Организация филиальной сети по технологии SD-WAN на основе NGFW FortiGate — SENETSY
Системный интегратор
Казахстан | Алматы

Организация филиальной сети по технологии SD-WAN на основе NGFW FortiGate

КУРС ОБУЧЕНИЯ
В ПОДАРОК

 Check Point, Fortinet, Juniper, Positive Technologies, UserGate, Лаборатория Касперского

Главная Материалы Публикации Статьи и заметки сотрудников Организация филиальной сети по технологии SD-WAN на основе NGFW FortiGate
Статьи и заметки сотрудников
28 мая 2025
Автор:
Сергей Шорохов
Сетевой инженер

Организация филиальной сети по технологии SD-WAN на основе NGFW FortiGate.

В общем случае.

Разберем типовую для крупного бизнеса задачу: объединение центрального офиса и филиалов в единую, защищенную VPN сеть. В проектах подобного рода под «центральным офисом» обычно подразумевается дата-центр компании (colocation или on prem), а под филиалом — любая точка, с которой «центральный офис» должен быть связан: от банкомата/киоска самообслуживания, до полноценного офисного здания или производственного комплекса. Вне зависимости от количества площадок потребуется объединить и объемов трафика, которые будут передаваться между ними для данной сети характерно несколько базовых принципов:
  • Все ресурсы компании, к которым необходим постоянный доступ, размещаются в дата-центре (если того прямо не запрещают требования безопасности).
  • Права на доступ к сетевым ресурсам для пользователей сети должны выдаваться по принципу наименьших привилегий, контроль должен осуществляться как можно ближе к пользователю.
  • Трафик компании должен быть защищен при помощи туннелирования.
  • Все критически важные каналы должны быть зарезервированы, переключение между ними должно осуществляться автоматически с даунтаймом не превышающим допустимых значений.
  • Те же правила распространяются на трафик, передающийся между филиалами.
В общем виде в подобной инфраструктуре существует три вида трафика:
  • Трафик между ресурсами дата-центра и филиалом (Hub-Spoke).
  • Интернет трафик. Причем в зависимости от требований бизнеса, доступ в Интернет может предоставляться как локально (local breakout), так и через дата-центр. Второй вариант применяется когда требуется централизованное управление интернет трафиком на NGFW дата-центра.
  • Трафик между филиалами. (Spoke-Spoke) Опять же, в зависимости от требований бизнеса данный трафик может идти как через дата центр, так и напрямую между филиалами. Если используется второй вариант, то применяется технология динамического построения туннелей, когда первые пакеты маршрутизируются через Hub, после чего устанавливается дополнительный туннель Spoke-Spoke.
  1. Применяемые технологии.
    2. Для построение архитектуры SD-WAN FortiGate предлагает следующие подсистемы:
    • IPsec   Для построения туннелей и защиты трафика используется протокол IPsec. В случае выбора варианта с ADVPN, в качестве Remote Gateway на Hub указывается Dialup user, что означает, что туннель настроен на прием всех соединений с корректными ключами.
    • Routing   Обмен маршрутами осуществляется при помощи протокола динамической маршрутизации. Доступные: OSPF, BGP, RIP. Из данной тройки предпочтение следует отдавать BGP, поскольку он предоставляет самые широкие возможности по контролю анонсируемых маршрутов, а также обходится значительно меньшим количество control plane пакетов (по сравнению с OSPF).
    • NGFW   Решение о маршрутизации трафика принимается на NGFW FortiGate. В зависимости от требований это может быть либо физическое устройство, либо виртуальная машина. При этом, несмотря на то, что с точки зрения течения маршрутизации можно выделить hub и spoke, с точки зрения management plane все устройства являются равноправными и решение о маршрутизации трафика принимают самостоятельно.
    • ADVPN   Для автоматизации построения туннелей spoke-spoke используется проприетарная технология FortiGate ADVPN. Данная технология позволяет строить защищенные туннели, используя информацию, полученную в ходе phase 1 IKE. Могут применяться обе версии протокола IKEv1 и IKEv2, хотя их работа будет несколько отличаться (при процедуре обновления ключа; rekeying).
  2. Задачи типового проекта.
    3. Описав основные технологии, рассмотрим типовой проект и подберем подходящее оборудование. Начнем с базовых требований:
    • Один дата-центр, в котором размещены сетевые ресурсы компании.
    • Филиалы двух типов: 1 тип имеет доступ к ресурсам друг друга и к ресурсам дата-центра, 2 тип имеет доступ только к ресурсам дата-центра.
    • Каждый филиал соединяется с дата центром через 2 независимых канала.
    • Доступ в интернет осуществляется локально (local breakout).
    • Переключением между каналами должно происходить автоматически, основываясь на IP SLA.
    Оборудование в дата-центре рекомендуется установить в HA кластер. В зависимости от требований в объему передаваемого трафика в кластере может быть от 2 до 4 устройств. Вне зависимости от того будут устройства в кластере установлены в active-passive либо active-active режиме, с точки зрения spoke (т.е с точки зрения конфигурации туннелей и маршрутизации) его можно рассматривать как одно устройство. Настраиваем динамические туннели ADVPN на Hub и тех spoke, на которых разрешен обмен трафиком между внутренними сетями. Удобнее всего сделать эти настройки через wizard, однако в этом случае будет выбран протокол IKEv1. Чтобы использовать протокол IKEv2, необходимо настроить туннели hub-spoke вручную. Процедура такая же, как и для стандартных IPsec туннелей, но нужно настроить режим на hub Remote Gateway — Dialup user, и выбрать опцию Auto discovery sender в расширенных настройках (для spoke устанавливаем Auto discovery receiver). За обмен маршрутами будет отвечать протокол динамической маршрутизации. Выбор конкретного протокола будет зависеть от уже работающих в сети протоколов и от размера сети. Общие рекомендации по настройке следующие:
    • iBGP   Hub — выступает в качестве RR, для контроля анонсирования маршрутов используем prefix list и route map. Spokes — RR clients.
    • eBGP   Для упрощения схемы spokes — можно поместить в одну AS. Для того, чтобы spokes могли изучать маршруты друг друга используем функцию eBGP Allow AS in.
    • OSPF   Для ограничения объема служебного трафика используем stub area для spoke маршрутизаторов. Чтобы предотвратить появление ненужных маршрутов в RIB, необходимо воспользоваться distribute-list-in и route map.
    Поскольку FortiGate — это в первую очередь NGFW, необходимо в явном виде разрешить обмен трафиком между всеми интересующими нас подсетями.
    • Трафик spoke-hub будет использовать существующий туннель.
    • Трафик spoke-spoke будет использовать динамический ADVPN-туннель. (Кроме первых нескольких пакетов, которые пройдут через hub).
    Если стоит задача обеспечить изоляцию филиалов друг от друга,применяются следующие методы:
    • Используются статические IPsec-туннели hub-spoke.
    • Используются правила firewall для фильтрации трафика.
    В зависимости от требований проекта все вышеприведенные способы могут применяться вместе.
    Для организации автоматического переключения между каналами используется технология SD-WAN. Она использует Performance SLA для определения качества канала, основываясь на следующем:
    • Health checks
    • SLA targets
    • Link status
    Основываясь на этих параметрах оценивается качество линка и осуществляется переключение по одной из стратегий:
    • Manual strategy
    • Best quality strategy
    • Lowest cost (SLA) strategy
    • Load balancing strategy
    Выбор Performance SLA и стратегии будет зависеть от требований бизнес процессов, однако рекомендуется придерживаться следующих правил:
    • Интерфейсы SD-WAN
      Для сети филиалов, целесообразно объединять в SD-WAN группу туннельные интерфейсы. Если один из них рассматривается как основной, ему присваивается меньшая метрика при выборе стратегии SD-WAN.
    • Performance LSA
      Для выполнения проверок Health checks рекомендуется использовать IP-адреса находящиеся как можно «ближе» приложениям и ресурсам к которым мы организуем доступ.
    • Правила SD-WAN
      Пункт который будет в наибольшей степени зависеть от требований конкретного бизнеса. Например: Сеть назначения — Datacenter NET, Стратегия — предпочитать линк с наименьшей стоимостью.
    • Политики Firewall
      Необходимо в явном виде разрешить доступ к ресурсам. Нужно учитывать, что политики применяются в отношении SD-WAN зоны, а не отдельных SD-WAN линков.
  3. Рекомендации по резервированию
    4. Если в компании существуют специальные требования для резервирования критических ресурсов или же сеть компании достаточно велика, что предполагает использование нескольких дата-центров, то можно применить одну из следующих схем:
    Dual-Hub
    Данная схема предполагает наличие нескольких центральных хабов, с которыми соединены все филиалы.
    • Данная схема предполагает наличие нескольких центральных хабов, с которыми соединены все филиалы.
    • Настройки IPsec и ADVPN остаются неизменными.
    • Туннели до каждого из хабов объединяются в SD-WAN группы.
    • Разделение групп на Active и Backup осуществляется за счет назначения большей стоимости линков для Backup SD-WAN группы.
    • При данном подходе балансировка производится через назначение разным группам филиалов разных Active дата-центров.
    Multi-region
    В случае, если сеть компании распределена по нескольким географическим регионам и соединение каждого филиала с каждым дата-центром нецелесообразно, применяется multi-hub дизайн.
    • Филиалы в каждом из регионов соединяются только с хабом данного региона.
    • Настройки IPsec и ADVPN остаются неизменными.
    • Обмен маршрутами между регионами осуществляется посредством протокола динамической маршрутизации (обычно это BGP).
        • Если обмен трафиком между филиалами планируется только в рамках одного региона, то для обмена маршрутами между регионами может быть использован eBGP.
      • Если обмен трафиком между филиалами планируется только в рамках всей сети (т.е. предполагается построение межрегиональных ADVPN туннелей) для обмена маршрутами должен быть использован iBGP.

Резервирование инфраструктуры филиала

Для резервирования инфраструктуры филиала существует несколько решений:
  • Отказоустойчивый кластер. В случае, если филиал — это полноценная офисная сеть, имеющая несколько проводных подключений, то стратегия резервирования не отличается от резервирования в рамках одного дата-центра. Подходящие по мощности устройства устанавливаются в отказоустойчивый кластер.
  • Foritextender. Применяется в случае, когда установка кластера финансово не оправдана, а так же отсутствует резервируемое подключения к проводной сети. Fortiextender — это маршрутизатор, оснащенный 5G/LTE модемом (2 модемами в зависимости от модели), который может работать как в будучи интегрированным с NGFW Fortigate, так и в качестве отдельного устройства.
В случае если Fortiextender интегрирован с NGFW Fortigate, IP-адреса, полученные через сотовую сеть, присваиваются специализированным интерфейсам на FrotiGate — FortiExtender WAN Extension посредством режима IP-passthrough. В этом случае все основные настройки: IPsec, SD-WAN, маршрутизации, firewall policies производятся на NGFW, а сам Extender выполняет функцию LTE-модема. Если Fortiextender устанавливается как отдельное устройство, вышеперечисленные настройки производятся на нем. Однако следует учитывать функциональные ограничения данного маршрутизатора (именно маршрутизатора, а не NGFW). Из протоколов динамической маршрутизации на нем будет доступен только OSPF, настройки, связанные с политиками SD-WAN будут значительно ограничены и т.п.
Наверх
Если вы обращаетесь по вопросам, связанным с уже имеющимся у вас оборудованием или программным продуктом, пожалуйста пришлите его серийный номер
Написать нам