02 Sdwan-Sp

Desglose local de SD-WAN
Infraestructura FortiGate
FortiOS 7.0
© Copyright Fortinet Inc. All rights reserved. LastLast
Modified:
Modified:
14 April
14 April
20222022
En esta lección, aprenderá sobre SD-WAN función disponible en FortiGate.

Lesson Overview
Introducción a SD-WAN
SLA de rendimiento de SD-WAN
Reglas SD-WAN
Diagnóstico SD-WAN
© Fortinet Inc. All Rights Reserved. 2
En esta lección, aprenderá sobre los temas que se muestran en esta diapositiva.
Objectives
• Identificar casos de uso para SD-WAN
• Identificar los requisitos de implementación para SD-WAN
• Configurar zonas SD-WAN, miembros y equilibrio de carga
• Configurar rutas estáticas y políticas de firewall para SD-WAN
Después de completar esta sección, debería poder lograr los objetivos que se muestran en esta diapositiva.
Al demostrar competencia en SD-WAN, debería poder configurar zonas SD-WAN, miembros y equilibrio de
carga de tráfico para usar múltiples enlaces WAN de manera efectiva en FortiGate.
¿Qué es SD-WAN?
• Interface virtual que consta de un grupo de miembros de interfaces que se pueden
conectar a diferentes tipos de enlaces
• Permite el uso efectivo de WAN con varios algoritmos de equilibrio de carga
• Admite la medición de la calidad del enlace
• Selección dinámica de enlaces basada en la calidad del enlace
• Garantiza una alta disponibilidad de las aplicaciones críticas para el negocio Sede central/centro de datos
Nube pública
SaaS
Sucursal
© Fortinet Inc. Todos los derechos reservados. 4
SD-WAN es una virtual interfaz que consiste de un grupo de interfaces miembro que se pueden conectar a
diferentes tipos de enlace . FortiGate agrupa todas las interfaces de miembros en una sola interfaz virtual: la
interfaz SD-WAN. El uso de SD-WAN simplifica la configuración porque el administrador puede configurar un
conjunto único de rutas y políticas de firewall y aplicarlas a todas las interfaces de los miembros . Solo puede
haber una interfaz SD-WAN por VDOM.
Uno de los principales motivadores para implementar SD-WAN es el uso efectivo de WAN, cuando se utilizan
múltiples enlaces WAN. El uso efectivo de la WAN se logra utilizando varios algoritmos de equilibrio de
carga, como el uso del ancho de banda, las sesiones o el enrutamiento consciente de la aplicación. Otra
característica importante de SD-WAN son las mediciones de calidad de enlace. Usando ping o eco HTTP,
FortiGate puede determinar la latencia, la fluctuación o el porcentaje de pérdida de paquetes para cada
enlace y seleccionar enlaces dinámicamente en función de estas medidas. Esto garantiza una alta
disponibilidad (HA) para aplicaciones críticas para el negocio.
Casos de uso de SD-WAN empresarial

Migración MPLS
Dependencia MPLS
Inflexible, caro, buena QoS
MPLS
Nube privada
Sucursal
Tráfico asegurado en MPLS

Aplicaciones Provider Cloud
empresariales Desglose en la nube del
Todo el tráfico proveedor para todo el tráfico
encaminado a través
de circuitos MPLS . Nube pública
QoS aplicado para
aplicaciones
comerciales Internet
Ahora, aprenderá sobre los casos de uso de SD-WAN. En el ejemplo que se muestra en esta diapositiva, el
cliente depende en gran medida de un MPLS costoso e inflexible. Todo el tráfico se enruta a través del
circuito MPLS a la nube del proveedor, luego a la nube pública o Internet, según las aplicaciones. Como se
mencionó anteriormente, no hay flexibilidad en este escenario y, sin embargo, es una solución costosa para
el cliente. ¿Cómo puede el cliente agregar redundancia, flexibilidad, confiabilidad y, lo que es más
importante, seguridad, sin agregar una infraestructura costosa? Aprenderá sobre la solución en esta lección.
Casos de uso de SD-WAN

Copia de seguridad MPLS con ruptura local
Aplicaciones críticas (voz y video) Se

elige la mejor ruta según la latencia,
la inestabilidad y la pérdida de
paquetes
MPLS
Nube privada
Aplicaciones críticas (voz y video)

Sucursal Redirigido a un nuevo túnel en caso de que las
condiciones de la WAN sean peores que el umbral
VPN
Aplicaciones
empresariales Acceso seguro directo a contenido
Carga equilibrada en de Internet , SaaS e IaaS
diferentes líneas para Carga balanceada si es necesario
optimizar el ancho de Nube pública
banda
Internet
En el ejemplo que se muestra en esta diapositiva, al cliente le gustaría mantener MPLS para las aplicaciones
críticas para el negocio, al mismo tiempo que agrega flexibilidad y redundancia. MPLS se usa para enviar
tráfico crítico para el negocio (por ejemplo, voz y video) basado en la mejor ruta con menos demora,
inestabilidad o pérdida de paquetes. En caso de que la ruta actual se degrade por debajo del umbral de la
política, el tráfico crítico para el negocio se redirigirá a un nuevo túnel. Además, la carga del tráfico no crítico
se equilibra en diferentes líneas para maximizar el ancho de banda o minimizar el costo. Al mismo tiempo, la
sucursal puede tener acceso seguro directo a Internet, lo que mejora el rendimiento de la aplicación en la
nube y puede equilibrar la carga de contenido SaaS e IaaS si es necesario.
Casos de uso de SD-WAN empresarial ( cont .)

Se elige la mejor ruta según la
latencia, la inestabilidad y la Reemplazo MPLS
pérdida de paquetes
VPN
Nube privada

Sucursal Redirigido a un nuevo túnel en caso de que las
condiciones de la WAN sean peores que el umbral
VPN
Aplicaciones
empresariales Acceso seguro directo a contenido
Carga equilibrada en de Internet , SaaS e IaaS
diferentes líneas para Carga balanceada si es necesario
optimizar el ancho de Nube pública
banda
Internet
En el ejemplo que se muestra en esta diapositiva, el costoso MPLS se reemplaza por dos túneles de VPN de
Internet y, sin embargo, gana resistencia y redundancia sólidas. Al reemplazar MPLS, el cliente puede
minimizar los costos y maximizar la calidad. La solución SD-WAN es una solución consciente de las
aplicaciones de red y selecciona dinámicamente la mejor WAN para mantener un SLA más alto.
Configuración SD-WAN
• Especifique al menos dos interfaces de miembro y sus puertas de enlace asociadas
• Las interfaces no deben ser referenciadas por ningún otro elemento de configuración (por ejemplo,
rutas o políticas)
• Admite interfaces agregadas, VLAN e IPsec
• Se genera automáticamente una regla implícita para equilibrar el tráfico.
Network > SD-WAN > SD-WAN Zones
Interfaces de
miembros
Zona SD-WAN
Network > SD-WAN > SD-WAN Rules
Cuando configura SD-WAN, debe especificar al menos dos interfaces miembro, sus puertas de enlace
asociadas y una zona SD-WAN. Debe configurar SD-WAN temprano durante la configuración inicial de
FortiGate porque, si una política de firewall o ruta estática ya hace referencia a una interfaz, no puede usarla
como una interfaz de miembro. Si tiene la intención de usar una interfaz como miembro de SD-WAN, y una
política de firewall o ruta estática hace referencia a esa interfaz, debe eliminar la política de firewall y la ruta
estática asociadas antes de poder asignar esa interfaz como miembro de SD-WAN. . SD-WAN admite
interfaces físicas, así como interfaces VLAN, agregadas e IPsec.
También puede agregar fácilmente otra interfaz de miembro en una fecha posterior, para agregar más ancho
de banda u opciones de QoS .
FortiGate agrupa todas las interfaces de miembros en una sola interfaz virtual para crear rutas: la interfaz
SD-WAN . El uso de SD-WAN simplifica la configuración porque el administrador puede configurar un solo
conjunto de rutas y aplicarlas a todas las interfaces de los miembros . Solo puede haber una interfaz SD-
WAN por VDOM.
Una regla implícita se genera automáticamente cuando habilita SD-WAN. Si no se cumple ninguna de las
condiciones de ninguna de las otras reglas, se utiliza la regla implícita. Esta regla implícita está diseñada para
equilibrar el tráfico entre todos los enlaces de miembros SD-WAN disponibles. Aprenderá sobre las reglas de
SD-WAN más adelante en esta lección.
Métodos de equilibrio de carga SD-WAN

• IP de origen ( por defecto)
• El tráfico de la misma dirección IP de origen utiliza la misma interfaz
• IP de origen-destino
• El tráfico con el mismo par de IP de origen y destino utiliza la misma interfaz
• Uso (desbordamiento - spillover)
• Todo el tráfico utiliza la primera interfaz hasta que se alcanza el umbral; luego, usa la siguiente interfaz
• Sesión (Peso - Weight)
• El tráfico se distribuye en función de los pesos asignados en las interfaces
• Volumen
• El tráfico se distribuye en función del volumen de tráfico (en bytes)
config system sdwan

set load-balance-mode <load balance mode>
end
El equilibrio de carga SD-WAN utiliza la distribución del tráfico métodos que son similares a los utilizados por
la ruta múltiple de igual costo ( ECMP). Sin embargo, el equilibrio de carga del enlace SD-WAN incluye un
método de equilibrio más: el volumen.
De forma predeterminada, el modo de equilibrio de carga se establece en source-ip-based .

Sin embargo, puede cambiar el modo de equilibrio de carga a cualquiera de los siguientes:
• source-ip-based:
o Todo el tráfico de una IP de origen se envía a la misma interfaz.
• weight-based:
o Las interfaces con pesos más altos tienen mayor prioridad y reciben más tráfico.
• usage-based:
o Todo el tráfico se envía a la primera interfaz de la lista. Cuando el ancho de banda en esa interfaz
supera el límite de desbordamiento, el nuevo tráfico se envía a la siguiente interfaz.
• source-dest-ip-based:
o Equilibrio de carga de IP de origen y destino. Todo el tráfico de una IP de origen a una IP de
destino se envía a la misma interfaz.
• measured-volume-based:
o Equilibrio de carga basado en volumen. La carga del tráfico se equilibra en función del volumen de
tráfico (en bytes). Se envía más tráfico a las interfaces con proporciones de volumen más altas.
Zonas SD-WAN
• Puede dividir a los miembros de SD-WAN en zonas
• Puedes crear varias zonas
• Las zonas SD-WAN se pueden usar en políticas de firewall como interfaz de origen o
destino
• Los miembros individuales de SD-WAN no se pueden usar en la política
• Las zonas SD-WAN se incluyen en la vista de topología de Security Fabric
Zona por defecto
Puede dividir las interfaces SD-WAN en grupos lógicos más pequeños llamados zonas SD-WAN . Luego
puede usar estas zonas SD-WAN en políticas de firewall para permitirle tener un control más granular sobre
el tráfico que se inspecciona y permite. Puede crear varias zonas SD-WAN para miembros de SD-WAN. Sin
embargo, los miembros de SD-WAN no se pueden compartir entre varias zonas. De forma predeterminada,
FortiGate tiene creada la zona virtual-wan-link .
Configuración de zonas SD-WAN y miembros SD-WAN
Debe configurar la
interfaz, una zona y
una puerta de
enlace
Network > SD-WAN > SD-WAN Zones
Este campo es
opcional, también
puede agregar un
miembro de SD-
WAN más adelante
Cuando crea un miembro SD-WAN, debe especificar una interfaz, una zona SD-WAN y una dirección de
puerta de enlace. Puede usar la zona SD-WAN predeterminada creada en FortiGate o puede crear una
nueva zona SD-WAN. Después de asignar una interfaz SD-WAN a una zona SD-WAN, tiene la opción de
cambiar la zona.
Creación de rutas y política de Firewall

Network > Interfaces Policy & Objects > Firewall Policy
Creado
automáticamente
Network > Static Routes
Usar zonas SD-

Debe configurar rutas WAN
estáticas usando esta
interfaz
Después de habilitar SD-WAN y configurar las interfaces miembro y el método de balanceo de carga, una
interfaz lógica con el nombre SD-WAN se agrega automáticamente a la lista de interfaces cuando crea una
ruta estática. A continuación, debe crear las rutas utilizando esta interfaz virtual.
Para las políticas de firewall, debe usar las zonas SD-WAN como interfaz de origen o interfaz de destino. No
puede usar miembros individuales o una interfaz virtual SD-WAN en las políticas de firewall. Políticas de
firewall creadas con SD-WAN interfaz permite que el tráfico se reenvíe a través de cualquier interfaz
miembro.
Aún debe configurar una ruta predeterminada al implementar SD-WAN. La configuración de ruta
predeterminada usando SD-WAN interfaz no requiere una dirección de puerta de enlace porque FortiGate
reenvía paquetes a la puerta de enlace adecuada, según la información de la puerta de enlace de la interfaz
de miembros.
Rutas SD-WAN en la tabla de enrutamiento

Network > Static Routes
Aunque debe configurar rutas

usando SD-WAN interfaz virtual,
FortiGate instala rutas
individuales para las interfaces
de miembros en la tabla de
enrutamiento
Aunque debe configurar rutas mediante la interfaz virtual SD-WAN , FortiGate instala rutas individuales
para las interfaces de miembros en la tabla de enrutamiento. Estas rutas comparten los mismos atributos
(dirección de destino y subred, distancia y prioridad) y están todas activas. Esto permite que FortiGate
elimine rutas individuales en caso de una interrupción de la interfaz y redirija todo el tráfico a las interfaces de
miembros restantes, sin afectar todo el grupo de equilibrio de carga SD-WAN.
Knowledge Check
1. ¿Qué método de equilibrio de carga es compatible con SD-WAN pero no con el
enrutamiento ECMP?
A. Sesiones
B. Volumen
2. ¿Qué tarea de configuración es correcta al implementar SD-WAN?

A. Configure una ruta predeterminada mediante la interfaz virtual SD-WAN .
B. Configure políticas de firewall para cada interfaz de miembro individual.

Lesson Progress
Reglas SD-WAN
Diagnóstico SD-WAN
Buen trabajo! Ahora comprende la función SD-WAN en FortiGate.
Ahora, aprenderá sobre el SLA de rendimiento de SD-WAN y las medidas de calidad del enlace.
Objectives
• Configurar el SLA de rendimiento de SD-WAN
• Identificar cómo FortiGate mide la calidad de los enlaces
16
Al demostrar competencia en el SLA de rendimiento de SD-WAN, debería poder configurar el SLA de

rendimiento de SD-WAN e identificar cómo FortiGate mide la calidad del enlace.
SLA de rendimiento
Network > SD-WAN > Performance SLA
Monitor de estado de enlace
Objetivos de SLA
Estado del enlace
Ahora, aprenderá sobre las dos partes que componen la ventana Performance SLA : el monitor de estado
del enlace (o verificación de estado) y los objetivos de SLA .
SLA de rendimiento : monitor de estado del enlace

• Puede usar hasta dos servidores para probar la calidad de un enlace
• Puede especificar a qué miembros de SD-WAN se aplica este SLA de rendimiento
Puede seleccionar un
modo de detección para
medir la calidad del
Red > SD-WAN > Rendimiento SLA
enlace en función de los
métodos activo, pasivo y
Estos protocolos están disponibles a través pasivo preferido.
de la CLI :
ping PING link monitor
http HTTP-GET link monitor Use una dirección
tcp-echo TCP echo link monitor IP o FQDN de un
udp-echo UDP echo link monitor servidor ubicado
TWAMP Two-Way Active Measurement Protocol más allá de la
DNS DNS link monitor puerta de enlace
tcp-connect Full TCP connection link monitor del ISP
ftp FTP link monitor
Cuando está
deshabilitado,
FortiGate dejará
de enviar
paquetes de
prueba
El monitor de salud del enlace es un mecanismo que detecta cuando un enrutador a lo largo de la ruta se
detiene o se degrada.
FortiGate puede verificar el estado (o la salud) de cada interfaz miembro de SD-WAN que participa en un
SLA de rendimiento, según la detección Modo que ha seleccionado .
• Activo : el estado del enlace se mide mediante el envío de paquetes de prueba a los servidores
configurados.
• Pasivo : el estado del enlace se mide utilizando la información de la sesión que se captura en las
políticas de firewall que tienen habilitada la medición pasiva del estado de wan .
• Preferir pasivo : el estado del enlace se mide mediante el tráfico que pasa a través de los
miembros de SD-WAN. Cuando no pasa tráfico a través de la interfaz de miembros, los paquetes
de prueba se envían a los servidores configurados para medir el estado del enlace.
Puede especificar hasta dos servidores para que actúen como validadores. Esto evita que el servidor tenga la
culpa y no el enlace.
En la GUI, puede especificar miembros o seleccionar todos los miembros de SD-WAN como participantes.
En la CLI, ahora puede agregar el miembro 0, lo que equivale a agregar todos los miembros como
participantes para el SLA de desempeño particular.
Se agrega una entrada de ruta FIB en el kernel para llegar a los servidores definidos en la página
Performance SLA sobre cada interfaz de participante. Estas rutas del núcleo están marcadas como
proto=17 . Estas rutas del kernel actuarán independientemente de las fuentes habituales de enrutamiento.
La GUI proporciona tres opciones de protocolo con las que realizar la verificación de estado: ping , HTTP y
DNS , pero en la CLI tiene seis opciones. Esas opciones son: ping, HTTP y DNS, al igual que en la
GUI, pero también eco TCP, eco UDP y protocolo de medición activa bidireccional (TWAMP).
SLA de rendimiento : SLA objetivos

• Los objetivos de SLA son opcionales
• Solo se requiere para las reglas de menor costo (SLA) y maximización del ancho de banda
(SLA)
• Solo se usa cuando se hace referencia a una regla
• Un enlace miembro de SD-WAN asignado a este SLA de rendimiento debe cumplir con el
objetivo de SLA para ser seleccionado sobre los otros enlaces participantes
La calidad de servicio para el tráfico asociado con este SLA de desempeño está definida por los Objetivos
de SLA. Un enlace miembro de SD-WAN asignado a este SLA de rendimiento debe cumplir con el objetivo
de SLA para ser seleccionado sobre los otros enlaces participantes. Puede configurar los umbrales de
latencia, fluctuación y pérdida de paquetes para satisfacer sus necesidades y crear objetivos granulares de
SLA para ajustar SD-WAN para aplicaciones específicas.
Aunque los objetivos de SLA se especifican en la página Performance SLA , en realidad no se utilizan allí.
Los valores configurados en esa página se usan solo cuando una regla hace referencia a ellos. Puede crear
varios objetivos de SLA por SLA de rendimiento, aunque hay algunos escenarios en los que desearía
hacerlo.
Un escenario podría ser, si está ubicado en una sucursal y usa algunas aplicaciones diferentes que se
ejecutan en la misma sede del servidor. Puede crear un SLA de rendimiento para realizar la verificación de
estado en ese servidor, pero luego tener diferentes objetivos de SLA para las diferentes aplicaciones. Puede
hacer que las reglas para algunas aplicaciones sean indulgentes, pero más estrictas para otras. Sin embargo,
si las aplicaciones se ejecutan en diferentes servidores, querrá crear diferentes SLA de rendimiento para
cada aplicación, a fin de que la verificación de estado se realice en el servidor de aplicaciones específico. Y
cada SLA de rendimiento requeriría solo un objetivo de SLA para esa aplicación.
SLA de rendimiento: estado del enlace

• intervalo de verificación, falla y restauración se usan para evitar fluctuaciones
• En este ejemplo:
• Se envía una sonda cada 500 milisegundos
• El estado de SLA para un miembro de SD-WAN cambia a inactivo después de cinco solicitudes
consecutivas sin respuesta de ambos servidores SLA
• El estado SLA vuelve a estar vivo después de cinco respuestas consecutivas de uno de los dos
servidores SLA Network > SD-WAN > Performance SLA
Deshabilita
automáticamente las rutas
estáticas para las
interfaces inactivas y
restaura las rutas en la
recuperación de la interfaz
NGFW-1 # diagnose sys sdwan health-check

Health Check(ISP_SLA_Check):
Seq(1 port1): state(dead), packet-loss(15.000%) sla_map=0x0
Seq(2 port2): state(alive), packet-loss(0.000%) latency(60.347), jitter(21.711) sla_map=0x1
El estado del enlace contiene configuraciones que especifican la frecuencia con la que el sistema verifica el
estado del enlace para determinar si necesita transferir el tráfico a otro enlace. Las configuraciones Fallo
antes de inactivo y Restaurar enlace después evitan que el sistema transfiera tráfico continuamente entre
enlaces, una condición conocida como aleteo.
Mediciones de calidad de enlace

• La verificación de estado también mide la calidad del enlace de cada interfaz miembro
en función de la latencia, la inestabilidad y el porcentaje de pérdida de paquetes.
Network > SD-WAN > Performance SLA Representación gráfica

basada en pérdida de
paquetes, jitter y
latencia
Las infracciones de objetivos de

SLA están marcadas con
números rojos
El SLA de rendimiento (comprobaciones de estado) mide la calidad de los enlaces conectados a la interfaz
de miembros que participan en un SLA de rendimiento . Para esta medición se utilizan tres criterios
diferentes: latencia, fluctuación y porcentaje de pérdida de paquetes.
Son estos valores los que se usan contra los criterios de SLA dentro de las reglas que se usan para enrutar
el tráfico en función de la calidad del enlace de cada miembro.
La pérdida de paquetes, la latencia y la fluctuación que se muestran se basan en las respuestas

(promediadas durante un período breve) del servidor que utiliza el SLA de rendimiento. El sistema comienza
con el primer servidor. Si ese servidor deja de estar disponible, cambia al segundo servidor. Permanece en
ese segundo servidor hasta que deja de estar disponible, momento en el que vuelve al primer servidor. Si
ambos servidores no están disponibles, entonces ese SLA de rendimiento se considera inactivo.
Es importante tener en cuenta que las flechas verdes hacia arriba solo indican que el servidor está
respondiendo a la verificación de estado, independientemente de los valores de pérdida de paquetes, latencia
y fluctuación. No es una indicación de que se esté cumpliendo alguno de los SLA.
Configuración de la CLI del SLA de rendimiento de SD-WAN

config system sdwan
Protocolos de verificación
set status enable de estado alternativos que
config health-check no están disponibles en la
GUI
edit <name>
set protocol [ ping | tcp-echo | udp-echo | http | DNS | twamp | tcp-connect | ftp ]
set server <server_IP>
set detect-mode [active | passive | prefer-passive]
set threshold-warning-packetloss <percentage>
set threshold-alert-packetloss <percentage> Configurar umbrales de
advertencia y alerta para las
set threshold-warning-latency <ms>
diferentes métricas de
set threshold-alert-latency <ms> medición de calidad de
set threshold-warning-jitter <ms> enlace en la CLI
set threshold-alert-jitter <ms>
set probe-packet enable
set ha-priority <1-50> Prioridad de elección
... de HA
Los comandos CLI utilizados para configurar un SLA de rendimiento ofrecen más opciones. Las opciones
tcp -echo , udp -echo , tcp -connect, ftp y twamp solo están disponibles en la CLI. Estas opciones
proporcionan diferentes métodos para medir el rendimiento de la red de ida y vuelta entre dos dispositivos
que las admitan. Hay otras opciones solo de CLI que están disponibles, según el protocolo SLA de
rendimiento que elija. Para obtener más información sobre estas opciones, consulte la Guía de referencia de
la CLI en docs.fortinet.com .
Puede configurar los umbrales de advertencia y alerta para las comprobaciones de calidad de latencia,
fluctuación y pérdida de paquetes. Estos tampoco están disponibles en la GUI.
Configuración de la CLI del SLA de rendimiento de SD-WAN

( cont .)
config system sdwan
set status enable
config health-check
edit <name>
Parámetros de estado del
... enlace
set interval <500-3600>
set failtime <1-3600> Miembros de SD-WAN:
0 = Coincidir con todos los
set recoverytime <1-3600>
miembros
set member <0, 1, 2, ...>
set probe-timeout <500-5000 msec> Tiempo de espera antes de que el
paquete se considere perdido
config sla
edit <id>
set link-cost-factor [latency | jitter | packet-loss] Configure varios objetivos
de SLA con diferentes
set latency-threshold <integer> (0 - 10000000)
valores en la GUI y la CLI
set jitter-threshold <integer> (0 - 10000000)
set packetloss-threshold <integer> (0 - 100)
next
Puede configurar los parámetros de estado de los enlaces usando los comandos que se muestran en esta
diapositiva. También puede configurar varios objetivos de SLA con diferentes valores tanto en la GUI como
en la CLI.
Knowledge Check
1. ¿Qué atributo de enlace se usa en las mediciones de calidad de enlace SD-WAN?
A. Costo
B. Latencia
2. ¿Qué protocolo de verificación de estado está disponible solo en la CLI?

A. Eco TCP
B. HTTP

Lesson Progress
Reglas SD-WAN
Diagnóstico SD-WAN
Buen trabajo! Ahora comprende el SLA de rendimiento de SD-WAN.
Ahora, aprenderá sobre las reglas de SD-WAN.

Reglas SD-WAN
Objectives
• Identificar los criterios de coincidencia de reglas de SD-WAN
• Configurar la selección de enlaces dinámicos en función de la
calidad del enlace
26
Al demostrar competencia en las reglas de SD-WAN , debería poder configurar la selección de enlaces
dinámicos en función de la calidad del enlace para garantizar una alta disponibilidad para las aplicaciones
críticas para el negocio.
Reglas SD-WAN • Las reglas pueden hacer coincidir el tráfico en

función de:
• Dirección IP de origen, dirección IP de destino o
número de puerto
• Objeto de dirección de la base de datos de servicios
de Internet (ISDB)
• Solicitud
• Usuarios o grupos de usuarios
• Tipo de servicio ( ToS )
• Las reglas pueden enrutar el tráfico a través
de los miembros en función de diferentes
estrategias.
Skype_equipos el tráfico se
enrutará dinámicamente a la El tráfico de Skype_teams sale
interfaz de miembro con la del puerto 1
menor cantidad de latencia
Las reglas SD-WAN le permiten especificar qué tráfico desea enrutar a través de qué interfaz. Puede
configurar las reglas de SD-WAN para elegir la interfaz de salida según la latencia, la fluctuación o el
porcentaje de pérdida de paquetes, en función de la configuración que configuró en la página Objetivos de
SLA de un enlace . Las reglas se evalúan de la misma manera que las políticas de firewall: de arriba a abajo,
utilizando la primera coincidencia. Puede utilizar los siguientes parámetros para hacer coincidir el tráfico:
• Dirección IP origen
• Dirección IP de destino
• Número de puerto de destino
• Objetos de dirección ISDB como destino
• Aplicación de cortafuegos como destino
• Usuarios o grupos de usuarios
• Tipo de servicio ( ToS )
Las reglas SD-WAN ofrecen una gran flexibilidad al hacer coincidir el tráfico. Por ejemplo, puede enrutar el
tráfico de Netflix de usuarios autenticados específicos a través de un ISP, mientras enruta el resto de su
tráfico de Internet a través de otro ISP.
Reglas de SD-WAN : servicios y aplicaciones de Internet

Internet Service Application
• SD-WAN puede usar ISDB

y control de aplicaciones
para enrutar el tráfico
específico de la aplicación
SD-WAN puede usar la base de datos de Servicios de Internet, así como la base de datos de Control de
aplicaciones para dirigir las aplicaciones a lo largo de un enlace específico.
FortiGuard mantiene estas bases de datos, y FortiGate obtiene periódicamente una copia actualizada.
Cuando utilice la base de datos de Application Control, debe habilitar la inspección SSL para obtener la
identificación de aplicación más precisa.
Reglas SD-WAN—Manual
Seleccionar
preferencia de
interfaz de salida
interfaz se selecciona
según el orden en que
se enumeran los
miembros de SD-WAN
FortiGate SD-WAN ofrece cuatro estrategias para seleccionar la(s) interfaz(es) saliente(s): Manual , Mejor
calidad , Costo más bajo (SLA) , y Maximizar el ancho de banda (SLA) .
Si selecciona Manual , puede especificar la prioridad de la interfaz desde la que desea enviar el tráfico. Si el
tráfico coincide con los criterios de la regla, el tráfico saldrá de la primera interfaz disponible según la
preferencia de interfaz. Esta estrategia no depende del SLA de rendimiento ni de los objetivos del SLA.
Reglas de SD-WAN : la mejor calidad

FortiGate
seleccionará la
interfaz con la
mejor calidad
(a)
(b)
(c)
(d)
Calidad del enlace = (a*latencia)+(b*jitter)+(c*pérdida de paquetes)+(d/ancho de banda)

La mejor estrategia de calidad se basa en el rendimiento de la red. En el ejemplo que se muestra en esta
diapositiva, port1 y port2 están incluidos en la preferencia de interfaz. Entonces, se usa el puerto1 (porque es
el primero en la lista) hasta que el criterio de calidad de esa red sea un 10% peor que el del puerto2 ,
momento en el que el puerto2 tomará el relevo. De forma predeterminada, el criterio de calidad es del 10 %,
pero puede cambiarlo en la CLI mediante el comando set link-cost-threshold . Tenga en cuenta
que no utiliza ninguno de los SLA aquí . La verificación de calidad en el SLA de rendimiento (DC_PBX_SLA)
utiliza solo la información del servidor (verificación de estado) contra los criterios de calidad. Puede utilizar las
opciones de latencia, fluctuación y porcentaje de pérdida de paquetes. También puede usar las opciones de
ancho de banda ( ancho de banda descendente , ancho de banda ascendente o ancho de banda
bidireccional ) para que FortiGate seleccione el enlace en función del ancho de banda disponible del tráfico
entrante, saliente o bidireccional. Esto es útil porque los usuarios pueden usar algunas aplicaciones
principalmente para descargar y otras aplicaciones principalmente para cargar.
La última opción, perfil personalizado-1 , le permite basar la selección del enlace en una combinación de
sus valores de criterio. La calidad de la tinta está determinada por la ecuación.
Cuanto mayor sea el valor, más peso tendrá ese criterio en la selección. Deje el valor de peso en cero para
excluir ese criterio de la ecuación.
Reglas de SD-WAN : costo más bajo (SLA)

Network > SD-WAN > Performance SLA Network > SD-WAN > SD-WAN Rules
Se da preferencia
Puede
según el orden en que
seleccionar varios
se enumeran los
objetivos de SLA
miembros de SD-WAN
Cuando utiliza la estrategia de costo más bajo (SLA), selecciona un objetivo de SLA de un SLA de
rendimiento con el que desea medir el tráfico. Tenga en cuenta que incluso si un SLA de rendimiento tiene
varios objetivos de SLA, puede seleccionar solo uno de los objetivos de SLA de ese SLA de rendimiento en
particular.
Reglas de SD-WAN : costo más bajo (SLA) flujo

Interface SLA Target Cost Interface
FortiGate verifica los
requisitos de SLA para Requirements Preference
Objetivos de SLA seleccionar o eliminar
cualquier interfaz saliente port4 Does not 2 1
satisfy
FortiGate verifica el
costo como segundo
port3 Satisfy 10 2
Costo factor para seleccionar
las interfaces salientes
port2 Satisfy 5 3
FortiGate comprueba
la prioridad para
Preferencia de port1 Satisfy 5 4
seleccionar una
interfaz
interfaz saliente
Interfaz de salida
seleccionada
(Animación al final de la diapositiva)
FortiGate sigue el flujo que se muestra en la diapositiva para seleccionar una interfaz saliente para el costo
más bajo (SLA) .
Por ejemplo, SD-WAN tiene cuatro miembros: interfaz 1, 2, 3 y 4. Consulte la tabla que se muestra en la
diapositiva.
Primero, FortiGate considera el SLA y elimina la interfaz 4 de la selección de interfaz saliente. Según el SLA,
FortiGate considerará tres interfaces.
Luego, FortiGate considera el costo de eliminar cualquier interfaz de la consideración. Puede configurar el
costo en Network > SD-WAN en SD-WAN Interface Members. FortiGate selecciona una interfaz con un
costo más bajo. En el ejemplo que se muestra en esta diapositiva, las interfaces 1 y 2 tienen un costo de 5, y
la interfaz 3 tiene un costo de 10 conjuntos. En este caso, FortiGate elimina la interfaz 3 de la consideración y
considera la interfaz 1 y 2 para la interfaz de salida.
Por último, FortiGate verifica el conjunto de prioridades para todas las interfaces para seleccionar una interfaz
saliente. En el ejemplo que se muestra en esta diapositiva , la interfaz 2 tiene una prioridad más alta que la
interfaz 1. En este caso, FortiGate selecciona la interfaz 2 como la interfaz saliente para el tráfico que
coincide con la regla. (hacer clic)
Reglas de SD-WAN: maximizar el ancho de banda (SLA)

Red > SD-WAN > Reglas SD-WAN
Interfaz Objetivo de Costo Preferencia
SLA de interfaz
Requisitos
puerto4 no satisface 2 1
puerto3 Satisfacer 10 2
La carga del tráfico se El costo y la preferencia

equilibrará entre estas de interfaz no toman parte
interfaces en la selección de la
interfaz saliente
(La diapositiva contiene animación )
Esta función presenta un nuevo modo de equilibrio de carga para la regla SD-WAN. Si el tráfico coincide con
las especificaciones de la regla, la carga del tráfico se equilibra entre los miembros seleccionados, lo que
satisface la especificación del SLA. Si hay varios criterios de SLA, la carga del tráfico se equilibra solo para
los miembros que satisfacen la mayoría de los criterios de SLA.
El ejemplo de esta diapositiva muestra que las interfaces 1, 2 y 3 cumplen los requisitos del SLA y la interfaz
4 no. En este caso, el tráfico que coincide con la regla tiene una carga equilibrada entre las interfaces 1, 2 y
3. (Haga clic)
Con este método, FortiGate no tiene en cuenta el costo ni la prioridad.

Reglas SD-WAN
• Las reglas de SD-WAN se evalúan de la misma manera que las políticas de firewall:
de arriba a abajo, utilizando la primera coincidencia
• Las reglas SD-WAN se tratan como rutas basadas en políticas
• FortiGate verifica las rutas de políticas regulares antes que las rutas de políticas
SD-WAN
Red > SD-WAN > Reglas SD-WAN
regla implícita
Las reglas específicas de la aplicación se evalúan de la misma manera que las políticas de firewall: de arriba
a abajo, utilizando la primera coincidencia.
Una regla implícita se genera automáticamente cuando habilita SD-WAN. Si no se cumple ninguna de las
condiciones de ninguna de las otras reglas, se utiliza la regla implícita. Esta regla implícita está diseñada para
equilibrar el tráfico entre todos los enlaces de miembros SD-WAN disponibles.
doble clic en la regla implícita, se muestran las opciones de equilibrio de carga.
Al igual que las rutas ISDB , las reglas SD-WAN funcionan como rutas de política. Tienen prioridad sobre
cualquier otra ruta en la tabla de enrutamiento. Cuando se trata de enrutamiento de políticas, FortiGate
verifica primero las rutas de políticas regulares, antes de verificar las rutas de políticas SD-WAN.
Knowledge Check
1. ¿Qué es un parámetro de coincidencia de reglas SD-WAN para fuentes de tráfico?
A. Grupos de Usuarios
B. firmas IPS
2. ¿Puede configurar las reglas de SD-WAN para elegir la interfaz de salida según qué
parámetro?
A. Peso
B. Latencia

Lesson Progress
Reglas SD-WAN
Diagnóstico SD-WAN
Buen trabajo! Ahora comprende las reglas de SD-WAN.
Ahora, aprenderá sobre los diagnósticos de SD-WAN.

Diagnóstico SD-WAN
Objectives
• Supervise el uso del enlace SD-WAN
• Monitoree el estado de calidad del enlace SD-WAN
• enrutamiento del tráfico SD-WAN
37
Al demostrar competencia en diagnósticos SD-WAN , debería poder mantener una solución SD-WAN
eficiente y efectiva.
Monitor de uso de SD-WAN

• Monitor de uso de SD-WAN en tiempo real
• Ver la distribución del tráfico SD-WAN por ancho de banda, volumen o sesión
Número de
sesiones que pasan
Network > SD-WAN > SD-WAN Zones por interfaz de
miembro
Utilización Volumen de
del ancho de tráfico enviado
banda por y recibido por
cada interfaz interfaz de
miembro miembro
Puede usar el monitor de uso de SD-WAN para ver la distribución del tráfico entre las interfaces de los
miembros, según el ancho de banda o el volumen.
Él La vista de volumen ofrece una mejor representación del tráfico enviado y recibido en todas las interfaces
de los miembros; mientras que la vista Ancho de banda le muestra cuánto ancho de banda utiliza cada
interfaz como resultado de las sesiones que pasan a través de ellas. La vista Sesiones muestra el número
de sesiones que pasan por cada interfaz.
Supervisión del estado del enlace SD-WAN

Log & Report > Events > SD-WAN Events
Debido a que la calidad del enlace juega un papel importante en la selección de enlaces cuando se usa SD-
WAN, es una buena práctica monitorear el estado de calidad del enlace de las interfaces miembro de SD-
WAN. Debe investigar cualquier problema prolongado con la pérdida de paquetes y la latencia para
asegurarse de que el tráfico de su red no experimente interrupciones o un rendimiento degradado. Las
flechas verdes indican que las interfaces están activas en el grupo SD-WAN. Las flechas rojas indican que la
interfaz está inactiva para esa verificación de estado específica.
FortiGate también genera registros de eventos del sistema cuando la ruta de una interfaz miembro de SD-
WAN se elimina o se agrega a la tabla de enrutamiento. Utilice los registros de eventos para revisar los
registros.
Verificar enrutamiento de tráfico SD-WAN

• Usa el reenvío Registros de tráfico o la herramienta de captura de paquetes para
verificar el enrutamiento del tráfico
Log & Report > Forward Traffic
El filtro coincide cualquier

paquete con el indicador SYN
activado, por lo que la salida del
sniffer muestra todos los
paquetes SYN al puerto 443
(HTTPS)
# diagnose sniffer packet any 'tcp[13]&2==2 and port 443' 4
5.455914 port1 out 192.168.1.254.59785 -> 192.168.1.11.443: syn 457459
5.455930 port2 out 192.168.1.11.443 -> 192.168.1.254.59785: syn 163440 ack 457460
5.455979 port2 out 192.168.1.32.49573 -> 192.168.1.25.443 : syn 927943
5.456043 port1 out 192.168.1.21.54711 -> 192.168.1.114.443: syn 930863
Puede utilizar la columna Interfaz de destino en los registros de Forward Traffic para verificar que el tráfico
sale de las interfaces de miembros de SD-WAN. Como alternativa, puede usar los niveles de detalle 4 y 6
para ver la interfaz de salida mediante la herramienta de captura de paquetes CLI.
Knowledge Check
1. ¿Qué monitor debe usar para monitorear la distribución de la sesión en las interfaces
de miembros de SD-WAN?
A. Monitor de estado de enlace SD-WAN
B. Monitor de uso de SD-WAN
2. Al verificar el enrutamiento del tráfico SD-WAN con la herramienta de captura

de paquetes CLI, ¿qué nivel de detalle debe usar?
A. 1
B. 4

Lesson Progress
Reglas SD-WAN
Diagnóstico
¡Felicidades! Has completado esta lección.
Ahora, revisará los objetivos que cubrió en esta lección.

Review
 Identificar casos de uso para SD-WAN
 Identificar los requisitos de implementación para SD-WAN
 Configurar enlace virtual SD-WAN y equilibrio de carga
 Configurar zonas SD-WAN
 Configurar rutas estáticas y políticas de firewall para SD-WAN
 Configurar la comprobación
 Identificar cómo FortiGate mide la calidad de los enlaces
 Identificar los criterios de coincidencia de reglas de SD-WAN
 Configurar la selección de enlaces dinámicos en función de la calidad del
enlace
 Supervise el uso del enlace SD-WAN
 Monitoree el estado de calidad del enlace SD-WAN
 Verificar el enrutamiento del tráfico SD-WAN
Esta diapositiva muestra los objetivos que cubrió en esta lección.
Al dominar los objetivos cubiertos en esta lección, aprendió cómo configurar, mantener y diagnosticar su
solución FortiGate SD-WAN.

02 Sdwan-Sp

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

02 Sdwan-Sp

Cargado por

Copyright:

Formatos disponibles

Desglose local de SD-WAN

Desglose local de SD-WAN

En esta lección, aprenderá sobre SD-WAN función disponible en FortiGate.

SLA de rendimiento de SD-WAN

© Fortinet Inc. Todos los derechos reservados. 4

Casos de uso de SD-WAN empresarial

Tráfico asegurado en MPLS

© Fortinet Inc. Todos los derechos reservados. 5

Casos de uso de SD-WAN

Aplicaciones críticas (voz y video) Se

Aplicaciones críticas (voz y video)

© Fortinet Inc. Todos los derechos reservados. 6

Casos de uso de SD-WAN empresarial ( cont .)

Aplicaciones críticas (voz y video)

© Fortinet Inc. Todos los derechos reservados. 7

Network > SD-WAN > SD-WAN Rules

© Fortinet Inc. Todos los derechos reservados. 8

Métodos de equilibrio de carga SD-WAN

config system sdwan

© Fortinet Inc. Todos los derechos reservados. 9

De forma predeterminada, el modo de equilibrio de carga se establece en source-ip-based .

Zona por defecto

© Fortinet Inc. Todos los derechos reservados. 10

Configuración de zonas SD-WAN y miembros SD-WAN

Network > SD-WAN > SD-WAN Zones

© Fortinet Inc. Todos los derechos reservados. 11

Creación de rutas y política de Firewall

Usar zonas SD-

© Fortinet Inc. Todos los derechos reservados. 12

Rutas SD-WAN en la tabla de enrutamiento

Aunque debe configurar rutas

© Fortinet Inc. Todos los derechos reservados. 13

2. ¿Qué tarea de configuración es correcta al implementar SD-WAN?

© Fortinet Inc. Todos los derechos reservados. 14

SLA de rendimiento de SD-WAN

© Fortinet Inc. All Rights Reserved. 15

Buen trabajo! Ahora comprende la función SD-WAN en FortiGate.

SLA de rendimiento de SD-WAN

Al demostrar competencia en el SLA de rendimiento de SD-WAN, debería poder configurar el SLA de

Monitor de estado de enlace

Estado del enlace

© Fortinet Inc. Todos los derechos reservados. 17

SLA de rendimiento : monitor de estado del enlace

© Fortinet Inc. Todos los derechos reservados. 18

SLA de rendimiento : SLA objetivos

Network > SD-WAN > Performance SLA

© Fortinet Inc. Todos los derechos reservados. 19

SLA de rendimiento: estado del enlace

NGFW-1 # diagnose sys sdwan health-check

© Fortinet Inc. Todos los derechos reservados. 20

Mediciones de calidad de enlace

Network > SD-WAN > Performance SLA Representación gráfica

Las infracciones de objetivos de

© Fortinet Inc. Todos los derechos reservados. 21

La pérdida de paquetes, la latencia y la fluctuación que se muestran se basan en las respuestas

Configuración de la CLI del SLA de rendimiento de SD-WAN

© Fortinet Inc. Todos los derechos reservados. 22

Configuración de la CLI del SLA de rendimiento de SD-WAN

© Fortinet Inc. Todos los derechos reservados. 23

2. ¿Qué protocolo de verificación de estado está disponible solo en la CLI?

© Fortinet Inc. Todos los derechos reservados. 24

SLA de rendimiento de SD-WAN

Calidad del enlace = (alatencia)+(bjitter)+(c*pérdida de paquetes)+(d/ancho de banda)