1. Ana Sayfa
  2. Juniper ve Fortinet

Fortigate 7.0’da SD-WAN (Yedekli İnternet )

Fortigate 7.0’da SD-WAN (Yedekli İnternet )
+ - 1

İnternet artık elektrik, su kadar önemli hale geldi şirketlerimiz için. Sadece data trafiği değil, bulut santral’ler ile ses trafiğini de internetten taşıyoruz. Durum böyle olunca internet kesintilerinde sistemin aksamasını engellemek için SD-Wan kullanıyoruz. Bu yazımda Fortigate‘in en sonki Firmware’i olan 7.0 versiyonunda SD-Wan ayarlarına değineceğim. Öncelikle demo ortamımda 2 adet internet bağlantım var (Port1 ve Port2).

 Resim-1

Bu iki bağlantım static bir bağlantı olduğundan (Karşı router otomatik IP dağıtmadığından) her bir bağlantı için Default Route da girmem gerekir. Siz sizin topolojilerinizde internet bağlantısı modem üzerinden sağlanıyorsa modemi bridge modu’na alıp Fortigate’in interface’inde tanımlamaları yapabilir, yada bu kadar çok uğraşmak istemiyorsanız ve dışarıdan içeri port yönlendirmeleriniz falan da çok fazla yok ise, xDSL modemlerinizin iç network ağlarını farklı farklı yaparak (örneğin 1. Modem de 192.168.1.1, 2 . modemde 192.168.2.1 gibi ) Fortigate’e otomatik IP aldırıp static route ve interface ayarlarını kolayca yapabilirsiniz. Böyle bir durumda port yönlendirmelerde ise önce modeminizden Fortigate’in bağlı olan IP’sine (Bence birçok modemin desteklediği DMZ yapılandırması yapıp tüm portları da Fortigate’in ilgili IP’sine de yönlendirebilirsiniz) sonra da Fortigate’den içeri port yönlendirme yapmanız gerektiğini unutmayın. Unutmadan dışarıdan erişimlerde bir de hangi Static IP’den dışarıdan geliniyorsa, içeride port yönlendirdiğiniz cihaz da o internetten dışarı çıkmalıdır. Yani SD-WAN yapısında o anlık 2. interneti kullanan bir sunucuya 1. internetin Static IP’sinden ulaşılamaz! Bu tür özel kuralları (yedeklilik de olsun ama benim sunucum 1. internet devrede olduğunda hep 1. interneti kullansın) SD-WAN menüsündeki SD Wan Rules kısmından yapabilirsiniz.

Resim-2

Gerek otomatik IP, gerekse static route ile tanımladığınız internetlerin Administrative Distance’ları (Metric) eşit olmalıdır. Benim örneğimde her ikisini de 10 olarak bıraktım:

Resim-3

Her iki internetimizi de Fortigate’de tanımladıktan sonra sıra geldi SD-WAN ayarlarına. Öncelikle Network /SD-WAN menüsünde her bir internet bağlantısı için SD-WAN Member oluşturuyoruz:

 

Resim-4

Burada ben 1. internetim için Default Gateway’im 1.1.1.1 olduğundan onu girdim. Buradaki cost değerini de default bırakın:

Resim-5

Şimdide 2. internetimi SD-WAN’da tanımlıyorum :

Resim-6

Her iki internetimi de SASE’nin altında tanmladıktan sonra aşağıdaki gibi bir yapı oluşuyor :

Resim-7

Şimdi artık Fortigate’in hangi internet bağlantısında hangi performansta internet var, ya da temel olarak internet var mı yok mu kontrollerini yapacağı sensör’leri tanımlayalım. Bunun için Performance SLAs bölümündeki hazır sensör’lere minik dokunuşlar yapabilir ya da kendimiz bir sensör ilave edebiliriz. Buradaki sensörler tanımladığımız internet bağlantılarını kullanarak sensör’deki karşı hedefe, sensördeki protokol ile sensörde belirtilen sıklıkta erişimi denetler. Ben en meşhur ve hep ayakta olan Google.com sitesine doğru http protokolünden erişimleri kontrol eden sensör’ü düzenleyerek işe başlıyorum:

 

Resim-8

Burada hangi internet bağlantımda bu kontrolü yapacağımı ayarladığımız Participants kısmında tüm internet bağlantılarımı seçiyorum. SLA target altında ise ne kadar gecikme ve kayıp olduğunda bu bağlantıdan diğerine geçeceğimizi belirliyoruz. Değerleri default bırakabilirsiniz. Alttaki Update static route kesinlikle devrede olmalı !

Resim-9

Ayarlamalarımız sonrası hemen her iki bağlantımdan da performans değerleri gelmeye başlıyor. Ben bir de meşhur Google DNS’lerini sensör olarak eklemek istiyorum. Bunun için Create New:

Resim-10

Aşağıdaki gibi Google’ın DNS IP’lerini tanımlayıp yeni sensör’ümü oluşturuyorum:

Resim-11

Olur da sadece Google da sorun olursa diye başka bir üreticiyi daha sensör olarak tanımlıyorum. Ben Fortigate’in default dns’lerini de düzenleyip Participants kısmında tüm internet bağlantılarımı seçiyorum ve onu da aktif hale getirmiş oluyorum.

Resim-12

Yedekli internet bağlantılarımız, internet erişimlerimizin performanslarını ölçen sensör’lerimiz hazır olduğuna göre sıra artık kural tanımlamaya geldi. SD-WAN bölümündeki SD-WAN Rules kısmındaki hazırdaki bağlantıyı düzenliyorum:

Resim-13

Burada hangi interneti neye göre hangi yoğunlukta kullanacağının ayarlarını yapıyoruz. Ben en çok kullanılan trafik yoğunluğuna göre davranan Volume seçili iken her iki internetimi de eşit ağırlıklı olarak kullanmayı seçiyorum. Siz isterseniz farklı ağırlıklar da girebilirsiniz, merak etmeyin grafik olarak da gösterdiğinden ne yaptığınızdan emin olabilirsiniz.

Resim-14

Artık SD WAN tanımlamam bitti. Bu SASE interface’ini artık policy’lerde kullanabilirsiniz. İsterseniz özel servisler için özel internet bağlantıları da tanımlayabilirsiniz. Örneğin sunucum 1. internet devrede iken hep 1. interneti kullansın, Microsoft servisleri için tüm sistemim 2. internetimi kullansın gibi. Bunu da bir örnekle göstereyim.  Microsoft Servisleri için 2. internetimi kullanmak istiyorsam (2. internet kesildiğinde yine 1. interneti de kullanacak doğal olarak) SD-WAN Rules kısmında Create New:

Resim-15

Burada bir isim verip, internet service kısmında Microsoft servislerinden istediklerimi seçiyorum:

Resim-16

Sonrasında aşağıda bu servisler için 2. internetimi kullanmayı ve bu servislerin kontrolündeki sensör’ümü seçiyorum:

Resim-17

Ve bu kadar. Başka bir tanıma gerek olmadan artık 2. internet ayaktaysa (tabi firewall policy’lerinin de yazılmış olduğunu varsayarak) belirlediğimiz Microsoft Servislerine giderken sistem 2. internetimizi kullanacaktır. Artık size kalan sadece Firewall Kurallarını yazarken Outgoing interface de yedekli internet için SASE’yi seçmenizdir:

Resim-18

Güvenli ve en önemlisi sağlıklı, güzel günler dileklerimle.

Bu konuyla ilgili sorularınızı http://forum.mshowto.org linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz.

Referanslar

www.mshowto.org

TAGs: Fortinet, Fortigate, SD-WAN,Fortigate 7.0’da SD-WAN,Fortigate 7.0’da SD-WAN yedekli internet

Yazar Hakkında

Hacettepe ve Marmara Üniversitelerinden mezun oldum. Sonrasında Microsoft ve Cisco eğitimleri vermeye başladım. Türk Telekomda Ağ güvenliği ekibinde Kıdemlı takım liderliği , Çözüm Bilgisayarda Kurumsal bölüm müdürlüğü yaptım. Halende Neafor Bilişimde iş geliştirme müdürü olarak görev yapıyorum ve akşam ve hafta sonu sınıflarında Microsoft ve Cisco Eğitimleri vermeye devam ediyorum.

Yorum Yap

Yorumlar (1)

  1. Çok başarılı ve gayet açıklayıcı. Paylaşımız için teşekkür ederiz.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.