Novedades de producto

FOS 6.2: Nuevas funcionalidades SD-WAN– WAN Resiliency

Vamos hablar de 2 de las nuevas características desplegadas en la Release 6.2 para SD-WAN y que están pensadas para asegurar la conectividad entre sedes que utilizan este tipo de tecnología.

  1. WAN Path Remediation (FEC):

Esta funcionalidad permite remediar de forma dinámica la perdida de paquetes ocurrida en una línea WAN (enlaces con ruido o deficientes). El Forward error correction (FEC) utiliza un protocolo de corrección de errores (con reenvío) para asegurar que los paquetes llegan de un extremo a otro extremo.

Esta mejora aumenta la fiabilidad de los enlaces WAN permitiendo además el uso de los mismo en malas condiciones, por ejemplo una línea con perdida de paquetes del 10% puede seguir transmitiendo tráfico y esta perdida de datos es enmascarada a los usuarios (no a los administradores, los cuales si saben que hay un problema en esa línea y pueden tomar las medidas oportunas). Es ideal para desplegar sobre líneas cuya fiabilidad es deficiente como Radio Enlaces, conexiones por satélite o cualquier enlace de baja calidad por ruido o perdida de paquetes.

La características además añade otros beneficios para los tráficos de VoIP y video ya que aseguran una mayor calidad para este tipo de transmisiones.

La siguiente imagen muestra el funcionamiento de esta característica:

Como podemos ver el FGT1 manda una flujo de paquetes, el paquete B se pierde por la mala calidad de la línea de comunicaciones y los FW (no la aplicación) se dan cuenta de que hay un problema con ese paquete en concreto y proceden a reenviar el flujo.

  • Detalles:
  • La funcionalidad solo se puede configurar sobre túneles IPsec, por lo tanto solamente se puede proteger el tráfico que fluye por estos enlaces.
  • Los equipos en ambos extremos deben ser Fortigate.
  • Los paquetes de validación consumen algo más de ancho de banda en el enlace.
  • Configuración:

La funcionalidad se activa en las características del túnel VPN que se quiere proteger:

  1. Tunnel Bandwidth Aggregation – (Per Packet Steering):

La agregación de ancho de banda en los túneles utiliza un balanceo por paquete (defecto) para maximizar la utilización del ancho de banda y garantizar que las aplicaciones con grandes necesidades de ancho de banda tengan el rendimiento que necesitan, sin comprometer a otras aplicaciones.

Esta funcionalidad utiliza la capacidad de agregación en los interfaces de IPsec soportados en los Fortigate, generando un túnel agregado cuyos puertos miembros son 2 túneles IPSEC:

A partir de este momento el tráfico entre los nodos donde se ha configurado está funcionalidad pasa a ser transmitido mediante un balanceo por paquete utilizando los túneles IPsec que forman el enlace agregado.

Una sesión dentro del FW pasa a utilizar los dos enlaces por lo que el tráfico es agregado y el cliente puede conseguir que una transferencia de datos extremo a extremo cuyo sumatorio es el ancho de banda de las 2 líneas VPN que forman el enlace agregado.

Esta funcionalidad es ideal para asegurar la disponibilidad en la conexión entre sedes remotas ya que utiliza 2 líneas de comunicaciones en configuración activo-activo, otra funcionalidad consiste en maximizar el uso del ancho de banda pudiendo aprovechar la velocidad máxima de ambos enlaces para una sola conexión.

Adjunto una imagen sobre el funcionamiento del mismo:

  • Detalles:
  • La funcionalidad solo se puede configurar sobre túneles IPsec.
  • Los equipos en ambos extremos deben ser Fortigate.
  • El servicio soporta agregaciones para 2 túneles VPN.
  • Por defecto utiliza el algoritmo de round-robin, paquete A por vpn1 y siguiente paquete B por vpn2, los algoritmos disponibles son:

L3             Use layer 3 address for distribution.

L4             Use layer 4 information for distribution.

round-robin    Per-packet round-robin distribution.

redundant      Use first tunnel that is up for all traffic.

  • Para garantizar el máximo rendimiento la velocidad en ambos enlaces debe ser idéntica.
  • Configuración:
  • Configurar phase1 de la VPN
  • Configurar phase2 de la VPN
  • Crear enlace agregado:

  • Configurar políticas y rutas sobre el interface agregado (ahorramos la definición sobre los interfaces miembros).

Adjunto un enlace al cookbook donde se puede ver en detalle la configuración de la misma:

https://docs.fortinet.com/document/fortigate/6.2.0/cookbook/779544/ipsec-aggregate-for-redundancy-and-traffic-load-balancing

Tags

Contenidos relacionados

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Te recomendamos

Close