Fortigate SD-WAN Kurulumu
Bu makalede hızlıca beş adımda Fortigate cihazında SD-WAN kurulumunun nasıl yapılacağını aktaracağım. Bu anlatım FortiOS 6.x.x serisi dikkate alınarak hazırlanmıştır.
SD-WAN BİZE NE SAĞLAR?
SD-WAN çözümü bize GSM, V-ADSL, Metro vb. hatlarımızı tek bir wan yapısı altında birleştirerek hat yedeklemesi sağlayan bir çözümdür. Bununla beraber hatlarımızda Source-Destination IP ( Kaynak – Hedef İp Tabanlı), Source İp (Kaynak İp Tabanlı), Session (Oturum Tabanlı), Volume (Oransal Tabanlı) vb. özel kurallar yazarak trafiği yönetmemizi sağlayacak temel özelliklere sahiptir. Tabi bunun dışında da daha bir çok faydası var fakat makalemize uygun olabilmesi adına bu faydalarından bahsetmek istedim.
Fortigate SD-WAN yapısını daha önceleri kullanmış olduğu Wan Link Load Balancing yapısının üzerine inşa etmiş ve geliştirmiştir.
ÖRNEK UYGULAMA
Şekilde görüldüğü üzere üç tane internet hattımız var. Bu hatlarımızı SD-WAN yapısına dâhil edip kullanıcıların internete çıkışlarını sağlayalım. Aklınıza kullanıcılar hangi hattan, neye göre internete çıkacak gibi bir soru gelebilir bunu makalenin devamında yeri geldiğinde anlatmış olacağım.
Adım 1: SD-WAN Interface oluşturma
Bu aşamada SD-WAN’a dâhil edeceğimiz portların tanımlamalarını sırasıyla yapıyoruz.
İnterface: SD-WAN’a dâhil edeceğimiz port seçilmelidir. Ekleyeceğimiz interface herhangi bir kuralda vb. kullanılmıyor olması daha iyidir lakin varsa da sorun oluşturmaz
Gateway: Eğer ki VADSL gibi hizmetleriniz fortigate üzerinde sonlandırıldı ise gateway kısmını Dynamic olarak bırakabilirsiniz. Otomatik olarak kendisi gateway alacaktır. Eğer ki metro Ethernet vb. hizmetiniz var ise onların gateway adresini specify kısmından ekleyebilirsiniz.
Cost: Bu değer ile hatlar arasında öncelik belirlemiş oluyoruz. En düşük değer ilk kullanılacak hat demektir.
Tüm hatları bu şekilde ekledikten sonra ağıdaki gibi ekran karşımıza çıkacaktır. Siz ilk eklediğinizde Download ve Upload kısımlarında değer olmaması çok normaldir. Kullanıcılar internete çıktıkça bu alanlar anlamlı hale gelmeye başlayacaktır.
Adım 2: Performance SLA Ekleme
Bir önceki adımda SD-WAN Interface ekleme işlemi yaptık. Şimdi şu sorulara cevap bulmamız gerekiyor;
- Eklediğimiz hatlar düzgün çalışıyor mu, kopmalar var mı?
- Gecikme süreleri nelerdir?
- Bağlantı kalitesi nedir?
gibi sorulara cevap bulabilmemiz için Performance SLA tanımlaması yapmamız gerekiyor. Bunun bir avantajı da hatlardan biri arızalanırsa Fortigate bunu hemen anlayabiliyor ve trafiği diğer hatlara yönlendirebiliyor olmasıdır. Tabi bunun dışında hattın performansına göre kural yazma vb. faydaları da var.
Hatların kontrolünü yapabilmek için kesintisiz bir adrese ihtiyacımız var. Bunun için Google dns ip adresini tercih ettim siz farklı bir adreste kullanabilirsiniz. Hangi hatların kontrolünü yapacağını Participants kısmında belirtiyoruz. Link Status alanında hatların ne kadar bir süre ile kontrol edilmesi gerektiğini belirtiyoruz.
Son olarak da Update static route kısmını işaretliyoruz. Bu işaretleme sayesinde hatlardan biri koptuğunda başka hatta geçiş için gerekli olan route tanımlarını cihazın otomatik yapmasını sağlamış oluyoruz.
Adım 3: Static Routes Tanımlaması Yapmak
SD-WAN Interfaces menüsünden kullanacağımız interface tanımlarını yapmıştık şimdi de SD-WAN’ın internete çıkabilmesi için gerekli olan static route kuralını yazıyoruz.
Eğer ki kurulu bir sistemde çalışma yapıyor iseniz ve daha önceden oluşturulmuş static route tanımlamanız var ise “You cannot have duplicated routes on SD-WAN and non SD-WAN interfaces.” şeklinde uyarı alarak bu aşamayı geçemeyebilirsiniz.
SD-WAN yapısına geçiş yapmaya niyet etti iseniz destination adresi 0.0.0.0/0.0.0.0 olan route yazma işlemini static route menüsünde yazamazsınız. Bunları Aşama 1’deki SD-WAN Interfaces menüsünden eklemeniz gerekmektedir.
Adım 4: Algoritma Seçimi
SD-WAN Rules menüsünden kullanıcıların internete çıkarken kullanacağı algoritmayı seçeceğiz. Implicit başlığı altındaki varsayılan kurala girdiğimizde aşağıdaki algoritmalar karşımıza çıkacaktır.
Source IP: 172.30.5.10 ip adresli kullanıcının ilk isteği VADSL-01 den olmuşsa session kopması olmaması için istekleri aynı hattan göndermeye devam eder.
Session: Session trafiğini verdiğiniz değerler üzerinden bir oranlama yaparak interfacelere dağıtır.
Spillover: Diyelim ki GSM hattımızda 10mbps upload limitimiz var ve bunu aşarsak ek fatura geliyor. Bu durumda GSM hattının upload değerini girip, bu değere ulaşana kadar maksimum düzeyde upload kullanmasını sağlayıp belirlediğimiz değere ulaştığında otomatik başka müsait hatta trafiği yönlendirmesini sağlayabiliriz.
Source-Destination IP: Soruce İp işlemine benzer sadece session kaybı yaşanmaması için source ip ve destination ip adresine göre yönlendirme yapar.
Volume: Hatlarımıza oran vererek kullanmamızı sağlar. Tarif ilk önce yüksek değer verdiğimiz hattı kullanır, bu hat dolunca diğer hatlara geçer. Volume de session port 1 den çıktıysa o session düşene kadar yine port1 den devam eder.
Siz ihtiyacınız olan algoritmayı seçebilirsiniz. Ben Source IP tercih ettim.
Gene SD-WAN Rules menüsünde istersek kendi özel kurallarımızı da yazabiliriz. Örneğin misafir ağındaki kullanıcılar google drive uygulamasını VADSL-02 üzerinden kullansın gibi kural yazılabilir veya şu portlara bu hatlardan gidilsin gibi kuralda yazılabilir. Burası biraz sizlerin ihtiyacınıza göre kullanılacak yer olduğu için Source ve Destination kısımlarını detayına girmiyorum.
Outgoing Interfaces kısmında dört adet seçeneğimiz vardır. Bunlar;
Manual: Sizin seçtiğiniz hat üzerinden çıkış yapar.
Best Quality: Seçilen interfacelerin (Latency, Jitter, Packet Loss, Downstream, Upstream, Bandwidth) değerlerinden birini seçerek o değere ait en iyi kaliteli hattı kullanması sağlanabilir.
Lowest Cost (SLA): İlk önce hatlardan belirlenen SLA değerini karşılayana göre çıkış verir. Eğer SLA değerlerinde eşitlik olursa hatlara verilen en düşük cost temel alınarak çıkış verilir.
Maximize Bandwidth (SLA): Trafik seçili olan load balancing algoritmasına göre hatlara eşit olarak dağıtılır.
Adım 5: Firewall Policy Yazmak
Bu aşama da gidiş yönü SD-WAN olan bir kural yazarak kullanıcıların internete çıkışını sağlayabiliriz.
SD-WAN Yapısı Kontrolleri
Performance SLA menüsünden hatların bağlantı kalitesi, gecikme süreleri ve paket kayıpları gibi bilgileri görebilirsiniz.
SD-WAN Interfaces menüsünden hatların kullanım oranlarını Bandwith, Volume ve Session bazında görebilirsiniz.
Olabilecek en basit hali Fortigate cihazında SD-WAN yapısı nasıl kurulabilir anlatmaya çalıştım. İnşallah ihtiyacı olana faydası dokunur. Ayrıca detaylı bilgi almak isteyenler içinde kaynakları aşağıda paylaştım.
Yardımcı Kaynaklar:
https://docs.fortinet.com/document/fortigate/6.4.0/administration-guide/889544/basic-sd-wan-setup
https://docs.fortinet.com/document/fortigate/6.2.0/cookbook/478384/performace-sla-link-monitoring
Eline sağlık
Elinize Sağlık
Merhaba,
Forticlient VPN baglantisi icin desteginize ihtiyacim var. Her Wifi agindan ve cep telefonundan VPN baglantisi yapiyorum.Sorunsuz calisiyor. Ancak ev baglantimda Forticlient baglanti kursada gonderilen ve alinan KB adedi 10 KB gecmiyor ve orada takiliyor.
bu konuda bilginiz var midir ? Yardimci olabilirseniz cok sevinirim.
saygilar
Kaan Bora
Sorularınızı foruma sorabilirsiniz.
Eline sağlık