Escolar Documentos
Profissional Documentos
Cultura Documentos
1 - WAN
2 - SD-WAN;
3 - Planos;
4 - SDN e Controller-Based Networks;
5 - SD-WAN CISCO;
6 - Underlay x Overlay;
7 - Túneis de Controle;
8 - OMP;
9 - TLOC;
10 - VPNs (aka VRF);
11 - O LAB;
12 - LAB 1 - Con guração via CLI;
13 - LAB 2 - Veri cação via GUI;
14 - LAB 3 - Dando poder ao vManager;
Internet Interfaces
Internet Link Corporativo
A - Normalmente chamamos de porta WAN as LAN
Link Residencial
interfaces que fazem conexão com alguma rede Interfaces
externa, ou seja, fora da nossa rede local (LAN). Ge0/0 WAN
ge0/1
ge0/1
Pizzaria
Pizzaria Repare que o roteador da Pizzaria do Queens
Brooklyn Queens tem duas conexões WAN, pra que isso?
ge0/2 ge0/2
gustavokalau.com.br
fi
fi
WAN
D
S Central
As justi cativas dos fabricantes para venderem suas
soluções "mágicas" de Software De ned WAN são que as
redes tradicionais são muito rígidas para um mundo onde
a n h a t t an
1 - Agora imagine que vamos adicionar uma nova lial da M estamos em constante desenvolvimento, redes virou o
pizzaria, do ponto de vista da infraestrutura de redes, o gargalo de qualquer operação, seja pela sua
que deveríamos fazer para ativar essa nova localidade? complexidade ou até mesmo pela demora nas entregas.
1.1 - Contratar link de internet para a localidade; ge0/2 Mas não se engane, você pro ssional de redes
deve entender os conceitos fundamentais de
redes de computadores, sem essa base é
1.2 - Comprar equipamento e interfaces;
ge0/0
Pizzaria praticamente impossível trabalhar com SD-WAN.
h e B ro n x
T REDES NÃO ACABOU E NÃO VAI ACABAR!
1.3 - Elaborar con guração do dispositivo; ge0/1 MPLS
ge0/1 ge0/2
1.4 - Enviar técnico para a localidade para fazer o onboard;
Internet
1.5 - Testar conectividade; Internet Link Corporativo
Link Residencial
1 - Reescrita do FRAME (routers, Layer 3 switches). 2 - Buscar a correspondência na tabela roteamento de um pacote,
baseado no endereço IP de destino. (routers, Layer 3 switches).
3 - Mudar o endereço IP de origem
(ou/e destino) do cabeçalho IP (NAT). 4 - Descartar alguma mensagem baseado em algum tipo de ltro (ACLs).
Por exemplo, os roteadores precisam de rotas IPv4/IPv6 em uma tabela Telnet, SSH, SNMP, Syslog O plano de gerenciamento inclui protocolos que permitem
de roteamento antes que o plano de dados possa encaminhar pacotes. aos engenheiros de rede gerenciar os dispositivos.
R1 R2 R3
Os switches de camada 2 precisam de entradas na
tabela MAC antes de poderem encaminhar os frames
Ethernet pela melhor porta para chegar ao destino. OSPF OSPF
Control Control Control
Plane Plane Plane
O termo plano de controle refere-se a
qualquer ação que controla o plano de dados
Por volta de 2010 foi introduzido um SDN faz uso de uma controladora A controladora também cria muitos novos recursos para operar
novo modelo operacional de rede: que centraliza algumas funções da redes de maneira diferente; em particular, permitem que softwares
Por exemplo, a controladora pode executar todas Rede De nida por Software (SDN). rede. con gurem e operem redes automaticamente por meio de APIs.
as funções do plano de controle, substituindo o
plano de controle distribuído dos dispositivos.
O engenheiro de rede con gura os vários dispositivos de forma individual exigindo um longo
Rede Tradicional
período de tempo para planejar e implementar mudanças.
Controller
Engenheiros e operadores de rede podem implementar mudanças mais rapidamente, com
SDN e Controller-Based Networks
Control melhor consistência e, frequentemente, com melhores práticas operacionais.
Plane
APIs (Application programming interface) abrem a controladora para que
seus dados e funções possam ser usados por outros programas,
permitindo a programação da rede, com desenvolvimento muito mais rápido.
R1 R2 R3 Uma forma de SDN vem da Open Networking Foundation (ONF) o Open SDN. O
ONF (www.opennetworking.org) atua como um consórcio de usuários e
fornecedores para ajudar a estabelecer SDN no mercado.
Control Control Control
Plane Plane Plane A Cisco ofereceu uma versão comercial da controladora
OpenDaylight chamada Cisco Open SDN Controller
(OSC), mas foi descontinuada devido a mudança de
pensamento em soluções SDN pela Cisco.
Data Data Data
Pacotes Pacotes
Plane Plane Plane
gustavokalau.com.br
fi
fi
fi
fi
SD-WAN CISCO
Enterprise-level SD-WAN com suporte a Solução de SD-WAN com nível básico
A Cisco tem duas soluções de SD-WAN, a Meraki e a Viptela, topologias WAN complexas e é uma solução de customização e direcionada para
ambas são empresas que foram compradas pela Cisco (Meraki com grande capacidade de customização. pequenas e médias empresas.
em 2012 e Viptela em 2017) e incorporadas em seu portfólio.
No workshop vamos utilizar a solução VIPTELA (não encontrei nenhuma forma de emular Meraki). vEdge10
VIPTELA tem 3 controladoras e os dispositivos que cam na ponta do cliente, chamados de vEdges,
eles funcionam como uma equipe e por isso no nosso workshop vamos usar Tartaruga Ninja.
Ra
distribuição de informações de controle/gerenciamento iniciais. pha
Le
el
vSmart Os dispositivos Cisco vEdge representam o
plano de dados do sistema SD-WAN. Eles
cam na borda da WAN e estabelecem a
estrutura da rede e se juntam à rede SD-WAN.
t e llo
Do na
gustavokalau.com.br
fi
fi
fl
fi
fi
fi
Underlay x Overlay vManage
vBond
Miche
lange
lo
vSmart Na rede SD-WAN Viptela esses túneis entre
vEdges são formados automaticamente (full-
mesh) utilizando IPSec (as chaves são
o
l l o
rd
Toda infraestrutura física que estamos vendo nesse diagrama é o que chamamos de Underlay, é a n a te mantidas es distribuídas pelo vSmart) e o
ona
Do
"rede de verdade", é aquilo que realmente faz com os dados sejam transmitidos entre os dispositivos. status dos túneis são monitorados utilizando
Le
BFD (Bi-directional Forwarding Detection) e
Mas nem sempre o Underlay é su ciente para suprir as necessidades do negócio, por as estatísticas do BFD são coletadas e
exemplo precisamos que as pizzarias compartilhem recursos sem que esses dados sejam armazenadas pelo vManager (essas
possíveis de ser capturados na rede externa (WAN), para isso podemos utilizar VPN IPsec. informações
1.1.1.1 serão bastante úteis mias tarde).
vEdge10
1.1.1.1
vEdge10 SW
ASN200
Ra
pha
el
R2
Ra The Bron
x M anhattan
pha
el 2.2.2.2 x
vEdge20 The Bron
ASN300 ASN400 2.2.2.2
vEdge20
R4
R3 BGP
OSPF R7
OSPF R7
vEdge30 NETEM NETEM
vEdge40
3.3.3.3 4.4.4.4
Queens vEdge30 vEdge40
Brooklyn Queens
Brooklyn
3.3.3.3 4.4.4.4
OSPF
R5 R6 OSPF
OSPF
OSPF R5 R6
o
ello vSmart, que é responsável pelo plano de controle da
rd
n a t
ona
Do rede SD-WAN, ele é o cérebro que faz todos os cálculos
Le
de como chegar onde e também as politicas.
x
Ra
pha The Bron
el 2.2.2.2
vEdge20
vEdge30 vEdge40
s
encontrole
ede
Então de forma resumida as controladoras e os Brooklyn 3.3.3.3
E um
4.4.4.4
Q u
túnel também é formado entre os vManage e
vEdges precisam se comunicar através de túneis os vEdges, para monitoramento, tshoot, gerenciamento de
DTLS e os vEdges formam túneis IPSec entre si software, provisionamento de con guração e outros.
para transporte dos pacotes IP. OSPF
OSPF
R5 R6
gustavokalau.com.br
fi
OMP vManage
vBond
Miche
vSmart
R8
1- Mas como as redes que estão atrás dos vEdges irão se lange
lo
comunicar? Como as rotas da rede LAN que estão rodando
o
NETEM
llo OSPF
rd
a t e
Don
ona
OSPF irão aprender sobre os pre xos das outras redes?
Le
4 - SD-WAN Viptela utiliza o OMP (Overlay Management Protocol) que é um 7 - As informações de pre xos são enviados pelos vEdges
Fortigate
protocolo tudo em um baseado em TCP (similar ao BGP) que roda entre os para o vSmart e é o vSmart que faz os cálculos para
vEdges e o vSmart e que propaga as seguintes informações: 1.1.1.1
escolher as melhores rotas e envia essas informações de
vEdge10
volta para os vEdges (não existe 192.168.11.0/30
processamento de rotas
• Distribuição de Transport Locators (TLOCs); 200.0.0.5 nos vEdges, todo plano de controle é feito no vSmart)
192.168.10.0/30
• Distribuição de service-side reachability information. SW
OSPF R7
2 - Exemplo: O Brooklyn precisa divulgar as redes 33.30.0.0/30 43.40.0.0/30 192.168.71.0/24
192.168.51.0/24 para as outras Pizzarias e precisa
NETEM
IPSEC NETEM
6 - Apesar do vEdge30 ter dois túneis DTLS de controle formados com o
43.30.0.0/30 34.40.0.0/30
aprender os pre xos 192.168.61.0/24, 192.168.71.0/24, vSmart pois ele tem duas interfaces WAN, apenas um peer OMP é formado,
vEdge30
192.168.10.0/30 e todas os pre xos das redes LAN. é a mesmavEdge40
ideia de quando fazemos uma adjacência BGP via loopback e
existem vários caminhos ens chegar naquela loopback, se um caminho cai
epara
Brooklyn 3.3.3.3 4.4.4.4
a adjacência
Q u
não irá cair pois ainda existe um caminho alternativo.
3 - Problema é que eu não posso simplesmente 192.168.5.0/30
192.168.6.0/30
divulgar essas redes na infraestrutura dos OSPF
OSPF
provedores e também não consigo fechar uma
adjacência OSPF com o vEdge remoto. R5 R6
192.168.51.0/24 192.168.61.0/24
gustavokalau.com.br
fi
fi
fi
fi
fi
TLOC Um TLOC (Transport Locator) é um identi cador que representa um ponto de
conexão onde um dispositivo Cisco WAN Edge se conecta a um transporte WAN.
Um TLOC é identi cado exclusivamente por um conjunto
de três valores - (System-IP, Color, Encapsulation).
Uma rota TLOC consiste em todas as informações exigidas por um ponto remoto para estabelecer um túnel com esse TLOC
x
vSmart The Bron
ASN300 ASN400 2.2.2.2
vEdge20
Repare que o vEdge30 tem dois TLOCs pois R4
con guramos duas interfaces WAN nele, R3
42.20.0.0/30 T21
esse atributo publicinternet e lte são
chamados de color pela Cisco, o TLOC deve
OSPF R7
ser único então repare que é esse atributo
que torna ele único no nosso exemplo 33.30.0.0/30 T41
43.40.0.0/30 192.168.71.0/24
T31 TLOC {2.2.2.2, publicInternet, ipsec}
43.30.0.0/30 34.40.0.0/30 ge0/0
ge0/0 T42 Public IP: 42.20.0.1
vEdge30 T32
ge0/1 ge0/1 vEdge40
Public Port: 123456
Brooklyn 3.3.3.3 4.4.4.4
Queens Private IP: 42.20.0.1
Private Port: 123456
192.168.5.0/30 Preference: 0
192.168.6.0/30
OSPF Site-id: 20
OSPF
Tag: not set
R5 R6 Weight: 1
192.168.51.0/24 192.168.61.0/24
TLOC {3.3.3.3, publicInternet, ipsec} TLOC {3.3.3.3, lte, ipsec} TLOC {4.4.4.4, publicInternet, ipsec} TLOC {4.4.4.4, lte, ipsec}
Public IP: 33.30.0.1 Public IP: 43.30.0.1 Public IP: 43.40.0.1 Public IP: 34.40.0.1
Public Port: 123456 Public Port: 123456 Public Port: 123456 Public Port: 123456
Private IP: 33.30.0.1 Private IP: 43.30.0.1 Private IP: 43.40.0.1 Private IP: 34.40.0.1
Private Port: 123456 Private Port: 123456 Private Port: 123456 Private Port: 123456
Preference: 0 Preference: 0 Preference: 0 Preference: 0
Site-id: 30 Site-id: 30 Site-id: 40 Site-id: 40
Tag: not set Tag: not set Tag: not set Tag: not set
Weight: 1 Weight: 1 Weight: 1 Weight: 1
gustavokalau.com.br
fi
fi
fi
Túneis Repare que o vEdge20 formará 4 túneis IPsec
pois do ponto de vista dele ele recebe 4 TLOCs
diferentes (2 do vEdge 30 e 2 do vEdge40).
É importante também entender que um túnel IPSec é estabelecido para show bfd sessions
cada TLOC (e nenhum túnel é formado entre vEdges com mesmo site id):
x
The Bron Observação: Não coloquei o
2.2.2.2 vEdge10 aqui pq esqueci e quei
vEdge20 com preguiça de fazer de novo.
T21
OSPF R7
33.30.0.0/30 T41 192.168.71.0/24
T31 TLOC {2.2.2.2, publicInternet, ipsec}
ge0/0
ge0/0 T42 Public IP: 42.20.0.1
vEdge30 T32
ge0/1 ge0/1 vEdge40
Public Port: 123456
Brooklyn 3.3.3.3 4.4.4.4
Queens Private IP: 42.20.0.1
Private Port: 123456
192.168.5.0/30 Preference: 0
192.168.6.0/30
OSPF Site-id: 20
OSPF
Tag: not set
R5 R6 Weight: 1
192.168.51.0/24 192.168.61.0/24
TLOC {3.3.3.3, publicInternet, ipsec} TLOC {3.3.3.3, lte, ipsec} TLOC {4.4.4.4, publicInternet, ipsec} TLOC {4.4.4.4, lte, ipsec}
Public IP: 33.30.0.1 Public IP: 43.30.0.1 Public IP: 43.40.0.1 Public IP: 34.40.0.1
Public Port: 123456 Public Port: 123456 Public Port: 123456 Public Port: 123456
Private IP: 33.30.0.1 Private IP: 43.30.0.1 Private IP: 43.40.0.1 Private IP: 34.40.0.1
Private Port: 123456 Private Port: 123456 Private Port: 123456 Private Port: 123456
Preference: 0 Preference: 0 Preference: 0 Preference: 0
Site-id: 30 Site-id: 30 Site-id: 40 Site-id: 40
Tag: not set Tag: not set Tag: not set Tag: not set
Weight: 1 Weight: 1 Weight: 1 Weight: 1
gustavokalau.com.br
fi
VPNs (aka VRF)
Ao con gurar um dispositivo SD-WAN Viptela você precisa associar a interface de rede do equipamento a uma
VPN, podemos fazer uma comparação direta com o conceito de VRF em dispositivos Cisco.
Quando queremos criar um domínio de rede isolado e isolar o tráfego de
dados neste domínio das outras redes, criamos um novo serviço VPN nos
A ideia aqui é realmente separar o tráfego dessas interfaces, então cada VPN terá sua própria tabela de roteadores vEdge. Esta VPN é especi cada por um número diferente de 0
roteamento por exemplo, as VPNs tem um conceito um pouco mais amplo que a VRF na rede SD-WAN mas essa (Transporte) e 512 (Gerenciamento). Depois que o segmento de rede é criado,
explicação para o nosso workshop já é su ciente. você associa interfaces, ativa protocolos de roteamento e outros serviços de
rede, como VRRP e QoS, nessa VPN.
x
VPN 0 é a VPN de transporte prede nida da solução The BronVPN 10 por padrão só “conversa" com
2.2.2.2 dispositvos da VPN 10, conceito bem
Cisco SD-WAN. Não pode ser excluída. O objetivo desta
vEdge20 parecido com L3VPN do MPBGP.
VPN é impor uma separação entre as redes de transporte
WAN (o underlay) e os serviços de rede (o overlay). VPN 0 VPN 10
Transport ge0/0 ge0/2
Service VPN
OSPFVPNR7
20
VPN 0 VPN 0 Service VPN
192.168.71.0/24
Transport Transport
ge0/0 ge0/1 ge0/1 ge0/0
VPN 512 Posso criar outras VPNs e associar a
Gerência vEdge30 vEdge40 outras interfaces, por exemplo criar
Queens uma VPN Guest de uma rede sem o.
VPN 10 3.3.3.3 VPN 10 4.4.4.4 VPN 20
Por padrão a VPN 512 é con gurada Brooklyn Service VPN Service VPN Service VPN
para gerenciamento fora de banda. Ela 192.168.5.0/30 ge0/2 ge0/2
está ativado e pronta para uso 192.168.6.0/30
OSPF
imediato. OSPF
R5 R6
192.168.51.0/24 192.168.61.0/24
gustavokalau.com.br
fi
fi
fi
fi
fi
fi
O LAB
90.0.0.1 80.0.0.1 70.0.0.1
vBond vSmart 8.8.8.8/32
vManage Miche R8
lange OSPF
lo
o
.2
llo e0/2 e0/3 .2
rd
a t e
ona
Don 192.168.13.0/30 192.168.12.0/30
Le
NETEM
.1 Port2 Port3 .1
eth1
Port1 Fortigate
eth0 ge0/0 eth0 200.0.0.0/24
1.1.1.1 .1 Port4
200.0.0.2 200.0.0.2 200.0.0.3 200.0.0.4
vEdge10 .2 e0/1
192.168.11.0/30
SD-WAN
200.0.0.5 192.168.10.0/30
200.0.0.1 .1 .2
ASN200 R1
e0/2 Ra
pha
el
anhattan
R2
M
x
.1 e0/1 e0/0 .1 The Bron
ASN300 23.0.0.0/30 24.0.0.0/30 .2 ASN400 2.2.2.2
.2 vEdge20
e0/1 e0/1 R4 42.20.0.0/30 .1 .2
R3
e0/0 34.0.0.0/30 e0/0 e1/0 ge0/0 ge0/2 e0/0
.2 .1
.2 .1
.2 e0/3 .2 BGP e0/3 192.168.7.0/30 192.168.71.0/24
e0/2 e0/2 .2 R7
.2 OSPF
33.30.0.0/30 NETEM NETEM 43.40.0.0/30
43.30.0.0/30 34.40.0.0/30
.1 ge0/0 .1 .1 ge0/0 .1
vEdge30 vEdge40
ge0/1 ge0/1
ge0/2 .1 .1 ge0/2
192.168.5.0/30 192.168.6.0/30
e0/0 .2 .2 e0/0
OSPF
OSPF
R5 R6
192.168.51.0/24 192.168.61.0/24
gustavokalau.com.br
LAB 1 - vEdge 10 e 20 via CLI 90.0.0.1 80.0.0.1 70.0.0.1
vBond vSmart 8.8.8.8/32
vManage Miche R8
lange OSPF
lo
o
.2
llo e0/2 e0/3 .2
rd
1 a t e
ona
Don 192.168.13.0/30 192.168.12.0/30
ANTES - NO VDGE 10 e 20:
Le
NETEM
.1 Port2 Port3 .1
(2) show bfd sessions eth1
Port1 Fortigate
(1) VEDGE 20 (1) VEDGE 10
200.0.0.0/24
2 3 eth0 ge0/0 eth0
1.1.1.1 .1 Port4
(3) conf (3) conf 200.0.0.2 200.0.0.2 200.0.0.3 200.0.0.4
vEdge10 .2
192.168.11.0/30
(4) vpn 10 (4) vpn 10 200.0.0.5 192.168.10.0/30 e0/1
(5) router (5) router SW ge0/0 ge0/2 e0/0
(6) ospf (6) ospf
redistribute omp redistribute omp 200.0.0.1 .1 .2
(7) (7) ASN200 R1 8
(8) area 0 (8) area 0 e0/2 Ra
pha
(9) interface ge0/2 (9) interface ge0/2 el
(1) R5(config)#ip route 0.0.0.0 0.0.0.0 192.168.5.1
h a t t a n R2
(10) network point-to-point (10) Man
network point-to-point (2) R6(config)#ip route 0.0.0.0 0.0.0.0 192.168.6.1
(11) exit (11) exit (3) R7(config)#ip route 0.0.0.0 0.0.0.0
B ro n x 192.168.7.1
e0/1 e0/0 .1 T h e
(12) exit (12) exit
(13) ! (13) ! 24.0.0.0/30 .2 ASN400 2.2.2.2
(14) ! (14) ! vEdge20
e0/1 R4 42.20.0.0/30 .1 .2
(15) interface ge0/2 (15) interface ge0/2
(16) ip address 192.168.7.1/30 (16) ip address 192.168.10.1/30 e1/0 ge0/0 ge0/2 e0/0
(17) no shutdown (17) no shutdown .2 .1
192.168.7.0/30 192.168.71.0/24
(18) commit (18) commit R7
OSPF
DEPOIS - NO VDGE 10 e 20: (1) R1 - Criando Rota Default para o Fornitet (1) Propagando rota default da VPN 10 do vEdge10
4 e propagando ela no OSPF: para os outros VEDGES (se não der esse comando
(2) show bfd sessions 6 o vedge10 não vai propagar a rota default pois
(3) conf t é uma O E2):
(1) R7#sh ip route 5 (4) ip route 0.0.0.0 0.0.0.0 192.168.11.1 7
(2) R7#ping 192.168.11.2 (5) router ospf 10 (3) vEdge10# conf
(3) R7#traceroute 192.168.11.2 (6) default-information originate (4) vEdge10(config)# omp
(7) end (5) vEdge10(config-omp)# advertise ospf external
(8) wr (6) vEdge10(config-omp)# commit
gustavokalau.com.br
LAB 2 - Veri cação básica via Interface Grá ca
Essa tela aqui é somente ilustrativa, provavelmente não veremos esses dois caminhos hoje
gustavokalau.com.br
fi
fi
LAB 3 - Mudar o modo de con guração da controladora vSmart de CLI mode para vManage
1 3 4
vSmart# show system status
Personality: vsmart
Model name: vsmart
Services: None
vManaged: false
Commit pending: false
Configuration template: None
Policy template: None
Policy template version: None
Chassis serial number: None
Via interface grá ca: ir em Con guration > Devices > Controllers:
2
gustavokalau.com.br
fi
fi
fi
LAB 3 - Mudar o modo de con guração da controladora vSmart de CLI mode para vManage
7
6
gustavokalau.com.br
fi
LAB 3 - Mudar o modo de con guração da controladora vSmart de CLI mode para vManage
Via interface grá ca: ir em Con guration > Devices > Controllers:
10
gustavokalau.com.br
fi
fi
fi
Agenda
o
.2
llo e0/2 e0/3 .2
rd
a t e
ona
Don 192.168.13.0/30 192.168.12.0/30
Le
NETEM
.1 Port2 Port3 .1
eth1
Port1 Fortigate
eth0 ge0/0 eth0 200.0.0.0/24
1.1.1.1 .1 Port4
200.0.0.2 200.0.0.2 200.0.0.3 200.0.0.4
vEdge10 .2 e0/1
192.168.11.0/30
SD-WAN
200.0.0.5 192.168.10.0/30
200.0.0.1 .1 .2
ASN200 R1
e0/2 Ra
pha
l e
anhattan
R2
Se por qualquer motivo, após o envioM da con guração o vEdge perder a conectividade do plano de Con guramos o vEdge20 e o
controle com o vManage, o vEdge iniciará imediatamente um cronômetro
.1 e0/1
de reversão de 5 minutos. Se a
e0/0 .1 Bronx
vEdge10 via CLI na última aula.
The
conectividade do plano de controle não ocorrer dentro desses 5 minutos, o vEdge reverterá sua
con guração para a última con guração conhecidaASN300
e, eventualmente, se reconectará ao24.0.0.0/30
23.0.0.0/30 vManage..2 ASN400 2.2.2.2
.2 vEdge20
e0/1 e0/1 R4 42.20.0.0/30 .1 .2 Mas tivemos que entrar em cada
R3 caixa para fazer a con guração.
e0/0 34.0.0.0/30 e0/0 e1/0 ge0/0 ge0/2 e0/0
Hoje vamos con gurar o vEdge30 e 40 .2 .1
através do vManager utilizando templates. .2 .1
.2 e0/3 .2 BGP e0/3 192.168.7.0/30 192.168.71.0/24
e0/2 e0/2 .2 R7
.2 OSPF
33.30.0.0/30 NETEM NETEM 43.40.0.0/30
43.30.0.0/30 34.40.0.0/30
.1 ge0/0 .1 .1 ge0/0 .1
vEdge30 vEdge40
ge0/1 ge0/1
ge0/2 .1 .1 ge0/2
192.168.5.0/30 192.168.6.0/30
e0/0 .2 .2 e0/0
OSPF
OSPF
R5 R6
192.168.51.0/24 192.168.61.0/24
gustavokalau.com.br
fi
fi
fi
fi
fi
fi
fi
LAB 4 - Con guration Tamplate (1)
(2)
VEDGE 30
show configuration commit lis 7
4
1
5
2
9
3
gustavokalau.com.br
fi
LAB 4 - Con guration Tamplate 12
10
13
14
11
gustavokalau.com.br
fi
LAB 4 - Con guration Tamplate
Adicionar as duas interfaces WAN que serão associadas a VPN0 (clicar 2x em VPN interface)
16
gustavokalau.com.br
fi
LAB 4 - Con guration Tamplate 20 Adicionar mais um template, agora para interface ge0/1
21
19
22
24 Feito
Clicar em save
gustavokalau.com.br
fi
LAB 4 - Con guration Tamplate
Adicionar VPN de serviço 27
25
26
28
Via interface grá ca: ir em Con guration > Devices > Controllers:
gustavokalau.com.br
fi
fi
fi
LAB 4 - Con guration Tamplate
29
gustavokalau.com.br
fi
LAB 4 - Con guration Tamplate
32 34
35
33
36
gustavokalau.com.br Clicar em add, depois add de novo (não esquecer desse último add)
fi
LAB 4 - Con guration Tamplate
40
37
Temos que adicionar também a Interface LAN que estará associada a VPN10:
38
41
39
44
gustavokalau.com.br
fi
fi
LAB 4 - Con guration Tamplate
Agora vamos aplicar o template criado no vEdge30 45
46
gustavokalau.com.br
fi
LAB 4 - Con guration Tamplate 49
47
48
gustavokalau.com.br
fi
LAB 4 - Con guration Tamplate
Aplicar o template agora do vEdge40, basta repetir os passos começando do passo 45 e mudar o dispositivo para o vEdge40
Atributos do vEdge40 50
gustavokalau.com.br
fi
90.0.0.1 80.0.0.1 70.0.0.1
LAB 4 - Checando vManage
vBond
Miche
vSmart 8.8.8.8/32
R8
lange OSPF
lo
o
.2
llo e0/2 e0/3 .2
rd
a t e
ona
Don 192.168.13.0/30 192.168.12.0/30
Le
NETEM
.1 Port2 Port3 .1
eth1
Port1 Fortigate
eth0 ge0/0 eth0 200.0.0.0/24
1.1.1.1 .1 Port4
200.0.0.2 200.0.0.2 200.0.0.3 200.0.0.4
vEdge10 .2 e0/1
192.168.11.0/30
SD-WAN
200.0.0.5 192.168.10.0/30
200.0.0.1 .1 .2
ASN200 R1
e0/2 Ra
pha
el
anhattan
R2
M
x
.1 e0/1 e0/0 .1 The Bron
ASN300 23.0.0.0/30 24.0.0.0/30 .2 ASN400 2.2.2.2
.2 vEdge20
e0/1 e0/1 R4 42.20.0.0/30 .1 .2
R3
e0/0 34.0.0.0/30 e0/0 e1/0 ge0/0 ge0/2 e0/0
.2 .1
.2 .1
.2 e0/3 .2 BGP e0/3 192.168.7.0/30 192.168.71.0/24
e0/2 e0/2 .2 R7
.2 OSPF
33.30.0.0/30 NETEM NETEM 43.40.0.0/30
43.30.0.0/30 34.40.0.0/30
.1 ge0/0 .1 .1 ge0/0 .1
vEdge30 vEdge40
ge0/1 ge0/1
Vamos conferir a agência OSPF
Brooklyn 4.4.4.4
Queens
está ok e se o R5 e R6 aprenderam 3.3.3.3
as rotas vindas do vEdge.
ge0/2 .1 .1 ge0/2
192.168.5.0/30 192.168.6.0/30
e0/0 .2 .2 e0/0
OSPF
OSPF
R5 R6
192.168.51.0/24 192.168.61.0/24
gustavokalau.com.br
LAB 4.1 - Alterando o Con guration Tamplate
3
Vamos editar o Feature Template do OSPF para redistribuir as rotas OMP. 1
2 4
gustavokalau.com.br
fi
LAB 4.1 - Alterando o Con guration Tamplate
5 6
7
Conferir novamente as rotas no R5 e R6
gustavokalau.com.br
fi
Central Policy
Como exemplo para con guração de uma central policy para engenharia de tráfego vamos imaginar
que o site 20 (vEdge20) só possa ser alcançado via Manhattan (vEdge10) e nunca diretamente.
Para realizar essa tarefa teremos que impedir que a controladora vSmart 1 - vEdge20 divulga o seu TLOC para o vSmart
publique o TLOC do vEdge20 para o vEdge30 e para o vEdge40, isso Criaremos uma Policy no vManage, ela será
e o comportamento padrão do vSmart seria enviada para o vSmart e aplicada no vSmart em
fará com que o vEdge20 só forme um túnel IPsec com o vEdge 10. divulgar
vSmart esse TLOC para todos os vEdges sentido out do vSmart, quero ltrar o TLOC que
será divulgado dela para os vEdges. (Agora
temos que pensar do ponto de vista da
2 - Mas não queremos que o vSmart faça isso, pois os demais Port4 controladora e não dos dispositivos, doideira).
vEdges formariam túnel IPsec com o vEdge20 e mandariam o
vEdge10
tráfego diretamente para o vEdge20 (queremos que passe pelo
Vamos veri car o ambiente antes de fazer a
vEdge10, seria o nosso HUB). Então eu quero que o vSmart só
policy:
divulgue o TLOC do vEdge20 somente para o vEdge10. T11
vEdge30# show ip routes vpn 10
x
The Bron
IPSEC vEdge30# show bfd sessions
ASN300 ASN400 2.2.2.2 vEdge30# traceroute vpn 10 192.168.71.1
IPSEC
vEdge20
R4
R3 TLOC {2.2.2.2, publicInternet, ipsec}
IPSEC 42.20.0.0/30 T21 Public IP: 42.20.0.1
IPSEC
IPSEC Public Port: 123456
OSPF R7 Private IP: 42.20.0.1
Private Port: 123456
33.30.0.0/30 T41
43.40.0.0/30 192.168.71.0/24 Preference: 0
T31 Site-id: 20
43.30.0.0/30 34.40.0.0/30 ge0/0
ge0/0 T42 Tag: not set
vEdge30 T32
ge0/1 ge0/1 vEdge40
IPSEC Weight: 1
Brooklyn 3.3.3.3 4.4.4.4
Queens
192.168.5.0/30 IPSEC
192.168.6.0/30
OSPF
OSPF 3 - Agora o vEdge20 só receberá rotas do vEdge10 e 40, e o vEdge40 somente
R5 rotas do 10 e 30. Mas como eles R6 irão se comunicar com o vEdge20 via vEdge10?
R: Rota Default, lembra que o vEdge10 publica uma rota default via OSPF?
192.168.51.0/24 Dessa forma tudo que não tiver na tabela de roteamento dos vEdges será
192.168.61.0/24
enviado para o vEdge10 e como ele conhece todas as rotas já que faz peer como
todo mundo ele saberá como encaminhar o tráfego!
gustavokalau.com.br
fi
fi
fi
LAB 5 - Centralized Police 3
1
4
Criar mais um site list chamado OUTROS-SITES mas não incluir o site 10
5
2
gustavokalau.com.br
LAB 5 - Centralized Police
6 8
gustavokalau.com.br
LAB 5 - Centralized Police
10
12
11
gustavokalau.com.br
LAB 5 - Centralized Police (1) viptela-policy:policy
(2) control-policy SITE20_VIA_HUB
13 (3) sequence 1
(4) match tloc
(5) site-list SITE20-BRONX
(6) !
(7) action reject
(8) !
(9) !
(10) sequence 11
(11) match route
(12) prefix-list ALL
(13) !
(14) action accept
(15) !
(16) !
14 (17) default-action accept
(18) !
(19) lists
(20) prefix-list ALL
(21) ip-prefix 0.0.0.0/0
(22) !
(23) site-list OUTROS-SITES
(24) site-id 30
(25) site-id 40
(26) site-id 50
(27) !
(28) site-list SITE20-BRONX
(29) site-id 20
(30) !
(31) !
(32) !
(33) apply-policy
(34) site-list OUTROS-SITES
(35) control-policy SITE20_VIA_HUB out
gustavokalau.com.br
LAB 5 - Centralized Police
15
gustavokalau.com.br
Application-Aware Routing (App-route) Policy
Vamos con gurar uma AAR Policy nos vEdges com 2 interface WAN, o objetivo é demonstrar a capacidade de implementação de politicas de
tráfego diferentes por aplicação, no exemplo vamos criar uma Policy para o Ping, caso o link de nido como principal apresente uma quantidade
X de perda de pacotes o outro link deverá ser utilizado. Mas antes vamos entender um pouco mais sobre o BFD:
O BFD (Bidirectional Forwarding Detection) é um protocolo capaz de detectar falhas de link rapidamente.
IPSEC IPSEC
gustavokalau.com.br
fi
fi
fi
Application-Aware Routing (App-route) Policy
Por padrão, uma APP policy segue um padrão médio para calcular se o tráfego deverá comutar ou não para o outro link, tudo isso para evitar instabilidade na rede.
Imagine que você con gurou para que em caso de 20% de perda de pacotes o link comute, mas foi apenas uma perda temporária e rápida, Para evitar esse tipo de problema é utilizado por default
mas se o link car comutando nesse período de instabilidade rápida isso pode causar uma experiência muito ruim para a aplicação/usuário. um App Route Multiplier de 6 Poll (6x10min = 60min =1h).
Vamos supor que vc tenha con gura um threshold de 100ms (após o link
apresentar uma latência de 100ms deve comutar para o outro link. 2 - Primeiro vamos somar as 6 últimas Polls para achar a
média atual: 200+20+20+20+20+20=300ms/60 = 50ms
Latência (ms)
1 - Pico de 200ms de perda na Poll 6,
link então vai comutar para o outro? 200 200 200
200
80
3 - Não vai comutar pois a média está em 50ms 6 - Se manter esses 200ms de latência,
50 depois de 30min vai comutar para o outro
50 link. Caso seja necessário vc pode reduzir o
valor do App Route Multiplier (padrão é 6).
20 20 20 20 20 20 20 20 20 20 10min 10min 10min
gustavokalau.com.br
fi
fi
fi
LAB 6 - Application-Aware Routing (App-route) Policy
3
1
2WAN 30,40
2
4
gustavokalau.com.br
LAB 6 - Application-Aware Routing (App-route) Policy
7
8
6
gustavokalau.com.br
LAB 6 - Application-Aware Routing (App-route) Policy
9 10
gustavokalau.com.br
LAB 6 - Application-Aware Routing (App-route) Policy
11
12
gustavokalau.com.br
LAB 6 - Application-Aware Routing (App-route) Policy
13 14
gustavokalau.com.br
LAB 6 - Application-Aware Routing (App-route) Policy
15
16
gustavokalau.com.br
LAB 6 - Application-Aware Routing (App-route) Policy
17
18
2WAN
gustavokalau.com.br
LAB 6 - Application-Aware Routing (App-route) Policy
(1) Preview
(2) viptela-policy:policy
(3) sla-class TESTE-PING
(4) latency 100
(5) loss 10
(6) fallback-best-tunnel
(7) criteria loss
(8) loss-variance 60
(9) !
(10) !
(11) app-route-policy _VPN10_PING
(12) vpn-list VPN10
(13) sequence 1
(14) match
(15) app-list PING
(16) source-ip 0.0.0.0/0
(17) !
(18) action
(19) sla-class TESTE-PING fallback-to-best-path preferred-color public-internet
(20) !
(21) !
(22) !
(23) lists
(24) app-list PING
(25) app ping
(26) !
(27) site-list 2WAN
(28) site-id 30,40
(29) !
(30) vpn-list VPN10
(31) vpn 10
(32) !
(33) !
(34) !
(35) apply-policy
(36) site-list ALL
(37) app-route-policy _VPN10_PING
gustavokalau.com.br
LAB 6 - Application-Aware Routing (App-route) Policy
19
20
gustavokalau.com.br
LAB 6 - Application-Aware Routing (App-route) Policy
21
22
gustavokalau.com.br
LAB 6 - Application-Aware Routing (App-route) Policy
23
24
gustavokalau.com.br
SD-WAN
6 - Além disso, o suporte a ADVPN permite que o SD-WAN
use túneis IPsec diretos entre os sites para direcionar o
tráfego, resultando em menor latência para o tráfego entre os
sites (spokes) e menos carga nos locais centrais (hubs).
VPN DINÂMICA (ADVPN)
N)
PN)
que de nem como o FortiGate direciona o tráfego pela WAN com base
V P
em vários fatores, como o protocolo, serviço ou aplicativo identi cado
(ADV
(AD
para o tráfego e a qualidade dos links.
MICA
ÂM IC
DINÂ
Provedor Provedor
IN D
Pikachu Charmander
VPN
VPN
3 - Uma WAN híbrida reduz os custos principalmente porque
os administradores geralmente encaminham mais tráfego por
DEDICADO CABLE
meio de links de internet rápidos e de baixo custo do que por
meio de links privados lentos e de alto custo.
Internet
Provedor Provedor
Pikachu Charmander
virtual-wan-link
BGP BGP
Port2 Port3
Geralmente, o tráfego sensível é direcionado para os links com melhor desempenho, enquanto o tráfego
FW-KALAU
não crítico é distribuído por um ou mais links usando uma abordagem de melhor esforço. Links de
Internet caros são comumente usados como links de backup ou para direcionar apenas o tráfego crítico.
Para o roteamento, uma con guração típica faz uso de rotas default estáticas.
gustavokalau.com.br
fi
fi
SD-WAN Rules
As regras do SD-WAN representam a inteligência da solução SD-WAN e seu aspecto de nido por software.
Internet
virtual-wan-link As regras do SD-WAN são avaliadas da mesma forma que as políticas de rewall:
de cima para baixo, usando a primeira correspondência. No entanto, ao contrário
das políticas de rewall, elas são usadas para direcionar o tráfego e não para
permitir o tráfego. Ou seja, você deve con gurar políticas de rewall
Port2 Port3 correspondentes para permitir o tráfego do SD-WAN. Se nenhuma das regras do
SD-WAN de nidas pelo usuário corresponder, então a regra implícita é usada.
FW-KALAU
Posso criar uma regra que direcionar o tráfego da MicrosoftO ce365 e Salesforce
para o membro com a menor latência, entre a porta 2 e a porta 4 por exemplo.
2 - Depois disso, você indica os membros e/ou zonas preferidos para direcionar
Port4 o tráfego correspondido e, em alguns casos, as métricas de desempenho que o
Rede Local membro deve atender para ser elegível para direcionar o tráfego.
A regra implícita instrui o FortiGate a realizar o roteamento padrão do tráfego. Como as implantações
SD-WAN geralmente possuem várias rotas para o mesmo destino - ou seja, rotas ECMP -, o tráfego
que corresponde à regra implícita geralmente é balanceado entre vários membros SD-WAN.
As regras SD-WAN são essencialmente rotas de política. Como rotas de política regulares, as regras SD-WAN
roteiam o tráfego com base em vários critérios. Ou seja, quando você con gura uma regra SD-WAN, o kernel instala
uma rota de política correspondente que re ete a origem, destino, serviço e interfaces de saída con gurados na regra
SD-WAN. As regras SD-WAN têm precedência sobre as entradas FIB, mas não sobre as rotas de política regulares.
gustavokalau.com.br
fi
fi
fi
fi
fl
fi
ffi
fi
fi
fi
fi
fi
SD-WAN Performance SLAs
Performance SLAs: Os Performance SLAs no Fortigate SD-WAN podem ser de nidos para diferentes tipos de tráfego, como voz, vídeo,
Internet dados críticos ou outros aplicativos importantes. Esses acordos estabelecem critérios de desempenho especí cos para o tráfego em
questão, como a largura de banda, a latência, a perda de pacotes e outras métricas de qualidade de serviço.
Provedor Provedor
Pikachu Charmander
virtual-wan-link
Port2 Port3
FW-KALAU
Port4
Rede Local
gustavokalau.com.br
fi
fi
LAB 7 - FORTIGATE
2
1
gustavokalau.com.br
LAB 7 - FORTIGATE
4
3
gustavokalau.com.br
LAB 7 - FORTIGATE
gustavokalau.com.br
LAB 7 - FORTIGATE
7 9
gustavokalau.com.br
LAB 7 - FORTIGATE
10
11
gustavokalau.com.br
LAB 7 - FORTIGATE
12 13
14
gustavokalau.com.br
LAB 7 - FORTIGATE
15
16
17
gustavokalau.com.br
LAB 7 - FORTIGATE
18 19
20
gustavokalau.com.br
LAB 7 - FORTIGATE
21 22
23
gustavokalau.com.br
LAB 7 - FORTIGATE
24 25
gustavokalau.com.br
Bibliogra a:
LAB 8 - Mandar con guração errada para o vEdge
gustavokalau.com.br
fi
fi
SUPER MEGA HIPER OFERTA
14/07/2023