Documentos de Académico
Documentos de Profesional
Documentos de Cultura
02 Sdwan-Sp
02 Sdwan-Sp
Infraestructura FortiGate
FortiOS 7.0
© Copyright Fortinet Inc. All rights reserved. LastLast
Modified:
Modified:
14 April
14 April
20222022
Lesson Overview
Introducción a SD-WAN
Reglas SD-WAN
Diagnóstico SD-WAN
© Fortinet Inc. All Rights Reserved. 2
En esta lección, aprenderá sobre los temas que se muestran en esta diapositiva.
Desglose local de SD-WAN
Introducción a SD-WAN
Objectives
• Identificar casos de uso para SD-WAN
• Identificar los requisitos de implementación para SD-WAN
• Configurar zonas SD-WAN, miembros y equilibrio de carga
• Configurar rutas estáticas y políticas de firewall para SD-WAN
Después de completar esta sección, debería poder lograr los objetivos que se muestran en esta diapositiva.
Al demostrar competencia en SD-WAN, debería poder configurar zonas SD-WAN, miembros y equilibrio de
carga de tráfico para usar múltiples enlaces WAN de manera efectiva en FortiGate.
Desglose local de SD-WAN
¿Qué es SD-WAN?
• Interface virtual que consta de un grupo de miembros de interfaces que se pueden
conectar a diferentes tipos de enlaces
• Permite el uso efectivo de WAN con varios algoritmos de equilibrio de carga
• Admite la medición de la calidad del enlace
• Selección dinámica de enlaces basada en la calidad del enlace
• Garantiza una alta disponibilidad de las aplicaciones críticas para el negocio Sede central/centro de datos
Nube pública
SaaS
Sucursal
SD-WAN es una virtual interfaz que consiste de un grupo de interfaces miembro que se pueden conectar a
diferentes tipos de enlace . FortiGate agrupa todas las interfaces de miembros en una sola interfaz virtual: la
interfaz SD-WAN. El uso de SD-WAN simplifica la configuración porque el administrador puede configurar un
conjunto único de rutas y políticas de firewall y aplicarlas a todas las interfaces de los miembros . Solo puede
haber una interfaz SD-WAN por VDOM.
Uno de los principales motivadores para implementar SD-WAN es el uso efectivo de WAN, cuando se utilizan
múltiples enlaces WAN. El uso efectivo de la WAN se logra utilizando varios algoritmos de equilibrio de
carga, como el uso del ancho de banda, las sesiones o el enrutamiento consciente de la aplicación. Otra
característica importante de SD-WAN son las mediciones de calidad de enlace. Usando ping o eco HTTP,
FortiGate puede determinar la latencia, la fluctuación o el porcentaje de pérdida de paquetes para cada
enlace y seleccionar enlaces dinámicamente en función de estas medidas. Esto garantiza una alta
disponibilidad (HA) para aplicaciones críticas para el negocio.
Desglose local de SD-WAN
MPLS
Nube privada
Sucursal
Ahora, aprenderá sobre los casos de uso de SD-WAN. En el ejemplo que se muestra en esta diapositiva, el
cliente depende en gran medida de un MPLS costoso e inflexible. Todo el tráfico se enruta a través del
circuito MPLS a la nube del proveedor, luego a la nube pública o Internet, según las aplicaciones. Como se
mencionó anteriormente, no hay flexibilidad en este escenario y, sin embargo, es una solución costosa para
el cliente. ¿Cómo puede el cliente agregar redundancia, flexibilidad, confiabilidad y, lo que es más
importante, seguridad, sin agregar una infraestructura costosa? Aprenderá sobre la solución en esta lección.
Desglose local de SD-WAN
MPLS
Nube privada
Internet
En el ejemplo que se muestra en esta diapositiva, al cliente le gustaría mantener MPLS para las aplicaciones
críticas para el negocio, al mismo tiempo que agrega flexibilidad y redundancia. MPLS se usa para enviar
tráfico crítico para el negocio (por ejemplo, voz y video) basado en la mejor ruta con menos demora,
inestabilidad o pérdida de paquetes. En caso de que la ruta actual se degrade por debajo del umbral de la
política, el tráfico crítico para el negocio se redirigirá a un nuevo túnel. Además, la carga del tráfico no crítico
se equilibra en diferentes líneas para maximizar el ancho de banda o minimizar el costo. Al mismo tiempo, la
sucursal puede tener acceso seguro directo a Internet, lo que mejora el rendimiento de la aplicación en la
nube y puede equilibrar la carga de contenido SaaS e IaaS si es necesario.
Desglose local de SD-WAN
VPN
Nube privada
Internet
En el ejemplo que se muestra en esta diapositiva, el costoso MPLS se reemplaza por dos túneles de VPN de
Internet y, sin embargo, gana resistencia y redundancia sólidas. Al reemplazar MPLS, el cliente puede
minimizar los costos y maximizar la calidad. La solución SD-WAN es una solución consciente de las
aplicaciones de red y selecciona dinámicamente la mejor WAN para mantener un SLA más alto.
Desglose local de SD-WAN
Configuración SD-WAN
• Especifique al menos dos interfaces de miembro y sus puertas de enlace asociadas
• Las interfaces no deben ser referenciadas por ningún otro elemento de configuración (por ejemplo,
rutas o políticas)
• Admite interfaces agregadas, VLAN e IPsec
• Se genera automáticamente una regla implícita para equilibrar el tráfico.
Network > SD-WAN > SD-WAN Zones
Interfaces de
miembros
Zona SD-WAN
Cuando configura SD-WAN, debe especificar al menos dos interfaces miembro, sus puertas de enlace
asociadas y una zona SD-WAN. Debe configurar SD-WAN temprano durante la configuración inicial de
FortiGate porque, si una política de firewall o ruta estática ya hace referencia a una interfaz, no puede usarla
como una interfaz de miembro. Si tiene la intención de usar una interfaz como miembro de SD-WAN, y una
política de firewall o ruta estática hace referencia a esa interfaz, debe eliminar la política de firewall y la ruta
estática asociadas antes de poder asignar esa interfaz como miembro de SD-WAN. . SD-WAN admite
interfaces físicas, así como interfaces VLAN, agregadas e IPsec.
También puede agregar fácilmente otra interfaz de miembro en una fecha posterior, para agregar más ancho
de banda u opciones de QoS .
FortiGate agrupa todas las interfaces de miembros en una sola interfaz virtual para crear rutas: la interfaz
SD-WAN . El uso de SD-WAN simplifica la configuración porque el administrador puede configurar un solo
conjunto de rutas y aplicarlas a todas las interfaces de los miembros . Solo puede haber una interfaz SD-
WAN por VDOM.
Una regla implícita se genera automáticamente cuando habilita SD-WAN. Si no se cumple ninguna de las
condiciones de ninguna de las otras reglas, se utiliza la regla implícita. Esta regla implícita está diseñada para
equilibrar el tráfico entre todos los enlaces de miembros SD-WAN disponibles. Aprenderá sobre las reglas de
SD-WAN más adelante en esta lección.
Desglose local de SD-WAN
El equilibrio de carga SD-WAN utiliza la distribución del tráfico métodos que son similares a los utilizados por
la ruta múltiple de igual costo ( ECMP). Sin embargo, el equilibrio de carga del enlace SD-WAN incluye un
método de equilibrio más: el volumen.
• source-ip-based:
o Todo el tráfico de una IP de origen se envía a la misma interfaz.
• weight-based:
o Las interfaces con pesos más altos tienen mayor prioridad y reciben más tráfico.
• usage-based:
o Todo el tráfico se envía a la primera interfaz de la lista. Cuando el ancho de banda en esa interfaz
supera el límite de desbordamiento, el nuevo tráfico se envía a la siguiente interfaz.
• source-dest-ip-based:
o Equilibrio de carga de IP de origen y destino. Todo el tráfico de una IP de origen a una IP de
destino se envía a la misma interfaz.
• measured-volume-based:
o Equilibrio de carga basado en volumen. La carga del tráfico se equilibra en función del volumen de
tráfico (en bytes). Se envía más tráfico a las interfaces con proporciones de volumen más altas.
Desglose local de SD-WAN
Zonas SD-WAN
• Puede dividir a los miembros de SD-WAN en zonas
• Puedes crear varias zonas
• Las zonas SD-WAN se pueden usar en políticas de firewall como interfaz de origen o
destino
• Los miembros individuales de SD-WAN no se pueden usar en la política
• Las zonas SD-WAN se incluyen en la vista de topología de Security Fabric
Puede dividir las interfaces SD-WAN en grupos lógicos más pequeños llamados zonas SD-WAN . Luego
puede usar estas zonas SD-WAN en políticas de firewall para permitirle tener un control más granular sobre
el tráfico que se inspecciona y permite. Puede crear varias zonas SD-WAN para miembros de SD-WAN. Sin
embargo, los miembros de SD-WAN no se pueden compartir entre varias zonas. De forma predeterminada,
FortiGate tiene creada la zona virtual-wan-link .
Desglose local de SD-WAN
Debe configurar la
interfaz, una zona y
una puerta de
enlace
Este campo es
opcional, también
puede agregar un
miembro de SD-
WAN más adelante
Cuando crea un miembro SD-WAN, debe especificar una interfaz, una zona SD-WAN y una dirección de
puerta de enlace. Puede usar la zona SD-WAN predeterminada creada en FortiGate o puede crear una
nueva zona SD-WAN. Después de asignar una interfaz SD-WAN a una zona SD-WAN, tiene la opción de
cambiar la zona.
Desglose local de SD-WAN
Creado
automáticamente
Network > Static Routes
Después de habilitar SD-WAN y configurar las interfaces miembro y el método de balanceo de carga, una
interfaz lógica con el nombre SD-WAN se agrega automáticamente a la lista de interfaces cuando crea una
ruta estática. A continuación, debe crear las rutas utilizando esta interfaz virtual.
Para las políticas de firewall, debe usar las zonas SD-WAN como interfaz de origen o interfaz de destino. No
puede usar miembros individuales o una interfaz virtual SD-WAN en las políticas de firewall. Políticas de
firewall creadas con SD-WAN interfaz permite que el tráfico se reenvíe a través de cualquier interfaz
miembro.
Aún debe configurar una ruta predeterminada al implementar SD-WAN. La configuración de ruta
predeterminada usando SD-WAN interfaz no requiere una dirección de puerta de enlace porque FortiGate
reenvía paquetes a la puerta de enlace adecuada, según la información de la puerta de enlace de la interfaz
de miembros.
Desglose local de SD-WAN
Aunque debe configurar rutas mediante la interfaz virtual SD-WAN , FortiGate instala rutas individuales
para las interfaces de miembros en la tabla de enrutamiento. Estas rutas comparten los mismos atributos
(dirección de destino y subred, distancia y prioridad) y están todas activas. Esto permite que FortiGate
elimine rutas individuales en caso de una interrupción de la interfaz y redirija todo el tráfico a las interfaces de
miembros restantes, sin afectar todo el grupo de equilibrio de carga SD-WAN.
Desglose local de SD-WAN
Knowledge Check
1. ¿Qué método de equilibrio de carga es compatible con SD-WAN pero no con el
enrutamiento ECMP?
A. Sesiones
B. Volumen
Lesson Progress
Introducción a SD-WAN
Reglas SD-WAN
Diagnóstico SD-WAN
Ahora, aprenderá sobre el SLA de rendimiento de SD-WAN y las medidas de calidad del enlace.
Desglose local de SD-WAN
Objectives
• Configurar el SLA de rendimiento de SD-WAN
• Identificar cómo FortiGate mide la calidad de los enlaces
16
Después de completar esta sección, debería poder lograr los objetivos que se muestran en esta diapositiva.
SLA de rendimiento
Network > SD-WAN > Performance SLA
Objetivos de SLA
Ahora, aprenderá sobre las dos partes que componen la ventana Performance SLA : el monitor de estado
del enlace (o verificación de estado) y los objetivos de SLA .
Desglose local de SD-WAN
El monitor de salud del enlace es un mecanismo que detecta cuando un enrutador a lo largo de la ruta se
detiene o se degrada.
FortiGate puede verificar el estado (o la salud) de cada interfaz miembro de SD-WAN que participa en un
SLA de rendimiento, según la detección Modo que ha seleccionado .
• Activo : el estado del enlace se mide mediante el envío de paquetes de prueba a los servidores
configurados.
• Pasivo : el estado del enlace se mide utilizando la información de la sesión que se captura en las
políticas de firewall que tienen habilitada la medición pasiva del estado de wan .
• Preferir pasivo : el estado del enlace se mide mediante el tráfico que pasa a través de los
miembros de SD-WAN. Cuando no pasa tráfico a través de la interfaz de miembros, los paquetes
de prueba se envían a los servidores configurados para medir el estado del enlace.
Puede especificar hasta dos servidores para que actúen como validadores. Esto evita que el servidor tenga la
culpa y no el enlace.
En la GUI, puede especificar miembros o seleccionar todos los miembros de SD-WAN como participantes.
En la CLI, ahora puede agregar el miembro 0, lo que equivale a agregar todos los miembros como
participantes para el SLA de desempeño particular.
Se agrega una entrada de ruta FIB en el kernel para llegar a los servidores definidos en la página
Performance SLA sobre cada interfaz de participante. Estas rutas del núcleo están marcadas como
proto=17 . Estas rutas del kernel actuarán independientemente de las fuentes habituales de enrutamiento.
La GUI proporciona tres opciones de protocolo con las que realizar la verificación de estado: ping , HTTP y
Desglose local de SD-WAN
DNS , pero en la CLI tiene seis opciones. Esas opciones son: ping, HTTP y DNS, al igual que en la
GUI, pero también eco TCP, eco UDP y protocolo de medición activa bidireccional (TWAMP).
Desglose local de SD-WAN
La calidad de servicio para el tráfico asociado con este SLA de desempeño está definida por los Objetivos
de SLA. Un enlace miembro de SD-WAN asignado a este SLA de rendimiento debe cumplir con el objetivo
de SLA para ser seleccionado sobre los otros enlaces participantes. Puede configurar los umbrales de
latencia, fluctuación y pérdida de paquetes para satisfacer sus necesidades y crear objetivos granulares de
SLA para ajustar SD-WAN para aplicaciones específicas.
Aunque los objetivos de SLA se especifican en la página Performance SLA , en realidad no se utilizan allí.
Los valores configurados en esa página se usan solo cuando una regla hace referencia a ellos. Puede crear
varios objetivos de SLA por SLA de rendimiento, aunque hay algunos escenarios en los que desearía
hacerlo.
Un escenario podría ser, si está ubicado en una sucursal y usa algunas aplicaciones diferentes que se
ejecutan en la misma sede del servidor. Puede crear un SLA de rendimiento para realizar la verificación de
estado en ese servidor, pero luego tener diferentes objetivos de SLA para las diferentes aplicaciones. Puede
hacer que las reglas para algunas aplicaciones sean indulgentes, pero más estrictas para otras. Sin embargo,
si las aplicaciones se ejecutan en diferentes servidores, querrá crear diferentes SLA de rendimiento para
cada aplicación, a fin de que la verificación de estado se realice en el servidor de aplicaciones específico. Y
cada SLA de rendimiento requeriría solo un objetivo de SLA para esa aplicación.
Desglose local de SD-WAN
Deshabilita
automáticamente las rutas
estáticas para las
interfaces inactivas y
restaura las rutas en la
recuperación de la interfaz
El estado del enlace contiene configuraciones que especifican la frecuencia con la que el sistema verifica el
estado del enlace para determinar si necesita transferir el tráfico a otro enlace. Las configuraciones Fallo
antes de inactivo y Restaurar enlace después evitan que el sistema transfiera tráfico continuamente entre
enlaces, una condición conocida como aleteo.
Desglose local de SD-WAN
El SLA de rendimiento (comprobaciones de estado) mide la calidad de los enlaces conectados a la interfaz
de miembros que participan en un SLA de rendimiento . Para esta medición se utilizan tres criterios
diferentes: latencia, fluctuación y porcentaje de pérdida de paquetes.
Son estos valores los que se usan contra los criterios de SLA dentro de las reglas que se usan para enrutar
el tráfico en función de la calidad del enlace de cada miembro.
Es importante tener en cuenta que las flechas verdes hacia arriba solo indican que el servidor está
respondiendo a la verificación de estado, independientemente de los valores de pérdida de paquetes, latencia
y fluctuación. No es una indicación de que se esté cumpliendo alguno de los SLA.
Desglose local de SD-WAN
Los comandos CLI utilizados para configurar un SLA de rendimiento ofrecen más opciones. Las opciones
tcp -echo , udp -echo , tcp -connect, ftp y twamp solo están disponibles en la CLI. Estas opciones
proporcionan diferentes métodos para medir el rendimiento de la red de ida y vuelta entre dos dispositivos
que las admitan. Hay otras opciones solo de CLI que están disponibles, según el protocolo SLA de
rendimiento que elija. Para obtener más información sobre estas opciones, consulte la Guía de referencia de
la CLI en docs.fortinet.com .
Puede configurar los umbrales de advertencia y alerta para las comprobaciones de calidad de latencia,
fluctuación y pérdida de paquetes. Estos tampoco están disponibles en la GUI.
Desglose local de SD-WAN
Puede configurar los parámetros de estado de los enlaces usando los comandos que se muestran en esta
diapositiva. También puede configurar varios objetivos de SLA con diferentes valores tanto en la GUI como
en la CLI.
Desglose local de SD-WAN
Knowledge Check
1. ¿Qué atributo de enlace se usa en las mediciones de calidad de enlace SD-WAN?
A. Costo
B. Latencia
Lesson Progress
Introducción a SD-WAN
Reglas SD-WAN
Diagnóstico SD-WAN
Reglas SD-WAN
Objectives
• Identificar los criterios de coincidencia de reglas de SD-WAN
• Configurar la selección de enlaces dinámicos en función de la
calidad del enlace
26
Después de completar esta sección, debería poder lograr los objetivos que se muestran en esta diapositiva.
Al demostrar competencia en las reglas de SD-WAN , debería poder configurar la selección de enlaces
dinámicos en función de la calidad del enlace para garantizar una alta disponibilidad para las aplicaciones
críticas para el negocio.
Desglose local de SD-WAN
Skype_equipos el tráfico se
enrutará dinámicamente a la El tráfico de Skype_teams sale
interfaz de miembro con la del puerto 1
menor cantidad de latencia
© Fortinet Inc. Todos los derechos reservados. 27
Las reglas SD-WAN le permiten especificar qué tráfico desea enrutar a través de qué interfaz. Puede
configurar las reglas de SD-WAN para elegir la interfaz de salida según la latencia, la fluctuación o el
porcentaje de pérdida de paquetes, en función de la configuración que configuró en la página Objetivos de
SLA de un enlace . Las reglas se evalúan de la misma manera que las políticas de firewall: de arriba a abajo,
utilizando la primera coincidencia. Puede utilizar los siguientes parámetros para hacer coincidir el tráfico:
• Dirección IP origen
• Dirección IP de destino
• Número de puerto de destino
• Objetos de dirección ISDB como destino
• Aplicación de cortafuegos como destino
• Usuarios o grupos de usuarios
• Tipo de servicio ( ToS )
Las reglas SD-WAN ofrecen una gran flexibilidad al hacer coincidir el tráfico. Por ejemplo, puede enrutar el
tráfico de Netflix de usuarios autenticados específicos a través de un ISP, mientras enruta el resto de su
tráfico de Internet a través de otro ISP.
Desglose local de SD-WAN
SD-WAN puede usar la base de datos de Servicios de Internet, así como la base de datos de Control de
aplicaciones para dirigir las aplicaciones a lo largo de un enlace específico.
FortiGuard mantiene estas bases de datos, y FortiGate obtiene periódicamente una copia actualizada.
Cuando utilice la base de datos de Application Control, debe habilitar la inspección SSL para obtener la
identificación de aplicación más precisa.
Desglose local de SD-WAN
Reglas SD-WAN—Manual
Network > SD-WAN > SD-WAN Rules
Seleccionar
preferencia de
interfaz de salida
interfaz se selecciona
según el orden en que
se enumeran los
miembros de SD-WAN
FortiGate SD-WAN ofrece cuatro estrategias para seleccionar la(s) interfaz(es) saliente(s): Manual , Mejor
calidad , Costo más bajo (SLA) , y Maximizar el ancho de banda (SLA) .
Si selecciona Manual , puede especificar la prioridad de la interfaz desde la que desea enviar el tráfico. Si el
tráfico coincide con los criterios de la regla, el tráfico saldrá de la primera interfaz disponible según la
preferencia de interfaz. Esta estrategia no depende del SLA de rendimiento ni de los objetivos del SLA.
Desglose local de SD-WAN
FortiGate
seleccionará la
interfaz con la
mejor calidad
(a)
(b)
(c)
(d)
La mejor estrategia de calidad se basa en el rendimiento de la red. En el ejemplo que se muestra en esta
diapositiva, port1 y port2 están incluidos en la preferencia de interfaz. Entonces, se usa el puerto1 (porque es
el primero en la lista) hasta que el criterio de calidad de esa red sea un 10% peor que el del puerto2 ,
momento en el que el puerto2 tomará el relevo. De forma predeterminada, el criterio de calidad es del 10 %,
pero puede cambiarlo en la CLI mediante el comando set link-cost-threshold . Tenga en cuenta
que no utiliza ninguno de los SLA aquí . La verificación de calidad en el SLA de rendimiento (DC_PBX_SLA)
utiliza solo la información del servidor (verificación de estado) contra los criterios de calidad. Puede utilizar las
opciones de latencia, fluctuación y porcentaje de pérdida de paquetes. También puede usar las opciones de
ancho de banda ( ancho de banda descendente , ancho de banda ascendente o ancho de banda
bidireccional ) para que FortiGate seleccione el enlace en función del ancho de banda disponible del tráfico
entrante, saliente o bidireccional. Esto es útil porque los usuarios pueden usar algunas aplicaciones
principalmente para descargar y otras aplicaciones principalmente para cargar.
La última opción, perfil personalizado-1 , le permite basar la selección del enlace en una combinación de
sus valores de criterio. La calidad de la tinta está determinada por la ecuación.
Cuanto mayor sea el valor, más peso tendrá ese criterio en la selección. Deje el valor de peso en cero para
excluir ese criterio de la ecuación.
Desglose local de SD-WAN
Se da preferencia
Puede
según el orden en que
seleccionar varios
se enumeran los
objetivos de SLA
miembros de SD-WAN
© Fortinet Inc. Todos los derechos reservados. 31
Cuando utiliza la estrategia de costo más bajo (SLA), selecciona un objetivo de SLA de un SLA de
rendimiento con el que desea medir el tráfico. Tenga en cuenta que incluso si un SLA de rendimiento tiene
varios objetivos de SLA, puede seleccionar solo uno de los objetivos de SLA de ese SLA de rendimiento en
particular.
Desglose local de SD-WAN
Interfaz de salida
seleccionada
FortiGate sigue el flujo que se muestra en la diapositiva para seleccionar una interfaz saliente para el costo
más bajo (SLA) .
Por ejemplo, SD-WAN tiene cuatro miembros: interfaz 1, 2, 3 y 4. Consulte la tabla que se muestra en la
diapositiva.
Primero, FortiGate considera el SLA y elimina la interfaz 4 de la selección de interfaz saliente. Según el SLA,
FortiGate considerará tres interfaces.
Luego, FortiGate considera el costo de eliminar cualquier interfaz de la consideración. Puede configurar el
costo en Network > SD-WAN en SD-WAN Interface Members. FortiGate selecciona una interfaz con un
costo más bajo. En el ejemplo que se muestra en esta diapositiva, las interfaces 1 y 2 tienen un costo de 5, y
la interfaz 3 tiene un costo de 10 conjuntos. En este caso, FortiGate elimina la interfaz 3 de la consideración y
considera la interfaz 1 y 2 para la interfaz de salida.
Por último, FortiGate verifica el conjunto de prioridades para todas las interfaces para seleccionar una interfaz
saliente. En el ejemplo que se muestra en esta diapositiva , la interfaz 2 tiene una prioridad más alta que la
interfaz 1. En este caso, FortiGate selecciona la interfaz 2 como la interfaz saliente para el tráfico que
coincide con la regla. (hacer clic)
Desglose local de SD-WAN
puerto3 Satisfacer 10 2
puerto2 Satisfacer 5 3
puerto1 Satisfacer 5 4
Esta función presenta un nuevo modo de equilibrio de carga para la regla SD-WAN. Si el tráfico coincide con
las especificaciones de la regla, la carga del tráfico se equilibra entre los miembros seleccionados, lo que
satisface la especificación del SLA. Si hay varios criterios de SLA, la carga del tráfico se equilibra solo para
los miembros que satisfacen la mayoría de los criterios de SLA.
El ejemplo de esta diapositiva muestra que las interfaces 1, 2 y 3 cumplen los requisitos del SLA y la interfaz
4 no. En este caso, el tráfico que coincide con la regla tiene una carga equilibrada entre las interfaces 1, 2 y
3. (Haga clic)
Reglas SD-WAN
• Las reglas de SD-WAN se evalúan de la misma manera que las políticas de firewall:
de arriba a abajo, utilizando la primera coincidencia
• Las reglas SD-WAN se tratan como rutas basadas en políticas
• FortiGate verifica las rutas de políticas regulares antes que las rutas de políticas
SD-WAN
Red > SD-WAN > Reglas SD-WAN
regla implícita
© Fortinet Inc. Todos los derechos reservados. 34
Las reglas específicas de la aplicación se evalúan de la misma manera que las políticas de firewall: de arriba
a abajo, utilizando la primera coincidencia.
Una regla implícita se genera automáticamente cuando habilita SD-WAN. Si no se cumple ninguna de las
condiciones de ninguna de las otras reglas, se utiliza la regla implícita. Esta regla implícita está diseñada para
equilibrar el tráfico entre todos los enlaces de miembros SD-WAN disponibles.
Al igual que las rutas ISDB , las reglas SD-WAN funcionan como rutas de política. Tienen prioridad sobre
cualquier otra ruta en la tabla de enrutamiento. Cuando se trata de enrutamiento de políticas, FortiGate
verifica primero las rutas de políticas regulares, antes de verificar las rutas de políticas SD-WAN.
Desglose local de SD-WAN
Knowledge Check
1. ¿Qué es un parámetro de coincidencia de reglas SD-WAN para fuentes de tráfico?
A. Grupos de Usuarios
B. firmas IPS
2. ¿Puede configurar las reglas de SD-WAN para elegir la interfaz de salida según qué
parámetro?
A. Peso
B. Latencia
Lesson Progress
Introducción a SD-WAN
Reglas SD-WAN
Diagnóstico SD-WAN
Diagnóstico SD-WAN
Objectives
• Supervise el uso del enlace SD-WAN
• Monitoree el estado de calidad del enlace SD-WAN
• enrutamiento del tráfico SD-WAN
37
Después de completar esta sección, debería poder lograr los objetivos que se muestran en esta diapositiva.
Al demostrar competencia en diagnósticos SD-WAN , debería poder mantener una solución SD-WAN
eficiente y efectiva.
Desglose local de SD-WAN
Número de
sesiones que pasan
Network > SD-WAN > SD-WAN Zones por interfaz de
miembro
Utilización Volumen de
del ancho de tráfico enviado
banda por y recibido por
cada interfaz interfaz de
miembro miembro
Puede usar el monitor de uso de SD-WAN para ver la distribución del tráfico entre las interfaces de los
miembros, según el ancho de banda o el volumen.
Él La vista de volumen ofrece una mejor representación del tráfico enviado y recibido en todas las interfaces
de los miembros; mientras que la vista Ancho de banda le muestra cuánto ancho de banda utiliza cada
interfaz como resultado de las sesiones que pasan a través de ellas. La vista Sesiones muestra el número
de sesiones que pasan por cada interfaz.
Desglose local de SD-WAN
Debido a que la calidad del enlace juega un papel importante en la selección de enlaces cuando se usa SD-
WAN, es una buena práctica monitorear el estado de calidad del enlace de las interfaces miembro de SD-
WAN. Debe investigar cualquier problema prolongado con la pérdida de paquetes y la latencia para
asegurarse de que el tráfico de su red no experimente interrupciones o un rendimiento degradado. Las
flechas verdes indican que las interfaces están activas en el grupo SD-WAN. Las flechas rojas indican que la
interfaz está inactiva para esa verificación de estado específica.
FortiGate también genera registros de eventos del sistema cuando la ruta de una interfaz miembro de SD-
WAN se elimina o se agrega a la tabla de enrutamiento. Utilice los registros de eventos para revisar los
registros.
Desglose local de SD-WAN
Puede utilizar la columna Interfaz de destino en los registros de Forward Traffic para verificar que el tráfico
sale de las interfaces de miembros de SD-WAN. Como alternativa, puede usar los niveles de detalle 4 y 6
para ver la interfaz de salida mediante la herramienta de captura de paquetes CLI.
Desglose local de SD-WAN
Knowledge Check
1. ¿Qué monitor debe usar para monitorear la distribución de la sesión en las interfaces
de miembros de SD-WAN?
A. Monitor de estado de enlace SD-WAN
B. Monitor de uso de SD-WAN
Lesson Progress
Introducción a SD-WAN
Reglas SD-WAN
Diagnóstico
Review
Identificar casos de uso para SD-WAN
Identificar los requisitos de implementación para SD-WAN
Configurar enlace virtual SD-WAN y equilibrio de carga
Configurar zonas SD-WAN
Configurar rutas estáticas y políticas de firewall para SD-WAN
Configurar la comprobación
Identificar cómo FortiGate mide la calidad de los enlaces
Identificar los criterios de coincidencia de reglas de SD-WAN
Configurar la selección de enlaces dinámicos en función de la calidad del
enlace
Supervise el uso del enlace SD-WAN
Monitoree el estado de calidad del enlace SD-WAN
Verificar el enrutamiento del tráfico SD-WAN
Al dominar los objetivos cubiertos en esta lección, aprendió cómo configurar, mantener y diagnosticar su
solución FortiGate SD-WAN.