Agenda

1 - WAN
2 - SD-WAN;
3 - Planos;
4 - SDN e Controller-Based Networks;
5 - SD-WAN CISCO;
6 - Underlay x Overlay;
7 - Túneis de Controle;
8 - OMP;
9 - TLOC;
10 - VPNs (aka VRF);
11 - O LAB;
12 - LAB 1 - Con guração via CLI;
13 - LAB 2 - Veri cação via GUI;
14 - LAB 3 - Dando poder ao vManager;

Lembrando que o objetivo principal do workshop é despertar o

interesse de vocês em estudar e divulgar o meu trabalho.
fi
fi
 WAN B - Porta LAN ou interface LAN é a conexão do roteador que
está ligada a nossa rede local (LAN - Local Area Network) e
normalmente é usada como porta de saída (gateway) para o
1 - Wide Area Network - Rede de longa distância Central tráfego que será encaminhado para a WAN.
a n h a t t an
M
2 - As WANs são frequentemente usadas
por grandes empresas para conectar
suas redes locais (LAN). Interfaces
LAN Manhattan e Bronx estão se conectando
através de infraestrutra própria, não estão
3 - Essas conexões longas podem ser formadas de várias ge0/2 utilizando Internet. Mas será que isso é barato?
maneiras diferentes, incluindo links de internet comuns, links de
internet corporativos, VPNs ou infraestrutra própria.
ge0/0
Pizzaria
h e B ro n x
T
ge0/1 MPLS
Interfaces
ge0/1 ge0/2
WAN

Internet Interfaces
Internet Link Corporativo
A - Normalmente chamamos de porta WAN as LAN
Link Residencial
interfaces que fazem conexão com alguma rede Interfaces
externa, ou seja, fora da nossa rede local (LAN). Ge0/0 WAN
ge0/1
ge0/1

Pizzaria
Pizzaria Repare que o roteador da Pizzaria do Queens
Brooklyn Queens tem duas conexões WAN, pra que isso?
ge0/2 ge0/2

4 - A de nição do que constitui uma WAN é bastante

Interfaces
ampla. Tecnicamente, qualquer grande rede que se
LAN
espalha por uma ampla área geográ ca é uma WAN.
A própria internet é considerada uma WAN.

gustavokalau.com.br
fi
fi
 WAN
D
S Central
1 - Agora imagine que vamos adicionar uma nova lial da
pizzaria, do ponto de vista da infraestrutura de redes, o
que deveríamos fazer para ativar essa nova localidade?
As justi cativas dos fabricantes para venderem suas
soluções "mágicas" de Software De ned WAN são que as
redes tradicionais são muito rígidas para um mundo onde
a n h a t t an
M estamos em constante desenvolvimento, redes virou o
gargalo de qualquer operação, seja pela sua
complexidade ou até mesmo pela demora nas entregas.

1.1 - Contratar link de internet para a localidade; ge0/2 Mas não se engane, você pro ssional de redes
deve entender os conceitos fundamentais de
redes de computadores, sem essa base é
1.2 - Comprar equipamento e interfaces;
ge0/0
Pizzaria praticamente impossível trabalhar com SD-WAN.
h e B ro n x
T REDES NÃO ACABOU E NÃO VAI ACABAR!
1.3 - Elaborar con guração do dispositivo; ge0/1 MPLS
ge0/1 ge0/2
1.4 - Enviar técnico para a localidade para fazer o onboard;

Internet
1.5 - Testar conectividade; Internet Link Corporativo
Link Residencial

1.6 - Se tudo funcionar encerrar o chamado; ge0/1 Ge0/0

ge0/1 Pizzaria
v a U n i d ade
No
2 - Quanto tempo é necessário para Pizzaria
Pizzaria
Brooklyn
colocar o novo site em produção?
Queens
ge0/2 ge0/2
3 - Além disso, que tipo de link de
internet devemos contratar?

Promessas das Soluções de SD-WAN (as parrudas):

4 - E se precisarmos usar links de baixo custo mas garantindo a performance?
• Redes como um sistema e não como dispositivos isolados;
• Separação dos planos de Controle, Dados e Gerenciamento;
5 - E a segurança? Monitoramento? Manutenção?
• Estabelecimento de uma Overlay Fabric;
• Onboarding simpli cado;
• Automação e orquestração;
• Agilidade;
gustavokalau.com.br • Application quality of Experience;
fi
fi
fi
fi
fi
fi
 PLANOS
Existem 3 planos quando pensamos no processo de
transmissão de dados em uma rede de computadores:
O termo plano de dados refere-se às tarefas que um dispositivo de rede
realiza para encaminhar uma mensagem.
Pense em tudo o que um roteador ou switch pode fazer ao receber,
processar e encaminhar uma mensagem (abaixo alguns exemplos:

Plano de Dados (Data Plane);

Plano de Controle (Control Plane); R1 R2 R3 SW

Plano de Gerenciamento (Management Plane);

1 - Reescrita do FRAME (routers, Layer 3 switches). 2 - Buscar a correspondência na tabela roteamento de um pacote,
baseado no endereço IP de destino. (routers, Layer 3 switches).
3 - Mudar o endereço IP de origem
(ou/e destino) do cabeçalho IP (NAT). 4 - Descartar alguma mensagem baseado em algum tipo de ltro (ACLs).

Qualquer coisa relacionada ao recebimento, processamento e 5 - Adicionar ou remover um 802.1Q

encaminhamento dos dados - quer você chame de frame, pacote ou, trunking header (routers e switches).
mais genericamente, de mensagem - faz parte do plano de dados.

6 - Buscar a correspondência na tabela MAC de um Frame Ethernet,

baseado no endereço MAC de destino. (Layer 2 switches).
Quais os tipos de informação que o plano de dados precisa saber de antemão para que possa funcionar corretamente?

Por exemplo, os roteadores precisam de rotas IPv4/IPv6 em uma tabela Telnet, SSH, SNMP, Syslog O plano de gerenciamento inclui protocolos que permitem
de roteamento antes que o plano de dados possa encaminhar pacotes. aos engenheiros de rede gerenciar os dispositivos.
R1 R2 R3
Os switches de camada 2 precisam de entradas na
tabela MAC antes de poderem encaminhar os frames
Ethernet pela melhor porta para chegar ao destino. OSPF OSPF
Control Control Control
Plane Plane Plane
O termo plano de controle refere-se a
qualquer ação que controla o plano de dados

Exemplos: Routing protocols , IPv4

Data Data Data
ARP, IPv6 Neighbor Discovery Protocol Pacotes Pacotes
Plane Plane Plane
(NDP), Switch MAC learning, STP.
gustavokalau.com.br
fi
SDN e Controller-Based Networks
O modelo com todos os planos implementados em
cada dispositivo é o modelo tradicional de operação
e controle de redes e que existe há décadas.
1 Você entende os protocolos que os dispositivos usam, junto com os
comandos que podem personalizar a forma como esses protocolos operam.
Em seguida, você planeja e implementa a con guração distribuída para os
2
dispositivos, dispositivo por dispositivo, para implementar a rede.

Por volta de 2010 foi introduzido um
novo modelo operacional de rede:
Por exemplo, a controladora pode executar todas Rede De nida por Software (SDN).
as funções do plano de controle, substituindo o
plano de controle distribuído dos dispositivos.
Rede Tradicional
Controller
SDN e Controller-Based Networks
Control
Plane
SDN faz uso de uma controladora A controladora também cria muitos novos recursos para operar
que centraliza algumas funções da redes de maneira diferente; em particular, permitem que softwares
rede. con gurem e operem redes automaticamente por meio de APIs.
O engenheiro de rede con gura os vários dispositivos de forma individual exigindo um longo
período de tempo para planejar e implementar mudanças.
Engenheiros e operadores de rede podem implementar mudanças mais rapidamente, com
melhor consistência e, frequentemente, com melhores práticas operacionais.
APIs (Application programming interface) abrem a controladora para que
seus dados e funções possam ser usados por outros programas,
permitindo a programação da rede, com desenvolvimento muito mais rápido.

R1 R2 R3 Uma forma de SDN vem da Open Networking Foundation (ONF) o Open SDN. O
ONF (www.opennetworking.org) atua como um consórcio de usuários e
fornecedores para ajudar a estabelecer SDN no mercado.
Control Control Control
Plane Plane Plane A Cisco ofereceu uma versão comercial da controladora
OpenDaylight chamada Cisco Open SDN Controller
(OSC), mas foi descontinuada devido a mudança de
pensamento em soluções SDN pela Cisco.
Data Data Data
Pacotes Pacotes
Plane Plane Plane

gustavokalau.com.br
fi
fi
fi
fi
 SD-WAN CISCO
A Cisco tem duas soluções de SD-WAN, a Meraki e a Viptela,
ambas são empresas que foram compradas pela Cisco (Meraki
em 2012 e Viptela em 2017) e incorporadas em seu portfólio.
Enterprise-level SD-WAN com suporte a Solução de SD-WAN com nível básico
topologias WAN complexas e é uma solução de customização e direcionada para
com grande capacidade de customização. pequenas e médias empresas.

No workshop vamos utilizar a solução VIPTELA (não encontrei nenhuma forma de emular Meraki). vEdge10
VIPTELA tem 3 controladoras e os dispositivos que cam na ponta do cliente, chamados de vEdges,
eles funcionam como uma equipe e por isso no nosso workshop vamos usar Tartaruga Ninja.

vManage vBond Cisco vBond é o plano de orquestração do sistema SD-WAN. Seu

Miche trabalho é orquestrar o processo de integração de novos
lange
l o
o

dispositivos não con gurados na rede SD-WAN. É responsável

rd

pela autenticação, lista de roteadores vEdge permitidos e

ona

Ra
distribuição de informações de controle/gerenciamento iniciais. pha
Le

el
vSmart Os dispositivos Cisco vEdge representam o
plano de dados do sistema SD-WAN. Eles
cam na borda da WAN e estabelecem a
estrutura da rede e se juntam à rede SD-WAN.
t e llo
Do na

Cisco vMange é o plano de gerenciamento do sistema SD-WAN. Ele executa a interface

Cisco vSmart é o plano de controle do sistema
do usuário do sistema e é o painel com o qual os administradores de rede interagem
SD-WAN. São o cérebro. Anunciam roteamento,
diariamente. É responsável por coletar dados de telemetria de rede, executar análises e
políticas e segurança. Eles são posicionados como
alertar sobre eventos. É também a ferramenta que os administradores usam para criar
hub na topologia do plano de controle e todos os
templates de dispositivos, con gurações e realizar engenharia de tráfego e overlays.
roteadores vEdge fazem peer com a controladora
vSmart (são como router re ector no BGP). No
entanto, é importante entender que esses
Pode ser implantado no local, na nuvem pública ou no ambiente
dispositivos não fazem parte do plano de dados e
hospedado na nuvem da Cisco. É signi cativamente intensivo em recursos
não participam do encaminhamento de pacotes.
e a maioria dos clientes vai com as opções de nuvem da Cisco ($$$).

gustavokalau.com.br
fi
fi
fl
fi
fi
fi
Underlay x Overlay vManage
vBond
Miche
lange
lo
vSmart Na rede SD-WAN Viptela esses túneis entre
vEdges são formados automaticamente (full-
mesh) utilizando IPSec (as chaves são

o
l l o

rd
Toda infraestrutura física que estamos vendo nesse diagrama é o que chamamos de Underlay, é a n a te mantidas es distribuídas pelo vSmart) e o

ona
Do
"rede de verdade", é aquilo que realmente faz com os dados sejam transmitidos entre os dispositivos. status dos túneis são monitorados utilizando

Le
BFD (Bi-directional Forwarding Detection) e
Mas nem sempre o Underlay é su ciente para suprir as necessidades do negócio, por as estatísticas do BFD são coletadas e
exemplo precisamos que as pizzarias compartilhem recursos sem que esses dados sejam armazenadas pelo vManager (essas
possíveis de ser capturados na rede externa (WAN), para isso podemos utilizar VPN IPsec. informações
1.1.1.1 serão bastante úteis mias tarde).

vEdge10
1.1.1.1
vEdge10 SW

ASN200
Ra
pha
el
R2
Ra The Bron
x M anhattan
pha
el 2.2.2.2 x
vEdge20 The Bron
ASN300 ASN400 2.2.2.2
vEdge20
R4
R3 BGP
OSPF R7
OSPF R7
vEdge30 NETEM NETEM
vEdge40

3.3.3.3 4.4.4.4
Queens vEdge30 vEdge40

Brooklyn Queens
Brooklyn
3.3.3.3 4.4.4.4
OSPF

R5 R6 OSPF
OSPF

OSPF R5 R6

Uma Rede Overlay é uma rede virtual que é

construída sobre a infraestrutura de rede
subjacente (Rede Underlay). Na verdade,
“Underlay” fornece um “serviço” para a Overlay.
gustavokalau.com.br
fi
Túneis de Controle
vBond vSmart Para receber e enviar informações sobre roteamento e
vManage Miche
lange
lo demais politicas os vEdges devem se conectar ao

o
ello vSmart, que é responsável pelo plano de controle da

rd
n a t

ona
Do rede SD-WAN, ele é o cérebro que faz todos os cálculos

Le
de como chegar onde e também as politicas.

Uma vez que as controladoras estão operacionais 1.1.1.1

elas devem estabelecer conexões seguras entre si
vEdge10
para que possa se comunicar, para isso utilizam
DTLS (Datagram Transport Layer Security).

x
Ra
pha The Bron
el 2.2.2.2
vEdge20

Para que o vEdge possa ingressar na rede ele deverá ser

reconhecido e permitido previamente, então ele fará
contato com o vBond primeiramente para ser autorizado OSPF R7
e receber informações sobre as demais controladoras.

vEdge30 vEdge40
s
encontrole
ede
Então de forma resumida as controladoras e os Brooklyn 3.3.3.3
E um
4.4.4.4
Q u
túnel também é formado entre os vManage e
vEdges precisam se comunicar através de túneis os vEdges, para monitoramento, tshoot, gerenciamento de
DTLS e os vEdges formam túneis IPSec entre si software, provisionamento de con guração e outros.
para transporte dos pacotes IP. OSPF
OSPF
R5 R6

gustavokalau.com.br
fi
OMP vManage
vBond
Miche
vSmart
R8

1- Mas como as redes que estão atrás dos vEdges irão se lange
lo
comunicar? Como as rotas da rede LAN que estão rodando

o
NETEM
llo OSPF

rd
a t e
Don

ona
OSPF irão aprender sobre os pre xos das outras redes?

Le
4 - SD-WAN Viptela utiliza o OMP (Overlay Management Protocol) que é um 7 - As informações de pre xos são enviados pelos vEdges
Fortigate
protocolo tudo em um baseado em TCP (similar ao BGP) que roda entre os para o vSmart e é o vSmart que faz os cálculos para
vEdges e o vSmart e que propaga as seguintes informações: 1.1.1.1
escolher as melhores rotas e envia essas informações de
vEdge10
volta para os vEdges (não existe 192.168.11.0/30
processamento de rotas
• Distribuição de Transport Locators (TLOCs); 200.0.0.5 nos vEdges, todo plano de controle é feito no vSmart)
192.168.10.0/30
• Distribuição de service-side reachability information. SW

• Distribuição de service-chaining information.

ASN200 200.0.0.1
• Distribuição de data plane security parameters, VPN labels, e crypto keys. R1
Ra 8 - Após receber as rotas e chaves de segurança
• Distribuição de application-aware routing (AAR) policies. pha do vSmart os túneis IPSec são formados entre os
el
R2
M anhattan vEdges e todo o tráfego de dados é enviado
Ele é muito mais que apenas um protocolo diretamente para o vEdge desejado, nenhum
de roteamento, seu escopo é muito maior. tráfego de dados passa Bpelas
ronxcontroladoras!
OMP The
ASN300 PEER
23.0.0.0/30 24.0.0.0/30 ASN400 2.2.2.2

5 - O vEdge30 forma um peer OMP com o vSmart vEdge20

R4
e envia suas rotas aprendidas via seu OSPF interno R3 BGP
para dentro do OMP (isso deve ser con gurado). 34.0.0.0/30 42.20.0.0/30

OSPF R7
2 - Exemplo: O Brooklyn precisa divulgar as redes 33.30.0.0/30 43.40.0.0/30 192.168.71.0/24
192.168.51.0/24 para as outras Pizzarias e precisa
NETEM
IPSEC NETEM
6 - Apesar do vEdge30 ter dois túneis DTLS de controle formados com o
43.30.0.0/30 34.40.0.0/30
aprender os pre xos 192.168.61.0/24, 192.168.71.0/24, vSmart pois ele tem duas interfaces WAN, apenas um peer OMP é formado,
vEdge30
192.168.10.0/30 e todas os pre xos das redes LAN. é a mesmavEdge40
ideia de quando fazemos uma adjacência BGP via loopback e
existem vários caminhos ens chegar naquela loopback, se um caminho cai
epara
Brooklyn 3.3.3.3 4.4.4.4
a adjacência
Q u
não irá cair pois ainda existe um caminho alternativo.
3 - Problema é que eu não posso simplesmente 192.168.5.0/30
192.168.6.0/30
divulgar essas redes na infraestrutura dos OSPF
OSPF
provedores e também não consigo fechar uma
adjacência OSPF com o vEdge remoto. R5 R6

192.168.51.0/24 192.168.61.0/24

gustavokalau.com.br
fi
fi
fi
fi
fi
 TLOC Um TLOC (Transport Locator) é um identi cador que representa um ponto de
conexão onde um dispositivo Cisco WAN Edge se conecta a um transporte WAN.
Um TLOC é identi cado exclusivamente por um conjunto
de três valores - (System-IP, Color, Encapsulation).

Uma rota TLOC consiste em todas as informações exigidas por um ponto remoto para estabelecer um túnel com esse TLOC

x
vSmart The Bron
ASN300 ASN400 2.2.2.2
vEdge20
Repare que o vEdge30 tem dois TLOCs pois R4
con guramos duas interfaces WAN nele, R3
42.20.0.0/30 T21
esse atributo publicinternet e lte são
chamados de color pela Cisco, o TLOC deve
OSPF R7
ser único então repare que é esse atributo
que torna ele único no nosso exemplo 33.30.0.0/30 T41
43.40.0.0/30 192.168.71.0/24
T31 TLOC {2.2.2.2, publicInternet, ipsec}
43.30.0.0/30 34.40.0.0/30 ge0/0
ge0/0 T42 Public IP: 42.20.0.1
vEdge30 T32
ge0/1 ge0/1 vEdge40
Public Port: 123456
Brooklyn 3.3.3.3 4.4.4.4
Queens Private IP: 42.20.0.1
Private Port: 123456
192.168.5.0/30 Preference: 0
192.168.6.0/30
OSPF Site-id: 20
OSPF
Tag: not set
R5 R6 Weight: 1

192.168.51.0/24 192.168.61.0/24

TLOC {3.3.3.3, publicInternet, ipsec} TLOC {3.3.3.3, lte, ipsec} TLOC {4.4.4.4, publicInternet, ipsec} TLOC {4.4.4.4, lte, ipsec}
Public IP: 33.30.0.1 Public IP: 43.30.0.1 Public IP: 43.40.0.1 Public IP: 34.40.0.1
Public Port: 123456 Public Port: 123456 Public Port: 123456 Public Port: 123456
Private IP: 33.30.0.1 Private IP: 43.30.0.1 Private IP: 43.40.0.1 Private IP: 34.40.0.1
Private Port: 123456 Private Port: 123456 Private Port: 123456 Private Port: 123456
Preference: 0 Preference: 0 Preference: 0 Preference: 0
Site-id: 30 Site-id: 30 Site-id: 40 Site-id: 40
Tag: not set Tag: not set Tag: not set Tag: not set
Weight: 1 Weight: 1 Weight: 1 Weight: 1

gustavokalau.com.br
fi
fi
fi
Túneis Repare que o vEdge20 formará 4 túneis IPsec
pois do ponto de vista dele ele recebe 4 TLOCs
diferentes (2 do vEdge 30 e 2 do vEdge40).
É importante também entender que um túnel IPSec é estabelecido para show bfd sessions
cada TLOC (e nenhum túnel é formado entre vEdges com mesmo site id):

x
The Bron Observação: Não coloquei o
2.2.2.2 vEdge10 aqui pq esqueci e quei
vEdge20 com preguiça de fazer de novo.

T21
OSPF R7
33.30.0.0/30 T41 192.168.71.0/24
T31 TLOC {2.2.2.2, publicInternet, ipsec}
ge0/0
ge0/0 T42 Public IP: 42.20.0.1
vEdge30 T32
ge0/1 ge0/1 vEdge40
Public Port: 123456
Brooklyn 3.3.3.3 4.4.4.4
Queens Private IP: 42.20.0.1
Private Port: 123456
192.168.5.0/30 Preference: 0
192.168.6.0/30
OSPF Site-id: 20
OSPF
Tag: not set
R5 R6 Weight: 1

192.168.51.0/24 192.168.61.0/24

TLOC {3.3.3.3, publicInternet, ipsec} TLOC {3.3.3.3, lte, ipsec} TLOC {4.4.4.4, publicInternet, ipsec} TLOC {4.4.4.4, lte, ipsec}
Public IP: 33.30.0.1 Public IP: 43.30.0.1 Public IP: 43.40.0.1 Public IP: 34.40.0.1
Public Port: 123456 Public Port: 123456 Public Port: 123456 Public Port: 123456
Private IP: 33.30.0.1 Private IP: 43.30.0.1 Private IP: 43.40.0.1 Private IP: 34.40.0.1
Private Port: 123456 Private Port: 123456 Private Port: 123456 Private Port: 123456
Preference: 0 Preference: 0 Preference: 0 Preference: 0
Site-id: 30 Site-id: 30 Site-id: 40 Site-id: 40
Tag: not set Tag: not set Tag: not set Tag: not set
Weight: 1 Weight: 1 Weight: 1 Weight: 1

gustavokalau.com.br
fi
VPNs (aka VRF)
Ao con gurar um dispositivo SD-WAN Viptela você precisa associar a interface de rede do equipamento a uma
VPN, podemos fazer uma comparação direta com o conceito de VRF em dispositivos Cisco.
A ideia aqui é realmente separar o tráfego dessas interfaces, então cada VPN terá sua própria tabela de
roteamento por exemplo, as VPNs tem um conceito um pouco mais amplo que a VRF na rede SD-WAN mas essa
explicação para o nosso workshop já é su ciente.
Quando queremos criar um domínio de rede isolado e isolar o tráfego de
dados neste domínio das outras redes, criamos um novo serviço VPN nos
roteadores vEdge. Esta VPN é especi cada por um número diferente de 0
(Transporte) e 512 (Gerenciamento). Depois que o segmento de rede é criado,
você associa interfaces, ativa protocolos de roteamento e outros serviços de
rede, como VRRP e QoS, nessa VPN.

x
VPN 0 é a VPN de transporte prede nida da solução The BronVPN 10 por padrão só “conversa" com
2.2.2.2 dispositvos da VPN 10, conceito bem
Cisco SD-WAN. Não pode ser excluída. O objetivo desta
vEdge20 parecido com L3VPN do MPBGP.
VPN é impor uma separação entre as redes de transporte
WAN (o underlay) e os serviços de rede (o overlay). VPN 0 VPN 10
Transport ge0/0 ge0/2
Service VPN

OSPFVPNR7
20
VPN 0 VPN 0 Service VPN
192.168.71.0/24
Transport Transport
ge0/0 ge0/1 ge0/1 ge0/0
VPN 512 Posso criar outras VPNs e associar a
Gerência vEdge30 vEdge40 outras interfaces, por exemplo criar
Queens uma VPN Guest de uma rede sem o.
VPN 10 3.3.3.3 VPN 10 4.4.4.4 VPN 20
Por padrão a VPN 512 é con gurada Brooklyn Service VPN Service VPN Service VPN
para gerenciamento fora de banda. Ela 192.168.5.0/30 ge0/2 ge0/2
está ativado e pronta para uso 192.168.6.0/30
OSPF
imediato. OSPF
R5 R6

192.168.51.0/24 192.168.61.0/24

gustavokalau.com.br
fi
fi
fi
fi
fi
fi
 O LAB
90.0.0.1 80.0.0.1 70.0.0.1
vBond vSmart 8.8.8.8/32
vManage Miche R8
lange OSPF
lo

o
.2
llo e0/2 e0/3 .2

rd
a t e

ona
Don 192.168.13.0/30 192.168.12.0/30

Le
NETEM

.1 Port2 Port3 .1
eth1
Port1 Fortigate
eth0 ge0/0 eth0 200.0.0.0/24
1.1.1.1 .1 Port4
200.0.0.2 200.0.0.2 200.0.0.3 200.0.0.4
vEdge10 .2 e0/1
192.168.11.0/30

SD-WAN
200.0.0.5 192.168.10.0/30

SW ge0/0 ge0/2 e0/0

200.0.0.1 .1 .2
ASN200 R1
e0/2 Ra
pha
el
anhattan
R2
M
x
.1 e0/1 e0/0 .1 The Bron
ASN300 23.0.0.0/30 24.0.0.0/30 .2 ASN400 2.2.2.2
.2 vEdge20
e0/1 e0/1 R4 42.20.0.0/30 .1 .2
R3
e0/0 34.0.0.0/30 e0/0 e1/0 ge0/0 ge0/2 e0/0
.2 .1
.2 .1
.2 e0/3 .2 BGP e0/3 192.168.7.0/30 192.168.71.0/24
e0/2 e0/2 .2 R7
.2 OSPF
33.30.0.0/30 NETEM NETEM 43.40.0.0/30
43.30.0.0/30 34.40.0.0/30
.1 ge0/0 .1 .1 ge0/0 .1
vEdge30 vEdge40
ge0/1 ge0/1

Brooklyn 3.3.3.3 4.4.4.4

Queens

ge0/2 .1 .1 ge0/2
192.168.5.0/30 192.168.6.0/30
e0/0 .2 .2 e0/0
OSPF
OSPF
R5 R6
192.168.51.0/24 192.168.61.0/24
gustavokalau.com.br
LAB 1 - vEdge 10 e 20 via CLI 90.0.0.1 80.0.0.1 70.0.0.1
vBond vSmart 8.8.8.8/32
vManage Miche R8
lange OSPF
lo

o
.2
llo e0/2 e0/3 .2

rd
1 a t e

ona
Don 192.168.13.0/30 192.168.12.0/30
ANTES - NO VDGE 10 e 20:

Le
NETEM

.1 Port2 Port3 .1
(2) show bfd sessions eth1
Port1 Fortigate
(1) VEDGE 20 (1) VEDGE 10
200.0.0.0/24
2 3 eth0 ge0/0 eth0
1.1.1.1 .1 Port4
(3) conf (3) conf 200.0.0.2 200.0.0.2 200.0.0.3 200.0.0.4
vEdge10 .2
192.168.11.0/30
(4) vpn 10 (4) vpn 10 200.0.0.5 192.168.10.0/30 e0/1
(5) router (5) router SW ge0/0 ge0/2 e0/0
(6) ospf (6) ospf
redistribute omp redistribute omp 200.0.0.1 .1 .2
(7) (7) ASN200 R1 8
(8) area 0 (8) area 0 e0/2 Ra
pha
(9) interface ge0/2 (9) interface ge0/2 el
(1) R5(config)#ip route 0.0.0.0 0.0.0.0 192.168.5.1
h a t t a n R2
(10) network point-to-point (10) Man
network point-to-point (2) R6(config)#ip route 0.0.0.0 0.0.0.0 192.168.6.1
(11) exit (11) exit (3) R7(config)#ip route 0.0.0.0 0.0.0.0
B ro n x 192.168.7.1
e0/1 e0/0 .1 T h e
(12) exit (12) exit
(13) ! (13) ! 24.0.0.0/30 .2 ASN400 2.2.2.2
(14) ! (14) ! vEdge20
e0/1 R4 42.20.0.0/30 .1 .2
(15) interface ge0/2 (15) interface ge0/2
(16) ip address 192.168.7.1/30 (16) ip address 192.168.10.1/30 e1/0 ge0/0 ge0/2 e0/0
(17) no shutdown (17) no shutdown .2 .1
192.168.7.0/30 192.168.71.0/24
(18) commit (18) commit R7
OSPF
DEPOIS - NO VDGE 10 e 20: (1) R1 - Criando Rota Default para o Fornitet (1) Propagando rota default da VPN 10 do vEdge10
4 e propagando ela no OSPF: para os outros VEDGES (se não der esse comando
(2) show bfd sessions 6 o vedge10 não vai propagar a rota default pois
(3) conf t é uma O E2):
(1) R7#sh ip route 5 (4) ip route 0.0.0.0 0.0.0.0 192.168.11.1 7
(2) R7#ping 192.168.11.2 (5) router ospf 10 (3) vEdge10# conf
(3) R7#traceroute 192.168.11.2 (6) default-information originate (4) vEdge10(config)# omp
(7) end (5) vEdge10(config-omp)# advertise ospf external
(8) wr (6) vEdge10(config-omp)# commit
gustavokalau.com.br
 LAB 2 - Veri cação básica via Interface Grá ca

Essa tela aqui é somente ilustrativa, provavelmente não veremos esses dois caminhos hoje

gustavokalau.com.br
fi
fi
LAB 3 - Mudar o modo de con guração da controladora vSmart de CLI mode para vManage
1 3 4
vSmart# show system status

Viptela (tm) vsmart Operating System Software

Copyright (c) 2013-2023 by Viptela, Inc.
Controller Compatibility:
Version: 20.7.1
Build: 37

—- LINHAS OMITIDAS PARA FICAR MENOR ISSO AQUI

Personality: vsmart
Model name: vsmart
Services: None
vManaged: false
Commit pending: false
Configuration template: None
Policy template: None
Policy template version: None
Chassis serial number: None

Via interface grá ca: ir em Con guration > Devices > Controllers:
2

gustavokalau.com.br
fi
fi
fi
LAB 3 - Mudar o modo de con guração da controladora vSmart de CLI mode para vManage

7
6

gustavokalau.com.br
fi
LAB 3 - Mudar o modo de con guração da controladora vSmart de CLI mode para vManage

Via interface grá ca: ir em Con guration > Devices > Controllers:

10

gustavokalau.com.br
fi
fi
fi
 Agenda

1 - LAB 4 - Con guration Tamplate

2 - LAB 4.1 - Alterando o Con guration Tamplate
3 - LAB 5 - Centralized Police
4 - LAB 6 - Application-Aware Routing (App-route) Policy
5 - SD-WAN Fortgate básico
6 - LAB 7 - FORTIGATE
7 - LAB 8 - Mandar con guração errada para o vEdge
8 - LAB 9 - Derrubar controladoras
9 - Plataforma, cursos e mega promoção;
fi
fi
fi
 O LAB
90.0.0.1 80.0.0.1 70.0.0.1
vBond vSmart 8.8.8.8/32
vManage Miche R8
lange OSPF
lo

o
.2
llo e0/2 e0/3 .2

rd
a t e

ona
Don 192.168.13.0/30 192.168.12.0/30

Le
NETEM

.1 Port2 Port3 .1
eth1
Port1 Fortigate
eth0 ge0/0 eth0 200.0.0.0/24
1.1.1.1 .1 Port4
200.0.0.2 200.0.0.2 200.0.0.3 200.0.0.4
vEdge10 .2 e0/1
192.168.11.0/30

SD-WAN
200.0.0.5 192.168.10.0/30

SW ge0/0 ge0/2 e0/0

200.0.0.1 .1 .2
ASN200 R1
e0/2 Ra
pha
l e
anhattan
R2
Se por qualquer motivo, após o envioM da con guração o vEdge perder a conectividade do plano de Con guramos o vEdge20 e o
controle com o vManage, o vEdge iniciará imediatamente um cronômetro
.1 e0/1
de reversão de 5 minutos. Se a
e0/0 .1 Bronx
vEdge10 via CLI na última aula.
The
conectividade do plano de controle não ocorrer dentro desses 5 minutos, o vEdge reverterá sua
con guração para a última con guração conhecidaASN300
e, eventualmente, se reconectará ao24.0.0.0/30
23.0.0.0/30 vManage..2 ASN400 2.2.2.2
.2 vEdge20
e0/1 e0/1 R4 42.20.0.0/30 .1 .2 Mas tivemos que entrar em cada
R3 caixa para fazer a con guração.
e0/0 34.0.0.0/30 e0/0 e1/0 ge0/0 ge0/2 e0/0
Hoje vamos con gurar o vEdge30 e 40 .2 .1
através do vManager utilizando templates. .2 .1
.2 e0/3 .2 BGP e0/3 192.168.7.0/30 192.168.71.0/24
e0/2 e0/2 .2 R7
.2 OSPF
33.30.0.0/30 NETEM NETEM 43.40.0.0/30
43.30.0.0/30 34.40.0.0/30
.1 ge0/0 .1 .1 ge0/0 .1
vEdge30 vEdge40
ge0/1 ge0/1

Brooklyn 3.3.3.3 4.4.4.4

Queens

ge0/2 .1 .1 ge0/2
192.168.5.0/30 192.168.6.0/30
e0/0 .2 .2 e0/0
OSPF
OSPF
R5 R6
192.168.51.0/24 192.168.61.0/24
gustavokalau.com.br
fi
fi
fi
fi
fi
fi
fi
LAB 4 - Con guration Tamplate (1)
(2)
VEDGE 30
show configuration commit lis 7

4
1

5
2

9
3

gustavokalau.com.br
fi
LAB 4 - Con guration Tamplate 12

10

Tem que clicar em add mais uma vez

13

14

11

Agora no template do vEdge na parte de VPN0 aparece o nosso template:

15

gustavokalau.com.br
fi
LAB 4 - Con guration Tamplate
Adicionar as duas interfaces WAN que serão associadas a VPN0 (clicar 2x em VPN interface)
16

Criar o template para as interfaces ge0/0 e para ge0/1

17 18

gustavokalau.com.br
fi
LAB 4 - Con guration Tamplate 20 Adicionar mais um template, agora para interface ge0/1
21
19

Clicar em save no nal

22

Agora na VPN0 temos duas interfaces!

Clicar em save no nal

gustavokalau.com.br
fi
fi
fi
LAB 4 - Con guration Tamplate
Adicionar uma interface na VPN 512 23

24 Feito

Clicar em save
gustavokalau.com.br
fi
LAB 4 - Con guration Tamplate
Adicionar VPN de serviço 27
25

26

28

Via interface grá ca: ir em Con guration > Devices > Controllers:
gustavokalau.com.br
fi
fi
fi
LAB 4 - Con guration Tamplate

29

Adicionar OSPF template, clicar em OSPF e vamos criar um template de OSPF

31
30

gustavokalau.com.br
fi
LAB 4 - Con guration Tamplate
32 34

35

33

36

gustavokalau.com.br Clicar em add, depois add de novo (não esquecer desse último add)
fi
LAB 4 - Con guration Tamplate
40
37

A área foi criada e a interface adicionada no OSPF:

Temos que adicionar também a Interface LAN que estará associada a VPN10:

38

41

39

gustavokalau.com.br Clicar em save e depois save mais uma vez

fi
LAB 4 - Con guration Tamplate
43
42 Para nalizar vamos clicar em criar o template
dos vEdges com duas interfaces WAN:
Template criado:
Olha a quantidade de Feature Templates
que esse Device Template criou.

44

gustavokalau.com.br
fi
fi
LAB 4 - Con guration Tamplate
Agora vamos aplicar o template criado no vEdge30 45

46

gustavokalau.com.br
fi
LAB 4 - Con guration Tamplate 49
47

48

Clicar em aplicar e depois em next

gustavokalau.com.br
fi
LAB 4 - Con guration Tamplate

Aplicar o template agora do vEdge40, basta repetir os passos começando do passo 45 e mudar o dispositivo para o vEdge40

Atributos do vEdge40 50

gustavokalau.com.br
fi
 90.0.0.1 80.0.0.1 70.0.0.1
LAB 4 - Checando vManage
vBond
Miche
vSmart 8.8.8.8/32
R8
lange OSPF
lo

o
.2
llo e0/2 e0/3 .2

rd
a t e

ona
Don 192.168.13.0/30 192.168.12.0/30

Le
NETEM

.1 Port2 Port3 .1
eth1
Port1 Fortigate
eth0 ge0/0 eth0 200.0.0.0/24
1.1.1.1 .1 Port4
200.0.0.2 200.0.0.2 200.0.0.3 200.0.0.4
vEdge10 .2 e0/1
192.168.11.0/30

SD-WAN
200.0.0.5 192.168.10.0/30

SW ge0/0 ge0/2 e0/0

200.0.0.1 .1 .2
ASN200 R1
e0/2 Ra
pha
el
anhattan
R2
M
x
.1 e0/1 e0/0 .1 The Bron
ASN300 23.0.0.0/30 24.0.0.0/30 .2 ASN400 2.2.2.2
.2 vEdge20
e0/1 e0/1 R4 42.20.0.0/30 .1 .2
R3
e0/0 34.0.0.0/30 e0/0 e1/0 ge0/0 ge0/2 e0/0
.2 .1
.2 .1
.2 e0/3 .2 BGP e0/3 192.168.7.0/30 192.168.71.0/24
e0/2 e0/2 .2 R7
.2 OSPF
33.30.0.0/30 NETEM NETEM 43.40.0.0/30
43.30.0.0/30 34.40.0.0/30
.1 ge0/0 .1 .1 ge0/0 .1
vEdge30 vEdge40
ge0/1 ge0/1
Vamos conferir a agência OSPF
Brooklyn 4.4.4.4
Queens
está ok e se o R5 e R6 aprenderam 3.3.3.3
as rotas vindas do vEdge.
ge0/2 .1 .1 ge0/2
192.168.5.0/30 192.168.6.0/30
e0/0 .2 .2 e0/0
OSPF
OSPF
R5 R6
192.168.51.0/24 192.168.61.0/24
gustavokalau.com.br
LAB 4.1 - Alterando o Con guration Tamplate
3
Vamos editar o Feature Template do OSPF para redistribuir as rotas OMP. 1

2 4

gustavokalau.com.br
fi
LAB 4.1 - Alterando o Con guration Tamplate
5 6

7
Conferir novamente as rotas no R5 e R6

gustavokalau.com.br
fi
Central Policy
Como exemplo para con guração de uma central policy para engenharia de tráfego vamos imaginar
que o site 20 (vEdge20) só possa ser alcançado via Manhattan (vEdge10) e nunca diretamente.

Para realizar essa tarefa teremos que impedir que a controladora vSmart 1 - vEdge20 divulga o seu TLOC para o vSmart
publique o TLOC do vEdge20 para o vEdge30 e para o vEdge40, isso Criaremos uma Policy no vManage, ela será
e o comportamento padrão do vSmart seria enviada para o vSmart e aplicada no vSmart em
fará com que o vEdge20 só forme um túnel IPsec com o vEdge 10. divulgar
vSmart esse TLOC para todos os vEdges sentido out do vSmart, quero ltrar o TLOC que
será divulgado dela para os vEdges. (Agora
temos que pensar do ponto de vista da
2 - Mas não queremos que o vSmart faça isso, pois os demais Port4 controladora e não dos dispositivos, doideira).
vEdges formariam túnel IPsec com o vEdge20 e mandariam o
vEdge10
tráfego diretamente para o vEdge20 (queremos que passe pelo
Vamos veri car o ambiente antes de fazer a
vEdge10, seria o nosso HUB). Então eu quero que o vSmart só
policy:
divulgue o TLOC do vEdge20 somente para o vEdge10. T11
vEdge30# show ip routes vpn 10
x
The Bron
IPSEC vEdge30# show bfd sessions
ASN300 ASN400 2.2.2.2 vEdge30# traceroute vpn 10 192.168.71.1
IPSEC
vEdge20
R4
R3 TLOC {2.2.2.2, publicInternet, ipsec}
IPSEC 42.20.0.0/30 T21 Public IP: 42.20.0.1
IPSEC
IPSEC Public Port: 123456
OSPF R7 Private IP: 42.20.0.1
Private Port: 123456
33.30.0.0/30 T41
43.40.0.0/30 192.168.71.0/24 Preference: 0
T31 Site-id: 20
43.30.0.0/30 34.40.0.0/30 ge0/0
ge0/0 T42 Tag: not set
vEdge30 T32
ge0/1 ge0/1 vEdge40
IPSEC Weight: 1
Brooklyn 3.3.3.3 4.4.4.4
Queens

192.168.5.0/30 IPSEC
192.168.6.0/30
OSPF
OSPF 3 - Agora o vEdge20 só receberá rotas do vEdge10 e 40, e o vEdge40 somente
R5 rotas do 10 e 30. Mas como eles R6 irão se comunicar com o vEdge20 via vEdge10?
R: Rota Default, lembra que o vEdge10 publica uma rota default via OSPF?
192.168.51.0/24 Dessa forma tudo que não tiver na tabela de roteamento dos vEdges será
192.168.61.0/24
enviado para o vEdge10 e como ele conhece todas as rotas já que faz peer como
todo mundo ele saberá como encaminhar o tráfego!
gustavokalau.com.br
fi
fi
fi
LAB 5 - Centralized Police 3
1

4
Criar mais um site list chamado OUTROS-SITES mas não incluir o site 10

5
2

gustavokalau.com.br
LAB 5 - Centralized Police
6 8

gustavokalau.com.br
LAB 5 - Centralized Police
10
12

11

gustavokalau.com.br
LAB 5 - Centralized Police (1) viptela-policy:policy
(2) control-policy SITE20_VIA_HUB
13 (3) sequence 1
(4) match tloc
(5) site-list SITE20-BRONX
(6) !
(7) action reject
(8) !
(9) !
(10) sequence 11
(11) match route
(12) prefix-list ALL
(13) !
(14) action accept
(15) !
(16) !
14 (17) default-action accept
(18) !
(19) lists
(20) prefix-list ALL
(21) ip-prefix 0.0.0.0/0
(22) !
(23) site-list OUTROS-SITES
(24) site-id 30
(25) site-id 40
(26) site-id 50
(27) !
(28) site-list SITE20-BRONX
(29) site-id 20
(30) !
(31) !
(32) !
(33) apply-policy
(34) site-list OUTROS-SITES
(35) control-policy SITE20_VIA_HUB out

gustavokalau.com.br
LAB 5 - Centralized Police

15

gustavokalau.com.br
Application-Aware Routing (App-route) Policy
Vamos con gurar uma AAR Policy nos vEdges com 2 interface WAN, o objetivo é demonstrar a capacidade de implementação de politicas de
tráfego diferentes por aplicação, no exemplo vamos criar uma Policy para o Ping, caso o link de nido como principal apresente uma quantidade
X de perda de pacotes o outro link deverá ser utilizado. Mas antes vamos entender um pouco mais sobre o BFD:

O BFD (Bidirectional Forwarding Detection) é um protocolo capaz de detectar falhas de link rapidamente.

IPSEC IPSEC

vEdge30 vEdge40 vEdge30 vEdge40

4 - Um Poll Interval acumula informação de 600

BFD Probe BFD Probe probes BFD (1Segx60Segx10Min=600), e através
(Sonda BFD) (Sonda BFD) dessa coleta é calculada a média.
1 - O BFD detecta as falhas dentro do túnel e faz
parte da solução de alta disponibilidade. O BFD é
ativado por padrão em todos os roteadores Cisco
2 - Por padrão são enviados a cada 1000ms 3 - Nas solução Viptela o BFD também é usado para
Viptela vEdge. Não há como desativá-lo. Opera em
(1 segundo) e com multiplier de 7, isso medir a qualidade do link, coletando perdas de
echo mode. A vantagem do BFD é que ele pode
signi ca que depois de 7 probes perdidas (7 pacote, latência, jitter das probes BFD durante um
trabalhar em intervalos muito pequenos (subsecond).
segundos) o túnel é declarado inativo. período de 10 minutos chamado de Poll Interval

gustavokalau.com.br
fi
fi
fi
Application-Aware Routing (App-route) Policy
Por padrão, uma APP policy segue um padrão médio para calcular se o tráfego deverá comutar ou não para o outro link, tudo isso para evitar instabilidade na rede.

Imagine que você con gurou para que em caso de 20% de perda de pacotes o link comute, mas foi apenas uma perda temporária e rápida, Para evitar esse tipo de problema é utilizado por default
mas se o link car comutando nesse período de instabilidade rápida isso pode causar uma experiência muito ruim para a aplicação/usuário. um App Route Multiplier de 6 Poll (6x10min = 60min =1h).

Vamos supor que vc tenha con gura um threshold de 100ms (após o link
apresentar uma latência de 100ms deve comutar para o outro link. 2 - Primeiro vamos somar as 6 últimas Polls para achar a
média atual: 200+20+20+20+20+20=300ms/60 = 50ms

Latência (ms)
1 - Pico de 200ms de perda na Poll 6,
link então vai comutar para o outro? 200 200 200
200

150 5 - 200+200+200+20+20+20=660ms/60 = 110ms

4 - 200+200+20+20+20+20=480ms/60 = 80ms
110
100

80
3 - Não vai comutar pois a média está em 50ms 6 - Se manter esses 200ms de latência,
50 depois de 30min vai comutar para o outro
50 link. Caso seja necessário vc pode reduzir o
valor do App Route Multiplier (padrão é 6).
20 20 20 20 20 20 20 20 20 20 10min 10min 10min

Poll Poll Poll Poll Poll Poll Poll Poll

1 2 3 4 5 6 7 8

Latência Atual Latência Média

gustavokalau.com.br
fi
fi
fi
LAB 6 - Application-Aware Routing (App-route) Policy
3
1

2WAN 30,40

2
4

gustavokalau.com.br
LAB 6 - Application-Aware Routing (App-route) Policy
7

8
6

gustavokalau.com.br
LAB 6 - Application-Aware Routing (App-route) Policy
9 10

gustavokalau.com.br
LAB 6 - Application-Aware Routing (App-route) Policy
11

12

gustavokalau.com.br
LAB 6 - Application-Aware Routing (App-route) Policy
13 14

So dar next sem fazer nada mesmo!

gustavokalau.com.br
LAB 6 - Application-Aware Routing (App-route) Policy
15

16

gustavokalau.com.br
LAB 6 - Application-Aware Routing (App-route) Policy
17

18

2WAN

gustavokalau.com.br
LAB 6 - Application-Aware Routing (App-route) Policy
(1) Preview
(2) viptela-policy:policy
(3) sla-class TESTE-PING
(4) latency 100
(5) loss 10
(6) fallback-best-tunnel
(7) criteria loss
(8) loss-variance 60
(9) !
(10) !
(11) app-route-policy _VPN10_PING
(12) vpn-list VPN10
(13) sequence 1
(14) match
(15) app-list PING
(16) source-ip 0.0.0.0/0
(17) !
(18) action
(19) sla-class TESTE-PING fallback-to-best-path preferred-color public-internet
(20) !
(21) !
(22) !
(23) lists
(24) app-list PING
(25) app ping
(26) !
(27) site-list 2WAN
(28) site-id 30,40
(29) !
(30) vpn-list VPN10
(31) vpn 10
(32) !
(33) !
(34) !
(35) apply-policy
(36) site-list ALL
(37) app-route-policy _VPN10_PING
gustavokalau.com.br
LAB 6 - Application-Aware Routing (App-route) Policy

19

20

gustavokalau.com.br
LAB 6 - Application-Aware Routing (App-route) Policy

21

22

gustavokalau.com.br
LAB 6 - Application-Aware Routing (App-route) Policy

23

24

gustavokalau.com.br
SD-WAN
6 - Além disso, o suporte a ADVPN permite que o SD-WAN
use túneis IPsec diretos entre os sites para direcionar o
tráfego, resultando em menor latência para o tráfego entre os
sites (spokes) e menos carga nos locais centrais (hubs).
VPN DINÂMICA (ADVPN)

WAN de nida por software (SD-WAN) fornece seleção dinâmica de

caminhos entre várias conexões WAN baseados em políticas e suporta o
encadeamento de serviços adicionais, como otimização da WAN e rewalls.
A implementação da Fortinet do SD-WAN é chamada de Secure SD-WAN
porque também fornece segurança por meio do aproveitamento dos
recursos de segurança incorporados disponíveis no FortiOS.
FILIAL - A FILIAL - B
O Secure SD-WAN baseia-se em recursos conhecidos do FortiOS,
como IPsec, auto-descoberta VPN (ADVPN), monitoramento de link,
roteamento avançado, banco de dados de serviços de internet (ISDB),
Internet moldagem de tráfego, inspeção UTM e balanceamento de carga.
O administrador pode então combinar esses recursos e de nir regras

N)

PN)
que de nem como o FortiGate direciona o tráfego pela WAN com base

V P
em vários fatores, como o protocolo, serviço ou aplicativo identi cado

(ADV
(AD
para o tráfego e a qualidade dos links.

MICA
ÂM IC

DINÂ
Provedor Provedor

IN D
Pikachu Charmander

VPN

VPN
3 - Uma WAN híbrida reduz os custos principalmente porque
os administradores geralmente encaminham mais tráfego por
DEDICADO CABLE
meio de links de internet rápidos e de baixo custo do que por
meio de links privados lentos e de alto custo.

1 - Com o SD-WAN, as organizações podem gerenciar Port2 Port4

vários tipos de conexões de rede, como banda larga, 4 - O resultado é que os links privados, como links MPLS,
LTE e MPLS, por meio de um controlador centralizado. CLOUD STREAMING são frequentemente usados apenas para encaminhar tráfego
crítico ou como links de failover para alta disponibilidade.

2 - Isso permite o roteamento dinâmico do tráfego com

base nos requisitos do aplicativo e nas condições da
rede, resultando em melhor desempenho, redução da MATRIZ
latência e maior con abilidade.
Rede Local
5 - Note que o SD-WAN controla o tráfego de saída, não o tráfego
de entrada. Isso signi ca que o tráfego de retorno pode usar um link
diferente daquele escolhido pelo SD-WAN para saída.
gustavokalau.com.br
fi
fi
fi
fi
​​
fi
fi
fi
 SD-WAN Zones
O acesso direto à Internet (DIA), também conhecido como breakout local, é, sem dúvida, o caso de uso mais comum para o SD-WAN. Um site possui vários links de Internet
(também conhecidos como links de underlay) e o administrador deseja que o FortiGate direcione o tráfego da Internet através dos links (também conhecidos como membros).

Internet

Provedor Provedor
Pikachu Charmander

virtual-wan-link
BGP BGP

Port2 Port3
Geralmente, o tráfego sensível é direcionado para os links com melhor desempenho, enquanto o tráfego
FW-KALAU

não crítico é distribuído por um ou mais links usando uma abordagem de melhor esforço. Links de
Internet caros são comumente usados como links de backup ou para direcionar apenas o tráfego crítico.

Para o roteamento, uma con guração típica faz uso de rotas default estáticas.

Port4 Em alguns casos, o BGP é usado entre o ISP e o FortiGate, especialmente se o

site precisar anunciar um pre xo de IP público.
Rede Local

gustavokalau.com.br
fi
fi
 SD-WAN Rules
As regras do SD-WAN representam a inteligência da solução SD-WAN e seu aspecto de nido por software.

Internet

1 - Ao con gurar uma regra do SD-WAN,

você primeiro de ne a aplicação ou
Provedor Provedor padrão de tráfego a ser correspondido.
Pikachu Charmander

virtual-wan-link As regras do SD-WAN são avaliadas da mesma forma que as políticas de rewall:
de cima para baixo, usando a primeira correspondência. No entanto, ao contrário
das políticas de rewall, elas são usadas para direcionar o tráfego e não para
permitir o tráfego. Ou seja, você deve con gurar políticas de rewall
Port2 Port3 correspondentes para permitir o tráfego do SD-WAN. Se nenhuma das regras do
SD-WAN de nidas pelo usuário corresponder, então a regra implícita é usada.
FW-KALAU

Posso criar uma regra que direcionar o tráfego da MicrosoftO ce365 e Salesforce
para o membro com a menor latência, entre a porta 2 e a porta 4 por exemplo.

2 - Depois disso, você indica os membros e/ou zonas preferidos para direcionar
Port4 o tráfego correspondido e, em alguns casos, as métricas de desempenho que o
Rede Local membro deve atender para ser elegível para direcionar o tráfego.

A regra implícita instrui o FortiGate a realizar o roteamento padrão do tráfego. Como as implantações
SD-WAN geralmente possuem várias rotas para o mesmo destino - ou seja, rotas ECMP -, o tráfego
que corresponde à regra implícita geralmente é balanceado entre vários membros SD-WAN.

As regras SD-WAN são essencialmente rotas de política. Como rotas de política regulares, as regras SD-WAN
roteiam o tráfego com base em vários critérios. Ou seja, quando você con gura uma regra SD-WAN, o kernel instala
uma rota de política correspondente que re ete a origem, destino, serviço e interfaces de saída con gurados na regra
SD-WAN. As regras SD-WAN têm precedência sobre as entradas FIB, mas não sobre as rotas de política regulares.
gustavokalau.com.br
fi
fi
fi
fi
fl
fi
ffi
fi
fi
fi
fi
fi
SD-WAN Performance SLAs
Performance SLAs: Os Performance SLAs no Fortigate SD-WAN podem ser de nidos para diferentes tipos de tráfego, como voz, vídeo,
Internet dados críticos ou outros aplicativos importantes. Esses acordos estabelecem critérios de desempenho especí cos para o tráfego em
questão, como a largura de banda, a latência, a perda de pacotes e outras métricas de qualidade de serviço.

Provedor Provedor
Pikachu Charmander

virtual-wan-link

Port2 Port3
FW-KALAU

Port4
Rede Local

gustavokalau.com.br
fi
fi
 LAB 7 - FORTIGATE
2
1

gustavokalau.com.br
 LAB 7 - FORTIGATE

4
3

gustavokalau.com.br
 LAB 7 - FORTIGATE

gustavokalau.com.br
 LAB 7 - FORTIGATE
7 9

gustavokalau.com.br
 LAB 7 - FORTIGATE
10

11

gustavokalau.com.br
 LAB 7 - FORTIGATE
12 13

14

gustavokalau.com.br
 LAB 7 - FORTIGATE
15

16
17

gustavokalau.com.br
 LAB 7 - FORTIGATE
18 19

20

gustavokalau.com.br
 LAB 7 - FORTIGATE
21 22

23

gustavokalau.com.br
 LAB 7 - FORTIGATE

24 25

gustavokalau.com.br
 Bibliogra a:
LAB 8 - Mandar con guração errada para o vEdge

LAB 9 - Derrubar controladoras

gustavokalau.com.br
fi
fi
 SUPER MEGA HIPER OFERTA

14/07/2023