Merhabalar, bu yazımızda Palo Alto sd-wan nedir ve nasıl çalışır?
SD-WAN (Software-Defined Wide Area Networking — Yazılım Tabanlı Geniş Alan Ağı), maliyetleri düşürmeye ve uygulama kalitesini ve kullanılabilirliği en üst düzeye çıkarmaya yardımcı olan, akıllı ve dinamik bir WAN oluşturmak için birden çok internet ve özel hizmeti kullanmanıza izin veren bir teknolojidir.
SD-WAN, uygulamalara ve hizmetlere ve her uygulama veya hizmetin kullanmasına izin verilen bağlantı koşullarına dayalı olarak dinamik olarak ISP seçimini destekler. SD-WAN policy, Source zone , source address ve hatta Source users tanımlayabilir ve bu bilgilerle alakalı olarak kural yazabilirsiniz.
Her bağlantı için yol durumu izleme, gecikme ve paket kaybını içerir. örneğin, uygulamanın görev açısından kritik, gecikmeye duyarlı olup olmadığına veya belirli sağlık kriterlerini karşılayıp karşılamadığına bağlı olarak uygulamaları önceliklendirmenize olanak tanır. Dinamik yol seçimi, devre dışı kalma ve düğüm hatası sorunlarını önler çünkü oturumlar bir saniyeden daha kısa sürede daha iyi performans gösteren bir interface (ISP) geçer.
Neden SD-WAN Kullanmalıyız ?
- Sd-wan ile kullanıcı deneyemini iyileştirerek doğrudan internet erişimi için farklı ISP lerden veya farklı interfaceler üzerinden internet erişimi vererek kullanıcının kullanımını iyileştirebiliriz.
- LTE ve broadband gibi normal emtia bağlantılarının sağlanması, MPLS den daha hızlı ve daha kolaydır.
- İnternete/buluta gitmek isteyen bir kullanıcıyı MPLS üzerinden internete çıkarmak yerine sadece internet için kendi üzerinden merkezdeki bir hizmete erişmek için MPLS üzerinden erişmesini sağlayabiliriz.
SD-WAN Nasıl Planlarız ?
- Sube konumları, bağlantı gereksinimleri, IP adres planlaması yapın.
- Konumlandırılacak Firewalların rolünü belirleyin.
- Hangi şubeler hangi alanlarla haberleşecek belirleyin.
- Her şubenin ISP bağlantı türlerini belirleyin. (MPLS, DSL, ADSL v.b)
- Bağlantı hızlarını (upload/download) belirleyin ve bu hızları interfacelere nasıl uygulanacağını belirleyin.
- Konumlandırılacak tüm Firewalların seri numarası ve ip adreslerini toplayın.
- Cihazlar için isim standart belirleyin.
- VPN konfigürasyonlarını planlayın.
- SD-WAN ve Qos optimizasyonu için kullanılacak uygulamaları tanımlayın.
- Orjinal bağlantının bozulması veya başarısız olması durumunda bağlantının ne zaman ve nasıl yük devreteceğini belirleyin.
Palo Alto SD-WAN yapılandırma öğeleri
Bir SD-WAN yapılandırmasının amacı, belirli uygulamaların veya hizmetlerin bir şubeden bir hub’a veya bir şubeden internete götürdüğü VPN tünellerini veya doğrudan internet erişimini (DIA) belirterek trafiğinizin hangi bağlantıları aldığını kontrol etmektir. Yolları gruplandırırsınız, böylece yollardan biri bozulursa güvenlik duvarı yeni ve en iyi yolu seçer.
Tag : Bir bağlantıyı tag leyerek onu tanımlamış oluruz.
SD-WAN Interface Profile : ISP bağlantılarının tiplerini tanımlamak ve bağlantıların hızını ve güvenlik duvarının bağlantıyı ne sıklıkta izleyeceğini belirlemek için bir SD-WAN interface Profile oluştururuz. Ardından bağlantı için bir bağlantı tag belirtiriz.
Aggressive
Güvenlik duvarı, SD-WAN bağlantısının karşı ucuna sabit bir frekansta (varsayılan olarak beş saniyede bir yoklar) araştırma paketleri gönderir. Agresif mod, izleme yolu kalitesinin kritik olduğu ve elektrik kesintisi koşulları için hızlı algılama ve yük devretmeye ihtiyaç duyduğunuz bağlantılar için uygundur. Agresif mod, saniyenin altında algılama ve yük devretme sağlar.
Relaxed
Rahat modda, bağlantının durumunu anlamak için yapılandırılmış araştırma frekansında yedi saniye boyunca araştırma gönderilir. Ardından sistem, yapılandırılan boşta kalma süresi için araştırma göndermeyi durdurur. Bu, bir bağlantı üzerinden gönderilen araştırmaların sayısını büyük ölçüde azaltır.
Rahat mod, çok düşük bant genişliğine sahip bağlantılar, uydu veya LTE gibi çalıştırılması pahalı bağlantılar veya hızlı algılamanın maliyet ve bant genişliğini korumak kadar önemli olmadığı durumlar için uygundur.
Traffic Distribution Profiles
Bir SD-WAN topolojisinde güvenlik duvarı, uygulama başına bir paket kaybını , kesintiyi veya yol bozulmasını algılar ve kritik iş uygulamalarınız için en iyi performansı elde etmenizi sağlamak için yeni bir yol seçer. Birden çok ISP bağlantısına sahip olmak, trafik kapasitenizi ölçeklendirmenize ve maliyetleri düşürmenize olanak tanır.
Traffic Distribution Methods:
- Best Available Path: Bu seçenekte en hızlı yol (ISP) hangisi ise sizi o yola yönlendirektir.
- Top Down Priority: Bu seçenekte sizin belirleyeceğiniz yollardan en üstte hangisi ise onu kullanıyor olacak ve herhangi bir kesinti anında alttaki yola geçiş sağlayacaktır.
- Weighted Session Distribution: Trafiği (kuralla eşleşen) ISP ve WAN bağlantılarınıza manuel olarak yüklemek istiyorsanız ve kesinti koşulları sırasında yük devretmeye ihtiyacınız yoksa bu yöntemi seçin. Tek bir bağlantı etiketiyle gruplanan arabirimlerin alacağı yeni oturumların statik bir yüzdesini uyguladığınızda, bağlantının yükünü manuel olarak belirtirsiniz. Güvenlik duvarı, en düşük yüzdeye atanan bağlantı oturumların bu yüzdesine ulaşana kadar, belirtilen bağlantı etiketlerine sahip bağlantılar arasında döngüsel olarak yeni oturumlar dağıtır. Güvenlik duvarı daha sonra kalan bağlantıları aynı şekilde kullanır. Gecikmeye duyarlı olmayan ve büyük şube yedeklemeleri ve büyük dosya aktarımları gibi bağlantının bant genişliği kapasitesinin çoğunu gerektiren uygulamalar için bu yöntemi seçebilirsiniz.
Intelligent Path Selection
Akıllı yol seçimi, Her bağlantı için yol durumu izleme, gecikme ve paket kaybını içerir. Parçalı uygulama ve hizmet denetimleri, örneğin, uygulamanın görev açısından kritik, gecikmeye duyarlı olup olmadığına veya belirli sağlık kriterlerini karşılayıp karşılamadığına bağlı olarak uygulamaları önceliklendirmenize olanak tanır. Dinamik yol seçimi, devre dışı kalma ve düğüm hatası sorunlarını önler çünkü oturumlar bir saniyeden daha kısa sürede daha iyi performans gösteren bir yola geçer.
Bir sonraki makalede görüşmek üzere….
Kaynak: Documents Palo Alto
