FortiGate Software-Defined Wide Area Network (SD-WAN) Configuration
Software Defined Network yani SD-WAN teknolojisinin özel bir uygulaması olup düşük maliyetli internet erişimi kullanarak daha yüksek performanslı wanlar oluşturmaya yarar. Bir kurumda birden fazla İnternet Servis Sağlayıcı hizmeti varsa internet yedekliliği ve load balance yapabilmemizi sağlayan yapıdır.
Load Balance: İnternet bağlantısını, iki ya da daha fazla WAN arasında paylaştırma teknolojisidir. Örneğin ISP-1’in 20mb ve ISP-2’nin de 20mb internet çıkışı olsun. Bu ISP hatları arasında trafiği paylaştırabiliriz.
ISP-1 Down olur ve işlem göremez hale gelirse ISP-2 kullanıcıları internete çıkarabilir. Hat yedekliliği sağlanmış olur.
SD-WAN Rules: Adreslere göre hangi ISP Servislerinin kullanılacağını belirleyebildiğimiz kurallar yazdığımız alt menüdür. Örneğin çalışanlar ISP-1’i misafirler ISP-2’yi kullansın şeklinde bir kural yazabiliriz.
SD-WAN yapısı bir hattın down olduğunu nasıl anlıyor?
Performance SLA alt menüsü içerisinde belirli konfigürasyonla bir hattın down olduğunu anlaşılabilir.
- Default Gateway’e sürekli ping atar, ayarlanan sayı kadar pinge yanıt dönmediğinde hattın down olduğunu anlar. Bu tercih edilen bir yöntem değildir çünkü cihaz default gatewaye ulaşsa da internete ulaşamıyor olabilir.
- DNS’e sürekli ping atar, failures before inactive için ayarladığımız sayı kadar pinge yanıt dönmediğinde hattın down olduğunu anlar.
- Bir http adresine sürekli ping atar ve ulaşamadığında hattın down olduğunu anlar.
Hattın down olduğunu anladığı zaman, diğer hatta yönlendirecek şekilde konfigürasyon yazılır.
- Birden fazla ISP portunu SD-WAN yapısına dahil edebiliyoruz, yapımız yalnızca 2 adet ISP ile sınırlı değildir.
- SD-WAN kurulumu yaparken; daha önce tek internet çıkışı varken yazdığımız Static Route’u değiştirmemiz gerekir. İnternete çıkışımızı SD-WAN üzerinden yapılandırmalıyız.
- SD-WAN yapısına dahil etmek istediğimiz portun referans değeri 0 olmak zorundadır.
Şimdi bir SD-WAN yapısı kurgulayalım ve adımları uygulayalım.
Port2 İnternet hizmetini Port9dan; Port3 internet hizmetini Port10dan alacak. Port9’da bir kesinti olursa Port2 de port10’dan internet hizmeti alacak şeklinde bir SD-WAN yapısı kuracağız.
1-İlk olarak SD-WAN yapıma dahil edeceğim portlarıma IP atamalarını yapıyorum. Burada eklediğim IP, ISP’nin bana atadığı IP adresidir.
2-Daha sonra SD-WAN Menüsü altında interfacelerimle bir SD-WAN yapısı oluşturuyorum. Burada da Gateway yerine ISP’nin bana verdiği çıkış adreslerini giriyorum.
*SD-WAN altında SD-WAN Usage kısmında kullanım oranlarını görüntüleyebiliriz.
3-Bir hattın down olduğunu öğrenebilmek için Performance SLA menüsünden wan portları için kontrol mekanizmaları oluşturabiliriz. ISP-1 için Port9’un default gatewayine sürekli ping atması için bir kontrol mekanizması oluşturdum.
Failures Before Inactive: Gateway kaç ping denemesine yanıt vermezse down olduğuna karar verilecek. Defaultta 5 olarak geliyor, varsayılan değerlerle devam ediyorum.
Restore Link After: Bağlantının up olduğuna karar vermesi için kaç ping denemesi yapılsın kararının verildiği ibare. Defaultta 5 olarak geliyor, varsayılan değerlerle devam ediyorum.
SLA Targets: Hattın kalitesini ölçebilmemi, görüntüleyebilmemi ve bu değerleri referans alarak kural yazabilmemi sağlıyor.
- Latency Threshold: Gecikme değeri. Buraya girdiğimiz değer bizim baseline değerimizdir. Bu değerin üstündeki değerler gecikme olduğunu gösterir. Hattın kalitesi kötüyse bu gecikme değerini artırabilirim.
- Jitter Threshold: Satürasyon değeri.
- Packet Loss Threshold: Paket kaybı yüzdesi.
ISP-2 için Port10’un default gatewayine sürekli ping atması için kontrol mekanizması oluşturdum.
*Fortigate yaptığım load balance, volume, sessionlara göre bir all all rule’u kendisi oluşturur.
4- Port2 için internete çıkış yönünü port9 yani ISP-1; Port3 için internete çıkış yolunu Port10 yani ISP-2 için yapılandıracağım. Bunu SD-WAN Rule alt menüsünden yapabilirim.
Source Address-> ISP2 üzerinden internete çıkaracağım adresleri ekledim.
Destination Address->Bu adreslerin hangi adreslere erişebileceği, internet çıkışı olduğu için all address seçtim.
Measured SLA->Hangi kontrollerden geçeceğini belirteceğimiz alan. Daha önce ısp1 için yazdığımız statuscheck kontrol mekanizmasını ekliyoruz.
Aynı kuralı port3_to_port10 olarak port3 için de yazıyorum.
5-Daha önce belirttiğim gibi SD-WAN yapılandırması yaptığımızda Static Route’u da buna göre uyarlamalıyız. Interface olarak SD-WAN’ı seçerek bu adımı da geçiyoruz.
6-Firewall policy olmadan çalışmaz dolayısıyla şimdi bu yapıyı bir policy altında birleştireceğim. Port 2 ve Port3 için internete çıkışı SD-WAN ayarlayacağız.
*Burada NAT’ı enable ediyoruz, internete çıkış kuralı olduğu için private ip’yi public ip’ye dönüştürmesi gerekiyor.
Port3 için de aynı kuralı yazıyoruz.
Bütün yapılandırmamız sonunda ISP1’de bir kesinti olursa port2 de ISP2’den internet hizmeti alacak. ISP1’in kesintisi giderildiğinde firewall bunu anlayacak ve port2 internet hizmetini ISP1’den almaya devam edecek.
