Secure SD-WAN Fortinet: casi d’uso

Secure SD-WAN Fortinet: casi d’uso

Introduzione all’SD-WAN Fortinet

Dal punto di vista tecnico l’SD-WAN Fortinet consiste in una singola interfaccia virtuale, unica per VDOM, che comprende al suo interno più interfacce fisiche o virtuali, fino ad un massimo di 256. Uno dei molti vantaggi che può offrire la sua implementazione è dunque relegato alla configurazione e gestione: è possibile, infatti, semplificare di molto la definizione delle firewall policy e del routing utilizzando questo singolo oggetto con riferimento a tutte le interfacce che ne fanno parte. In altre parole prendendo come esempio lo scenario semplice e piuttosto diffuso di un branch office con una Local Area Network (LAN) e due link Wide Area Network (WAN) afferenti a due diversi Internet Service Provider (ISP), tipicamente una connettività primaria e una di backup, è possibile configurare una singola default route statica via SD-WAN e una singola policy di navigazione.

SDWAN_Fortinet

Tale policy, alla quale è possibile applicare tutti i filtri Fortinet Unified Threat Management (UTM) per avere tutti i controlli di sicurezza necessari a protezione e compliance, consentirà il traffico proveniente dalla LAN verso internet utilizzando in uscita l’interfaccia SD-WAN e lasciando che sia il dispositivo ad occuparsi in maniera dinamica dell’instradamento del traffico sulla base dei criteri, della strategia e dei parametri che sono stati definiti, bilanciando all’occorrenza il carico e concedendo dunque la possibilità di sfruttare al meglio la capacità dei link.

SDWanFortinet

L’SD-WAN Fortinet permette di configurare il bilanciamento del traffico utilizzando diversi algoritmi di load balancing come ad esempio l’utilizzo della larghezza di banda, delle sessioni o in base al tipo di applicazione. Un’altra caratteristica importante dell’SD-WAN è la costante misurazione della qualità dei link attraverso l’utilizzo di performance SLA che determinano in tempo reale la percentuale di latenza, jitter o perdita di pacchetti per ogni collegamento. Grazie alle SD-WAN rules, è possibile configurare per esempio che le applicazioni delay sensitive come il voip e i flussi video vengano instradate sul link che ha prestazioni migliori in fatto di jitter e latenza, mentre traffico meno prioritario come http e https venga instradato sul link meno performante. L’SD-WAN può utilizzare il database degli Internet Services o quello di application control per instradare del traffico su un link specifico e grazie ai periodici aggiornamenti ricevuti da FortiGuard tali database sono costantemente aggiornati. Per utilizzare l’application control database ed avere un’accurata identificazione delle applicazioni è richiesta l’abilitazione della SSL deep inspection.

SDWAN_Fortinet4

Enterprise SD-WAN: casi d’uso

Dal punto di vista del design in un contesto enterprise multisede la tecnologia SD-WAN permette una enorme flessibilità di fatto slegando la dipendenza dal singolo Carrier. È possibile utilizzare un overlay VPN per mettere in comunicazione i vari Branch ed Head Quarter (HQ) con topologie Hub and Spoke come Star ed Extended Star oppure Full/Partial Mesh. In questo senso è possibile sfruttare uno o più collegamenti MPLS da utilizzare per le applicazioni critiche e uno o più tunnel VPN attraverso uno o più breakout Internet locali per altro tipo di traffico ottimizzando dunque la banda a disposizione. Con questa configurazione, in contrapposizione a quella delle infrastrutture che convergono tutto il traffico verso il centro stella utilizzando solo una rete MPLS, le applicazioni basate su Public Cloud godranno di accesso diretto ad Internet dai Branch, con relativo incremento prestazionale.

SDWanFortinet

Un’altra possibilità è quella di slegarsi completamente dai collegamenti MPLS dotando ogni branch di due o più connessioni Internet e costruire una magliatura VPN tra le sedi. In questo modo oltre a garantire ridondanza e business continuity è possibile abbattere i costi di gestione dei più costosi link geografici privati ed allo stesso tempo avere la flessibilità di appoggiarsi a diversi ISP a seconda della disponibilità territoriale e della convenienza.

SDWanFortinetNel prossimo articolo scenderemo nel dettaglio configurativo di quest’ultimo caso d’uso di implementazione di una topologia SD-WAN.