Хотим оставить подобные истории на уровне баек из курилки, поэтому стали перебирать решения и пришли к идее, что пора осваивать программно-определяемые сети (SD-WAN). Для этого мы обратились к оборудованию, которое хорошо знаем по другим проектам: взяли сетевые экраны Fortinet c поддержкой SD-WAN и протестировали на них несколько популярных запросов от клиентов. Посмотрели, как можно разворачивать распределенную сеть и управлять ею через общий веб-интерфейс, и расписали результаты тестов и наше мнение о возможностях этого оборудования.
Зачем вообще нужна программно-определяемая сеть
Собираем стенд для SD-WAN
- FortiManager, FMG-VM-Base.
- FortiGate (виртуальные), FG-VM02.
[Кейс 1] Запускаем сеть без предварительной настройки оборудования
[Кейс 2] Включаем защиту от потерь данных
- Посмотрим эффект от FEC. Тест будем считать пройденным, если получим приемлемое качество работы при нестабильном канале. Параллельно проверим, появился ли адаптивный FEC (мечтать не вредно), какой максимальный процент потерь (и джиттер) может скорректировать FEC.
- Проверим, как отображается картинка ролика. Изучим размер избыточности трафика, который при этом возникает, а также узнаем, соответствуют ли теоретические расчёты результатам на практике.
- Рассчитаем нагрузку на CPU/ASIC оборудования, проведём тест на DUP (дупликацию), проверим возможность нормальной работы на двух плохих каналах.
[Кейс 3] Распределяем трафик по разным каналами
[Кейс 3*] Распределяем приложения по каналам
[Кейс 4] Удерживаем гарантированное качество при DDoS-атаке
- Обнаруживать паразитную загрузку канала (используются тестовые пакеты HealthCheck);
- Переключаться на резервный канал на период DDoS;
- Возвращаться обратно после окончания DDoS.
Что мы получили в итоге
Хотим оставить подобные истории на уровне баек из курилки, поэтому стали перебирать решения и пришли к идее, что пора осваивать программно-определяемые сети (SD-WAN). Для этого мы обратились к оборудованию, которое хорошо знаем по другим проектам: взяли сетевые экраны Fortinet c поддержкой SD-WAN и протестировали на них несколько популярных запросов от клиентов. Посмотрели, как можно разворачивать распределенную сеть и управлять ею через общий веб-интерфейс, и расписали результаты тестов и наше мнение о возможностях этого оборудования.
Зачем вообще нужна программно-определяемая сеть
Собираем стенд для SD-WAN
- FortiManager, FMG-VM-Base.
- FortiGate (виртуальные), FG-VM02.
[Кейс 1] Запускаем сеть без предварительной настройки оборудования
[Кейс 2] Включаем защиту от потерь данных
- Посмотрим эффект от FEC. Тест будем считать пройденным, если получим приемлемое качество работы при нестабильном канале. Параллельно проверим, появился ли адаптивный FEC (мечтать не вредно), какой максимальный процент потерь (и джиттер) может скорректировать FEC.
- Проверим, как отображается картинка ролика. Изучим размер избыточности трафика, который при этом возникает, а также узнаем, соответствуют ли теоретические расчёты результатам на практике.
- Рассчитаем нагрузку на CPU/ASIC оборудования, проведём тест на DUP (дупликацию), проверим возможность нормальной работы на двух плохих каналах.
[Кейс 3] Распределяем трафик по разным каналами
[Кейс 3*] Распределяем приложения по каналам
[Кейс 4] Удерживаем гарантированное качество при DDoS-атаке
- Обнаруживать паразитную загрузку канала (используются тестовые пакеты HealthCheck);
- Переключаться на резервный канал на период DDoS;
- Возвращаться обратно после окончания DDoS.
Что мы получили в итоге
Комментарии (11)
redneko
28.09.2021 17:15+1Для передачи ТВ-потоков всё же лучше использовать более специализированные железки (от тех же AppearTV, Nevion, и иже с ними), поскольку если еще для MPEG2TS можно жить с увеличенным джиттером, то какой-нибудь SMPTE 2022-6 уже будет неработоспособен. И VLC тут тоже не показатель - он спокойно ест VBR поток не рассыпаясь, а Ericsson 8200 не хочет ни в какую (но это уже больше особая придирчивость ресивера играет роль). К тому же благодаря SRT можно с приемлемым качеством и задержкой гонять MPEG2TS через публичные сети. Хотя и у реализаций SRT нет-нет, да и находятся баги, проект до сих пор пилится активно.
JetHabr
01.10.2021 18:33+1Спасибо за комментарий! В статье мы попытались раскрыть, как выглядит работа с наиболее популярными запросами, которые мы получаем от заказчиков. К сожалению, работы с ТВ-потоками среди них не было. VLC мы использовали как лекгодоступный подручный инструмент проверки функционала и гипотез по работе с Fortigate. В будущих тестах попробуем добавить больше вариативности по используемому продуктивному трафику.
kazaros
30.09.2021 11:49+1Не повысилось ли задержки при включении FEC?
JetHabr
01.10.2021 18:34К сожалению, не замеряли этот показатель. По логике работы FEC задержка должна быть. Но мы не замеряли избыточность (она легко определяется по коэффициенту избыточности FEC, у нас 1:6) и задержки в явном виде. Попробуем при случае проверить.
sHaggY_caT
09.10.2021 19:33+1Как мы перестали бояться и полюбили программно-определяемые сети
пользуясь случаем, побояню:
ColdSUN
Как это SD-WAN не требует лицензий? Распределение приложений по каналам без подписки не работает. Дополнительной лицензии никакой докупать не надо, это так, но обычную лицензию на UTM всё же придётся купить и продлять её.
JetHabr
В целом Вы правы, но дьявол кроется в деталях.
Устройства Fortigate в базе несут на борту функционал Application Control. Его достаточно для «чистого» SD-WAN (т.е. для использования типа приложения в качестве критерия применения SD-WAN правил). Но для получения обновлений сигнатур приложений потребуется как минимум подписка FortiCare (обновление FortiOS, сервис ТП и пр.).
Если же требуется Secure SD-WAN, т.е. совмещение функций SD-WAN и безопасности профильного NGFW, в таком случае безусловно требуется полноценный бандл (UTP и выше): https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/FortiGuard_Security_Services.pdf https://www.fortinet.com/content/dam/fortinet/assets/brochures/Brochure-FortiGuard-Security-Services.pdf
Fortinet лицензионно не ограничивает ни полосу пропускания, ни количество подключений, ничего. Здесь все упирается только в производительность самого устройства Fortigate - cколько МСЭ через себя трафика сможет пропихнуть, столько и будет.
Подскажите, с какими девайсами Fortigate (с какой подпиской) и версией FortiOS Вы работали?
ColdSUN
FGT 100d/e/f, 200d/e/f, 500e, 1100e etc. 5.6.x, 6.0.x, 6.2.x, 6.4.x
Сейчас дома стоит FortiWifi 40f 3G4G прошивка 6.4.7 и два FortiAP 221e. С лицензией на UTM функции.
FortiCare для обновления сигнатур не достаточно. Нужна именно подписка на UTM. Что-то вроде 360 Protection или UTP. Можно Advanced Threat Protection, если не нужен Web Filter.
JetHabr
Добрый день! Мы на всякий случай связались с Fortinet и уточнили этот вопрос. С версии FortiOS 6.2 обновления Application Control входят в базовый FortiCare. По другим сервисам (кроме базового функционала) – да, для обновлений действительно требуется подписка. Но тут можем отметить, что если забыть продлить соответствующую подписку, то сервисы останутся в рабочем состоянии на момент окончания подписки. Они не откатятся к базовых настройкам, не превратят межсетевой экран в коробку с режимом "только для чтения".
ColdSUN
Вы абсолютно правы. Сейчас открыл список лицензий и что в них входит, и обнаружил, что в обычный FortiCare 24x7 входит Application Control. И да, в отличии от того же Cisco Meraki окончание подписки не превращает железку в тыкву.