Çevirmeli VPN yer paylaşımlarını kullanan bir hub ve jant teli SD-WAN topolojisinde, QoS, hub ve jant telleri arasında ölçülen bant genişliğine dayalı olarak ayrı tünellere uygulanabilir. FortiGate, çıkış bant genişliğini hub’dan bağımsız çevirmeli tünellere dinamik olarak yerleştirmek için yerleşik hız testini kullanabilir.
Bir jant telindeki SD-WAN üyeleri, hız testi göbekten jant teline doğru çalışırken rotaları değiştirebilir. Hız testi sonuçları, bir tünel aşağı indikten sonra geri geldiğinde yeniden kullanılmak üzere önbelleğe alınabilir.
CLI komutları
Çevirmeli IPsec tüneli için isteğe bağlı olarak hub’dan jant tellerine yükleme hızı testlerinin yürütülmesine izin verin:
config system speed-test-schedule
edit <interface>
set dynamic-server {enable | disable}
next
end
<interface> |
Hub’daki çevirmeli IPsec tünel arabirimi.
dynamic-server {enable | disable}
Dinamik hız testi sunucusunu etkinleştirin/devre dışı bırakın (varsayılan = devre dışı).
config system global
set speed-test-server {enable | disable}
end
Tel üzerindeki bir SD-WAN üyesinin, hub’dan jant tellerine hız testindeyken rotaları değiştirmesine izin verin:
config system sdwan
set speedtest-bypass-route {enable | disable}
config neighbor
edit <bgp neighbor>
set mode speedtest
next end
end
Çevirmeli IPsec arabiriminin her tünelinin fiziksel arabirimlerinde yükleme hızı testini manuel olarak çalıştırın:
execute speed-test-dynamic <interface> <tunnel_name> <‘y’/’n’> <max-out> <min-out>
Engellemeyen bir yükleme hızı testini manuel olarak çalıştırın:
diagnose netlink interface speed-test-tunnel <interface> <tunnel_name>
Örnek
Bu örnekte, hub bir çevirmeli VPN sunucusu olarak yapılandırılmıştır ve her iki konuşmacı da hub’a bağlanmıştır. Dinamik ağ geçidi türü ve çekirdek aygıtı oluşturma devre dışı bırakılarak VPN yapılandırmasının zaten yapıldığı varsayılır. Yalnızca bir SD-WAN arabirimi kullanılır, bu nedenle SD-WAN bölgesinde yalnızca bir VPN yer paylaşımı üyesi vardır. Birden çok WAN arabirimi ve VPN bindirmeleri kullanılabilir. VPN arayüzleri ve IP adresleri şunlardır:
FortiGate | Interface | IP Address |
FGT_A (Hub) | hub-phase1 | 10.10.100.254 |
FGT_B (Spoke) | spoke11-p1 | 10.10.100.2 |
FGT_D (Spoke) | spoke21-p1 | 10.10.100.3 |
Çevirmeli arabirimler üzerinden hub üzerinde çalışan yinelenen bir hız testi yapılandırılır. Hız testleri, göbekten jant teline altlık arayüzü üzerinden gerçekleştirilir. Her bir jant teli, bir hız testi sunucusu olarak çalışacak ve hız testinin kendi alt arayüzünde çalışmasına izin verecek şekilde yapılandırılmıştır. Teller, VPN arabirimi üzerinden hub ile BGP eşlemesi kurar ve geri döngü ağını hub’a bildirir. Spesifik konfigürasyon sadece FGT_B için gösterilir.Hız testi çalışırken, VPN yer paylaşımı üzerinden yönlendirme atlanabilir ve eşlere duyurulan rotaları filtrelemek için rota haritaları kullanılır. Telin rota haritası, eşe herhangi bir rotanın reklamını yapmaz, bu da hub’ı konuşmacının ağına ulaşmak için diğer yolları kullanmaya zorlar.Hiçbir hız testi çalışmadığında, konuşmacının rota haritası, ağının hub’da reklamının yapılmasına izin verir.Hız testi tamamlandığında, ölçülen çıkış bant genişliği, hub üzerindeki VPN tüneline dinamik olarak uygulanır ve tünel bağlantısının kesilmesi ve yeniden bağlanması durumunda, sonuç gelecekte kullanılmak üzere önbelleğe alınır.
Hub FortiGate’i (FGT_A) yapılandırmak için:
- Bir şekillendirme profili yapılandırın:
config firewall shaping-profile
edit “profile_1”
config shaping-entries
edit 1
set class-id 2
set priority low
set guaranteed-bandwidth-percentage 10
set maximum-bandwidth-percentage 10
next
end
set default-class-id 2
next
end
Profilde düşük, orta ve yüksek öncelikli trafik için üç sınıf kullanılır. Her sınıfa, hız testinden ölçülen bant genişliğinin yüzdesi olarak garantili ve maksimum bir bant genişliği atanır.
- Arayüzdeki şekillendirme profilini kullanın:
config system interface
edit “hub-phase1”
set egress-shaping-profile “profile_1”
next
end
- Hız testleri için kullanılacak bir program yapılandırın:
config firewall schedule recurring
edit “speedtest_recurring”
set start 01:00
set end 23:00
set day monday tuesday wednesday thursday friday saturday
next
end
- Hız testi programını yapılandırın:
config system speed-test-schedule
edit “hub-phase1”
set schedules “speedtest_recurring”
set dynamic-server enable
next
end
Tel FortiGates’i (FGT_B ve FGT_D) yapılandırmak için:
- Hız testi arka plan programını etkinleştirin:
config system global
set speedtest-server enable
end
- Arayüzde hız testlerine izin ver:
config system interface
edit “port1”
append allowaccess speed-test
next
end
- SD-WAN’ı, üye konuşmacı11-p1’de hız testleri için baypas yönlendirmesi etkinleştirilmiş şekilde yapılandırın:
set speedtest-bypass-routing enable
config members
edit 1
set interface “spoke11-p1”
next
end
config neighbor edit “10.10.100.254”
set member 1
set mode speedtest
next
end
end
- BGP yönlendirmesini yapılandırın:
config router route-map
edit “No_Speed-Test”
config rule
edit 1
set action permit
next
end
next
edit “Start_Speed-Test”
config rule
edit 1
set action deny
next
end
next
end
config router bgp
set as 65412 config neighbor
edit “10.10.100.254”
set remote-as 65412
set route-map-out “Start_Speed-Test”set route-map-out-preferable “No_Speed-Test”
next
end
config network
edit 1
set prefix 2.2.2.2 255.255.255.255
next
edit 2
set prefix 10.1.100.0 255.255.255.0
next
end
end
Hız testini manuel olarak çalıştırmak için:
# execute speed-test-dynamic hub-phase1 all y 1000 100
Start testing the speed of each tunnel of hub-phase1
[6400d9] hub-phase1_0: physical_intf=port1,
local_ip=172.16.200.1, server_ip=172.16.200.2
Wait for test 6400d9 to finish…
Speed-test result for test ID 6400d9:
Completed
measured upload bandwidth is 1002 kbps
measured time Sun Jun 20 15:56:34 2021
The tested out-bandwidth is more than the set maximum accepted value 1000. Will update the tunnel’s shaper by the set update-outbandwidth-maximum.
Apply shaping profile ‘profile_1’ with bandwidth 1000 to tunnel hub-phase1_0 of interface hub-phase1
[6400e0] hub-phase1_1: physical_intf=port1,
local_ip=172.16.200.1, server_ip=172.16.200.4
Wait for test 6400e0 to finish…
Speed-test result for test ID 6400e0:
Completed
measured upload bandwidth is 1002 kbps
measured time Sun Jun 20 15:56:39 2021
The tested out-bandwidth is more than the set maximum accepted value 1000. Will update the tunnel’s shaper by the set update-outbandwidth-maximum.
Apply shaping profile ‘profile_1’ with bandwidth 1000 to tunnel hub-phase1_1 of interface hub-phase1
# diagnose netlink interface speed-test-tunnel hub-phase1 all
send speed test request for tunnel ‘hub-phase1_0’ of ‘hub-phase1’: 172.16.200.1 -> 172.16.200.2
send speed test request for tunnel ‘hub-phase1_1’ of ‘hub-phase1’: 172.16.200.1 -> 172.16.200.4
Sonuçlar
- Hız testi başlamadan önce FGT_A, BGP ile FGT_B’den rotayı alabilir:
# get router info routing-table bgp
Routing table for VRF=0
B 2.2.2.2/32 [200/0] via 10.10.100.2 (recursive via 172.16.200.2, hub-phase1), 00:00:10
B 10.1.100.0/24 [200/0] via 10.10.100.2 (recursive via 172.16.200.2, hub-phase1), 00:00:10
- Planlanan zamanda, hub-faz1 arabirimi için hub’dan jant teline hız testi başlar:
# diagnose test application forticron 9
Speed test schedules: Interface Server Update Up/Down-limit (kbps) Days H:M TOS Schedule————————————————————————————————————————— hub-phase1 dynamic 1111111 14:41 0x00 speedtest_recurring
Active schedules:
64002f: hub-phase1(port1) 172.16.200.2 hub-phase1_1
64002e: hub-phase1(port1) 172.16.200.4 hub-phase1_0
- Hız testi çalışırken, FGT_A, BGP tarafından FGT_B’den rotayı almaz:
# get router info routing-table bgp
Routing table for VRF=0
- Hız testleri sonuçları, çıkış trafiğini şekillendirmek için çevirmeli tünele dinamik olarak uygulanabilir:
# diagnose vpn tunnel list
——————————————————
name=hub-phase1_0 ver=2 serial=c 172.16.200.1:0->172.16.200.4:0 tun_id=172.16.200.4 dst_mtu=1500 dpd-link=on remote_location=0.0.0.0 weight=1…
egress traffic control:
bandwidth=737210(kbps) lock_hit=0 default_class=2 n_active_class=3
class-id=2 allocated-bandwidth=73720(kbps) guaranteed-bandwidth=73720(kbps)
max-bandwidth=73720(kbps) current-bandwidth=0(kbps)
priority=low forwarded_bytes=52
dropped_packets=0 dropped_bytes=0
class-id=3 allocated-bandwidth=221163(kbps)
guaranteed-bandwidth=221162(kbps) max-bandwidth=294883(kbps)
current-bandwidth=0(kbps)
priority=medium forwarded_bytes=0
dropped_packets=0 dropped_bytes=0
class-id=4 allocated-bandwidth=442325(kbps)
guaranteed-bandwidth=147441(kbps)
max-bandwidth=442325(kbps)
current-bandwidth=0(kbps)
priority=high forwarded_bytes=0
dropped_packets=0 dropped_bytes=0
——————————————————
name=hub-phase1_1 ver=2 serial=d 172.16.200.1:0
->172.16.200.2:0 tun_id=172.16.200.2 dst_mtu=1500 dpd-link=on
remote_location=0.0.0.0 weight=1…egress traffic control:
bandwidth=726813(kbps) lock_hit=0 default_class=2
n_active_class=3
class-id=2 allocated-bandwidth=72681(kbps)
guaranteed-bandwidth=72681(kbps)
max-bandwidth=72681(kbps)
current-bandwidth=0(kbps)
priority=low forwarded_bytes=123
dropped_packets=0
dropped_bytes=0
class-id=3 allocated-bandwidth=218044(kbps) guaranteed-bandwidth=218043(kbps)
max-bandwidth=290725(kbps)
current-bandwidth=0(kbps) priority=medium forwarded_bytes=0 dropped_packets=0
dropped_bytes=0
class-id=4 allocated-bandwidth=436087(kbps) guaranteed-bandwidth=145362(kbps)
max-bandwidth=436087(kbps) current-bandwidth=0(kbps) priority=high forwarded_bytes=0 dropped_packets=0 dropped_bytes=0
- Hız testi sonuçları önbelleğe alınabilir, dizine alınabilir ve diske yazılabilir:
# diagnose test application forticron 10
Speed test results:
1: vdom=root, phase1intf=hub-phase1, peer-id=’spoke11-p1′, bandwidth=737210, last_log=1624226603
2: vdom=root, phase1intf=hub-phase1, peer-id=’spoke21-p1′, bandwidth=726813, last_log=1624226614
# diagnose test application forticron 11
Write 2 logs to disk.
# diagnose test application forticron 12load
2 results.
IPsec VPN tünelini devre dışı bırakın, ardından etkinleştirin ve önbelleğe alınan hız testi sonuçları tünele tekrar uygulanabilir:
# diagnose vpn tunnel list
——————————————————
name=hub-phase1_0 ver=2 serial=c 172.16.200.1:0-
172.16.200.4:0 tun_id=172.16.200.4 dst_mtu=1500 dpd-link=on
remote_location=0.0.0.0 weight=1…egress traffic control:
bandwidth=737210(kbps) lock_hit=0 default_class=2
n_active_class=3
——————————————————
name=hub-phase1_1 ver=2 serial=d 172.16.200.1:0
->172.16.200.2:0 tun_id=172.16.200.2 dst_mtu=1500 dpd-link=on
remote_location=0.0.0.0 weight=1
…egress traffic control:
bandwidth=726813(kbps) lock_hit=0 default_class=2
n_active_class=3