Targitas SD-WAN Tunneling Wizard Rehberi

SD-WAN Tunneling nedir?

SD-WAN (Software-Defined Wide Area Network) tunneling, bir SD-WAN ağı üzerinden veri trafiğini güvenli bir şekilde taşımak için kullanılan bir yöntemdir. Bu yöntem, farklı coğrafi bölgelerdeki farklı ağlarda bulunan cihazların güvenli bir şekilde iletişim kurmasını sağlar.

Tunneling, veri trafiğini bir ağdan diğerine taşıyan bir protokol olarak kullanılır. SD-WAN tunneling, bir SD-WAN ağındaki tüm cihazlar arasındaki güvenli iletişimi sağlamak için kullanılır. Bu yöntem, verilerin şifrelenmesi, paketlerin segmentasyonu ve yeniden montajı gibi işlemleri gerçekleştirerek veri trafiğinin güvenli ve hızlı bir şekilde iletilmesini sağlar.

SD-WAN Tunneling Avantajları

SD-WAN tunneling özelliğinin birçok avantajı vardır. İşte bunlardan bazıları:

Güvenlik: SD-WAN tunneling, veri trafiğini şifreleyerek güvenli bir şekilde taşır. Bu sayede verilerin izinsiz erişime karşı korunması sağlanır.
Performans: SD-WAN tunneling, farklı coğrafi bölgelerdeki ağlarda bulunan cihazların iletişimini hızlandırır. Bu sayede ağ performansı artar ve kullanıcıların deneyimini iyileştirilir.
Esneklik: SD-WAN tunneling, farklı protokollerin kullanılabilmesi sayesinde esnek bir yapı sağlar. Bu sayede ağa yeni cihazlar ve uygulamalar eklenebilir.
Maliyet: SD-WAN tunneling, geniş bant internet bağlantılarının kullanılması sayesinde maliyetleri düşürür. Bu sayede daha düşük maliyetlerle daha yüksek performans elde edilebilir. Load Balance konfigürasyonu sayesinde birden fazla WAN bacağı daha verimli bir şekilde kullanılabilir.

Rehberde gerçekleştireceğimiz örnek konfigürasyon sırasında aşağıdaki topoloji kullanılacaktır. Wizard arayüzünü kullanarak 2 WAN bacağına sahip farklı lokasyondaki 2 cihaz arasında SD-WAN Tunneling oluşturulacaktır.

Dokümanın devamında Cihaz-1'den Hub ve Cihaz-2'den Spoke olarak bahsedilecektir.

Targitas web arayüzünde Wizards -> Wizards -> SD-WAN Tunneling arayüzünde SD-WAN Tunneling konfigürasyonu 5 adımda gerçekleştirerek tamamlanabilir. Bu adımlar;

1- Hub cihazda SD-WAN Tunneling konfigürasyonu:

Hub cihazda SD-WAN Tunneling sekmesinde karar verilmesi gereken parametreler;

1- Hub'a ait hangi ağların TRUST Zone içerisnde yer alacağı,

2- Hangi WAN hattında bulunan hangi IP adresinin şifreli tünelde trafik iletişimi için kullanılacağı

3- Şifreli tünel konfigürasyonu için kullanılacak IP adresleri ve subnet değeri belirlenmelidir.

4- Ağ yönetimini kolaylaştırmak için Spoke cihaza ait WAN IP adresi Peer Remote IP bölümünde belirtilebilir.

Aşağıda Hub Cihazda SD-Wan Tunneling interaktif rehberi bulunmaktadır. Rehberi bağlantıdan tam ekran görüntüleyebilirsiniz.

Type

Hub olarak belirlendiğinde yukarıdaki konfigürasyon arayüzü ile karşılaşılır.

Hub Trust

SD-WAN Tunneling sonucunda Hub cihazdaki hangi ağların Spoke cihaz tarafından erişim sağlanabilmesi isteniyorsa Combo box içerisinden belirlenmelidir

Outer Tunnel

WAN

HUB cihazın WAN IP adresinin yer aldığı Interface seçilmelidir.

WAN IP

Bir önceki adımda seçilen WAN Interface'de yer alan IP adresleri listelenir. Listelenen IP adresleri arasından bir seçim yapılmalıdır.

Inner Tunnel IP

Oluşturulacak şifreli tünele ait IP adresi belirtilmelidir. Sahip olunan network topolojisinde kullanılmayan bir IP adresi belirtilmelidir. Önerilen IP adresi 169.254.0.1/24'dür.

Local Public Key

Hub cihaza ait Local Public Key değeri otomotik olarak oluşturulmaktadır.

Spoke Information

Eklenen her bir Inner Tunnel için aşağıdaki gibi Spoke Information tablosu listelenir.

WAN IP

Hub cihazın seçilen WAN bacağında bulunan IP adresidir.

Peer Remote IP

Spoke cihaza ait WAN IP adreslerinden birisinin belirtilmesi gereklidir.

Inner Tunnel IP

Outer Tunnel bölümünde belirlenen IP adresidir.

Local Public Key

Bu değer Spoke cihaz konfigürasyonunda Server Public Key değeri olarak kullanılacaktır.

Peer Private Key

Bu değer Spoke cihaz konfigürasyonunda Local Private Key bölümünde kullanılacaktır.

Peer Public Key

Bu değer bilgilendirme amacıyla yer almaktadır. Spoke cihaz konfigürasyonunda Peer Public Key değeri kullanılmayacaktır.

2- Spoke cihazda SD-WAN Tunneling konfigürasyonu

Aşağıda Spoke Cihazda SD-Wan Tunneling interaktif rehberi bulunmaktadır. Rehberi bağlantıdan tam ekran görüntüleyebilirsiniz.

Device Type

Spoke olarak belirlendiğinde yukarıdaki konfigürasyon arayüzü ile karşılaşılır.

Outer Tunnel

WAN

Spoke cihazın WAN IP adresinin yer aldığı Interface'ler seçilmelidir.

Default

WAN Interface seçenekleri arasından Spoke cihazın default WAN hattı belirtilmelidir.

TRUST Zone

SD-WAN Tunneling sonucunda Spoke cihazdaki hangi ağların Hub cihaz tarafından erişim sağlanabilmesi isteniyorsa Combo box içerisinden belirlenmelidir

Hub Informations

Sağda yer alan butonu ile şifreli tünel için konfigürasyon satırı oluşturulabilir. Hub cihazdaki WAN hattı kadar oluşturulması önerilir.

Inner Tunnel IP

Hub cihazda belirlenen Inner Tunnel ağı içerisinden IP adresi ve netmask belirtilmelidir.

Remote IP

Hub cihazın WAN IP adresi belirtilmelidir.

Remote Port

Hub cihazın WAN IP adresinin tüneli hangi port üzerinde dinlediği belirtilmelidir. Varsayılan olarak Hub cihazının ilk WAN hattı 4400 portunda dinler ve yeni eklenen WAN hatları için bu değer 1 değer arttırılır.

Server Public Key

Rehberin önceki adımında belirtildiği gibi Hub cihaz konfigürasyonundaki Local Public Key değeri bu bölüme kopyalanmalıdır.

Local Private Key

Rehberin önceki adımında belirtildiği gibi Hub cihaz konfigürasyonundaki Peer Private Key değeri bu bölüme kopyalanmalıdır.

3- Hub Cihazda Route Konfigürasyonu

Bu bölümde SD-WAN Tunneling Wizard konfigürasyonu sonucunda HUB cihazın TRUST Zone içerisinde yer alan ağların, Spoke Cihaz'ın TRUST Zone içerisinde yer alan ağlara erişim sağlaması için gerekli route konfigürasyonu gerçekleştirilir. Bu bölümde 1.adımda oluşturulan Peer sayısı kadar sutün oluşturulur.

Örnek senaryomuzda; Hub cihazın TRUST Zone içerisinde 10.10.100.1/24 ağını kapsayan vlan100 interface yer almaktadır.

Spoke cihazın TRUST Zone içerisinde 10.10.101.1/24 ağını kapsayan vlan101 interface yer almaktadır.

SD-WAN Tunneling Wizard konfigürasyonunda Hub cihazın Route bölümünde, Spoke cihazın TRUST Zone içerisinde yer alan vlan101 için aşağıdaki örnek konfigürasyon gerçekleştirilebilir.

Aşağıda Spoke Cihazda SD-Wan Tunneling interaktif rehberi bulunmaktadır. Rehberi

Destination Network

Spoke cihaz yerel alan ağından erişilmesi istenilen subnet'e ait IP adresi ve netmask bilgisi belirtilmelidir.

Route

Spoke cihaza ait Inner Tunnel IP adresi belirtilmelidir.

Multipah

Multipath routing, ağ trafiğini birden fazla yol üzerinden iletmek ve bu yollar arasında yükü paylaştırmak için kullanılan bir yönlendirme tekniğidir.

Eğer belirtilen Peer'a air route eklenmesi istenmiyorsa satırın en sağındaki delete butonu kullanılarak ilgili route kaydı silinebilir.

4- Spoke cihazda Route konfigürasyonu

Spoke cihazda sadece Hub cihazın Trust Zone konfigürasyonunda yer alan network'ü belirtmesi yeterlidir.

5- Spoke cihazda SD-WAN konfigürasyonu

Aşağıda Spoke Cihazda SD-Wan Tunneling interaktif rehberi bulunmaktadır. Rehberi bağlantıdan tam ekran görüntüleyebilirsiniz.

Single

SD-WAN trafiğinin sadece 1 adet WAN Interface üzerinden yönlendirilmesi isteniliyorsa Single Link modu tercih edilebilir.

Best Quality

Best Quality modunda SD-WAN'ın seçilen kriter için belirlenen WAN Interface değerleri karşılaştırılır ve en iyi performansı gösteren WAN Interface, trafiği yönlendirmek için seçilecektir.

Lowest Cost

Lowest Cost modunda SD-WAN, trafiği iletmek için seçilen SLA Profilini karşılayan WAN Interface seçenekleri arasından belirtilen en düşük cost değerine sahip olan WAN Interface seçeneğini SD-WAN trafiğini yönlendirmek için kullanacaktır.

Load Balance

Load Balance modundan SD-WAN, SLA Profil şartlarını sağlayan tüm WAN Interface seçeneklerini birlikte dengeli ve verimli şekilde kullanmaya çalışır.Bu sayfayla ilgili dokümantasyon hazırlıkları devam etmektedir ve yakın zamanda yayınlanacaktır.

General

Protocol

SLA Profilinin değerlendirmek için kullanacağı protokol belirlenmelidir. HTTP, PING, HTTP(TLS) seçenekleri arasından seçim yapılması gereklidir.

Frequency

Protokol ve sunucu IP adreslerinin SLA Profil hedef değerleri için zaman frekansı saniye biriminden belirlenmelidir. Zaman aralığı 1-86400 saniye arasında olmalıdır.

Count

SLA Profile değerlendirmesi için belirlenen Frequency değer aralığında gerçekleşmesi gereken istek sayısı belirlenebilir.

SLA Target

Jitter

SLA Profili için maksimum Jitter değeri belirlenmelidir. Jitter, bir ağdaki gecikme değişkenliği olarak tanımlanır ve ağ performansını etkileyen (milisaniye) biriminden bir ölçümdür. Genellikle düşük jitter değerleri daha iyi ağ performansını gösterir.

Latency

SLA Profili için maksimumum latency değeri belirlenmelidir. Latency, bir ağdaki veri iletimleri için gecikme süresini ifade eder. Latency, veri paketlerinin bir noktadan bir noktaya gitme süresini ms (milisaniye) biriminden ölçer.

Packet Loss

SD-WAN trafiğinde oluşabilecek maksimum drop rate yüzdesi belirlenmelidir.

Sonuçlar:

Wizard konfigürasyonunun son Review and Submit adımında belirlenen parametreler sonucunda oluşturulan konfigürasyon incelenebilir. Sayfanın sağ alt kısmında Apply butonu ile oluşturulan konfigürasyon kaydedilir. Hub ve Spoke cihazların ikisinde de Apply butonu ile kaydedilmesi gereklidir.

Hub cihazda Wizard adımlarında belirlenen parametreler sonucunda oluşan konfigürasyonu aşağıdaki interaktif rehberde inceleyebilirsiniz. Rehberi bağlantıdan tam ekran görüntüleyebilirsiniz.

Spoke cihazda Wizard adımlarında belirlenen parametreler sonucunda oluşan konfigürasyonu aşağıdaki interaktif rehberde inceleyebilirsiniz. Rehberi bağlantıdan tam ekran görüntüleyebilirsiniz.

Hub Wizard Konfigürasyonu:

!
interface tunnel wireguard 10000
 ip mtu 1600
 ip-address 169.254.1.1/24
 private-key $2w$000000000000000030082d7bd348ebf1e9403496601c841e3fed04f96e07c751847b30f17b499c859cf0424257294c5755a87150c699284b
 mode server
  listen-interface 1/1/1
  port 4400
  peer Spoke10000 remote-ip 169.254.1.2/32
   peer-pub-key +Jur7uA2PwaCQoMl6lsYPzQcKO0qDONCVV+JE9Ewo34=
   allow-from any
   routed-subnets 10.10.101.1/24
!
interface tunnel wireguard 10001
 ip mtu 1600
 ip-address 169.254.2.1/24
 private-key $2w$0000000000000000b2e07c7279f71978ad1d138d1f31db7ed9657d2aa2c6b4cbd9ea551757d1d211542fb620fddf9cce456c44bf293cceae
 mode server
  listen-interface 1/1/3
  port 4401
  peer Spoke10001 remote-ip 169.254.2.2/32
   peer-pub-key flWmt1iMH1bVeD+eg/lisALd14c3YUC8j6fUgxGWsXk=
   allow-from any
   routed-subnets 10.10.101.1/24
!
object-groups
 object Spoke_10000 type network
  network 10.10.101.0/24
 object Spoke_10001 type network
  network 10.10.101.0/24
 object WGLan type network
  network 10.10.100.0/24 
 object WAN_IP_For_Wg type network
  host 10.10.12.207 192.168.1.1 
 object Wireguard_Port_4400 type service
  protocol udp
  port eq 4400
 object Wireguard_Port_4401 type service
  protocol udp
  port eq 4401
!
security dpi
 enable
 logging
 filtering
 mac-logging
 ip-accounting
!
security firewall
 enable
 zone WG_SDWAN
  zone-members wireguard10000 wireguard10001
 rules
  fw-rule 50000
   name Wireguard_Port_Access0
   type access
   action allow
   source-zone any
   destination-zone any
   service-in Wireguard_Port_4400
   source-ip any
   destination-ip WAN_IP_For_Wg
   log
   enable
   rule-order-id 1
  fw-rule 50001
   name Wireguard_Port_Access1
   type access
   action allow
   source-zone any
   destination-zone any
   service-in Wireguard_Port_4401
   source-ip any
   destination-ip WAN_IP_For_Wg
   log
   enable
   rule-order-id 1
  fw-rule 50002
   name WG_SDWAN_HUB_ACCESS_SPOKE_LAN0
   type access
   action allow
   source-zone wireguard10000
   destination-zone any
   dpi flow-management
   service-in any
   source-ip Spoke_10000
   destination-ip WGLan
   log
   enable
   rule-order-id 1
  fw-rule 50003
   name WG_SDWAN_HUB_ACCESS_SPOKE_LAN1
   type access
   action allow
   source-zone wireguard10001
   destination-zone any
   dpi flow-management
   service-in any
   source-ip Spoke_10001
   destination-ip WGLan
   log
   enable
   rule-order-id 1
!
ip route 10.10.101.0/24 169.254.1.2 multipath
ip route 10.10.101.0/24 169.254.2.2 multipath

Spoke Wizard Konfigürasyonu:

!
interface tunnel wireguard 10000
 ip mtu 1600
 ip-address 169.254.1.2/24
 private-key $2w$000000000000000036dad482092a9ff94c0b38d685ca02ac9348935fdfed561e5e4fe2bc3ec3301ee2e6c0cbd73beb3baf24662a4aad88a0
 gateway 169.254.1.1
 mode client
  server-pub-key gDIbV3ZY1gxSAdaoFoWVvHCLx9bdN/pLTPpuO8Ct6k8=
  server-ip 10.10.12.207
  server-port 4400
  allow-from any
!
interface tunnel wireguard 10001
 ip mtu 1600
 ip-address 169.254.2.1/24
 private-key $2w$00000000000000009d48e01ac2a0d66d36377ad29c32802a6d27888f4cbf05ebd43bbe257441e7c74b74f92e29378f57ddf89b6a91936771
 gateway 169.254.2.1
 mode client
  server-pub-key HB/Hs/O6xassJAEC39Qi1/7HkxMMlk61a9rmjMfntlE=
  server-ip 192.168.1.1
  server-port 4401
  allow-from any
!
object-groups
 object WG_Spoke_Allowed type network
  network 10.10.101.0/24 
 object WG_Hub_Network type network
  network 10.10.100.0/24 
!
sd-wan
 sdwan-zone WGSDW
  zone-members wireguard10000 wireguard10001
  default-member wireguard10000
 sla
  profile WGSLA
   protocol ping
   server-ip 169.254.1.1 169.254.2.1 
   latency 300
   jitter 300
   packet-loss 1
   frequency 60
   count 5
   tunnel-recover enable
   member-server-match enable
   sdwan-members wireguard10000 wireguard10001
 sdwan-rules
  name WGLink
   link-mode load-balance
   wan-interface wireguard10000 wireguard10001
   sla-profile WGSLA 
!
security dpi
 enable
 logging
 filtering
 mac-logging
 ip-accounting
 destination-aware-detection
 dpi-policy WGSpokeRule0 rule-id 1000
  source vlan101.network
  destination-ip WG_Hub_Network
  destination-port any
  allow all sdwan-rule WGLink id 1
!
security firewall
 enable
 zone WG_SDWAN
  zone-members wireguard10000 wireguard10001
 zone WG_Trust_Zone
  zone-members vlan101
 rules
 fw-rule 50000
  name Spoke_LAN_to_WG_Hub
  type access
  action allow
  source-zone WG_Trust_Zone
  destination-zone WGSDW
  dpi flow-management
  service-in any
  source-ip WG_Spoke_Allowed
  destination-ip WG_Hub_Network
  log
  enable
  rule-order-id 1
 fw-rule 50001
  name WG_Hub_to_Spoke_LAN
  type access
  action allow
  source-zone WG_SDWAN
  destination-zone WG_Trust_Zone
  service-in any
  source-ip WG_Hub_Network
  destination-ip WG_Spoke_Allowed
  log
  enable
  rule-order-id 1
!
ip route 10.10.100.0/24 169.254.1.1

PreviousTargitas Hızlı Kurulum Rehberi NextTargitas L2 Extend Wizard Rehberi

Last updated 1 year ago

Was this helpful?