SD-WAN (Software-Defined Wide Area Network) tunneling, bir SD-WAN ağı üzerinden veri trafiğini güvenli bir şekilde taşımak için kullanılan bir yöntemdir. Bu yöntem, farklı coğrafi bölgelerdeki farklı ağlarda bulunan cihazların güvenli bir şekilde iletişim kurmasını sağlar.
Tunneling, veri trafiğini bir ağdan diğerine taşıyan bir protokol olarak kullanılır. SD-WAN tunneling, bir SD-WAN ağındaki tüm cihazlar arasındaki güvenli iletişimi sağlamak için kullanılır. Bu yöntem, verilerin şifrelenmesi, paketlerin segmentasyonu ve yeniden montajı gibi işlemleri gerçekleştirerek veri trafiğinin güvenli ve hızlı bir şekilde iletilmesini sağlar.
SD-WAN Tunneling Avantajları
SD-WAN tunneling özelliğinin birçok avantajı vardır. İşte bunlardan bazıları:
Güvenlik: SD-WAN tunneling, veri trafiğini şifreleyerek güvenli bir şekilde taşır. Bu sayede verilerin izinsiz erişime karşı korunması sağlanır.
Performans: SD-WAN tunneling, farklı coğrafi bölgelerdeki ağlarda bulunan cihazların iletişimini hızlandırır. Bu sayede ağ performansı artar ve kullanıcıların deneyimini iyileştirilir.
Esneklik: SD-WAN tunneling, farklı protokollerin kullanılabilmesi sayesinde esnek bir yapı sağlar. Bu sayede ağa yeni cihazlar ve uygulamalar eklenebilir.
Maliyet: SD-WAN tunneling, geniş bant internet bağlantılarının kullanılması sayesinde maliyetleri düşürür. Bu sayede daha düşük maliyetlerle daha yüksek performans elde edilebilir. Load Balance konfigürasyonu sayesinde birden fazla WAN bacağı daha verimli bir şekilde kullanılabilir.
Rehberde gerçekleştireceğimiz örnek konfigürasyon sırasında aşağıdaki topoloji kullanılacaktır. Wizard arayüzünü kullanarak 2 WAN bacağına sahip farklı lokasyondaki 2 cihaz arasında SD-WAN Tunneling oluşturulacaktır.
Dokümanın devamında Cihaz-1'den Hub ve Cihaz-2'den Spoke olarak bahsedilecektir.
Targitas web arayüzünde Wizards -> Wizards -> SD-WAN Tunneling arayüzünde SD-WAN Tunneling konfigürasyonu 5 adımda gerçekleştirerek tamamlanabilir. Bu adımlar;
1- Hub cihazda SD-WAN Tunneling konfigürasyonu:
Hub cihazda SD-WAN Tunneling sekmesinde karar verilmesi gereken parametreler;
1- Hub'a ait hangi ağların TRUST Zone içerisnde yer alacağı,
2- Hangi WAN hattında bulunan hangi IP adresinin şifreli tünelde trafik iletişimi için kullanılacağı
3- Şifreli tünel konfigürasyonu için kullanılacak IP adresleri ve subnet değeri belirlenmelidir.
4- Ağ yönetimini kolaylaştırmak için Spoke cihaza ait WAN IP adresi Peer Remote IP bölümünde belirtilebilir.
Aşağıda Hub Cihazda SD-Wan Tunneling interaktif rehberi bulunmaktadır. Rehberi bağlantıdan tam ekran görüntüleyebilirsiniz.
Type
Hub olarak belirlendiğinde yukarıdaki konfigürasyon arayüzü ile karşılaşılır.
Hub Trust
SD-WAN Tunneling sonucunda Hub cihazdaki hangi ağların Spoke cihaz tarafından erişim sağlanabilmesi isteniyorsa Combo box içerisinden belirlenmelidir
Outer Tunnel
WAN
HUB cihazın WAN IP adresinin yer aldığı Interface seçilmelidir.
WAN IP
Bir önceki adımda seçilen WAN Interface'de yer alan IP adresleri listelenir. Listelenen IP adresleri arasından bir seçim yapılmalıdır.
Inner Tunnel IP
Oluşturulacak şifreli tünele ait IP adresi belirtilmelidir. Sahip olunan network topolojisinde kullanılmayan bir IP adresi belirtilmelidir. Önerilen IP adresi 169.254.0.1/24'dür.
Local Public Key
Hub cihaza ait Local Public Key değeri otomotik olarak oluşturulmaktadır.
Spoke Information
Eklenen her bir Inner Tunnel için aşağıdaki gibi Spoke Information tablosu listelenir.
WAN IP
Hub cihazın seçilen WAN bacağında bulunan IP adresidir.
Peer Remote IP
Spoke cihaza ait WAN IP adreslerinden birisinin belirtilmesi gereklidir.
Inner Tunnel IP
Outer Tunnel bölümünde belirlenen IP adresidir.
Local Public Key
Bu değer Spoke cihaz konfigürasyonunda Server Public Key değeri olarak kullanılacaktır.
Peer Private Key
Bu değer Spoke cihaz konfigürasyonunda Local Private Key bölümünde kullanılacaktır.
Peer Public Key
Bu değer bilgilendirme amacıyla yer almaktadır. Spoke cihaz konfigürasyonunda Peer Public Key değeri kullanılmayacaktır.
2- Spoke cihazda SD-WAN Tunneling konfigürasyonu
Aşağıda Spoke Cihazda SD-Wan Tunneling interaktif rehberi bulunmaktadır. Rehberi bağlantıdan tam ekran görüntüleyebilirsiniz.
Device Type
Spoke olarak belirlendiğinde yukarıdaki konfigürasyon arayüzü ile karşılaşılır.
Outer Tunnel
WAN
Spoke cihazın WAN IP adresinin yer aldığı Interface'ler seçilmelidir.
Default
WAN Interface seçenekleri arasından Spoke cihazın default WAN hattı belirtilmelidir.
TRUST Zone
SD-WAN Tunneling sonucunda Spoke cihazdaki hangi ağların Hub cihaz tarafından erişim sağlanabilmesi isteniyorsa Combo box içerisinden belirlenmelidir
Hub Informations
Inner Tunnel IP
Hub cihazda belirlenen Inner Tunnel ağı içerisinden IP adresi ve netmask belirtilmelidir.
Remote IP
Hub cihazın WAN IP adresi belirtilmelidir.
Remote Port
Hub cihazın WAN IP adresinin tüneli hangi port üzerinde dinlediği belirtilmelidir. Varsayılan olarak Hub cihazının ilk WAN hattı 4400 portunda dinler ve yeni eklenen WAN hatları için bu değer 1 değer arttırılır.
Server Public Key
Rehberin önceki adımında belirtildiği gibi Hub cihaz konfigürasyonundaki Local Public Key değeri bu bölüme kopyalanmalıdır.
Local Private Key
Rehberin önceki adımında belirtildiği gibi Hub cihaz konfigürasyonundaki Peer Private Key değeri bu bölüme kopyalanmalıdır.
3- Hub Cihazda Route Konfigürasyonu
Bu bölümde SD-WAN Tunneling Wizard konfigürasyonu sonucunda HUB cihazın TRUST Zone içerisinde yer alan ağların, Spoke Cihaz'ın TRUST Zone içerisinde yer alan ağlara erişim sağlaması için gerekli route konfigürasyonu gerçekleştirilir. Bu bölümde 1.adımda oluşturulan Peer sayısı kadar sutün oluşturulur.
Örnek senaryomuzda;
Hub cihazın TRUST Zone içerisinde 10.10.100.1/24 ağını kapsayan vlan100 interface yer almaktadır.
Spoke cihazın TRUST Zone içerisinde 10.10.101.1/24 ağını kapsayan vlan101 interface yer almaktadır.
SD-WAN Tunneling Wizard konfigürasyonunda Hub cihazın Route bölümünde, Spoke cihazın TRUST Zone içerisinde yer alan vlan101 için aşağıdaki örnek konfigürasyon gerçekleştirilebilir.
Aşağıda Spoke Cihazda SD-Wan Tunneling interaktif rehberi bulunmaktadır. Rehberi
Destination Network
Spoke cihaz yerel alan ağından erişilmesi istenilen subnet'e ait IP adresi ve netmask bilgisi belirtilmelidir.
Route
Spoke cihaza ait Inner Tunnel IP adresi belirtilmelidir.
Multipah
Multipath routing, ağ trafiğini birden fazla yol üzerinden iletmek ve bu yollar arasında yükü paylaştırmak için kullanılan bir yönlendirme tekniğidir.
Eğer belirtilen Peer'a air route eklenmesi istenmiyorsa satırın en sağındaki delete butonu kullanılarak ilgili route kaydı silinebilir.
4- Spoke cihazda Route konfigürasyonu
Spoke cihazda sadece Hub cihazın Trust Zone konfigürasyonunda yer alan network'ü belirtmesi yeterlidir.
5- Spoke cihazda SD-WAN konfigürasyonu
Aşağıda Spoke Cihazda SD-Wan Tunneling interaktif rehberi bulunmaktadır. Rehberi bağlantıdan tam ekran görüntüleyebilirsiniz.
Single
SD-WAN trafiğinin sadece 1 adet WAN Interface üzerinden yönlendirilmesi isteniliyorsa Single Link modu tercih edilebilir.
Best Quality
Best Quality modunda SD-WAN'ın seçilen kriter için belirlenen WAN Interface değerleri karşılaştırılır ve en iyi performansı gösteren WAN Interface, trafiği yönlendirmek için seçilecektir.
Lowest Cost
Lowest Cost modunda SD-WAN, trafiği iletmek için seçilen SLA Profilini karşılayan WAN Interface seçenekleri arasından belirtilen en düşük cost değerine sahip olan WAN Interface seçeneğini SD-WAN trafiğini yönlendirmek için kullanacaktır.
Load Balance
Load Balance modundan SD-WAN, SLA Profil şartlarını sağlayan tüm WAN Interface seçeneklerini birlikte dengeli ve verimli şekilde kullanmaya çalışır.Bu sayfayla ilgili dokümantasyon hazırlıkları devam etmektedir ve yakın zamanda yayınlanacaktır.
General
Protocol
SLA Profilinin değerlendirmek için kullanacağı protokol belirlenmelidir. HTTP, PING, HTTP(TLS) seçenekleri arasından seçim yapılması gereklidir.
Frequency
Protokol ve sunucu IP adreslerinin SLA Profil hedef değerleri için zaman frekansı saniye biriminden belirlenmelidir. Zaman aralığı 1-86400 saniye arasında olmalıdır.
Count
SLA Profile değerlendirmesi için belirlenen Frequency değer aralığında gerçekleşmesi gereken istek sayısı belirlenebilir.
SLA Target
Jitter
SLA Profili için maksimum Jitter değeri belirlenmelidir.
Jitter, bir ağdaki gecikme değişkenliği olarak tanımlanır ve ağ performansını etkileyen (milisaniye) biriminden bir ölçümdür. Genellikle düşük jitter değerleri daha iyi ağ performansını gösterir.
Latency
SLA Profili için maksimumum latency değeri belirlenmelidir.
Latency, bir ağdaki veri iletimleri için gecikme süresini ifade eder. Latency, veri paketlerinin bir noktadan bir noktaya gitme süresini ms (milisaniye) biriminden ölçer.
Packet Loss
SD-WAN trafiğinde oluşabilecek maksimum drop rate yüzdesi belirlenmelidir.
Sonuçlar:
Wizard konfigürasyonunun son Review and Submit adımında belirlenen parametreler sonucunda oluşturulan konfigürasyon incelenebilir. Sayfanın sağ alt kısmında Apply butonu ile oluşturulan konfigürasyon kaydedilir. Hub ve Spoke cihazların ikisinde de Apply butonu ile kaydedilmesi gereklidir.
Hub cihazda Wizard adımlarında belirlenen parametreler sonucunda oluşan konfigürasyonu aşağıdaki interaktif rehberde inceleyebilirsiniz. Rehberi bağlantıdan tam ekran görüntüleyebilirsiniz.
Spoke cihazda Wizard adımlarında belirlenen parametreler sonucunda oluşan konfigürasyonu aşağıdaki interaktif rehberde inceleyebilirsiniz. Rehberi bağlantıdan tam ekran görüntüleyebilirsiniz.
Hub Wizard Konfigürasyonu:
!
interface tunnel wireguard 10000
ip mtu 1600
ip-address 169.254.1.1/24
private-key $2w$000000000000000030082d7bd348ebf1e9403496601c841e3fed04f96e07c751847b30f17b499c859cf0424257294c5755a87150c699284b
mode server
listen-interface 1/1/1
port 4400
peer Spoke10000 remote-ip 169.254.1.2/32
peer-pub-key +Jur7uA2PwaCQoMl6lsYPzQcKO0qDONCVV+JE9Ewo34=
allow-from any
routed-subnets 10.10.101.1/24
!
interface tunnel wireguard 10001
ip mtu 1600
ip-address 169.254.2.1/24
private-key $2w$0000000000000000b2e07c7279f71978ad1d138d1f31db7ed9657d2aa2c6b4cbd9ea551757d1d211542fb620fddf9cce456c44bf293cceae
mode server
listen-interface 1/1/3
port 4401
peer Spoke10001 remote-ip 169.254.2.2/32
peer-pub-key flWmt1iMH1bVeD+eg/lisALd14c3YUC8j6fUgxGWsXk=
allow-from any
routed-subnets 10.10.101.1/24
!
object-groups
object Spoke_10000 type network
network 10.10.101.0/24
object Spoke_10001 type network
network 10.10.101.0/24
object WGLan type network
network 10.10.100.0/24
object WAN_IP_For_Wg type network
host 10.10.12.207 192.168.1.1
object Wireguard_Port_4400 type service
protocol udp
port eq 4400
object Wireguard_Port_4401 type service
protocol udp
port eq 4401
!
security dpi
enable
logging
filtering
mac-logging
ip-accounting
!
security firewall
enable
zone WG_SDWAN
zone-members wireguard10000 wireguard10001
rules
fw-rule 50000
name Wireguard_Port_Access0
type access
action allow
source-zone any
destination-zone any
service-in Wireguard_Port_4400
source-ip any
destination-ip WAN_IP_For_Wg
log
enable
rule-order-id 1
fw-rule 50001
name Wireguard_Port_Access1
type access
action allow
source-zone any
destination-zone any
service-in Wireguard_Port_4401
source-ip any
destination-ip WAN_IP_For_Wg
log
enable
rule-order-id 1
fw-rule 50002
name WG_SDWAN_HUB_ACCESS_SPOKE_LAN0
type access
action allow
source-zone wireguard10000
destination-zone any
dpi flow-management
service-in any
source-ip Spoke_10000
destination-ip WGLan
log
enable
rule-order-id 1
fw-rule 50003
name WG_SDWAN_HUB_ACCESS_SPOKE_LAN1
type access
action allow
source-zone wireguard10001
destination-zone any
dpi flow-management
service-in any
source-ip Spoke_10001
destination-ip WGLan
log
enable
rule-order-id 1
!
ip route 10.10.101.0/24 169.254.1.2 multipath
ip route 10.10.101.0/24 169.254.2.2 multipath
Spoke Wizard Konfigürasyonu:
!
interface tunnel wireguard 10000
ip mtu 1600
ip-address 169.254.1.2/24
private-key $2w$000000000000000036dad482092a9ff94c0b38d685ca02ac9348935fdfed561e5e4fe2bc3ec3301ee2e6c0cbd73beb3baf24662a4aad88a0
gateway 169.254.1.1
mode client
server-pub-key gDIbV3ZY1gxSAdaoFoWVvHCLx9bdN/pLTPpuO8Ct6k8=
server-ip 10.10.12.207
server-port 4400
allow-from any
!
interface tunnel wireguard 10001
ip mtu 1600
ip-address 169.254.2.1/24
private-key $2w$00000000000000009d48e01ac2a0d66d36377ad29c32802a6d27888f4cbf05ebd43bbe257441e7c74b74f92e29378f57ddf89b6a91936771
gateway 169.254.2.1
mode client
server-pub-key HB/Hs/O6xassJAEC39Qi1/7HkxMMlk61a9rmjMfntlE=
server-ip 192.168.1.1
server-port 4401
allow-from any
!
object-groups
object WG_Spoke_Allowed type network
network 10.10.101.0/24
object WG_Hub_Network type network
network 10.10.100.0/24
!
sd-wan
sdwan-zone WGSDW
zone-members wireguard10000 wireguard10001
default-member wireguard10000
sla
profile WGSLA
protocol ping
server-ip 169.254.1.1 169.254.2.1
latency 300
jitter 300
packet-loss 1
frequency 60
count 5
tunnel-recover enable
member-server-match enable
sdwan-members wireguard10000 wireguard10001
sdwan-rules
name WGLink
link-mode load-balance
wan-interface wireguard10000 wireguard10001
sla-profile WGSLA
!
security dpi
enable
logging
filtering
mac-logging
ip-accounting
destination-aware-detection
dpi-policy WGSpokeRule0 rule-id 1000
source vlan101.network
destination-ip WG_Hub_Network
destination-port any
allow all sdwan-rule WGLink id 1
!
security firewall
enable
zone WG_SDWAN
zone-members wireguard10000 wireguard10001
zone WG_Trust_Zone
zone-members vlan101
rules
fw-rule 50000
name Spoke_LAN_to_WG_Hub
type access
action allow
source-zone WG_Trust_Zone
destination-zone WGSDW
dpi flow-management
service-in any
source-ip WG_Spoke_Allowed
destination-ip WG_Hub_Network
log
enable
rule-order-id 1
fw-rule 50001
name WG_Hub_to_Spoke_LAN
type access
action allow
source-zone WG_SDWAN
destination-zone WG_Trust_Zone
service-in any
source-ip WG_Hub_Network
destination-ip WG_Spoke_Allowed
log
enable
rule-order-id 1
!
ip route 10.10.100.0/24 169.254.1.1
Sağda yer alan butonu ile şifreli tünel için konfigürasyon satırı oluşturulabilir. Hub cihazdaki WAN hattı kadar oluşturulması önerilir.
