy

    به مسیر Policy & Objects > Firewall Policy بروید تا Policyهای SD-WAN را بررسی کنید.

    SD-WAN12

    SD-WAN Rules

    SD-WAN Rules کنترل می کنند که چگونه Sessionها بین اعضای SD-WAN توزیع شوند. این قوانین از طریق GUI و CLI قابل تنظیم هستند. برای دسترسی به این تنظیمات از طریق GUI، به Network > SD-WAN > SD-WAN Rules بروید.

    SD-WAN13

    Strategy

    استراتژی تعیین می کند که چگونه ترتیب Interface ها و یا Zoneها با تغییر شرایط لینک تغییر کند. می توانید از استراتژی های زیر استفاده کنید:

    1. خودکار (Automatic Strategy):

    استراتژی خودکار یک قانون قدیمی (Legacy Rule) است که به شما امکان می دهد Outgoing Interface را بر اساس رتبه بندی عملکرد آن نسبت به سایر Interface های SD-WAN انتخاب کنید.

    مثال: شما متوجه شده اید که یک اپلیکیشن غیرضروری (Non-Critical Application) مقدار زیادی از پهنای باند را اشغال می کند و می خواهید آن را به پایین ترین کیفیت لینک در هر لحظه ممکن اولویت بندی کنید.

    SD-WAN00

    گزینه خودکار تنها در CLI در دسترس است. اگر از GUI برای ویرایش Rule استفاده کنید، بازنویسی خواهد شد، زیرا در GUI نمی توانید گزینه خودکار را انتخاب کنید.


    2. حالت دستی (Manual Mode):

    در این Mode بررسی سلامت (Health Checks) وجود ندارد. این Ruleها مانند Policy-Based Routes هستند ولی ویژگی هایی مثل مسیریابی آگاه به اپلیکیشن (Application-Aware Routing) و مسیریابی با برچسب BGP (BGP-Tag Routing) دارند.

    یک Manual Strategy Rule شامل موارد زیر است:

    • تعریف Interface های مورد استفاده
    • مرتب سازی Interface ها بر اساس اولویت (Preference) یا استفاده از یک الگوریتم تعادل بار (Load Balancing Algorithm) برای توزیع ترافیک از Interface های مشخص شده.

    3. حالت بهترین کیفیت (Best Quality Mode):

    SD-WAN بهترین لینک را برای انتقال ترافیک با مقایسه فاکتور هزینه لینک (Link-Cost Factor) انتخاب می کند. (لیست Link-Cost Factor: Latency – Jitter – Packet Loss – Downstream – Upstream – Bandwidth – Customized profile)

    مثال: Interface های SD-WAN شما (WAN1 و WAN2) به دو ارائه دهنده خدمات اینترنتی (ISP) متصل هستند و شما می خواهید خدمات Gmail از لینکی با کمترین تأخیر (Latency) استفاده کنند.

    SD-WAN14

    4. کمترین هزینه (Lowest Cost - SLA Mode):

    SD-WAN لینکی را انتخاب می کند که کمترین هزینه را دارد و شرایط SLA را برای انتقال ترافیک برآورده می کند. (کمترین هزینه ممکن 0 است.) اگر چند لینک واجد شرایط با هزینه مشابه باشند، ترتیب اولویت Interface (Interface Preference Order) برای انتخاب لینک استفاده می شود.

    مثال: Interface های SD-WAN شما به نام WAN1 و WAN2 به دو ارائه دهنده خدمات اینترنتی (ISP) متصل هستند. هزینه (Cost) WAN2 کمتر از WAN1 است. شما می خواهید خدمات Gmail را طوری پیکربندی کنید که از لینکی با هزینه کمتر استفاده کند، اما کیفیت لینک باید استانداردهای تأخیر (Latency) ۱۰ میلی ثانیه و نوسان (Jitter) ۵ میلی ثانیه را رعایت کند.

    SD-WAN15

    5. تعادل بار (Load Balancing):

    استراتژی حداکثر پهنای باند (Maximum Bandwidth) که قبل از نسخه 7.4.1 FortiOS استفاده می شد، اکنون به عنوان استراتژی تعادل بار شناخته می شود. این استراتژی می تواند در حالت دستی و استراتژی کمترین هزینه (Manual Mode and the Lowest Cost (SLA)) پیکربندی شود.

    • زمانی که استراتژی تعادل بار در حالت Manual پیکربندی می شود، اهداف SLA مورد استفاده قرار نمی گیرند.

    SD-WAN16

    • زمانی که استراتژی تعادل بار در استراتژی Lowest Cost (SLA) پیکربندی می شود، اهداف SLA مورد استفاده قرار می گیرند.

    SD-WAN17

    SD-WAN00

    عملکرد استراتژی تعادل بار همانند استراتژی حداکثر پهنای باند (SLA) باقی می ماند زمانی که در داخل استراتژی lowest cost (SLA) پیکربندی شود: ترافیک را از تمامی Interface ها که اهداف SLA را برآورده می کنند، متعادل می کند. هزینه رابط در زمان انتخاب بهترین مسیر هنگام استفاده از استراتژی تعادل بار در نظر گرفته نمی شود.

    پرسش و پاسخ

    بله، فورتی‌گیت این امکان را دارد که از SD-WAN و VPN به صورت ترکیبی برای افزایش کارایی و امنیت شبکه استفاده کند.

    SD-WAN ترافیک شبکه را بهینه می‌کند و کارآمدتر از VPN مسیرهای اینترنتی را مدیریت می‌کند، در حالی که VPN امنیت ارتباطات را با رمزنگاری داده‌ها فراهم می‌سازد.

    برای بهینه‌سازی Load Balancing، می‌توان از الگوریتم‌های Weighted Round Robin، Volume-Based، و Session-Based استفاده کرد تا ترافیک بهینه توزیع شود.

    بله، SD-WAN فورتی‌گیت از طریق ترکیب با FortiGuard و دیگر سرویس‌های امنیتی، امکان پیاده‌سازی Zero Trust را برای افزایش امنیت ارتباطات فراهم می‌کند.

    برای ترافیک‌های حیاتی مانند VoIP و Video Conference، Traffic Shaping الزامی است تا پهنای باند کافی و کاهش تأخیر تضمین شود.

    برای تنظیم Failover، می‌توانید مسیر پشتیبانی تعیین کرده و از Health Checks جهت تغییر خودکار به مسیر دوم در زمان اختلال استفاده کنید.

    Link Aggregation به ترکیب چند لینک برای افزایش پهنای باند کمک می‌کند، در حالی که Load Balancing ترافیک را به‌صورت بهینه در لینک‌های موجود توزیع می‌کند تا کارایی شبکه افزایش یابد.

    بله، با استفاده از Application Control و Policy-Based Routing، می‌توانید برای هر اپلیکیشن اولویت خاصی تعیین کنید تا منابع شبکه به‌صورت بهینه تخصیص یابد.

    با استفاده از تنظیمات Link Health Monitoring، معیارهایی مانند Latency ،Jitter، و Packet Loss را مطابق با نیازهای شبکه تنظیم کنید تا بهترین کارایی در مسیرهای شبکه تضمین شود.

    امتیاز و دیدگاه کاربران

    دیدگاه خود را درباره این مقاله بیان کنید.ثبت دیدگاه
    • 15 مهر 1403 |آرش محمدی
      0

      با سلام، ممنون بابت توضیحات بسیار کاملتون، لطفا برای بقیه قسمت ها هم آموزش تصویری درست کنید.

    • 16 خرداد 1403 |ناصر رحمتی
      0

      سلام، لطفا توضیحات این پایگاه دانش را تکمیل کنید.

    متشکریم از همراهی شما، میتوانید نظرات و پیشنهادات خود را از طریق فرم زیر برایمان ارسال کنید.

    طراحی سایت : رادکام