Idea general acerca de SD-WAN

SD-WAN es un software (algoritmo), para gestionar redes WAN, normalmente enlaces a Internet. Su finalidad es supervisar y equilibrar la carga del tráfico entre los diferentes enlaces WAN.

Las comprobaciones de estado de cada interface WAN y las reglas SD-WAN permiten enrutar el tráfico de forma automática e inteligente en función de la aplicación, el servicio de Internet o el estado de una conexión concreta.

Algunos de los beneficios clave de SD-WAN son:

• Reducción de costes con independencia del transporte a través de MPLS, 4G/5G u otros.
• Reducción de la complejidad dado que la gestión se realiza desde un solo panel de control.
• Mejora del rendimiento de las aplicaciones gracias a una mayor disponibilidad y agilidad.
• Mayor eficiencia con aplicaciones SaaS y de nube pública.

Se pueden montar diferentes arquitecturas. Desde un simple dispositivo con doble WAN balanceando tráfico entre los dos enlaces, hasta muchos equipos en arquitecturas complejas tipo «hub-and-spoke».

También indicar que soporta configuraciones complejas incluyendo entornos con IPSec.

Lo primero que debemos determinar son los enlaces WAN que se utilizarán para la arquitectura SD-WAN.

Para cada enlace, debemos tener muy presente el ancho de banda, la calidad y la fiabilidad (pérdida de paquetes, latencia y fluctuación) y el coste. Se debe utilizar esta información para determinar qué enlace es el principal, qué tipo de tráfico se desea enviar a través de cada enlace y establecer la configuración de las comprobaciones de estado.

Las configuraciones de VPN IPSec interconectan todas las sedes de una empresa, centros de datos y la nube, formando una topología de «hub-and-spoke«.

La gestión y el mantenimiento de los túneles deben tenerse en cuenta al determinar los requisitos de la red. La configuración manual de los túneles es suficiente en un entorno pequeño, pero puede resultar complicado a medida que aumenta el tamaño de las redes VPN IPSec. Siempre se puede optar la utilización de ADVPN (Auto Discovery VPN), para ayudar a escalar soluciones más complejas.

Los diseños de enrutamiento tradicionales gestionan las rutas para dirigir el tráfico a diferentes enlaces. SD-WAN utiliza el enrutamiento tradicional para construir la tabla de enrutamiento para alcanzar diferentes destinos, pero utiliza las reglas de SD-WAN para dirigir el tráfico. Esto permite que el envío de tráfico se base en criterios como el destino, el servicio de Internet, la aplicación, la etiqueta de ruta y el estado del enlace. El enrutamiento en una solución SD-WAN se utiliza para identificar todas las rutas posibles, que el FortiGate equilibra utilizando ECMP (Equal Cost Multi-Path).

En la configuración más básica, el enrutamiento estático configurado en una interfaz miembro de SD-WAN proporciona automáticamente el enrutamiento básico necesario para que FortiGate equilibre el tráfico a través de los enlaces. A medida que el número de destinos aumenta, mantener manualmente las rutas a cada destino se vuelve complicado. El uso de enrutamiento dinámico para anunciar rutas a través de túneles IPSec puede ser más óptimo cuando se tienen muchas redes que interconectar.

La seguridad implica la definición de políticas para el control de acceso y protección adecuada utilizando las funciones NGFW de FortiGate. Se pueden optar a configurar zonas, agrupando interfaces de la SD-WAN en zonas SD-WAN. Esta forma de agrupación en zonas puede dar mucha facilidad a la hora de configurar estos entornos.

Los SLA de rendimiento, también denominados «health-checks» (controles de salud), se utilizan para supervisar la calidad de los enlaces de los interfaces para detectar fallos. Cuando el SLA cae por debajo de un umbral configurado, la ruta por ese enlace será descartada y el tráfico será dirigido a otros enlaces según la configuración de la regla SD-WAN.

Estos «health-checks» de SLA utilizan sondeos activos o pasivos:

• El sondeo activo necesita definir manualmente el servidor que se va a sondear y genera un tráfico de sondeo constante.
• El sondeo pasivo utiliza sesiones activas que pasan por las políticas del Firewall utilizadas por las interfaces SD-WAN. Esto simplifica la configuración y elimina el tráfico de sondeo.

Las reglas de SD-WAN controlan la selección de rutas. El tráfico específico puede ser enviado dinámicamente al mejor enlace, o utilizar una ruta específica.

Las reglas controlan la estrategia que utiliza FortiGate al seleccionar la interfaz de tráfico saliente, los SLA que se supervisan al seleccionar la interfaz saliente y los criterios para seleccionar el tráfico que se asigna a la regla. Cuando ninguna regla SD-WAN coincide con el tráfico, se aplica la regla implícita.

Pasos a seguir para configurar SD-WAN.

Vamos a hacer un pequeño ejemplo de configuración con dos interfaces WAN balanceando en modo balanceo de sesiones. Lo primero es definir los interfaces que van a intervenir en el balanceo:

Definimos los «health-checks» de SLA que utilizan sondeos activos:

En cada uno de ellos, se definen los interfaces SD-WAN que intervienen en cada “check”. Si editamos uno de ellos como ejemplo:

Finalmente las reglas SD-WAN quedarían de la siguiente manera. Hay que indicar que se ha configurado para balancear sesiones al 50% por cada interface que forma el SD-WAN: