SD-WAN (Software Defined – Wide Area Network) технологија
SD-WAN технологија служи да поједностави управљање и операције над WAN везама, одвајањем мрежног хардвера од његовог контролног механизма. Ова технологија даје могућност компанијама да прошире своје пословање на великим удаљеностима повезивајући удаљене локације са њиховим HQ. На овај начин се апликације које раде између локација, а веома су битне за пословање компанија, могу имати највиши приоритет, са најмањим кашњењем и губицима пакета.
Неколико вендора данас омогућава коришћење SD-WAN услуга у склопу њихове примарне услуге. Неки од вендора су: Palo Alto, Fortinet, Velocloud и слични.
Palo Alto SD-WAN
Palo Alto SD-WAN технологија омогућава коришћење више приватних и интернет услуга како би креирао паметно динамично WAN окружење у циљу ниских кашњења, брзих одзива и доступности апликација које су битне компанијама. На овај начин, коришћењем Palo Alto SD-WAN технологије, компаније могу да одреде које ће њима битне апликације, имати највиши приоритет у односу на друге апликације код којих брзина, одзив и кашњења нису толико битна. Нема потребе за куповином додатних или других посебних WAN услуга. Користите већ постојеће везе на паметанији начин. Праћење стања за сваки линк укључује праћење кашњења, губитка пакета и подрхтавања везе. Апликације можтете подешавати грануларно и тиме апликације које су битне за пословање компанија, могу увек имати највиши приоритет, са најмањим кашњењима и да за мање од једне секунде пређу на линк са бољим перформансама.
Два проблема јављају се коришћењем традиционалне WAN технологије. Ако на удаљеној локацији имамо 2 линка како би обезбедили редунданте везе, један од та два линка је пасиван. И то је први проблем. Плаћамо линк који не користимо, тј не користимо га у највећој мери.
Други проблем je кад на активном линку дође до проблема, а не дође до отказа, тај активни линк се не спушта и не пребацује на пасиван линк. Пребацивање линка обично зависи од статуса линка, да ли је UP или Down. Не постоји интелигенција за пребацивање линкова. Захтева доста инжењерског знања у рутирању и QoS технологија.
SD-WAN модул је интегрисан заједно са PAN-OS софтвером тако да у склопу већ познате Пало Алто заштите добијате и SD-WAN функционалност. Овај SD-WAN модул ради заједно и са другим PAN-OS модулима попут APP-IP и User-ID. Можете подесити топологију у којој удаљене локације приступају вашим апликацијама у облаку преко вашег HQ. SD-WAN омогућава да ваље удаљене локације директно преко локално ISP приступају апликацијама у облаку без потребе да оптерећују везе ка HQ. Oвакав тип везе називамо и DIA везе (Direct Internet Access). Нема потребе да трошите пропусну моћ од удаљене локације ка HQ. Сам firewall на удаљеној локацији може да управља сигурнишћу тако да централни firewall нема обавезу за тим.
Слика испод представља удаљну локацију која користи DIA линкове повезане ка Облаку.
Груписање веза омогућава више физичких линкова који иду ка различитим интернет провајдерима, спајање у један виртуални SD-WAN интерфејс. На основу апликације и сервиса, firewall одлучује о даљем балансирању саобраћаја како би апликације највишег приоритета увек имале најбољи одзив и брзину а најмање кашњење.
SD-WAN подржава велику избор WAN конекција, па стога, то може бити: ADSL/DSL, модемска веза, етернет, влакна, мобилне (LTE/3G/4G/5G) везе, радио, сателитске и MPLS везе. Сами бирате најбољу комбинацију за примарну и резервну везу.
Модели који у овом тренутку подржавају SD-WAN:
- PA-220
- PA-220R
- PA-820
- PA-850
- PA-3200 Series
- PA-5200 Series
- VM-300
- VM-500
- VM-700
Централизовано управљање већег броја локација
У случају где ваше пословање захтева већи број удаљених локација, како би сте олакшали администрацију, конфигурисање и омогућили бољу прегледност свих локација, Пало Алто нуди Панораму као физичко и виртуелно решење. Панорама представља централизовано решење за мониторинг и администрацију свих ваших локација и омогућава конфигурисање већег броја SD-WAN локација брже и лакше него када би сте то индивидуално радили за сваку локацију. Firewall користи VPN тунеле за провере стања веза између локација како би детектовала могућност „одсецања“ локације.
Како би сте најбрже обавили конфигурацију удаљене локације, најбоља пракса за то је да се извезе празна SD-WAN CSV датотека и унесу информације попут: IP адресе локације, виртуални рутер који ће се користити, име локације, зона којој припада firewall, и информације о рутирању на тој локацији (BGP).
Предуслови и потребне компоненте за имплементацију SD-WANa:
- Минимум PanOS 9.1 са SD-WAN претплатом
- Панорама са SD-WAN додатком
Koнцепт конфигурације:
- Креирати виртуални SD-WAN интерфејс ( VPN или DIA)
- Конфигурисати Path Quality Profile (Latency, Jitter, Packet Loss)
- Креирати Traffic Distribution Profile (ако Path Quality премаши максималне вредности)
- SD-WAN policy правило са комбинацијом апликација, Path Quality Profila, Traffic Distribution Profile како би се изабрала најбоља путања.
Постоји и решење са Prisma Access-oм. Prisma Access је Palo Alto сигурностно решење у Cloudu које мења ваш NGFW на локацији. Коришћењем тог Cloud решења добија се сигурносно решење на тој локацији подизањем сигурносних сервиса својствених потребама те локације. Prisma Access се контролише Панорамом или Cloud Manged софтвером. У овом случају морате имате Cortex Data Lake (Palo Alto Log Storage Cloud Platform)
Конфигуришите SD-WAN на Palo Alto firewall-u
Кораци у конфигурисању SD-WANa:
Груписати физичке етернет интерфејсе ка провајдеру у један логички SD-WAN интерфејс.
- Одредите брзину линкова
- Одредите праг на коме ће се постојећа путања сматрати лошом
- Одредите метод за одабир следеће боље путање
Компоненте конфигурације:
- Tag – произвољно име како би сте идентификовали линк
- Objects> Tags (add)
Таг лепите за интерфејс, тако што ћете на самом физичком интерфејсу, под IPv4 картицом омогућити SD-WAN опцију, па онда под SD-WAN картицом, применити одређени SD-WAN Interface Profile. Таг вам дозвољава да контролишете редослед којим се интерфејси користе. Такође, даје могућност Панорами да систематски конфигурише више интерфејса са SD-WAN функционалностима.
- SD-WAN Interface Profile
- Network > SD-WAN Interface Profile
УSD-WAN Interface Profile одређујете који ћете таг залепити за интерфејс, тип линка, максималну и минималну брзину слања и примања ка провајдеру, као и учесталост провере доступности линка.
- L3 Ethernet Interfaces
- Network > Interfaces > Ethernet
Layer 3 интерфејс са IPv4 адресом подржава SD-WAN могућности. Овом интерфејсу лепите одређени SD-WAN Interface Profile како би сте интерфејсу доделили одређене карактеристике.
- Virtual SD-WAN Interfaces
- Network > Interfaces > SD-WAN (add)
SD-WAN интерфејс је VPN тунел у ком се групишу један или више интерфејса у један виртуелни нумерисани SD-WAN интерфејс ка ком можете рутирати сав саобраћај. Све путање које припадају SD-WAN групи, ићи ће ка истом WAN интерфејсу.
- Path Quality Profile
- Object > SD-WAN Link Management > Path Quality Profile (add)
Path Quality Profile дефинише максимално кашњење, нестабилност и праг за губитка пакета. У примеру изнад, прелазак било ког прага, значило би да firewall пређе на други линк.
- Traffic Distribution Profile
- Object > SD-WAN Link Management > Traffic Distribution Profile (add)
Traffic Distribution Profile одређује како ће firewall изабрати следећу најбољу путању ако тренутна путања прекорачи неки од прага квалитета везе.
- SD-WAN Policy Rules
- Policies > SD-WAN (add)
Сви претходно објашњени елементи спајају се у SD-WAN полису којом одређујемо који саобраћај ће бити третиран SD-WAN технологијом.