教程篇(6.4) 01. 介绍 ❀ SD-WAN ❀ Fortinet 网络安全架构师 NSE７

在本节课，你将学习SD-WAN。

完成此部分后，你应该能够实现此幻灯片上显示的目标。

为了理解SD-WAN，我们以公路旅行为例。

　　每个人都喜欢好的自驾游，享受轻松、免费的旅行。

但没有人喜欢拥堵或糟糕的道路质量。

在过去，你不得不求助于纸质地图；但它们并不能真正解决前面提到的大多数问题。

　　现在我们生活在一个信息时代，而所有这些问题都已成为过去，因为技术的力量。在技术的帮助下，你甚至可以完全避免这类问题。

SD-WAN帮助你解决非常类似的问题，例如在网络中饱和的互联网链路，或者链路可能没有饱和，但可能有一系列损害，如数据包丢失或高延迟。你还需要为完全的链接失败做好计划。

SD-WAN是一组可以连接不同链路类型的成员接口组成的虚拟接口。FortiGate将所有物理成员接口组合成一个虚拟接口：SD-WAN接口。使用SD-WAN可以简化配置，管理员只需配置一组路由和防火墙策略，并将其应用到所有成员接口上。每个VDOM只能有一个SD-WAN接口。

　　部署SD-WAN的主要动机之一是在使用多个WAN链接时有效地使用WAN。有效的WAN使用是通过各种负载均衡算法实现的，例如带宽使用、会话或应用程序感知路由。SD-WAN的另一个重要特性是链路质量测量。使用ping或HTTP回音, FortiGate可以确定每个链路的延迟、抖动或包丢失百分比。并根据这些度量动态地选择链接。这确保了业务关键型应用程序的高可用性(HA)。

Fortinet安全SD-WAN解决方案由多个组件组成。FortiOS是SD-WAN安全解决方案。总体而言，组成Fortinet安全SD-WAN解决方案的组件是：FortiGate、FortiManager、FortiAnalyzer和FortiDeploy。

FortiGate提供了安全的SD-WAN解决方案，包括具有下一代防火墙安全性和QoS的可靠SD-WAN路由。

FotiGate提供了先进的SD-WAN特性，如应用感知路由、多路径智能、多宽带支持、简化监控和安全。

SD-WAN提供了使用规则和性能SLA路由和控制特定应用程序的性能的特性。

现在可以为特定规则指定性能SLA，为特定于应用程序的流量提供优先级。

Fortinet的SD-WAN SOC4 ASIC旨在为商业关键应用提供最高质量的体验，使SD-WAN、高级路由和安全性能够实现最高质量的体验，而没有任何性能和安全问题。

　　这种定制设计的硅芯片提供了行业中最快的应用识别和导向，同时提供连接和先进的安全能力，比竞争对手快10倍。

现在，你将了解SD-WAN用例。在本幻灯片显示的示例中，客户严重依赖昂贵的、不灵活的MPLS。所有流量都通过MPLS电路路由到供应商云，然后根据应用程序路由到公共云或互联网。在这个场景中没有灵活性，但是对于客户来说，这是一个昂贵的解决方案。客户如何在不增加昂贵的基础设施的情况下增加冗余、灵活性、可靠性，以及最重要的安全性?本节课你将学习解决方案。

在这张幻灯片展示的例子中，昂贵的MPLS被两个互联网VPN隧道所取代，但获得了强大的弹性和冗余。通过替换MPLS，客户可以实现成本最小化、质量最大化。SD-WAN解决方案是一种网络应用感知的解决方案，可以动态选择最佳WAN，以保持更高的SLA。

在本幻灯片所示的示例中，客户使用两个ISP连接来实现冗余。ISP-A被用于发送基于时延、抖动或丢包的最佳路径的关键业务流量。如果当前路径降低到策略阈值以下，关键业务流量将被重路由到一个新的ISP, ISP-B非关键业务流量也跨两个ISP线路负载均衡，以最大化带宽。

本幻灯片中的例子显示了三个分支机构通过internet通过MPLS或IPsec VPN连接到总部。所有三个分支机构都通过总部路由所有流量，以利用安全的SD-WAN解决方案。HQ正在检测流量是否存在漏洞，如果需要，还可以在多个ISP线路上对流量进行负载均衡。

完成此部分后，你应该能够实现此幻灯片上显示的目标。

　　通过在SD-WAN中展示能力，可以在FortiGate上配置SD-WAN虚拟链路和流量负载均衡，从而有效地使用多条WAN链路。

配置SD-WAN时，必须至少指定两个成员接口及其关联网关。在初始设置FortiGate时，应该尽早配置SD-WAN，因为如果某个接口已经被防火墙策略或静态路由引用，则不能将其作为成员接口使用。如果需要使用某个接口作为SD-WAN成员，且该接口正在被防火墙策略或静态路由引用，必须先删除关联的防火墙策略和静态路由，才能将该接口分配为SD-WAN成员。SD-WAN支持物理接口、VLAN接口、聚合接口、IPsec接口等。

　　你还可以在以后方便地添加另一个成员接口，以添加更多的带宽或QoS选项。

　　FortiGate将所有成员接口组合成一个虚拟接口：SD-WAN接口。通过使用SD-WAN，管理员可以配置一组路由和防火墙策略，并将其应用到所有成员接口上，从而简化了配置过程。每个VDOM只能有一个SD-WAN接口。

　　启用SD-WAN时自动生成隐式规则。如果不满足任何其他规则的任何条件，则将使用隐式规则。此隐式规则旨在平衡所有可用SD-WAN成员链路之间的流量。在本课的后面，你将学习SD-WAN规则。

SD-WAN负载均衡使用的流量分配方法与相等成本多路径(ECMP)使用的方法类似。然而，SD-WAN链路负载均衡还包括一种负载均衡方式：卷。

　　缺省情况下，load-balance-mode为source-ip-based。然而，你可以改变负载均衡模式为以下任意一种：

　　● 源IP (source-ip-based)：

　　　　一个源IP的所有流量都被发送到同一个接口。

　　● 会话 (weight-based)：

　　　　权值越高的接口优先级越高，流量越大。

　　● 溢出 (usage-based)：

　　　　所有流量被发送到列表中的第一个接口。当该接口的带宽超过溢出限制时，将向下一个接口发送新的流量。

　　● 源-目标IP (source-dest-ip-based)：

　　　　源IP和目标IP负载均衡。源IP到目标IP的所有流量都被发送到同一个接口。

　　● 使用量 (measured-volume-based)：

　　　　基于使用量的负载均衡。会话基于流量使用量(字节)进行负载均衡。更多的流量被发送到更高使用量比例的接口。

通过基于会话和基于可用量的负载均衡，可以根据每个SD-WAN成员配置的接口权重定制流量分配。该权重仅适用于SD-WAN静态路由。通过这些负载均衡方式，流量将基于会话进行负载均衡。

　　在基于会话的负载均衡算法中，权重分配是基于每个SD-WAN成员会话的数量。

　　在基于可用量的负载均衡算法中，权重分配是基于每个SD-WAN成员发送的累计字节数。

使用这种负载均衡算法，流量将根据定义的最大可用带宽进行负载均衡。一旦达到了配置的限制，就会选择另一个接口发送流量。

开启SD-WAN功能并配置成员接口和负载均衡方式后，将自动将名称为SD-WAN的逻辑接口添加到接口列表中。接下来，你可以使用这个虚拟接口创建路由和防火墙策略。

　　你也可以在CLI中通过单个SD-WAN成员接口创建防火墙策略和静态路由。

　　在实现SD-WAN时，仍然需要配置缺省路由。使用SD-WAN接口的缺省路由配置不需要网关地址，因为FortiGate根据成员接口网关信息将把数据包转发到适当的网关。

　　使用SD-WAN时，不需要为单个成员接口配置多个防火墙策略。使用SD-WAN接口创建的防火墙策略允许流量通过任意成员接口转发。

即使你使用SD-WAN虚拟接口配置了路由，FortiGate仍为路由表中的成员接口安装单独的路由。这些路由具有相同的属性(目的地址和子网、距离和优先级)，并且都是活动的。这使得FortiGate可以在接口中断的情况下删除单独的路由，并将所有流量重定向到剩余的成员接口，而不影响整个SD-WAN负载均衡组。