OzzTech - Çevirmeli IPsec tünellerinde merkezden konuşmacılara hız testleri 7.0.1

Çevirmeli IPsec tünellerinde merkezden konuşmacılara hız testleri 7.0.1

Çevirmeli VPN yer paylaşımlarını kullanan bir hub ve jant teli SD-WAN topolojisinde, QoS, hub ve jant telleri arasında ölçülen bant genişliğine dayalı olarak ayrı tünellere uygulanabilir. FortiGate, çıkış bant genişliğini hub'dan bağımsız çevirmeli tünellere dinamik olarak yerleştirmek için yerleşik hız testini kullanabilir.

Bir jant telindeki SD-WAN üyeleri, hız testi göbekten jant teline doğru çalışırken rotaları değiştirebilir. Hız testi sonuçları, bir tünel aşağı indikten sonra geri geldiğinde yeniden kullanılmak üzere önbelleğe alınabilir.

CLI komutları

Çevirmeli IPsec tüneli için isteğe bağlı olarak hub'dan jant tellerine yükleme hızı testlerinin yürütülmesine izin verin:

config system speed-test-schedule

    edit <interface>

        set dynamic-server {enable | disable}

    next

end

 

<interface>

Hub'daki çevirmeli IPsec tünel arabirimi.

dynamic-server {enable | disable}

Dinamik hız testi sunucusunu etkinleştirin/devre dışı bırakın (varsayılan = devre dışı).

 

 

config system global

set speed-test-server {enable | disable}

end

 

Tel üzerindeki bir SD-WAN üyesinin, hub'dan jant tellerine hız testindeyken rotaları değiştirmesine izin verin:

config system sdwan

set speedtest-bypass-route {enable | disable}

config neighbor

edit <bgp neighbor>

set mode speedtest

next    end

end

Çevirmeli IPsec arabiriminin her tünelinin fiziksel arabirimlerinde yükleme hızı testini manuel olarak çalıştırın:

execute speed-test-dynamic <interface> <tunnel_name> <'y'/'n'> <max-out> <min-out> 

Engellemeyen bir yükleme hızı testini manuel olarak çalıştırın:

diagnose netlink interface speed-test-tunnel <interface> <tunnel_name>  

Örnek 

Çevirmeli IPsec tünellerinde merkezden konuşmacılara hız testleri 7.0.1

Bu örnekte, hub bir çevirmeli VPN sunucusu olarak yapılandırılmıştır ve her iki konuşmacı da hub'a bağlanmıştır. Dinamik ağ geçidi türü ve çekirdek aygıtı oluşturma devre dışı bırakılarak VPN yapılandırmasının zaten yapıldığı varsayılır. Yalnızca bir SD-WAN arabirimi kullanılır, bu nedenle SD-WAN bölgesinde yalnızca bir VPN yer paylaşımı üyesi vardır. Birden çok WAN arabirimi ve VPN bindirmeleri kullanılabilir. VPN arayüzleri ve IP adresleri şunlardır:

FortiGate Interface IP Address
FGT_A (Hub) hub-phase1 10.10.100.254
FGT_B (Spoke) spoke11-p1 10.10.100.2
FGT_D (Spoke) spoke21-p1 10.10.100.3

 Çevirmeli arabirimler üzerinden hub üzerinde çalışan yinelenen bir hız testi yapılandırılır. Hız testleri, göbekten jant teline altlık arayüzü üzerinden gerçekleştirilir. Her bir jant teli, bir hız testi sunucusu olarak çalışacak ve hız testinin kendi alt arayüzünde çalışmasına izin verecek şekilde yapılandırılmıştır. Teller, VPN arabirimi üzerinden hub ile BGP eşlemesi kurar ve geri döngü ağını hub'a bildirir. Spesifik konfigürasyon sadece FGT_B için gösterilir.Hız testi çalışırken, VPN yer paylaşımı üzerinden yönlendirme atlanabilir ve eşlere duyurulan rotaları filtrelemek için rota haritaları kullanılır. Telin rota haritası, eşe herhangi bir rotanın reklamını yapmaz, bu da hub'ı konuşmacının ağına ulaşmak için diğer yolları kullanmaya zorlar.Hiçbir hız testi çalışmadığında, konuşmacının rota haritası, ağının hub'da reklamının yapılmasına izin verir.Hız testi tamamlandığında, ölçülen çıkış bant genişliği, hub üzerindeki VPN tüneline dinamik olarak uygulanır ve tünel bağlantısının kesilmesi ve yeniden bağlanması durumunda, sonuç gelecekte kullanılmak üzere önbelleğe alınır.

Hub FortiGate'i (FGT_A) yapılandırmak için:

  • Bir şekillendirme profili yapılandırın:

 

config firewall shaping-profile

edit "profile_1"

config shaping-entries

edit 1

set class-id 2

set priority low

set guaranteed-bandwidth-percentage 10

set maximum-bandwidth-percentage 10

next

end

set default-class-id 2

next

end

 

Profilde düşük, orta ve yüksek öncelikli trafik için üç sınıf kullanılır. Her sınıfa, hız testinden ölçülen bant genişliğinin yüzdesi olarak garantili ve maksimum bir bant genişliği atanır.

  • Arayüzdeki şekillendirme profilini kullanın:

config system interface

edit "hub-phase1"

set egress-shaping-profile "profile_1"

next

end

  • Hız testleri için kullanılacak bir program yapılandırın:

config firewall schedule recurring

edit "speedtest_recurring"

set start 01:00

set end 23:00

set day monday tuesday wednesday thursday friday saturday

next

end

  • Hız testi programını yapılandırın:

config system speed-test-schedule

edit "hub-phase1"

set schedules "speedtest_recurring"

set dynamic-server enable

next

end

Tel FortiGates'i (FGT_B ve FGT_D) yapılandırmak için:

  • Hız testi arka plan programını etkinleştirin:

config system global

set speedtest-server enable

end

  • Arayüzde hız testlerine izin ver:

config system interface

edit "port1"

append allowaccess speed-test

next

end

  • SD-WAN'ı, üye konuşmacı11-p1'de hız testleri için baypas yönlendirmesi etkinleştirilmiş şekilde yapılandırın:

  set speedtest-bypass-routing enable

config members

edit 1

set interface "spoke11-p1"

next

end

config neighbor        edit "10.10.100.254"

set member 1

set mode speedtest

next

end

end

  • BGP yönlendirmesini yapılandırın:

config router route-map

edit "No_Speed-Test"

config rule

edit 1

set action permit

next

end

next

edit "Start_Speed-Test"

config rule

edit 1

set action deny

next

end

next

end

config router bgp

set as 65412    config neighbor

edit "10.10.100.254"

set remote-as 65412

set route-map-out "Start_Speed-Test"set route-map-out-preferable "No_Speed-Test"

next

end

config network

edit 1

set prefix 2.2.2.2 255.255.255.255

next

edit 2

  set prefix 10.1.100.0 255.255.255.0

  next

   end

end

Hız testini manuel olarak çalıştırmak için:

# execute speed-test-dynamic hub-phase1 all y 1000 100

Start testing the speed of each tunnel of hub-phase1

[6400d9] hub-phase1_0: physical_intf=port1,

local_ip=172.16.200.1, server_ip=172.16.200.2

Wait for test 6400d9 to finish...

Speed-test result for test ID 6400d9:

Completed

measured upload bandwidth is 1002 kbps

measured time Sun Jun 20 15:56:34 2021

The tested out-bandwidth is more than the set maximum accepted value 1000. Will update the tunnel's shaper by the set update-outbandwidth-maximum.

Apply shaping profile 'profile_1' with bandwidth 1000 to tunnel hub-phase1_0 of interface hub-phase1

[6400e0] hub-phase1_1: physical_intf=port1,

local_ip=172.16.200.1, server_ip=172.16.200.4

Wait for test 6400e0 to finish...

Speed-test result for test ID 6400e0:

Completed

measured upload bandwidth is 1002 kbps

measured time Sun Jun 20 15:56:39 2021

The tested out-bandwidth is more than the set maximum accepted value 1000. Will update the tunnel's shaper by the set update-outbandwidth-maximum.

Apply shaping profile 'profile_1' with bandwidth 1000 to tunnel hub-phase1_1 of interface hub-phase1

# diagnose netlink interface speed-test-tunnel hub-phase1 all

send speed test request for tunnel 'hub-phase1_0' of 'hub-phase1': 172.16.200.1 -> 172.16.200.2

send speed test request for tunnel 'hub-phase1_1' of 'hub-phase1': 172.16.200.1 -> 172.16.200.4

 

 

Sonuçlar

 

  • Hız testi başlamadan önce FGT_A, BGP ile FGT_B'den rotayı alabilir:

# get router info routing-table bgp

Routing table for VRF=0

B       2.2.2.2/32 [200/0] via 10.10.100.2 (recursive via 172.16.200.2, hub-phase1), 00:00:10

B       10.1.100.0/24 [200/0] via 10.10.100.2 (recursive via 172.16.200.2, hub-phase1), 00:00:10

  • Planlanan zamanda, hub-faz1 arabirimi için hub'dan jant teline hız testi başlar:

# diagnose test application forticron 9

Speed test schedules:    Interface     Server     Update    Up/Down-limit (kbps)                Days        H:M     TOS     Schedule---------------------------------------------------------------------------------------------------------------------------    hub-phase1    dynamic                                                  1111111    14:41    0x00    speedtest_recurring

Active schedules:

64002f: hub-phase1(port1) 172.16.200.2     hub-phase1_1         

64002e: hub-phase1(port1) 172.16.200.4     hub-phase1_0

  • Hız testi çalışırken, FGT_A, BGP tarafından FGT_B'den rotayı almaz:

#  get router info routing-table bgp

Routing table for VRF=0

  • Hız testleri sonuçları, çıkış trafiğini şekillendirmek için çevirmeli tünele dinamik olarak uygulanabilir:

# diagnose vpn tunnel list

------------------------------------------------------

name=hub-phase1_0 ver=2 serial=c 172.16.200.1:0->172.16.200.4:0 tun_id=172.16.200.4 dst_mtu=1500 dpd-link=on remote_location=0.0.0.0 weight=1...

egress traffic control:

bandwidth=737210(kbps) lock_hit=0 default_class=2 n_active_class=3

class-id=2      allocated-bandwidth=73720(kbps)         guaranteed-bandwidth=73720(kbps)

max-bandwidth=73720(kbps)       current-bandwidth=0(kbps)

priority=low    forwarded_bytes=52

dropped_packets=0       dropped_bytes=0

class-id=3      allocated-bandwidth=221163(kbps)

guaranteed-bandwidth=221162(kbps)                        max-bandwidth=294883(kbps)

current-bandwidth=0(kbps)

priority=medium         forwarded_bytes=0

dropped_packets=0       dropped_bytes=0

class-id=4      allocated-bandwidth=442325(kbps)

guaranteed-bandwidth=147441(kbps)

max-bandwidth=442325(kbps)

current-bandwidth=0(kbps)

priority=high   forwarded_bytes=0

dropped_packets=0       dropped_bytes=0

------------------------------------------------------

name=hub-phase1_1 ver=2 serial=d 172.16.200.1:0

->172.16.200.2:0 tun_id=172.16.200.2 dst_mtu=1500 dpd-link=on

remote_location=0.0.0.0 weight=1...egress traffic control:

bandwidth=726813(kbps) lock_hit=0 default_class=2

n_active_class=3

 class-id=2      allocated-bandwidth=72681(kbps)

guaranteed-bandwidth=72681(kbps)

max-bandwidth=72681(kbps)

current-bandwidth=0(kbps)

priority=low    forwarded_bytes=123

   dropped_packets=0

dropped_bytes=0

class-id=3      allocated-bandwidth=218044(kbps)        guaranteed-bandwidth=218043(kbps)

max-bandwidth=290725(kbps)

current-bandwidth=0(kbps)                        priority=medium         forwarded_bytes=0                        dropped_packets=0

dropped_bytes=0

class-id=4      allocated-bandwidth=436087(kbps)        guaranteed-bandwidth=145362(kbps)

   max-bandwidth=436087(kbps)      current-bandwidth=0(kbps)                        priority=high   forwarded_bytes=0                        dropped_packets=0       dropped_bytes=0

  • Hız testi sonuçları önbelleğe alınabilir, dizine alınabilir ve diske yazılabilir:

# diagnose test application forticron 10

Speed test results:

1: vdom=root, phase1intf=hub-phase1, peer-id='spoke11-p1', bandwidth=737210, last_log=1624226603

2: vdom=root, phase1intf=hub-phase1, peer-id='spoke21-p1', bandwidth=726813, last_log=1624226614

# diagnose test application forticron 11

Write 2 logs to disk.

# diagnose test application forticron 12load

2 results.

IPsec VPN tünelini devre dışı bırakın, ardından etkinleştirin ve önbelleğe alınan hız testi sonuçları tünele tekrar uygulanabilir:

# diagnose vpn tunnel  list

------------------------------------------------------

name=hub-phase1_0 ver=2 serial=c 172.16.200.1:0-

172.16.200.4:0 tun_id=172.16.200.4 dst_mtu=1500 dpd-link=on

remote_location=0.0.0.0 weight=1...egress traffic control:

bandwidth=737210(kbps) lock_hit=0 default_class=2

n_active_class=3

------------------------------------------------------

name=hub-phase1_1 ver=2 serial=d 172.16.200.1:0

->172.16.200.2:0 tun_id=172.16.200.2 dst_mtu=1500 dpd-link=on

remote_location=0.0.0.0 weight=1

...egress traffic control:

bandwidth=726813(kbps) lock_hit=0 default_class=2

n_active_class=3

 

 

 

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.