SD-WAN BI.ZONE часть 2 — устанавливаем контроллер, где настраивается политика прохождения трафика и на который потом будем заводить CPEs.
Первая часть тут. Начинаем устанавливать наш приобретённый за бешбабки SD-WAN. Валера, Валера, начинается! Первым делом нужно поднять контроллер с GUI. Сам Бизон в своей документации называет котроллер "облачная часть решения (CSP)". И хотя на мой взгляд это довольно-таки неудачное и путающее название, далее буду пользоваться им — CSP.
Ещё раз подсвечу, так как это важно. CSP не занимается напрямую формированием трафика. Он нужен для:
- Онбординга и мониторинга состояния устройств (CPEs).
- Создания и раскатывания политики на CPEs.
- Операций с CPE, таких как перезагрузка, обновление прошивки.
- Установка и обновление установленных VNFs.
Решение о прохождении трафика (как, куда, разрешать или нет) принимает CPE. С учётом установленной политики и с учётом правил встроенного FW. Самостоятельно, без помощи CSP.
Установка CSP
Поскольку технология проприетарная, установка будет рассказана обзорно.
Системные требования
| SD-WAN | CPU (x86-64) | RAM (не хуже DDR4) | SSD (не хуже SATA6) | NET |
|---|---|---|---|---|
| До 10 СРЕ | 4 ядра | 16 Гбайт | 200 Гбайт SSD | 100 Мбит/с |
| До 100 СРЕ | 16 ядер | 32 Гбайт | 1 Тбайт SSD | 1 Гбит/с |
| До 1000 СРЕ | 32 ядра | 64 Гбайт | 2 Тбайт SSD | 1 Гбит/с |
Понятно что для таких решений нужна своя система виртуализации. Довольно неплохая по характеристикам. Если её нет, то можно разместить CSP в облаке как Бизона, так и ISP.
OS
На настоящий момент поддерживаются следующие операционные системы:
- Ubuntu 20.04
- Astra Linux версии 1.7
- Альт Linux 8 СП
Первая бесплатная, две другие за денюжку.
Установка
Версия всё та же 1.3.1, клятвенно обещанной 1.4 "с плюшками и бонусами" не выходило.
Платформа CSP поставляется в формате Linux-контейнеров и скриптов автоматизации их развертывания.
То есть нужно установить некоторые стандартные пакеты, включая сетевые утилиты и поддержку контейнеров. Удалить некоторые установленные по умолчанию стандартные пакеты. Затем создать целевые папки, подгрузить полученные от Бизона архивы, распаковать их. Настроить по шаблону несколько конфигурационных файлов. Один из параметров:
GOST_MODE - может принимать значения DISABLED (не используется ГОСТ шифрование), либо ENFORCED (всегда используется только ГОСТ шифрование)
После чего выполняется инсталляция. Всё просто и по времени укладывается в полчаса. На этом шаге в частности рекомендуется:
- Отключить SSH-авторизацию по паролю и использовать авторизацию только по ключу.
- Включить host-based FW например, ufw, разрешив управление только из подсетей администраторов.
Если всё удачно, то после установки попадаем в чистый и пустой Web-интерфейс контроллера.
ГОСТ шифрование
Вынес в отдельный раздел, потому что тут интересно. Как показал выше есть параметр GOST_MODE и он либо включен при установке, либо выключен. Поэтому при задействовании ГОСТ шифрования требуется переустановка контроллера CSP. "Горячего переключения" нет.
Сам алгоритм ГОСТ шифрования в коде реализован, криптопровайдер КриптоПРО. Но сертификации ФСБ нет и когда будет непонятно. Сертификация ФСБ, КриптоПРО.. вносят дополнительные накладные расходы. Отсюда лицензии на ГОСТ шифрование стоят дороже. То есть существуют отдельные лицензии на развёртывание без ГОСТ, отдельные с ГОСТ. Это разные лицензии.
Следующий момент, при развёртывании с ГОСТ невозможно использовать Zero-Touch Provisioning. Файлы для активации CPE придётся передавать на отдельном носителе (флешке).
Ещё, при использование ГОСТ перегенерация симметричных ключей шифрования происходит с заданным, неизменяемым и очень коротким интервалом времени. Оптимизации процесса под x86-64 нет, только под ARM. А именно процесс нельзя распараллелить между ядрами. Процесс ресурсоёмкий, в результате постоянная высокая загрузка одного из ядер.
Самое главное, ГОСТ алгоритмы сильно уступают родным алгоритмам WireGuard по производительности. Поэтому в случае с ГОСТ CPEs не выдадут заявленной для них скорости шифрования. Значит нужно покупать более мощные.
Обобщаем, на текущий момент ГОСТ шифрование реализовано сыро, требуется оптимизация. И конечно же нужен действующий сертификат ФСБ. Иначе в чём смысл? Будем посмотреть что там получится в дальнейшем.
Web-интерфейс
Вход в Web-интерфейс CSP осуществляется с логином и паролем на основе персонального сертификата. Сертификат генерируется под каждую учётную запись. И устанавливается в личные сертификаты на компьютере, с которого происходит подключение.
Для этого предварительно нужно прислать в Бизон доменное имя платформы. Будет сформирован комплект ключей и передан вам в виде архива. Этот архив подгружается в ОС контроллера, распаковывается и с помощью специальной команды формирует файл, на основе которого и ведётся работа с сертификатами. Примерно так.
Для первого подключения к вебу под учётной встроенного админа, ессно нужно скачать себе (например через WinSCP) и установить соответствующий персональный сертификат. В дальнейшем сертификаты скачиваются уже из веба контроллера, раздела управления пользователями (доступно только под учёткой встроенного админа) и имеют вид:
user_id-ХХХ.p12
Нижняя учётка это встроенный админ, верхняя моя и есть ещё 3 служебные. На этом пожалуй всё. Как приедет первая CPE-шка будем онбордить.
Приглашаю поделиться мнением в Tелеграм канал