FORTINET SD-WAN

SD-WAN ile FortiGate'de birden fazla WAN bağlantısını etkin şekilde kullanmak için SD-WAN bölgelerini , üyelerini ve trafik yükü dengelemeyi
yapılandırabilirsiniz. SD-WAN , farklı bağlantı türlerine bağlanabilen bir grup üye arabirimden oluşan sanal arabirimdir. FortiGate , tüm üye
arayüzlerini tek bir sanal arayüzde gruplandırır ; SD-WAN arayüzü. Yönetici , tek bir rota ve güvenlik duvarı ilkeleri kümesi yapılandırabileceği
ve bunları tüm üye arabirimlerine uygulayabileceği için SD-WAN'ın kullanılması yapılandırmayı basitleştirir. VDOM başına yalnızca bir SD-
WAN arabirimi olabilir. SD-WAN'ı dağıtmanın ana motivasyonlarından biri de birden fazla WAN bağlantısı kullandığınızda etkin WAN
kullanımıdır. Etkili WAN kullanımı , bant genişliği kullanımı , oturumlar veya uygulamaya duyarlı yönlendirme gibi çeşitli yük dengeleme
algoritmaları kullanılarak elde edilir. SD-WAN'ın diğer önemli özelliği de bağlantı kalitesi ölçümleridir. FortiGate , ping veya HTTP yankı “ Echo
“ kullanarak her bağlantı için gecikme “ latency “ , titreşim “ Jitter “ veya paket kaybı “ Packet Loss “ yüzdesini belirleyebilir ve bu ölçümlere
dayalı olarak dinamik olarak bağlantıları seçebilir. Bu da bizlere iş açısından kritik uygulamalar için yüksek kullanılabilirlik ( HA ) sağlar.

Müşteri büyük ölçüde pahalı , esnek olmayan MPLS'ye bağımlıdır. Tüm trafik , MPLS devresi üzerinden sağlayıcı bulutuna , ardından
uygulamalara bağlı olarak genel buluta veya internete yönlendirilir. Esneklik yoktur ve yine de müşteri için pahalı çözümdür. Müşteri , maliyetli
altyapı eklemeden yedeklilik , esneklik , güvenilirlik ve en önemlisi güvenliği nasıl ekleyebilir ? Müşteri , esneklik ve yedeklilik eklerken iş
açısından kritik uygulamalar için MPLS'yi tutmak istemektedir. MPLS ; daha az gecikme , sapma veya paket kaybıyla en iyi yola dayalı olarak
iş açısından kritik trafik ( ses ve video gibi ) göndermek için kullanılıyor. Mevcut yolun politika eşiğinin altına düşmesi durumunda , iş açısından
kritik trafik yeni tünele yönlendirilecektir. Kritik olmayan trafik , bant genişliğini en üst düzeye çıkarmak veya maliyeti en aza indirmek için
farklı hatlar arasında yük dengelemektedir. Aynı zamanda şube , internete doğrudan güvenli erişime sahip olabilir. Bu da bulut uygulama
performansını artırarak gerekirse SaaS ve IaaS içeriğini yükleyebilir.

Maliyetli MPLS'nin yerini iki internet VPN tüneli alabiliriz ve sonuçta sağlam esneklik ve yedeklilik kazanırız. MPLS'yi değiştirerek müşteri ,
kaliteyi en üst düzeye çıkarırken maliyeti en aza indirebilir. SD-WAN çözümü , ağ uygulamasına duyarlı bir çözümdür ve daha yüksek SLA'yı
sürdürmek için en iyi WAN'ı dinamik olarak seçer. SD-WAN'ı yapılandırdığınızda , en az iki üye arabirimi , bunlarla ilişkili ağ geçitleri , SD-WAN
bölgesi belirtmelisiniz. SD-WAN'ı FortiGate'in ilk kurulumu sırasında erkenden yapılandırmalısınız çünkü bir arayüze zaten bir güvenlik duvarı
ilkesi veya statik rota tarafından başvuruluyorsa , onu üye arayüzü olarak kullanamazsınız. Bir arabirimi SD-WAN üyesi olarak kullanmayı
düşünüyorsanız ve bu arabirime güvenlik duvarı ilkesi veya statik yol tarafından başvuruluyorsa , bu arabirimi SD-WAN üyesi olarak atamadan
önce ilgili güvenlik duvarı ilkesini ve statik yolu silmeniz gerekir. SD-WAN , fiziksel arabirimlerin yanı sıra VLAN , toplama ve IPsec arabirimlerini
de desteklemektedir. Daha fazla bant genişliği veya QoS seçeneği eklemek için daha sonrada kolayca başka bir üye arabirimi de
ekleyebilirsiniz. FortiGate , tüm üye arayüzlerini , rotalar oluşturmak için tek SD-WAN arayüzü denilen sanal arayüzde gruplandırır. SD-WAN'ın
kullanılması , yöneticinin tek bir dizi yapılandırmayı yapılandırabilmesi nedeniyle yapılandırmayı basitleştirir.

SD-WAN'ı etkinleştirdiğinizde örtük kural otomatik olarak oluşturulur. Diğer kurallardan herhangi biri için koşullardan hiçbiri karşılanmazsa ,
örtük kural kullanılır. Bu örtük kural , mevcut tüm SD-WAN üye bağlantıları arasındaki trafiği dengelemek için tasarlanmıştır. SD-WAN yük
dengeleme , eşit maliyetli çok yol “ equal cost multipath “ ( ECMP ) tarafından kullanılanlara benzer trafik dağıtım yöntemlerini kullanır. Fakat
SD-WAN bağlantı yük dengeleme , bir dengeleme yöntemi daha içermektedir ; volume

Varsayılan olarak , load-balance-mode , source-ip-based olarak ayarlanmıştır. Ancak , yük dengeleme modunu şunlardan herhangi birine
değiştirebilirsiniz ;

• source-ip-based ; Bir kaynak IP'den gelen tüm trafik aynı arayüze gönderilir.

• weight-based ; Daha yüksek ağırlıklı arayüzler daha yüksek önceliğe sahiptir ve daha fazla trafik alır.

• usage-based ; Tüm trafik listedeki ilk arayüze gönderilir. Bu arabirimdeki bant genişliği yayılma sınırını aştığında, bir sonraki arabirime yeni
trafik gönderilir.

• source-dest-ip-based ; Kaynak ve hedef IP yük dengeleme. Kaynak IP'den hedef IP'ye giden tüm trafik aynı arayüze gönderilir.

• measured-volume-based ; Hacim tabanlı yük dengeleme. Trafik, trafik hacmine göre (bayt cinsinden) yük dengelenir. Daha yüksek hacim
oranlarına sahip arayüzlere daha fazla trafik gönderilir.
SD-WAN arabirimlerini SD-WAN bölgeleri adı verilen daha küçük mantıksal gruplara bölebilirsiniz. Ardından , denetlenen ve izin verilen trafik
üzerinde daha ayrıntılı denetime sahip olmanızı sağlamak için SD-WAN bölgelerini güvenlik duvarı ilkelerinde kullanabilirsiniz. SD-WAN üyeleri
için birden fazla SD-WAN bölgesi oluşturabilirsiniz. Ancak , SD-WAN üyeleri birden fazla bölge arasında paylaşılamaz. Varsayılan olarak ,
FortiGate sanal-wan-link bölgesini oluşturmuştur.

Bir SD-WAN üyesi oluşturduğunuzda , bir arayüz , SD-WAN bölgesi ve bir ağ geçidi adresi belirtmelisiniz. FortiGate'de oluşturulan varsayılan
SD-WAN bölgesini kullanabilir veya yeni SD-WAN bölgesi oluşturabilirsiniz. SD-WAN bölgesine bir SD-WAN arayüzü atadıktan sonra , bölgeyi
değiştirme seçeneğiniz vardır. SD-WAN'ı etkinleştirdikten sonra üye arayüzlerini ve yük dengeleme yöntemini yapılandırdığınızda , statik rota
oluşturup SD-WAN adında mantıksal arayüz otomatik olarak arayüz listesine eklenecektir. Akabinde bu sanal arabirimi kullanarak rotaları
oluşturmalısınız.

Güvenlik duvarı ilkeleri için SD-WAN bölgelerini kaynak arabirim veya hedef arabirim olarak kullanmalısınız. Güvenlik duvarı ilkelerinde
bireysel üyeler veya SD-WAN sanal arabirimi kullanamazsınız. SD-WAN arayüzü ile oluşturulan güvenlik duvarı politikaları , trafiğin herhangi
bir üye arayüzü üzerinden iletilmesine izin verir. SD-WAN'ı uygularken yine de varsayılan rota yapılandırmanız gerekir. SD-WAN arabirimini
kullanan varsayılan rota yapılandırması ağ geçidi adresi gerektirmez çünkü FortiGate , paketleri üye arabirimi ağ geçidi bilgilerine dayalı olarak
uygun ağ geçidine iletir.

Bağlantı durumu izleyicisi “ link health monitor “ , yol boyunca yönlendiricinin ne zaman durdurulduğunu veya bozulduğunu algılayan
mekanizmadır. FortiGate , seçtiğiniz Algılama Moduna “ Detection Mode “ bağlı olarak performans SLA'sına katılan her bir SD-WAN üye
arayüzünün durumunu veya sağlığını kontrol edebilir.

• Etkin “ Active “ ; Bağlantı durumu , yapılandırılmış sunuculara araştırma paketleri gönderilerek ölçülür.

• Pasif “ Passive “ ; Bağlantı sağlığı , pasif-wan-sağlık ölçümü “ passive-wan-health-measurement “ etkinleştirilmiş güvenlik duvarı ilkelerinde
yakalanan oturum bilgileri kullanılarak ölçülür.

• Pasif Tercih Et “ Prefer Passive “ ; Bağlantı sağlığı , SD-WAN üyelerinden geçen trafik kullanılarak ölçülür.

Üye arabiriminden geçen trafik olmadığında , bağlantı sağlığını ölçmek için yapılandırılmış sunuculara araştırma paketleri gönderilir.
İşaretçileriniz olarak görev yapacak en fazla iki sunucu belirleyebilirsiniz. Bu , bağlantının değil , sunucunun hatalı olmasına karşı koruma
sağlar. GUI'de , üyeleri belirtebilir veya tüm SD-WAN üyelerini katılımcı olarak seçebilirsiniz. CLI'de artık üye 0 ekleyebilirsiniz ; bu , belirli
performans SLA'sı için tüm üyeleri katılımcı olarak eklemeye eşdeğerdir. Her katılımcı arabirimi üzerinden Performans SLA sayfasında
tanımlanan sunuculara ulaşmak için çekirdeğe FIB rota girişi eklenir. Bu çekirdek yolları proto=17 olarak işaretlenir. Bu çekirdek yolları , olağan
yönlendirme kaynaklarından bağımsız olarak hareket edecektir.

GUI , durum kontrolünü gerçekleştirmek için üç protokol seçeneği sunar ; ping , HTTP ve DNS fakat CLI'de altı seçeneğimiz bulunmaktadır. Bu
seçenekler şunlardır ; ping , HTTP ve DNS , tıpkı GUI'de olduğu gibi TCP yankısı “ TCP Echo “ , UDP yankısı “ UDP Echo “ ve İki Yönlü Aktif Ölçüm
Protokolü “ Two-Way Active Measurement Protocol “ ( TWAMP ). Bu performans SLA'sı ile ilişkili trafik için hizmet kalitesi , SLA Hedefleri “
SLA Targets “ tarafından tanımlanır. Bu performans SLA'sına atanan SD-WAN üye bağlantısının , diğer katılımcı bağlantılar arasından
seçilebilmesi için SLA hedefini karşılaması gerekir. Gereksinimlerinizi karşılamak için gecikme , titreşim ve paket kaybı eşiklerini yapılandırabilir
ve belirli uygulamalar için SD-WAN'da ince ayar yapmak üzere ayrıntılı SLA hedefleri oluşturabilirsiniz. SLA hedefleri , Performans SLA
sayfasında belirtilmiş olsa da , aslında orada kullanılmazlar. Bu sayfada yapılandırılan değerler , yalnızca bir kural tarafından başvurulduğunda
kullanılır. Bunu yapmak isteyeceğiniz birkaç senaryo olmasına rağmen , performans SLA'sı başına birden çok SLA hedefi oluşturabilirsiniz. Bir
şubede bulunuyorsanız ve aynı sunucu merkezinde çalışan birkaç farklı uygulama kullanıyorsanız , bir senaryo olabilir. Bu sunucuda sağlık
kontrolünü gerçekleştirmek için performans SLA'sı oluşturabilirsiniz fakat daha sonra farklı uygulamalar için farklı SLA hedeflerine sahip
olabilirsiniz. Bazı uygulamalar için kuralları daha hafif fakat diğerleri için daha katı hale getirebilirsiniz. Bununla birlikte , uygulamalar farklı
sunucularda çalışıyorsa , sağlık kontrolünün belirli uygulama sunucusuna karşı yapılmasını sağlamak için her uygulama için farklı performans
SLA'ları oluşturmak isteyebilirsiniz. Ve her performans SLA'sı , o uygulama için yalnızca bir SLA hedefi “ SLA Target “ gerektirir.

Bağlantı Durumu “ Link Status “ , trafiği başka bir bağlantıya aktarması gerekip gerekmediğini belirlemek için sistemin bağlantı durumunu ne
sıklıkta kontrol edeceğini belirten ayarları içerir. Etkin Olmadan Önce Hata “ Failure before Inactive “ ve Bağlantıdan Sonra Geri Yükle “ Restore
link after “ ayarları , sistemin , çırpma ” flapping “ olarak bilinen bir durum olan bağlantılar arasında sürekli olarak trafik aktarmasını engeller.

Performans SLA'sı ( sağlık kontrolleri ) , performans SLA'sına katılan üye arayüzüne bağlı bağlantıların kalitesini ölçer. Bu ölçüm için üç farklı
ölçüt kullanılır ; gecikme “ latency “ , titreşim “ Jitter “ ve paket kaybı “ Packet Loss “ yüzdesi.

Her üyenin bağlantı kalitesine göre trafiği yönlendirmek için kullanılan kurallar dahilinde SLA kriterlerine göre kullanılan bu değerlerdir.

Görüntülenen Paket kaybı , Gecikme ve Titreşim , performans SLA'sının kullandığı sunucudan alınan yanıtlara dayanmaktadır. Sistem ilk
sunucu ile başlar. Bu sunucu kullanılamaz hale gelirse , ikinci sunucuya geçer. Kullanılamaz hale gelene kadar o ikinci sunucuda kalır , bu
noktada ilk sunucuya geri döner. Her iki sunucu da kullanılamıyorsa , bu performans SLA'sı ölü kabul edilir.

Yeşil yukarı okların , paket kaybı , gecikme ve titreşim değerlerinden bağımsız olarak sadece sunucunun sistem durumu denetimine yanıt
verdiğini gösterdiğine dikkat etmek önemlidir. Bu , SLA'lardan herhangi birinin karşılandığının göstergesi değildir. Performans SLA'sını
yapılandırmak için kullanılan CLI komutları daha fazla seçenek sunar. tcp-echo , udp-echo , tcp-connect , ftp ve twamp seçenekleri yalnızca
CLI'de mevcuttur. Bu seçenekler , kendilerini destekleyen herhangi iki cihaz arasında gidiş-dönüş ağ performansını ölçmek için farklı yöntemler
sağlar. Yalnızca seçtiğiniz performans SLA protokolüne dayalı olarak kullanılabilen başka sadece CLI seçenekleri vardır. Gecikme , sapma ve
paket kaybı kalite kontrolleri için uyarı ve uyarı eşiklerini yapılandırabilirsiniz. Bunlar ayrıca GUI'de mevcut değildir.

SD-WAN kurallarında yetkinliği göstererek , iş açısından kritik uygulamalar için yüksek kullanılabilirlik sağlamak için bağlantı kalitesine dayalı
dinamik bağlantı seçimini yapılandırabilmelisiniz.
SD-WAN kuralları , hangi trafiği hangi arabirim üzerinden yönlendirmek istediğinizi belirlemenize olanak tanır. SD-WAN kurallarını , bir
bağlantının SLA Hedefleri sayfasında yapılandırdığınız ayarlara göre gecikme , titreşim veya paket kaybı yüzdesine göre çıkış arayüzünü
seçmek için yapılandırabilirsiniz. Kurallar , güvenlik duvarı ilkeleriyle aynı şekilde değerlendirilir ; ilk eşleşme kullanılarak yukarıdan aşağıya
doğru. Trafiği eşleştirmek için şu parametreleri kullanabilirsiniz ; Kaynak IP Adresi. Hedef IP adresi. Hedef bağlantı noktası numarası. Hedef
olarak ISDB adres nesneleri. Hedef olarak güvenlik duvarı uygulaması. Kullanıcılar veya kullanıcı grupları. Hizmet türü ( ToS ).

SD-WAN kuralları , trafiği eşleştirirken büyük esneklik sunar. Belirli kimliği doğrulanmış kullanıcılardan gelen Dropbox trafiğini ISS üzerinden
yönlendirirken , internet trafiğinizin geri kalanını başka ISS üzerinden yönlendirebilirsiniz. SD-WAN , uygulamaları belirli bir bağlantı boyunca
yönlendirmek için Uygulama Denetimi veritabanının yanı sıra İnternet Hizmetleri veritabanını da kullanabilir.

FortiGuard bu veritabanlarının bakımını yaparak FortiGate periyodik olarak güncellenmiş kopya alır. Uygulama Denetimi veritabanını
kullanırken , en doğru uygulama tanımlaması için SSL denetimini etkinleştirmelisiniz. FortiGate SD-WAN , giden arayüzleri seçmek için dört
strateji sunar ; Manuel , En İyi Kalite “ Best Quality “ , En Düşük Maliyet “ Lowest Cost “ ( SLA ) , Bant Genişliğini En Üst Düzeye Çıkar “ Maximize
Bandwidth “ ( SLA ). Manuel'i seçerseniz , trafiği göndermek istediğiniz arayüz önceliğini belirtebilirsiniz. Trafik kural kriterleriyle eşleşirse ,
trafik ; arayüz tercihine göre ilk kullanılabilir arayüzden çıkar. Bu strateji , performans SLA'sı veya SLA hedeflerine bağlı değildir. En iyi kalite
stratejisi , ağın performansına dayanmaktadır. Varsayılan olarak kalite kriteri %10'dur fakat “ set link-cost- threshold “ komutunu kullanarak
bunu CLI'de değiştirebilirsiniz. Burada hiçbir SLA kullanmadığınızı unutmayınız. Performans SLA'sında ki ( DC_PBX_SLA ) kalite kontrolü , kalite
kriterlerine göre sadece sunucu bilgilerini ( sağlık kontrolü ) kullanır. Gecikme , titreşim ve paket kaybı yüzdesi seçeneklerini kullanabilirsiniz.
FortiGate'in bağlantıyı gelen , giden veya çift yönlü trafiğin mevcut bant genişliğine göre seçmesi için bant genişliği seçeneklerini de (
Downstream bant genişliği “ Downstream bandwidth “ , Upstream bant genişliği “ Upstream bandwidth “ veya Çift yönlü bant genişliği “
Bidirectional bandwidth “ ) kullanabilirsiniz. Bu yararlıdır çünkü kullanıcılar bazı uygulamaları öncelikli olarak indirmek için diğer uygulamaları
ise öncelikli olarak karşıya yüklemek için kullanabilirler.

Son seçenek olan özel profil-1 “ custom profile-1 “ , bağlantı seçimini ölçüt değerlerinin kombinasyonuna dayandırmanıza olanak tanır.
Bağlantı kalitesi denklem tarafından belirlenir. Değer ne kadar büyük olursa , kriterlerin seçimde o kadar fazla ağırlığı olacaktır. Bu kriterleri
denklemden çıkarmak için ağırlık değerini sıfırda bırakınız. En düşük maliyet ( SLA ) stratejisini kullandığınızda , trafiği ölçmek istediğiniz
performans SLA'sından SLA hedefi seçersiniz. Performans SLA'sının birden fazla SLA hedefi olsa bile , söz konusu performans SLA'sından
sadece SLA hedeflerinden birini seçebileceğinizi unutmayınız. FortiGate , En Düşük Maliyet ( SLA ) için giden arayüz seçmek için akış takip
eder. Örneğin , SD-WAN'ın dört üyesi olduğunu düşünürsek ; interface 1 , 2 , 3 ve 4. İlk olarak , FortiGate SLA'yı dikkate alarak arayüz 4'ü
giden arayüz seçiminden çıkarır. SLA'yı temel alan FortiGate , üç arayüzü dikkate alacaktır. Ardından FortiGate , herhangi bir arabirimi
değerlendirmeden çıkarmanın maliyetini değerlendirir. Maliyeti , SD-WAN Arayüz Üyeleri “ SD-WAN Interface Members “ altındaki Ağ “
Network “ > SD-WAN'da yapılandırabilirsiniz. FortiGate daha düşük maliyetli arayüz seçer. FortiGate giden arayüz seçmek için tüm arayüzler
için ayarlanan öncelikleri kontrol eder.

Maksimum Bantgenişliği “ Maximize Bandwith “ özelliği , SD-WAN kuralı için yeni bir yük dengesi modu sunar. Trafik , kural belirtimleriyle
eşleşirse , trafik , SLA belirtimini karşılayan , seçilen üyeler arasında yük dengelenir. Birden fazla SLA kriteri varsa , trafik sadece en SLA
kriterlerini karşılayan üyelere göre yük dengelenir. Bu yöntemi kullanan FortiGate , maliyet veya önceliği dikkate almayacaktır.

Uygulamaya özel kurallar , güvenlik duvarı ilkeleriyle aynı şekilde değerlendirilir ; ilk eşleşme kullanılarak yukarıdan aşağıya.

SD-WAN'ı etkinleştirdiğinizde örtük kural “ implicit rule “ otomatik olarak oluşturulur. Diğer kurallardan herhangi birinin koşullarından hiçbiri
karşılanmazsa , örtük kural kullanılır. Bu örtük kural , mevcut tüm SD-WAN üye bağlantıları arasındaki trafiği dengelemek için tasarlanmıştır.
Örtük kurala çift tıklamak yük dengeleme seçeneklerini görüntüler. ISDB rotalarına benzer şekilde , SD-WAN kuralları politika rotaları olarak
işlev görür. Yönlendirme tablosundaki diğer rotalardan önceliklidirler. Politika yönlendirme söz konusu olduğunda , FortiGate SD-WAN
politika rotalarını kontrol etmeden önce düzenli politika rotalarını kontrol eder.