Cấu hình Internet với SD-WAN policies (SD-Internet) trên Firewall Meraki MX Series

Thảo luận trong 'Firewall Cisco Meraki' bắt đầu bởi thanhduysi, 11/8/21.

Tags:
  1. thanhduysi

    thanhduysi Member

    I/. Tổng quan:
    - Bài viết bao gồm các bước cấu hình, vận hành, và tính năng hỗ trợ của SD-Internet trong thiết bị Cisco Meraki MX16.X . Chức năng của tính năng này là để lái lưu lượng người dùng đến SaaS hoặc các ứng dụng trên nền tảng đám mây qua kết nối WAN hoạt động tốt nhất tại thời điểm lưu lượng được chuyển tiếp. Trong khi tính năng này chia sẻ nhiều chứ năng với Meraki SD-WAN, bản chất của nó nằm ngoài bất kỳ vận chuyển tunnel nào mang lại một số khác biệt về hành vi.

    II/. Tính năng:
    - Hiện tại, Meraki hỗ trợ các tính năng như chọn đường dẫn động, định tuyến dựa trên hiệu suất,… trên traffic (Meraki AutoVPN) dưới dạng SD-WAN. Việc này hoạt động hiệu quả đối với những khách hàng có các tài nguyên đặt trong trung tâm dữ liệu riêng hoặc trong hạ tầng đám mây (đặc biệt Amazon AWS và Microsoft Azure). Tuy nhiên, nhiều khách hàng đang chuyển tài nguyên nhiều hơn nữa sang các ứng dụng cloud-based applications, ví dụ như Office 365, SalesForce, Oracle DB, Google Cloud,.... Nhiều tài nguyên như các giải pháp hội nghi truyền hình Voice và Video cũng chủ yếu dựa trên đám mây, chẳng hạn như Cisco WebEx, RingCentral, Zoom… Các nhà cung cấp dịch vụ này khuyến cáo bạn nên truy cập trực tiếp qua liên kết internet để có hiệu suất tốt hơn.
    - Để đáp ứng các nhu cầu của khách hàng và làm cho các giải pháp hiệu quả hơn, chúng ta đã triển khai một cơ cấu điều hướng traffic trên các liên kết internet trực tiếp. Tính này này được xây dựng dựa trên và hoạt động với tính năng loại trừ VPN nhưng không yêu cầu, để cho phép khách hàng hướng các luồng mới phù hợp với các chính sách traffic ra internet SD-WAN có khả năng kết nối tốt nhất.
    - Như SD-WAN qua internet cho thấy, tính năng này sẽ cung cấp các tính năng tương tự như chúng ta có trên các bước triển khai SD-WAN, như chỉ định dựa trên Hiệu suất.
    - Khách hàng sẽ có thể đặt chính sách cho các ứng dụng bị loại ra khỏi VPN và được định tuyến trực tiếp qua truy cập internet (DIA).
    - Khách hàng sẽ có thể xác định loại hiệu xuất tùy chỉnh cho các ứng dụng được truy cập qua DIA.
    - Tính năng này sẽ điều khiển lưu lượng dựa trên các uplink khả dụng có hiệu suất tốt nhất cho chính sách đã được cấu hình. Ví dụ, nếu 'Tốt nhất cho VoIP' được cấu hình uplink với MOS tốt nhất được sử dụng.
    - Các chính sách SD-Internet hiện không có đầy đủ tính năng như các chính SD-WAN và tại thời điểm này chúng chỉ hỗ trợ định nghĩa của nguồn Layer 3 & 4 và các rule dựa trên điểm đích trong khi cho phép bạn xác định một chính sách ưu tiên uplink và một chuyển đổi dự phòng nếu điều kiện giống như cách bạn làm đối với các chính sách cho lưu lượng VPN.
    - Cuối cùng, hành vi được mong đợi là tính năng sẽ chuyển đổi dự phòng giữa các uplink trong vòng 30 giây kể từ khi phát hiện 'cần thay đổi định tuyến' cho tất cả các luồng mới.

    III/. Kích hoạt SD-Internet:
    - SD-Internet vẫn hoạt động trong quá trình phát triển, do đó có một số yêu cầu nhất định phải được đáp ứng để tính năng được sử dụng:
    + Các model MX đã kiểm tra và được hỗ trợ: MX64, MX65, MX67, MX68, MX250, MX450.
    + Các model MX chưa kiểm chứng nhưng có hỗ trợ: MX84, MX100.
    + Các model MX không hỗ trợ: MX50, MX60, MX70, MX80, MX90, MX400, MX600, tất cả các bản vMX.
    - Phiên bản beta firmware (16-X) được yêu cầu thêm.
    - Khi tất cả các điều kiện trên được đáp ứng, bạn sẽ có thể kiểm tra tính này, bạn được khuyến cáo rằng nên kiểm tra theo cách cho phép kiếm soát linh hoạt của độ trễ, chập chờn, mất gói tin (loss), và tính khả dụng của WAn cho cả 2 kết nối WAN chính (primary) và phụ (secondary). Dưới đây là ví dụ về thiết lập thử nghiệm SD-Internet.
    [​IMG]


    - Trong ví dụ trên, mỗi dịch vụ WAN được kết nối đến một máy ảo nội tuyến cho phép thao tác các tiêu chí bắt buộc.
    - Khi tính năng được áp dụng, UI trên SD-WAN và trang Traffic Shaping sẽ thay đổi từ:
    [​IMG]


    - Thành:
    [​IMG]


    - Như bạn có thể thấy từ các vùng tô đậm trong hình trên, phần lưu lượng truy cập internet của UI đã chuyển sang phần 'SD-WAN policies' . Phần còn lại của UI không được thay đổi.
    - Các lớp hiệu suất tùy chỉnh hiện được chia sẻ giữa chính sách lưu lượng VPN SD-WAN và các chính sách lưu lượng Internet SD-WAN.
    - Cấu hình chính sách lưu lượng Internet vẫn nhất quán với cấu hình chính sách lưu lượng VPN, mặc dù không có nhiều tùy chọn.

    IV/. Cấu hình Policy:
    - Để định cấu hình chính sách lựa chọn Uplink, chúng ta chỉ cần nhấp vào vùng được đánh dấu bởi hộp màu xanh lam trong ví dụ trên, nơi chính sách hiện có được xác định (nơi có nội dụng "Preferred uplink: đường WAN được chọn nếu uplink lỗi" và chúng ta sẽ được hiển thị UI cấu hình sau:
    [​IMG]


    - Nơi chúng ta có thể xác định uplink bổ nhiệm, sau đó:
    [​IMG]


    - Tại đây chúng ta có thể xác định hành vi chuyển đổi dự phòng trên 'Fail over if' dựa trên hiệu suất hoặc dựa trên trạng thái WAN và cuối cùng chúng ta chọn "Poor performance" là chọn dựa trên hiệu suất :
    [​IMG]


    - Nơi chúng ta có thể xác định lớp hiệu suất tùy chỉnh mà các luồng đang được hoạt động cần tuân thủ theo .

    V/. Chất lượng đường đi dữ liệu 'Path Quality Data' :
    - Ngoài việc cấu hình chính sách để xác định cách các gói tin sẽ được định tuyến, với SD-WAN qua internet chúng ta có thể cấu hình điểm cuôi mà chúng ta kết nối dến để đánh giá chất lượng của kết nối internet đang sử dụng. Điều này có thể thực hiện được vì tính năng SD-WAN qua Internet sử dụng địa chỉ IP mà mạng đã cấu hình để sử dụng cho thống kê của Uplink, điều này cũng có thể được tìm thấy trên SD-WAN và trang Traffic Shaping của Dashboard.
    - Địa chỉ IP đươc chọn làm điểm cuối mặc định được ping (gởi ICMP echo request) bởi MX và thời gian đạt phản hồi (latency - độ trễ), số lượng các gói tin không được trả về (bị mất – loss) và sự thay đổi về tuyến tính của các gói tin nhận được (jitter) đươc tính toán và điều này được sử dụng làm điểm hiệu suất cho toàn bộ kết nối WAN. Trong các bản phát hành tới về tính năng, các điểm endpoint được sử dụng sẽ dành riêng cho từng ứng dụng và tự động được chọn phù hợp nhất cho từng mạng.
    - Để thay đổi endpoint mặc định của Google DNS (8.8.8.8) sáng một endpoint phù hợp hơn, ví dụ: một địa chỉ IP để ngang hàng cho ISP cục bộ của bạn, hoặc một endpoint SaaS hoặc IaaS đã biết địa chỉ IP như ví dự dưới đây (sử dụng Cisco Umbrella làm DNS chính).
    [​IMG]


    - Kết quả sẽ dẫn đến các quyết định định tuyến cho các kết nối internet khả dụng được thực hiện bởi tính Khả dụng của điêm endpoint.
    - Để MX có thể sử dụng một endpoint, nó cần phản hồi các yêu cầu ICMP echo (ping) nếu không, chức năng SD-WAN-over-Internet sẽ bị ảnh hưởng tiêu cực.

    VI/. Dự đoán tình huống xảy ra thực tế :
    - Khi chúng ta nghĩ về hành vi mong đợi đối với SD-Internet có 2 yếu tố chính chúng ta cần xem xét:
    4.1. Dựa theo bản chất trạng thái của MX khi ngưỡng hiệu suất của kết nối WAN1 thay đổi khiến nó không còn được coi là 'Best for VoIP - Tốt nhất cho VoIP', khi đó tất cả Các luồng mới khớp với các quy tác mà 'Best for VoIP' là uplink được ưu tiên sẽ được định tuyến qua WAN2. Các luồng hiện đang có trong bảng luồng của MX sẽ vẫn còn trên WAN1, điều này là vì bất kỳ luồng hiện có nào như vậy sẽ phải được reset hoặc chấm dứt, việc này dẫn đến hành vi không mong muốn của ứng dụng được đề cập.

    4.2. Do thực tế các quyết định SD-Internet là dựa trên trạng thái chung của kết nối WAN được đo bằng MX chứ không phải path cụ thể nào giữa 2 điểm endpoint VPN, như các chính sách cho lưu lượng VPN của SD-WAN. Khi đó, thiết bị MX không thể tự định tuyến lại các luồng nhanh nhất như chúng ta có thể làm với lưu lượng VPN trong SD-WAN policy. Việc định tuyến lại của các luồng mới dự kiến hoàn tất trong vòng 30 giây.

    VII/. FAQ:
    7.1. Làm cách nào để kích hoạt tính năng này?
    → Hãy tạo một ticket với bộ phận hỗ trợ của Meraki, họ có thể thực hiện và yêu cầu các thay đổi cần thiết để kích hoạt tính năng này.

    7.2. SD-Internet có yêu cầu License gì không?
    → Có. Tính năng SD-Internet yêu cầu MX có thêm SD-WAN plus license, nếu muốn test tính năng này hãy liên hệ với đơn vị bán thiết bị Meraki MX để nhận thêm hỗ trợ.

    7.3. Thiết bị MX của bạn có hỗ trợ cho SD-Internet không?
    → Tính năng SD-Internet được hỗ trợ trên tất cả thiết bị MX ngoại trừ các mã thiết bị sau: MX50, MX60, MX70, MX80, MX90, MX400, MX600, vMX

    7.4.. SD-Internet có bao gồm các ứng dụng ở L7 không?
    → Hiện vẫn chưa hỗ trợ và vẫn đang trong kế hoạch phát triển.

    7.5. Tại sao lưu lượng truy cập không bị lỗi khi hiệu suất WAN thay đổi?
    → Các thay đổi trong chính sách SD-Internet chỉ áp dụng cho các luồng mới, không phải các luồng đang có. Điều này là do trang thái hiện tại của MX, để thay đổi các luồng hiện có chúng ta phải ngắt kết nối hoặc reset lại luồng.

    7.6. SD-Internet lấy dữ liệu về hiệu suất của kết nối WAN ở đâu?
    → Hiện tại SD-Internet sử dụng thống kê ICMP thu thập từ địa chỉ IP do quản trị viên xác định trong bảng thông kê uplink của trang 'SD-WAN & traffic shaping'.

    7.7. Làm cách nào để biết được kết nối WAN nào đang được sử dụng?
    → Hiện cách duy nhất để biết kết nối WAN nào đang được sử dụng trong UI là xem qua 'Live data > Uplink traffic' trên bảng 'Uplink' của trang 'Appliance status'.
     
    thanhduysi, 11/8/21
    #1

trang này