【FortiGate】SD-WAN の概要と最初の設定例[負荷分散/冗長化]

ファイアウォール(UTM)

SD-WAN の概要

  • WAN を管理するためのソフトウェア定義のアプローチ
    • インターネット行きのトラフィックをオフロードできる
  • リアルタイムで機密性の高いアプリケーションのパフォーマンスとセキュリティを維持しながら、ブロードバンドおよびその他のネットワークサービスを企業 WAN に統合するハイブリッドネットワークを作成
  • アプリケーションアウェアルーティングを備えた SD-WAN
    • ハイブリッドネットワーク内の複数のサービスのパフォーマンスを測定・監視できる
    • アプリケーションルーティングを使用して、アプリケーションが特定のサービスを使用する場所とタイミングをよりきめ細かく制御し、ネットワーク全体をより適切に使用できるようにする

SD-WAN の主な利点

  • MPLS、3G / 4G LTE などのトランスポートに依存しないため、コストが削減
  • 可用性と俊敏性の向上により、ビジネスアプリケーションのパフォーマンスが向上
  • SaaS およびパブリッククラウドアプリケーションによる最適化されたユーザーエクスペリエンスと効率

SD-WAN のオブジェクト

SD-WAN ゾーン

  • SD-WAN はゾーンに分けられている
  • SD-WAN メンバーインターフェースはゾーンに割り当てられ、ゾーンは送信元および宛先インターフェースとしてポリシーで使用される
  • 複数のゾーンを定義して SD-WAN インターフェースをグループ化することで、オーバーレイおよびアンダーレイインターフェースの論理グループ化を可能にする

SD-WAN メンバー

  • インターフェースとも呼ばれる
  • トラフィックに使用されるポートとインターフェース
  • SD-WAN が機能するには、少なくとも 1 つのインターフェースを設定する必要がある
  • 最大 255 のメンバーインターフェースを設定できる

パフォーマンス SLA

  • ヘルスチェックとも呼ばれる
  • メンバーインターフェースのリンク品質を監視し、リンク障害を検出するために使用される
  • これを使用することで、ルートを削除したり、SD-WAN メンバーがサーバを検出できない場合にトラフィックを再ルーティングしたりできる
  • これを SD-WAN ルールで使用して、トラフィックを転送するための優先メンバーインターフェースを選択することもできる

SD-WAN ルール

  • サービスとも呼ばれる
  • パスの選択を制御するために使用される
  • 特定のトラフィックを最適なリンクに動的に送信することも、特定のルートを使用することもできる
  • 次の 5 つのモードがある
    1. auto: 品質に基づいてインターフェースに優先順位を割り当てる
    2. manual: インターフェースに優先順位を手動で割り当てる
    3. priority: インターフェースのリンクコストファクタの品質に基づいて、インターフェースに優先度を割り当てる
    4. sla: 選択した SLA 設定に基づいてインターフェースに優先度を割り当てる
    5. load-balance: 負荷分散アルゴリズムに基づいて、使用可能なすべてのリンク間でトラフィックを分散する

SD-WAN 設定例: 負荷分散と冗長性

ここでは、負荷分散と冗長性のために SD-WAN を使用する例を示します。

作業環境

  • 型番: FortiGate 60E
  • バージョン: 6.4.5

この例では、2 つの ISP インターネット接続 wan1(DHCP) と wan2(Static) で SD-WAN を使用して、それらの間のトラフィックをそれぞれ 50% でバランスさせます。

SD-WAN インターフェースの設定

  • まず、SD-WAN を有効にし、メンバーインターフェースを選択してゾーンに追加する必要があります。選択した FortiGate インターフェースは、任意のタイプ(物理、アグリゲート、VLAN、IPsec など)にすることができますが、FortiGate の他の設定から削除しておく必要があります
  • このステップでは、2 つの wan インターフェースを設定し、SD-WAN メンバーインターフェースとしてデフォルトの SD-WAN ゾーン(virtual-wan-link)に追加します。この例では、静的 IP アドレスと動的 IP アドレスを組み合わせて使用​​していますが、どちらか一方のみを使用することもできます
  • SD-WAN メンバーが作成されてゾーンに追加されると、ゾーンはファイアウォールポリシーで使用でき、SD-WAN 全体をスタティックルートで使用できます

まず wan1 および wan2 インターフェースを設定します。

  • wan1 は DHCP で、wan2 はマニュアルで IP アドレスを設定します
    • DHCP の wan1 ではディスタンスを 10 と設定します

デフォルトでは、DHCP インターフェースのディスタンスは 5 で、スタティックルートのディスタンスは 10 です。DHCP インターフェースのディスタンスを 10 に設定して SD-WAN を 50/50 ロードバランシング用に設定する場合は、これを考慮することが重要です。

次に、[ネットワーク > SD-WANゾーン] 画面を表示し、[新規作成 > SD-WAN メンバー] をクリックします。

新規SD-WANメンバー画面では以下の通り設定します。

  • インターフェース: wan1
  • SD-WANゾーン: virtual-wan-link
  • ゲートウェイ: ダイナミック
    • DHCP のためダイナミックを指定
  • コスト: 0
  • ステータス: 有効化済み

インターフェースが追加されたことを確認します。

wan2 についても同様に追加します。ゲートウェイは手動で設定します。

インターフェースが追加されたことを確認します。

スタティックルートの設定

  • SD-WAN のデフォルトルートを設定する必要があります
  • 各 SD-WAN メンバーインターフェースのデフォルトゲートウェイは、スタティックルートテーブルで定義する必要はありません
  • FortiGate は、ディスタンスとプライオリティに基づいて、Equal Cost Multi-Path(ECMP)を使用して、どのルートを優先するかを決定します

[ネットワーク > スタティックルート] 画面にて [新規作成] をクリックします。

新規スタティックルート画面では次の通り設定します。

  • 自動ゲートウェイ検索: 無効
  • 宛先:
    • サブネット
    • 0.0.0.0/0.0.0.0
  • インターフェース: SD-WAN
  • コメント: 必要に応じて任意のコメント
  • ステータス: 有効化済み

暗黙的な SD-WAN アルゴリズムの選択

  • SD-WAN ルールは、トラフィックを SD-WAN メンバーにルーティングするための特定のルーティングオプションを定義します
  • ルーティングルールが定義されていない場合は、デフォルトの暗黙ルールが使用されます
  • 5 つの異なる負荷分散アルゴリズムのいずれかを使用するように設定できます
    1. 送信元IP
    2. セッション
    3. スピルオーバー
    4. 送信元-宛先IP
    5. 通信量(Volume)

[ネットワーク > SD-WANルール] 画面で、デフォルトの sd-wan ルールを編集して、要件に適した方法を選択します。

以下では、2 つの WAN 接続間でトラフィックを均等にバランスさせる 4 つの方法を示します。

  • 送信元IP を選択
    • 送信元 IP アドレスに基づくハッシュアルゴリズムに従ってSD-WAN メンバー間でトラフィックのバランスを均等にするには、このオプションを選択します
  • セッションを選択
    • このオプションを選択すると、SD-WAN メンバー間のトラフィックのバランスが、メンバー間のセッション数の比率によって均等になります。2 つのメンバーのそれぞれに重み 50 を使用します
  • 送信元-宛先IP を選択
    • このオプションを選択すると、送信元 IP アドレスと宛先 IPアドレスに基づくハッシュアルゴリズムに従って、SD-WAN メンバー間でトラフィックのバランスが均等になります
  • 通信量(Volume)を選択
    • メンバー間の帯域幅比に従って SD-WAN メンバー間でトラフィックのバランスを均等にするには、このオプションを選択します

SD-WAN のファイアウォールポリシーの設定

  • SD-WAN ゾーンは、送信元および宛先インターフェースとしてポリシーで使用できます
    • 個々の SD-WAN メンバーをポリシーで使用することはできません
  • 内部ネットワークから SD-WAN ゾーンへのトラフィックを許可するポリシーを設定する必要があります
    • SD-WAN ゾーンで設定されたポリシーは、そのゾーン内のすべての SD-WAN インターフェースメンバーに適用されます

[ポリシー&オブジェクト > ファイアウォールポリシー] 画面で [新規作成] をクリックします。

新規ポリシー画面で次の通り設定します。

  • 名前: 任意のポリシー名
  • 着信インターフェース: internal
  • 発信インターフェース: virtual-wan-link
  • 送信元・宛先: all
  • サービス: ALL
  • NAT: ON
  • その他: 要件に応じて設定

リンクの監視とフェイルオーバー

  • パフォーマンス SLA リンク監視は、SD-WAN メンバーインターフェースに接続されているリンクの状態を測定します
  • これは、各リンクを介してサーバーにプローブ信号を送信し、遅延、ジッター、およびパケット損失に基づいてリンク品質を測定することによって行われます
  • リンクが壊れている場合、そのリンク上のルートは削除され、トラフィックは他のリンクを介してルーティングされます
  • リンクが再び機能すると、ルートが再び有効になります。これにより、トラフィックが壊れたリンクに送信されて失われるのを防ぎます

今回の例では、検出サーバーの IP アドレスは 8.8.8.8 です。パフォーマンス SLA が作成され、定義されたメトリックに従って ping が失敗した場合、そのインターフェースへのルートが削除され、トラフィックが他のインターフェースに迂回されます。ping プロトコルが使用されますが、必要に応じて他のプロトコルを選択することもできます。

[ネットワーク > パフォーマンスSLA] 画面を開き [新規作成] をクリックします。

新規パフォーマンスSLA画面で次の通り設定します。

  • 名称: 任意の名前
  • プロトコル: Ping
  • 参加インターフェース: 指定 [wan1、wan2]
  • プローブパケットの有効化: 有効
  • SLAターゲット: 無効
    • リンク監視の場合は不要です
  • リンクステータス: 要件に合わせて設定
  • 非アクティブ時のアクション:
    • スタティックルートのアップデート: 有効
      • 非アクティブなインターフェースの静的ルートが無効になり、リカバリ時にルートが復元されます

以上ですべての設定は完了です。

SD-WAN の状態確認

次の GUI ページは、SD-WAN の機能を示しており、SD-WAN が正しくセットアップおよび実行されていることを確認するために使用できます。

[ネットワーク > SD-WANゾーン] 画面

・帯域幅: 各インターフェースのダウンロードおよびアップロードされたデータの量を表示

・通信量: 各インターフェースで送受信されたバイトを表示

・セッション: 各インターフェースでアクティブなセッションの数を表示

・各インターフェースのトラフィック量

[ネットワーク > パフォーマンスSLA] 画面

パフォーマンス SLA リストの中から対象をクリックして選択すると画面上部に各指標のグラフが表示されます。

・パケットロス: 各メンバーのパケット損失の割合を表示

・レイテンシ: 各メンバーの現在の待ち時間をミリ秒単位で表示

・ジッタ―: 各メンバーのジッターをミリ秒単位で表示

CLI での設定確認

■SD-WAN インターフェースの設定

config system sdwan
    set status enable
    config zone
        edit "virtual-wan-link"
        next
    end
    config members
        edit 1
            set interface "wan1"
        next
        edit 2
            set interface "wan2"
            set gateway 10.1.10.6
        next
    end
end

■スタティックルートの設定

config router static
    edit 1
        set distance 1
        set sdwan enable
    next
end

■暗黙的な SD-WAN アルゴリズムの選択

config system sdwan
    set load-balance-mode source-ip-based
end

※上の設定はデフォルト値のため show コマンドでは表示されません

■SD-WAN のファイアウォールポリシーの設定

config firewall policy
    edit 1
        set name "internal_to_sd-wan"
        set uuid 1bf0abb8-abd3-51eb-10ee-e1c5f9fa6b5f
        set srcintf "internal"
        set dstintf "virtual-wan-link"
        set srcaddr "all"
        set dstaddr "all"
        set action accept
        set schedule "always"
        set service "ALL"
        set logtraffic all
        set nat enable
    next
end

■リンクの監視とフェイルオーバー(パフォーマンス SLA)

config system sdwan
 config health-check
        edit "sampleSLA"
            set server "8.8.8.8"
            set members 1 2
        next
    end
end

確認コマンド

■ルーティングテーブル確認

get router info routing-table all

FGT60E # get router info routing-table all
Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP
       O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default

Routing table for VRF=0
S*      0.0.0.0/0 [1/0] via 192.168.179.4, wan1
                  [1/0] via 10.1.10.6, wan2
C       10.1.10.0/24 is directly connected, wan2
C       10.10.10.0/24 is directly connected, dmz
C       192.168.1.0/24 is directly connected, internal
C       192.168.179.0/24 is directly connected, wan1

■パフォーマンス SLA のステータス確認

diagnose sys sdwan health-check

FGT60E # diagnose sys sdwan health-check
Health Check(sampleSLA):
Seq(1 wan1): state(alive), packet-loss(0.000%) latency(51.118), jitter(10.266) sla_map=0x0
Seq(2 wan2): state(alive), packet-loss(0.000%) latency(52.649), jitter(8.833) sla_map=0x0

参考資料

SD-WAN | Administration Guide


タイトルとURLをコピーしました