Fortigate Firewall’da SD-WAN Nedir?

* English versions are added below each paragraph *

Fortigate Firewalllarda (ve tabii ki diğer firewall cihazlarında da bu özellik mevcuttur, ancak örneğin Palo Alto bunun için ayrı bir Lisans isteyecektir) SD-WAN oluşturarak, birden fazla WAN hattınız varsa, loadbalance özelliğinden faydalanarak yedekliliğinizi arttırıp firewall cihazınızı kullanabilmeniz mümkün olacaktır. Bu durumda, mevcut WAN hatlarınızdan bir tanesi down olduğunda diğer hattınızdan kullanıcılarınız veya sunucularınız veya her iki networkünüz ya da sadece sizin belirleyebileceğiniz şekilde şu şu şu networküm şeklinde seçiminizi yaparak WAN tarafına doğru trafiğinizi yönlendirtebilirsiniz.

Fortigate Firewalls (and of course other firewall devices also have this feature, but Palo Alto will require a separate License for this), by creating an SD-WAN, if you have more than one WAN line, it will be possible to increase your redundancy and use your firewall device by taking advantage of the loadbalance feature. In this case, when one of your existing WAN lines is down, you can direct your traffic towards the WAN side by choosing your users or servers from the other line, or both networks, or just this or that network as you can determine.

Bunun için ilk adım olarak bir virtual wan-link” oluşturmanız gerekecektir. Bunun için Fortigate Firewallumuzun GUI’sinden “Network” ana menüsü altından “SD-WAN” kırılımına gelerek “SD-WAN Zones” kısmından “Create New” butonuna tıklayarak yeni bir zona oluşturmanız gerekecektir.

For this, you will need to create a "virtual wan-link" as a first step. For this, you will need to create a new zone by going to the "SD-WAN" breakdown under the "Network" main menu from the GUI of our Fortigate Firewall and clicking the "Create New" button from the "SD-WAN Zones" section.

“Create New” butonuna basarak yeni bir zone oluşturup bu zone içerisine mevcut 2 adet WAN hattınızı ekledikten sonra “OK” butonu ile işlemi onaylayıp sonraki adıma geçebilirsiniz. Sonraki adımda ise, en başta da belirttiğim gibi, loadbalance özelliğini kullanarak bir kural yazarak bu kuralda “Members” kısmına her iki WAN interfaceinizi belirterek, oluşturacağınız bir “Performance SLAs” profiline göre WAN tarafına doğru olan trafiğinize müdahale edebilirsiniz.

You can create a new zone by pressing the "Create New" button and add your 2 existing WAN lines to this zone, then confirm the operation with the "OK" button and proceed to the next step. In the next step, as I mentioned at the beginning, by writing a rule using the loadbalance feature, specifying both WAN interfaces in the "Members" section of this rule, you can interfere with your traffic towards the WAN side according to a "Performance SLAs" profile you will create.

Örneğin ben bu örneğimde, tüm kullanıcılarımı WAN tarafına doğru gönderirken wan1 ve wan2 interfacelerimi kulan ama bunu yaparken hattın up veya down olduğu yine benim belirleyeceğim kriterlere göre kontrol ederek yap ve hangi hattım müsait ve uygunsa bu hattım üzerinden bu trafiklerin geçmesini sağlatıyorum Fortigate Firewall cihazıma. Bunun için bir önceki adımda “OK” diyerek size atacağı bir önceki sayfada “SD-WAN Rules” kırılımı altından “Create New” butonuna tıklayarak yapabiliyorum. Bu aşamada ise yine bu kuralım için bir isim belirledikten sonra Bu kuralımı kullanacak adreslerimi seçebilir veya “all” diyerek tüm kaynak adreslerimi bu kuraldan geçir diyebilirim, bu örnekte “all” olarak seçip ilerliyorum aynı şekilde, hedef olarak ta yine WAN tarafında nereye giderse gitsin anlamında “all” diyerek devam ediyorum. Belirli port kısıtlamalarını da dilerseniz yine bu sayfadan gerçekleştirebilirsiniz fakat bu örneğimde port kısmını da yine “ANY” olarak bırakıp ilerliyorum. Ve tabii ki bu kuralı “Internet Service” veya “Application” olarak seçimler yaparak belirteceğiniz uygulama ve servislere doğru da yazabilirsiniz ancak örneğimde bu kısımları da boş bırakıyorum bu durumda herhangi bir internet service veya uygulamaya giderken şeklinde belirtmiş oluyorum aslında. Fakat bu iki seçeği seçebilmeniz için destination kısmındaki “Address” alanını boş bırakmanız gerekecektir. Address alanında herhangi bir seçim olduğunda size herhangi bir “Internet Service” veya “Application” seçmenize müsade etmeyecektir.

For example, in this example, I use my wan1 and wan2 interfaces while sending all my users to the WAN side, but while doing this, I check whether the line is up or down according to the criteria I will determine, and I have these traffics pass through this line, if my line is available and appropriate. For this, I can do this by clicking the "Create New" button under the "SD-WAN Rules" breakdown on the previous page, which will be sent to you by saying "OK" in the previous step. At this stage, after I have determined a name for this rule, I can choose the addresses that will use this rule, or I can say "all" and pass all my source addresses through this rule, in this example, I choose "all" and move on. I continue by saying "all". You can also perform certain port restrictions on this page if you wish, but in this example, I leave the port part as "ANY" and proceed. And of course, you can write this rule correctly for the applications and services that you will specify by choosing "Internet Service" or "Application", but in my example, I leave these parts blank, in this case, I actually specify it as when going to any internet service or application. But in order to choose these two options, you will need to leave the "Address" field in the destination section blank. Any selection in the Address field will not allow you to select any "Internet Service" or "Application".

Akabinde “Outgoing Interfaces” kısmından “Interface preference” altına wan1 ve wan2 hatlarımı ekleyerek bu hatlarım arasında neye göre seçim yapmasını istediğimi Fortigate Firewalluma söylüyorum. Bu örneğimde ve genel olarak tüm iş ortaklarımda “Best Quality” olarak bu seçimi yapıp wan1 ve wan2 hatlarımı da ekleyerek devam ediyorum şahsen. Burada seçebileceğiniz 4 seçenek mevcuttur. Açıklamaları zaten altlarında yazıyor olacaktır. “Best Quality” olarak seçmemin sebebi ise alt kısımda da görebileceğiniz “Measured SLA” seçimi yapmak istememdir. Bunun açıklamasını da bir sonraki ekran görüntüsü altında açıklıyor olacağım. “Measured SLA” kısmında da bir sonraki adımda oluşturacağımız performance kriterini seçip, “Quality Criteria” kısmından da “Packet Loss” olarak seçerek “OK” butonuna tıklayarak seçimlerimi tamamlayıp son adıma geçiyorum. Bu alanın örnek ekran görüntüsü ise aşağıdaki gibidir;

Then, I add my wan1 and wan2 lines under "Interface preference" from the "Outgoing Interfaces" section and tell my Fortigate Firewall how I want it to choose between these lines. In this example and in all my business partners in general, I make this choice as "Best Quality" and continue by adding my wan1 and wan2 lines. There are 4 options to choose from here. The descriptions will already be written below. The reason I chose it as "Best Quality" is because I want to choose "Measured SLA", which you can see at the bottom. I will explain this under the next screenshot. In the “Measured SLA” section, I select the performance criterion that we will create in the next step, select “Packet Loss” in the “Quality Criteria” section, click the “OK” button, complete my selections and proceed to the last step. The sample screenshot of this area is as follows;

Son adımda ise bir önceki adımda bahsettiğim, “Measured SLA” için performance krtierimi oluşturuyorum. Bunun için “OK” butonuna bastığımızda otomatik olarak yönlendireceği sayfadan “Performance SLAs” kırılıma tıklayarak yine “Create New” butonu ile devam ediyoruz.

In the last step, I create my performance criterion for the "Measured SLA" that I mentioned in the previous step. For this, when we press the “OK” button, we click on the “Performance SLAs” breakdown from the page it will automatically redirect to, and continue with the “Create New” button.

Bir isim belirterek işleme başlıyoruz, örnek olduğu için “x” olarak ismi yazıp devam ediyorum. “Detection Mode” kısmını “Active” seçerek “Protokol” kısmından da “Ping” I seçerek, “Server” alanına da 8.8.8.8(google dns) yazarak ilerliyorum. Bu şekilde Fortigate Firewall cihazıma şunu demiş oluyorum aslında; bu iki hattım arasından hangisi en iyi performansa sahipse o hat üzerinden WAN tarafına doğru trafiğimi yönlendir. Bunu yaparken de 8.8.8.8’e(google dns) en kısa sürede “Ping” imin ulaştığı interface imi kulan(wan1 veya wan2) ve tabii ki bunu yapabilmesi için “Participants” kısmından “Specify” diyerek WAN hatlarınızı eklemeniz gerkecektir veya “All SD-WAN Members” seçeneğini de işaretlemeniz yeterli olacaktır, bu durumda tüm SD-WAN üyesi yaptığınız WAN hatlarınız için geçerli bir performans kriteri oluşturmuş olacaksınızdır.

We start the process by specifying a name, since it is an example, I write the name as "x" and continue. I proceed by choosing “Active” in the “Detection Mode” section, choosing “Ping” from the “Protocol” section, and typing 8.8.8.8 (google dns) in the “Server” field. In this way, I actually say to my Fortigate Firewall device; Whichever of these two lines has the best performance, direct my traffic to the WAN side over that line. While doing this, you will need to add your WAN lines by saying “Specify” from the “Participants” section, using the interface mark (wan1 or wan2) that the “Ping” reaches as soon as possible to 8.8.8.8 (google dns) or of course, to do this. -WAN Members” option will be sufficient, in this case, you will have created a valid performance criterion for all your WAN lines that you have made SD-WAN members.

Diğer ayarlarımı default olarak bırakarak, static route kısmını otomatik olarak güncelleyerek ayarlayabilmesi için “Update Static Route” seçeneğimi de açarak “OK” butonuna tıklayarak bu son adımı da tamamlıyorum. Bu kısmın örnek ekran görüntüsü de aşağıdaki şekildedir;

I complete this last step by opening my "Update Static Route" option and clicking the "OK" button so that it can automatically update the static route part, leaving my other settings as default. The sample screenshot of this part is as follows;

Tüm bu adımlardan sonra, SD-WAN için bir zone oluşturmuş ve SD-WAN kuralımı da yazmış oluyorum. Aynı zamanda bu kısımdan örneğin client networkünüzü wan1 hattınızdan, server networkünüzü ise wan2 hattınızdan da internete çıkarabilirsiniz tabii ki. Bunun için ise yapmanız gereken tek şey ise, ilk adımda anlattığım source kısmına server networkünüzü belirterek sadece bir WAN hattınızı ekleyerek bir kural oluşturup aynı şekilde bir kural da client networkünüz için oluşturup bu kuralda da diğer WAN hattınızı eklemek olacaktır.

After all these steps, I have created a zone for SD-WAN and written my SD-WAN rule. At the same time, from this section, for example, you can connect your client network to the internet on your wan1 line and your server network from your wan2 line, of course. For this, all you need to do is to specify your server network in the source section, which I explained in the first step, and create a rule by adding only one WAN line, and in the same way, create a rule for your client network and add your other WAN line in this rule.