آموزش پیکربندی SD-WAN در FortiGate
SD-WAN (Software-Defined Wide Area Network) یک راهکار پیشرفته برای مدیریت و بهینه سازی ترافیک شبکه های گسترده (Wide Area Network) است که با ترکیب امنیت جامع شبکه و قابلیت های پیشرفته مسیریابی، به کاربران این امکان را می دهد تا Load Balance و Failover ترافیک اینترنت را بین دو یا چندین Interface ایجاد کنند. این راهکار نه تنها باعث استفاده بهینه از پهنای باند (Bandwidth Optimization) و کاهش تأخیر (Latency Reduction) می شود، بلکه با یکپارچه سازی با FortiGuard Security Services، امنیت شبکه را در بالاترین سطح حفظ می کند. این مقاله به بررسی عمیق مزایا، قابلیت های کلیدی و معماری 7.4 FortiGate SD-WAN می پردازد.
مروری بر این مقاله
Configuring the SD-WAN Interface
ابتدا، باید Interface های مورد نظر انتخاب و به یک زون اضافه شود. Interfaceهای انتخابی می توانند از هر نوعی باشند (فیزیکی،Aggregate ،VLAN،IPsec و غیره) اما Interface مدنظر نباید هیچ کانفیگی داشته باشد یعنی رفرنس آن باید صفر باشد.
کانفیگ مدنظر در این مرحله: دو Interface پیکربندی و به زون پیش فرض SD-WAN به نام (Virtual-WAN-Link) اضافه می شوند. این مثال از ترکیبی از آدرس های IP ثابت و پویا (Dynamic) استفاده می کند.
نکته: شما میتوانید Interface مورد نظر خود را هم به صورت Static IP و یا Dynamic IP تعریف نمایید.
پس از ایجاد اعضای SD-WAN و اضافه کردن آنها به یک زون، می توان از این زون در Policy های فایروال استفاده کرد و آن زون را در Static Routes به کار برد.
|
به طور پیش فرض، Retrieve Default Gateway از سرور (گزینه defaultgw در CLI) برای Interface های DHCP فعال است. این قابلیت باعث می شود اطلاعات Default Gateway از سرور DHCP دریافت شده و برای ایجاد یک Default Route از طریق Interface DHCP با فاصله (Distance) پیش فرض Administrative استفاده شود. (پیش فرض Administrative برای Interface های DHCP برابر با 5 و برای Static Routes برابر با 10 است. هنگام پیکربندی SD-WAN برای Load Balancing بار 50/50، مهم است که فاصله Interface DHCP را به 10 تنظیم کنید تا هر دو مسیر توازن بار را به طور مساوی مدیریت کنند.) |
در زمانی که شما از SD-WAN استفاده میکنید نیاز نیست در بخش Static Route گیت وی هرکدام از Interfaceها را جداگانه وارد کنید بلکه زون SD-WAN خود را انتخاب و معرفی میکنید.
FortiGate با استفاده از "Equal Cost Multi-Path (ECMP)" بر اساس فاصله (Distance) و اولویت (Priority)، مسیر یا مسیرهای ترجیحی را تعیین می کند.
|
به طور پیش فرض، یک Static Route یا Default Route که خروجی آن از یک زون SD-WAN است، فاصله Administrative Distance آن برابر با 1 است. config router static |
SD-WAN Rules تعیین می کنند که ترافیک به کدام عضو SD-WAN هدایت شود. اگر هیچ Rule تعریف نشده باشد ازDefault Implicit Rule استفاده می شود که می تواند یکی از چهار الگوریتم Load Balancing را انتخاب کند. روش های متداول برای توزیع مساوی ترافیک بین دو یا چند اتصال WAN شامل موارد زیر است:
ابتدا به مسیر Network > SD-WAN بروید و وارد تب SD-WAN Rules شوید و بر اساس نیاز شبکه خود یکی از Methodهای زیر را انتخاب کنید.
زون های SD-WAN می توانند در Policyها به عنوان Interface های مبدأ و مقصد استفاده شوند. اعضای SD-WAN جداگانه نمی توانند در Policyها استفاده شوند.
شما باید یک Policy پیکربندی کنید که اجازه عبور ترافیک از شبکه داخلی سازمان شما به SD-WAN Zoneرا بدهد. Policyهایی که برای SD-WAN Zone تنظیم شده اند، برای همهInterface های SD-WAN که در آن Zone قرار دارند اعمال می شود.
برای ایجاد یک Policy فایروال برای SD-WAN:
پایش لینک Performance SLA وضعیت سلامت لینک های متصل به Interface های SD-WAN Member را با ارسال سیگنال های بررسی (پروتکل هایPING-DNS-HTTP) به یک سرور می سنجد و کیفیت لینک را بر اساس تأخیر (Latency)، نوسان (Jitter) و میزان از دست رفتن بسته ها (Packet Loss) ارزیابی می کند. اگر یک لینک دچار خرابی شود، مسیرهای مرتبط با آن حذف شده و ترافیک به لینک های دیگر هدایت می شود. زمانی که لینک مجدداً فعال شود، مسیرها دوباره برقرار می شوند. این فرایند از ارسال ترافیک به لینک خراب و از دست رفتن آن جلوگیری می کند.
برای پیکربندی یک Performance SLA:
حال برای مشاهده ی نتیجه ی کانفیگ SD-WAN صفحات زیر را میتوانیم ببینیم و از درستی کانفیگ خود اطمینان پیدا کنیم.
به مسیر Network > SD-WAN بروید و زبانه SD-WAN Zones را انتخاب کنید تا استفاده از Interface های SD-WAN را بررسی کنید.
Bandwidth
گزینه Bandwidth را انتخاب کنید تا میزان داده های دانلود و آپلود شده برای هر Interface را مشاهده کنید.
Volume
گزینه Volume را انتخاب کنید تا نمودارهای دایره ای (Donut Charts) مربوط به بایت های دریافت شده و ارسال شده در Interface ها را مشاهده کنید.
Sessions
گزینه Sessions را انتخاب کنید تا نمودار دایره ای تعداد Session های فعال در هر Interface را ببینید.
به مسیر Network > SD-WAN بروید، زبانه Performance SLAs را انتخاب کنید و SLA را از جدول (سرور در این مثال) انتخاب کنید تا میزان Packet Loss، Latency و Jitter را بر روی هر عضو SD-WAN در سرور بررسی سلامت مشاهده کنید.
Packet loss
گزینه Packet Loss را انتخاب کنید تا درصد بسته های از دست رفته برای هر عضو را مشاهده کنید.
Latency
گزینه Latency را انتخاب کنید تا تأخیر کنونی به میلی ثانیه برای هر عضو را ببینید.
Jitter
گزینه Jitter را انتخاب کنید تا نوسان به میلی ثانیه برای هر عضو را مشاهده کنید.
به مسیر Dashboard > Network بروید، ویجت Routing را گسترش دهید و گزینه Static & Dynamic را انتخاب کنید تا تمام Static و Dynamic Routes را بررسی کنید.
به مسیر Policy & Objects > Firewall Policy بروید تا Policyهای SD-WAN را بررسی کنید.
SD-WAN Rules کنترل می کنند که چگونه Sessionها بین اعضای SD-WAN توزیع شوند. این قوانین از طریق GUI و CLI قابل تنظیم هستند. برای دسترسی به این تنظیمات از طریق GUI، به Network > SD-WAN > SD-WAN Rules بروید.
استراتژی تعیین می کند که چگونه ترتیب Interface ها و یا Zoneها با تغییر شرایط لینک تغییر کند. می توانید از استراتژی های زیر استفاده کنید:
1. خودکار (Automatic Strategy):
استراتژی خودکار یک قانون قدیمی (Legacy Rule) است که به شما امکان می دهد Outgoing Interface را بر اساس رتبه بندی عملکرد آن نسبت به سایر Interface های SD-WAN انتخاب کنید.
مثال: شما متوجه شده اید که یک اپلیکیشن غیرضروری (Non-Critical Application) مقدار زیادی از پهنای باند را اشغال می کند و می خواهید آن را به پایین ترین کیفیت لینک در هر لحظه ممکن اولویت بندی کنید.
|
گزینه خودکار تنها در CLI در دسترس است. اگر از GUI برای ویرایش Rule استفاده کنید، بازنویسی خواهد شد، زیرا در GUI نمی توانید گزینه خودکار را انتخاب کنید. |
2. حالت دستی (Manual Mode):
در این Mode بررسی سلامت (Health Checks) وجود ندارد. این Ruleها مانند Policy-Based Routes هستند ولی ویژگی هایی مثل مسیریابی آگاه به اپلیکیشن (Application-Aware Routing) و مسیریابی با برچسب BGP (BGP-Tag Routing) دارند.
یک Manual Strategy Rule شامل موارد زیر است:
3. حالت بهترین کیفیت (Best Quality Mode):
SD-WAN بهترین لینک را برای انتقال ترافیک با مقایسه فاکتور هزینه لینک (Link-Cost Factor) انتخاب می کند. (لیست Link-Cost Factor: Latency – Jitter – Packet Loss – Downstream – Upstream – Bandwidth – Customized profile)
مثال: Interface های SD-WAN شما (WAN1 و WAN2) به دو ارائه دهنده خدمات اینترنتی (ISP) متصل هستند و شما می خواهید خدمات Gmail از لینکی با کمترین تأخیر (Latency) استفاده کنند.
4. کمترین هزینه (Lowest Cost - SLA Mode):
SD-WAN لینکی را انتخاب می کند که کمترین هزینه را دارد و شرایط SLA را برای انتقال ترافیک برآورده می کند. (کمترین هزینه ممکن 0 است.) اگر چند لینک واجد شرایط با هزینه مشابه باشند، ترتیب اولویت Interface (Interface Preference Order) برای انتخاب لینک استفاده می شود.
مثال: Interface های SD-WAN شما به نام WAN1 و WAN2 به دو ارائه دهنده خدمات اینترنتی (ISP) متصل هستند. هزینه (Cost) WAN2 کمتر از WAN1 است. شما می خواهید خدمات Gmail را طوری پیکربندی کنید که از لینکی با هزینه کمتر استفاده کند، اما کیفیت لینک باید استانداردهای تأخیر (Latency) ۱۰ میلی ثانیه و نوسان (Jitter) ۵ میلی ثانیه را رعایت کند.
5. تعادل بار (Load Balancing):
استراتژی حداکثر پهنای باند (Maximum Bandwidth) که قبل از نسخه 7.4.1 FortiOS استفاده می شد، اکنون به عنوان استراتژی تعادل بار شناخته می شود. این استراتژی می تواند در حالت دستی و استراتژی کمترین هزینه (Manual Mode and the Lowest Cost (SLA)) پیکربندی شود.
|
عملکرد استراتژی تعادل بار همانند استراتژی حداکثر پهنای باند (SLA) باقی می ماند زمانی که در داخل استراتژی lowest cost (SLA) پیکربندی شود: ترافیک را از تمامی Interface ها که اهداف SLA را برآورده می کنند، متعادل می کند. هزینه رابط در زمان انتخاب بهترین مسیر هنگام استفاده از استراتژی تعادل بار در نظر گرفته نمی شود. |
بله، فورتیگیت این امکان را دارد که از SD-WAN و VPN به صورت ترکیبی برای افزایش کارایی و امنیت شبکه استفاده کند.
SD-WAN ترافیک شبکه را بهینه میکند و کارآمدتر از VPN مسیرهای اینترنتی را مدیریت میکند، در حالی که VPN امنیت ارتباطات را با رمزنگاری دادهها فراهم میسازد.
برای بهینهسازی Load Balancing، میتوان از الگوریتمهای Weighted Round Robin، Volume-Based، و Session-Based استفاده کرد تا ترافیک بهینه توزیع شود.
بله، SD-WAN فورتیگیت از طریق ترکیب با FortiGuard و دیگر سرویسهای امنیتی، امکان پیادهسازی Zero Trust را برای افزایش امنیت ارتباطات فراهم میکند.
برای ترافیکهای حیاتی مانند VoIP و Video Conference، Traffic Shaping الزامی است تا پهنای باند کافی و کاهش تأخیر تضمین شود.
برای تنظیم Failover، میتوانید مسیر پشتیبانی تعیین کرده و از Health Checks جهت تغییر خودکار به مسیر دوم در زمان اختلال استفاده کنید.
Link Aggregation به ترکیب چند لینک برای افزایش پهنای باند کمک میکند، در حالی که Load Balancing ترافیک را بهصورت بهینه در لینکهای موجود توزیع میکند تا کارایی شبکه افزایش یابد.
بله، با استفاده از Application Control و Policy-Based Routing، میتوانید برای هر اپلیکیشن اولویت خاصی تعیین کنید تا منابع شبکه بهصورت بهینه تخصیص یابد.
با استفاده از تنظیمات Link Health Monitoring، معیارهایی مانند Latency ،Jitter، و Packet Loss را مطابق با نیازهای شبکه تنظیم کنید تا بهترین کارایی در مسیرهای شبکه تضمین شود.
با سلام، ممنون بابت توضیحات بسیار کاملتون، لطفا برای بقیه قسمت ها هم آموزش تصویری درست کنید.
سلام، لطفا توضیحات این پایگاه دانش را تکمیل کنید.