0

Configuración SD-WAN en Firewall Fortigate

Publicada en por Jose Ramon Ramos Gata

Hola a tod@s,

En este post vamos a ver cómo configurar SD-WAN (Software-Defined WAN) en firewalls fortigate.

SD-WAN es una interface virtual compuesta por 2 o más interfaces con acceso a Internet, el objetivo de SD-WAN es hacer un uso mucho más efectivo de nuestras conexiones hacia internet aplicando diferentes criterios de balanceo.

  • Antes de empezar vamos a ver las interfaces de red que tenemos configuradas en nuestro firewall, para ello, accedemos a Network > Interfaces y vemos que ya tenemos configuradas la interface LAN y dos interfaces WAN para la salida a Internet, estas dos interfaces son las que vamos a configurar para la SD-WAN:

  • Para empezar a configurar SD-WAN accedemos a Network > SD-WAN y la configuramos manualmente:

  • Sobre SD-WAN Zones podemos ver que hay creada ya una interface virtual, podemos utilizar esta interface y añadirle los miembros y empezar a trabajar, pero en nuestro caso nos vamos a crear una nueva zona y le vamos a añadir como miembros nuestras dos interfaces WAN:

  • Le indicamos un nombre y OK:

  • Aquí vemos que ya la tenemos creada:

  • Ahora vamos a añadir y configurar las interfaces miembros de esta nueva zona SD-WAN, para ello, accedemos a Create new > SD-WAN Member:

  • Añadimos las dos interfaces WAN que tenemos en nuestro firewall, indicándole la zona, la puerta de enlace, el costo y la habilitamos:

  • Vemos que ya tenemos la zona creada con nuestras dos interfaces WAN:

  • Si accedemos de nuevo a Network > Interfaces podemos ver la interface virtual para la nueva zona SD-WAN y las interfaces que la componen (WAN1 y WAN2):

  • El siguiente paso será crearnos la ruta estática por defecto para la salida a Internet por la SD-WAN, para ello, accedemos a Network > Static Routes > Create new y creamos la ruta por defecto para la SD-WAN:

  • Aquí vemos que ya la tenemos creada:

  • Para verificar que funciona, desde la CLI le hacemos un ping a google.com y vemos que ya recibimos respuesta:

  • Empezamos a ver tráfico sobre la SD-WAN, de momento sólo hay tráfico por la WAN1 ya que no tenemos configuradas las performance SLAs, entonces no estamos aplicando ningún tipo de balanceo, simplemente la interface WAN2 entrará a funcionar si la WAN1 cae, ahora más adelante configuraremos las performance SLAs:

  • Ahora vamos a crear una política en el firewall para darle acceso web a todos los usuarios de nuestra red interna LAN a través de la SD-WAN:

  • Aquí tenemos la política creada:

  • Ahora vamos a ver las Performance SLAs, accedemos a Network > SD-WAN > Performance SLAs y vemos que por defecto ya tenemos creadas algunas, con las Performance SLAs vamos a poder balancear por distintos criterios entre todas las interfaces miembros de la SD-WAN, estas performances SLAs que nos ha creado por defecto no tienen asignadas ninguna interface:

  • En nuestro caso nos vamos a crear estas dos performances SLAs y las vamos a asociar a las dos interfaces WAN1 y WAN2 de nuestra SD-WAN:

  • Como podemos ver, aquí las tenemos ya creadas y configuradas:

  • Ahora si accedemos a nuestra zona SD-WAN, ya podemos ver que estamos realizando balanceo de carga, vemos que ya tenemos tráfico en ambas interfaces, no como antes, que todo estaba saliendo por la WAN1 y si fallaba ésta, entonces entraba en funcionamiento la WAN2:

  • Realmente el balanceo de carga se realiza a través de las reglas de SD-WAN, y por defecto, ya trae una regla implícita, que realiza un balanceo del 50% en cada interface, nosotros nos podemos ir creando reglas más específicas y configurar balanceos por ejemplo a sitios webs más específicos a través de estas reglas, esta sería la regla implícita por defecto:

  • Para Source IP, el tráfico se divide a partes iguales entre los miembros, y las sesiones que comienzan en la misma dirección de origen utilizan la misma ruta:

  • Para Sessions, el tráfico se distribuye en función del número de sesiones que se conectan a través del miembro:

  • Para Spillover, el miembro de mayor prioridad se utiliza hasta que el ancho de banda supera los umbrales de entrada y salida, el tráfico adicional se envía a través del siguiente miembro SD-WAN:

  • Para Source-Destination IP, el tráfico se divide a partes iguales, las sesiones que empiezan en la misma dirección IP de origen y van a la misma dirección IP de destino utilizan la misma ruta:

  • Para Volume, la carga de trabajo se distribuye en función del número de paquetes que pasan por el miembro:

  • Y estos serían los algoritmos de balanceo de carga utilizados para la regla implícita por defecto, con origen en todos (all) y destinos en todos (all).
  • Nosotros nos podemos crear reglas más específicas que se irán ubicando por encima de la regla implícita, teniendo así mayor prioridad, por ejemplo, nos vamos a crear una regla para el acceso a LinkedIn de los usuarios de nuestra LAN, para ello, accedemos a SD-WAN > SD-WAN Rule:

  • Damos a Create new, dónde le asignamos un nombre, le indicamos el origen, que serán los equipos de nuestros usuarios, el destino que va a ser el servicio de internet LinkedIn-Web, le indicamos la estrategia del balanceo de carga a seguir, que será la que tenga mejor calidad con respecto al criterio de latencia utilizando uno de los performances SLAs que nos creamos anteriormente:

  • Aquí tenemos la regla ya creada y operativa:

  • A partir de aquí podemos ir ya configurando las reglas que nos vayan interesando y con los distintos balanceos de carga que nos vengan mejor.

Saludos y espero que os sea de ayuda 😉

Jose Ramon Ramos Gata

Técnico Superior STI

More Posts

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.