á SD-WAN á áŠá áá° áĽá áááŁáľ á áááŠáľ á¨áĽáŤááá˝ áĽááľ á áááá á´ááááá á áŠá˛áŤ ááľáĽ á á°áἠáááľá¨áľ áááŻáᢠáťáŽá˝, á á°ááĽáŽ, á áá°áá áĽá á˝áá°-ááłáŚáťá¸áá áŤáááŁá, áĽá á ááłááľ á°áá á á ááá˝ ááľááá á ááľáááŤá¸á áá á°ááŁáŤá áĽáŤá°á¨á áá.
á¨áá áá°á á¨ááá á á áŤá˘áá˝ áá áĽáá°áŤááᣠáĽá á ááĽáŤáśáŤá˝á ááľáĽ á¨á ááŤáł á ááłáľ á áá á¨áśááľáá-á¨á°áááš áááľááá˝á áĽáŤááłááąá áá ááᢠá ááá´áá¸á á áĽáááľ ááááá áťááŠá˘ SD-WAN ᨠFortinet áĽáá áľáá˝ á°ááŤááˇáᣠáá á á ááá á áááá áťááá˝ ááŤá¨á áŤááá áľáŤáá áá° áá¨ááá áśááľáá á¨áááŁá á á°ááŁáá áááĽáˇáᢠáááľáá á˛áááŤá˛áŤá ááᣠáľááá áĽááá áá áááá á áá áááŚá˝ áá ááá áŁááá áŠáŁááŤáá˝ ááłá°áŁá ᣠáá á¨áááááľ ááľááŽáťá¸áá á áĽááľ ááá áá áááááá˘
á áá
á˝áá ááľáĽ ᨠááá˛áᾠᨠSD-WAN áá áĽáá´áľ áĽáá°áááአáĽá áĽáá°áá°áŠ ááááá áĽááááá, áá
áááľá ááá á°áľáá áĽáá°áá áĽá áĽáá
áá á˝ááŽá˝ ááŤááĽáááľ áá˝áá.
á SD-WAN áá ፠ááľáĽ á áŁá áłáá á°áŤáážá˝ á¨áááľ ááááśá˝ á á ááą ááá°áĄ áá˝áá-
1. ᨠSD-WAN áááľááá˝á á¨áŁáś á¨áá አá ááᢠá¨áĽááá ááľáĽ á áŁá áľáŹáłá á¨áááľ á áľááá áŠáŁááŤáá˝ á¨á°áá á áá áááľááľ áľáá á°ááłá˝ááľ ááá áá - áá ᨠCisco / Viptela ᣠVMWare / VeloCloud ᣠNuage/Nokia áłáŞá áá á˘
2. ᨠSD-WAN áááľááá˝á á¨áá አáľááá á¨á ááłá¨ áá¨áĽ á á áŤá˘áá˝áŁ á¨áŁá áá áŤáá°áŽáťá¸áá ááŽááŤááááľ áĽá á áľá°áłá°áá á ááłá á - áá á¨áááá ᣠááá áłáŞá ááá˘
ááá˛ááľ ááááąá ááááľ á˝ááᢠá¨áá¨ááá áśááľáአá áááážáťá¸áá áá° áááŁá áťááá˝ á ááŁáá áĽá á ááŤá¨áá¸á áŤááá á¸áá á¨áá°á áá ááááá áá á ááááá ááľáĽáľáĽ áľáá° áááŽá˝á á áá áá áááá áááľá¨á á¨ááŤáľá˝á á áĽáŽ á¨á°á°áŤ á°ááŁá áá á¨áᢠáá á°ááŁá SD-WAN á°áĽá áá ፠áá áᢠáá Fortinet á¤áľá˛-WAN á°áĽá áá ፠áá˝áá? áá áŤá ááľ á ááľ á áśááľáá á¨á°á á¨á áááľ á¨ááĽáĽá á ááŽáááá á¨áłáł á ááŽáááᣠá¨áá°á á°ááŁáŁáŞáá˝ áĽá áŚááŹáľáľáŤáá˝ ááá¨áľ áááľ áĽáá°áá áĽá¨á°á¨áł ááᢠFortinet áĽáá°áá á áááľ ááá á¨ááá. á¨á°áá¨á á áľá°áłá°á á ááŤá áá áĽá á áŁá ááá Fortimanager ááłáŞáŤ á áŠá ááááŁáᢠáá á áĽá á áľá°áŤá¨áľ, á¨áá áĽáááľá áááá áĽá áľá ááá˝ á áá¨áŤá¨á áá ááĽááľ á¨ááĽááľá. á áááą ááá áĽáŤááłááą á ááŤá¨áĽ áĽá áá ááłáľ á ááᢠá¨áá á¨á°áťáá ááááľ áĽááąá áá¨áłáľ áĽá á¨á°ááŁáŽáš áá á¨ááááą áááľááá˝á ááá¨áĽ ááťá áá.
á¨ááá˛ááľ á¨ááŁá á¤áľá˛-áá áá áĽáá°áááľá áĽá áá ááľá¨á áĽáá°áá˝á á áĽáá˝á áŁá á á˝á áłá áá˝ áĽááłáá˝ ááááá áĽáááŤááá˘
ááá áĽáá´áľ áĽáá°áá°áŤ
á áááľ á¨áá¨á áťááá˝ á¨á°ááá áááľ á áááŤáá˝ áĽááłáá áĽááľáĽá˘ áá°á á á¨á¤á°áááľ á áááá˝ áá° LACP-Port-Channel áĽáá´áľ áĽáá°ááááą áĽááá á¨áá¨á áááááá˝ á áĄáľá á¨á°áááą áá¸áᢠá¨áľáŽ áá á°áŞáá˝ ááá ááá˛áááá áŤáľáłááłá - áĽáá˛áá á°áľáá á°ááłáłáááľá˘ áťááá˝ á áŤáá áá°áŚá˝áŁ VLAN SVIᣠáĽáá˛áá VPN ááá GRE ááťáá˝ ááá áá˝ááá˘
á¨á áááŤá á áŤáŁá˘áŤá á ááłá¨ áá¨áŚá˝á á á áá áá¨áĽ áá á˛áŤááá áŞáá¤á ááá GRE á á°áááś áĽá á áá ááááᢠáĽá á áŤáá áá°áŚá˝ - á áŁá˘áŤáá˝ ááŤá¨á á¨á¤á 2 áááááśá˝ áŤá ᣠááá á á°á°á MPLS/VPN áá áľáááá ᣠáŤá á°á°áŤá˘ áĽá ááľá ፠áŁáá áááááľ á¨á¨áŤáᢠá á¤áľá˛-WAN áĄáľá ááľáĽ á áŤáá áá°áŚá˝ áĽá á áá á¨áááá áľ ááá áááł á¨á°á áááá˝á á¨á˘áá°áááľ á áŤáŁá˘áŤá á°á°áŤá˝ááľ áááŁá á ááá˘
á áĽá áŚáł áá á áŤáľ áá¨áááá˝ áĽá áááľ á¨áŞáá¤á ááťáá˝ á áááľ "á¨áááá áŚááŹá°áŽá˝" á áŠá áá°áŤá. áľáá áá á áááľááá˘
á¨áŞáá¤á ááťáá˝ á á áááá ááľ ááľáĽ á¨á°ááአá á2á á áááá˝ áá á¨á áá á áľáŤáť áŁáá¸á ááłáŞáŤáá˝ ááŤá¨á áŤáá ááĽáĽ-áá°-ááĽáĽ áááááśá˝ áá á°ááłáłáááľ á áá¸á ᣠáá
á á á ááľ á¨á°áá°á ááżááŞáŤ á áŠá áááááľ áĽá¨á°áŤ áááá ááá¨ááἠááá áá°á¨á áá˝ááᢠáľáŤááŠá á˘áááŞááľ áááľá¨á áĽá áá° á°ááŤáá áá ááááľ, áá° ááťá ááľáĽ ááľááŁáľ á á áá. á ááŤá á¨áááľ áá¨áŚá˝ ááááŽá˝á á áá áá ááľá áŤá áááá¨áĽ áľáŤáá ááá¨áĽ áá, áá
á á áááአá¨á áá ááľáĽáľáĽ áĽá¨áá á˛áᣠá áľá°áłáłáŞáá á áĽá
á áŤá°áá
áá. á áľáá
á ááłá¨áá¨áĽ ááľáĽ ᨠADVPN á´ááááá áá áá áá˝áá áŞáá¤á áááááŁáľ áá
á¨á˛á¤ááŞáá¤á á¨á˛áľáŽ ááá á˛áŞáá¤á ᨠHuawei á¨áᣠá ááá áá áá
á á ááá áááá áŤáľá˝ááá˘
á¨áŁá˘áŤ-áá°-áŁá˘áŤ á¨áŞáá¤á áááá á áááąá á áŠá BGP áááŞáŤ ááá¸á áááľ ááłáŞáŤáá˝
ÂŤĐŚĐĐÂť (DC)
ФиНиаН (BRN)
config system interface
âedit "WAN1"
ââset vdom "Internet"
ââset ip 1.1.1.1 255.255.255.252
ââset allowaccess ping
ââset role wan
ââset interface "DC-BRD"
ââset vlanid 111
ânext
âedit "WAN2"
ââset vdom "Internet"
ââset ip 3.3.3.1 255.255.255.252
ââset allowaccess ping
ââset role lan
ââset interface "DC-BRD"
ââset vlanid 112
ânext
âedit "BRN-Ph1-1"
ââset vdom "Internet"
ââset ip 192.168.254.1 255.255.255.255
ââset allowaccess ping
ââset type tunnel
ââset remote-ip 192.168.254.2 255.255.255.255
ââset interface "WAN1"
ânext
âedit "BRN-Ph1-2"
ââset vdom "Internet"
ââset ip 192.168.254.3 255.255.255.255
ââset allowaccess ping
ââset type tunnel
ââset remote-ip 192.168.254.4 255.255.255.255
ââset interface "WAN2"
ânext
end
config vpn ipsec phase1-interface
âedit "BRN-Ph1-1"
ââset interface "WAN1"
ââset local-gw 1.1.1.1
ââset peertype any
ââset net-device disable
ââset proposal aes128-sha1
ââset dhgrp 2
ââset remote-gw 2.2.2.1
ââset psksecret ***
ânext
âedit "BRN-Ph1-2"
ââset interface "WAN2"
ââset local-gw 3.3.3.1
ââset peertype any
ââset net-device disable
ââset proposal aes128-sha1
ââset dhgrp 2
ââset remote-gw 4.4.4.1
ââset psksecret ***
ânext
end
config vpn ipsec phase2-interface
âedit "BRN-Ph2-1"
ââset phase1name "BRN-Ph1-1"
ââset proposal aes256-sha256
ââset dhgrp 2
ânext
âedit "BRN-Ph2-2"
ââset phase1name "BRN-Ph1-2"
ââset proposal aes256-sha256
ââset dhgrp 2
ânext
end
config router static
âedit 1
ââset gateway 1.1.1.2
ââset device "WAN1"
ânext
âedit 3
ââset gateway 3.3.3.2
ââset device "WAN2"
ânext
end
config router bgp
âset as 65002
âset router-id 10.1.7.1
âset ebgp-multipath enable
âconfig neighbor
ââedit "192.168.254.2"
âââset remote-as 65003
âânext
ââedit "192.168.254.4"
âââset remote-as 65003
âânext
âend
âconfig network
ââedit 1
âââset prefix 10.1.0.0 255.255.0.0
âânext
end
config system interface
âedit "WAN1"
ââset vdom "Internet"
ââset ip 2.2.2.1 255.255.255.252
ââset allowaccess ping
ââset role wan
ââset interface "BRN-BRD"
ââset vlanid 111
ânext
âedit "WAN2"
ââset vdom "Internet"
ââset ip 4.4.4.1 255.255.255.252
ââset allowaccess ping
ââset role wan
ââset interface "BRN-BRD"
ââset vlanid 114
ânext
âedit "DC-Ph1-1"
ââset vdom "Internet"
ââset ip 192.168.254.2 255.255.255.255
ââset allowaccess ping
ââset type tunnel
ââset remote-ip 192.168.254.1 255.255.255.255
ââset interface "WAN1"
ânext
âedit "DC-Ph1-2"
ââset vdom "Internet"
ââset ip 192.168.254.4 255.255.255.255
ââset allowaccess ping
ââset type tunnel
ââset remote-ip 192.168.254.3 255.255.255.255
ââset interface "WAN2"
ânext
end
config vpn ipsec phase1-interface
â edit "DC-Ph1-1"
ââ set interface "WAN1"
ââ set local-gw 2.2.2.1
ââ set peertype any
ââ set net-device disable
ââ set proposal aes128-sha1
ââ set dhgrp 2
ââ set remote-gw 1.1.1.1
ââ set psksecret ***
â next
â edit "DC-Ph1-2"
ââ set interface "WAN2"
ââ set local-gw 4.4.4.1
ââ set peertype any
ââ set net-device disable
ââ set proposal aes128-sha1
ââ set dhgrp 2
ââ set remote-gw 3.3.3.1
ââ set psksecret ***
â next
end
config vpn ipsec phase2-interface
â edit "DC-Ph2-1"
ââ set phase1name "DC-Ph1-1"
ââ set proposal aes128-sha1
ââ set dhgrp 2
â next
â edit "DC2-Ph2-2"
ââ set phase1name "DC-Ph1-2"
ââ set proposal aes128-sha1
ââ set dhgrp 2
â next
end
config router static
âedit 1
ââset gateway 2.2.2.2
ââet device "WAN1"
ânext
âedit 3
ââset gateway 4.4.4.2
ââset device "WAN2"
ânext
end
config router bgp
â set as 65003
â set router-id 10.200.7.1
â set ebgp-multipath enable
â config neighbor
ââ edit "192.168.254.1"
âââ set remote-as 65002
ââ next
ââedit "192.168.254.3"
âââset remote-as 65002
ââ next
â end
â config network
ââ edit 1
âââ set prefix 10.200.0.0 255.255.0.0
â ânext
end
á ááááŠá á á˝áá ááá áĽáŤáá¨áĽáŠ áá, ááááŤáąá á áĽá á áľá°áŤá¨áľ, áŞáá¤áá á áá ááááľ áááá á¨á áá á ááş áá. á¨áá áá°á ááá á áá áśá˝ á áááąá á áŠá á ááľ á áááľ áá¸áᤠá á˝áá ááá áĽáá° áŽá ááĽá áá°á¨á áá˝ááᢠá áľá á áááá˝ ááľáĽ á°ááłáłá ááá áŤá°á¨á, áľá á°áľ áááĽáŤáľ ááá áá - á¨áá áŚáł ááááľ áááłáľ, á¨á°áłáłá° áĽá´áľ áŤáľááĄ.
áááááá˝á áá° áĽá á á¨á¨ááá á áá
ááá ááááśá˝ áĽá á¨á°á
áááľ ááá˛áá˝ ááŤááááą áá˝áá, áĽá á ááľáĄ á¨á°áŤá°áąáľá á áááážá˝ áá á áá°áá. á˘áŤááľ á¨ááľáĽ á ááłá¨ áá¨áŚá˝ áá° á¤áľá˛-WAN áľáŤáá ááááľ á ááĽááľá˘ ááĽááą á°ááŚá˝á á˛ááĽáŠ áĽáá° á ááá¤áľáŁ á¸á¨-áŤáá¨áľ áĽá HTTPS áá ááľá¨áá á¨ááłá°á á¨áá¨áá¨áŤ áĽááááá˝á áá°áá á áá˝ááá˘
á¨á¤áľá˛-áá á
áá˝ ááĽá
á á°áá
á¨ááᢠáĽááá
áá°áá°á áľáŤáá áááŁá á áľáá° áááá á¨áááľá á
áá˝ áá¸áᢠá ááᲠáá á¨á°áá°á¨á° ááááá áá áŤáá á¨áááŞáŤ ááá˛áá˝ áá á°ááłáłá áá¸áᣠá ááá˛á áľá á áá°áá áľáŤáá ááááŤáľ áĽáť á¨á°áŤáá ááŁáŠ-áá ááá á¨á°ááá°á á¨á᪠á áááá˝ áłááá áá° SD-WAN bundle plus á¨á°á¨áአá áááážá˝ áá¸áᢠá áĽááá
áááááá˝ ááŤá¨á á¨áľáŤáá áááŁá á áľáá° áááá˘
áľáŤáá á¨á á ááá áá°áą á L3-L4 áá¨áᣠá áłáá á áááŹá˝áá˝áŁ á¨á˘áá°áááľ á áááááśá˝ (áŠá áá¤á áĽá á áá) áĽáá˛áá á áłáá á¨áľáŤ áŁá˘áŤáá˝ áĽá áááśáá˝ á°á áááá˝ áááŤá áá˝ááᢠá¨áá á ááᣠá¨áá¨á°ááľ á¨áááŁá á áľáá° áááŽá˝ ááľáĽ á ááą áá°áá°á á áľáŤáá ááá°áĽ áá˝ááá˘
á á ááááž áá፠áááá ááľáĽáŁ ááĽáá°áá
á áááľ áľáŤáá á¨ááŤáááá áĽáá፠á áááážá˝ á áľááľáá áá° áĽá
á á¨á°á¨ááŠáľ ááľáĽ á°ááá ááᢠáááá á áááážá˝ á áá°áá á áá¨á, áĽááľá á¨áá áááŁá¸áá á°ááŚá˝ á áľááá ááá°áĽ áá˝áá, á á, á˘ááá, á¨áĽááá° áá á¨áá°á SLA áá ááľ á°ááŚá˝ ááŤá á¨ááááá á¨áá. á ááá˛áŚá¤áľ 6.4.1ᣠáá° á¤áľá˛-áá á
áá
ἠá¨á°á¨áአá áááážá˝á áá° ááá˝ ááá°áĽ á°á˝ááᣠáááłá á ááľ áá á¨áááľ áŁá˘áŤáá˝ áá ááááá áĽá ááá á°áá NATá á áá áá áá áŤáŁá˘á á¨á˘áá°áááľ á áááááľ ááá áᢠá áᣠá áᣠáá° áá°á áá á˘áá°áááľ á¨áááľ áľáŤááá áááá ááá áá˝ááá˘
á áááŞááá áľááááŁá á
Fortigate (á¨ááá˛ááľ á¨áᣠáá¨ááá) áľáŤááá á á°ááŚá˝ ááŤá¨á áĽáá´áľ áĽáá°áá¨ááá á á°ááá¨á° á áá ፠áá á áŁá á¨á°áááą áŤááá áááľ á áľá°áłá˝ á ááŤáŽá˝ á áá˘
áá á°áá á᪠(á¤áľá¤áá¤) - á á áá áá SLA á¨ááŤá¨áŠ ááá á áááážá˝, áá á°á ááĽá°áľ áŤáá (ááŞ), á á áľá°áłáłáŞá á áĽá á¨á°áááá, ááá¨áŁá; áá áááł á "á áá" áľáŤáá áĽáá° ááľáŹ áĽá á¨ááá ááááŽá˝ á°áľáá áá.
ááἠáĽáŤáľ (á¤áľá¤áá¤) - áá á áááŞáá ᣠá¨á°ááá°á áááá¨áľ ᣠá¨ááá˛ááľ áĽá˝áá˝ ááĽááľ áĽá ááŁáľ á á°á¨á᪠á¨á ááá á¨á°áἠáááľ á áá áá á¨á°ááŚá˝á áĽáŤáľ ááááá áá˝áá ᢠáá áááł áĽáá° áŞáŚá áá áĽá á¨áŞá˛áŽ áŽááá¨ááľ áá áĽááá á¨á°ááá áľ áľáŤáá á°áľáá ááá˘
áĽááá áľáá° áááŽá˝ á¨áááááľ á°áἠá áááá áááŞáŤá áááá ááááá - á¨á áááá SLAᢠáá ááľá á á¨ááá (á¨áá°áť ááá°áľ) áľá SLA á°áá˘ááľ áá¨áá áá¨áłá°ááᥠá¨ááŹáľ ááĽááľáŁ áááá¨áľ áĽá á áááá áťáá ááľáĽ ááááᣠáĽá á á áá áá á¨áĽáŤáľ á°á¨ááá˝á á¨ááŤáá áťááá˝á âááľá ááľá¨áâ áá˝áá - á áŁá áĽá ááŹáśá˝á áĽáŤáĄ áá ááá á áŁá áĽáŤáá áá¸á ááᢠáĽá áááá¨áľá˘ á á°á¨ááŞá ááŁáŞá á¨á°ááĄá áááł áá¨áłá°áá áĽá á°á°ááá ááážá˝ á˘á á (á¨áĽáá áľáá´-á ááŁááľ á ááľ áŤá ááľááśá˝) áááá á¨áĽá á ááľáĽ ááŤááŁá áá˝ááᢠáá°áá á¨á áľ á˛áááľáŁ á¨á ááŤáł á°á¨áłáłá ááážá˝ á áá (á áááá áá°áá á¨á áľ ááááľ)ᣠááŁáŞá á áŤáľ á°á á°ááĄá áá° á áá ᥠááááłáᣠáĽá ááἠáĽáá°áá á áĽáą ááľáĽ áá°ááá ááááŤáá˘
ᨠ"ááľá" ááźáľ áá á áááľáá:
á áľá á áááá˝áŁ ICMP-Echo-requestᣠHTTP-GET áĽá á¨á˛á¤áá¤áľ áĽáŤá áĽáá° á¨áá¨áŤ ááŽáśáŽáá˝ ááááᢠá áľáĽáá ááľáá áá áľáá˝ á°á¨á᪠á ááŤáŽá˝ á á-TCP-echo áĽá UDP-echo á ááŤáŽá˝ áááá, áĽáá˛áá áአá¨áĽáŤáľ áááŞáŤ ááŽáśáŽá - TWAMP.
á¨áááŞáŤ áá¤áśáš áĽáá˛á á áľá á áááá˝ ááľáĽ ááłáŠ áá˝áááĄ-
áĽá á áľáĽáá ááľáá áá:
á˝áááááť
á áá á¨áá አááá áá ááá ááá áĽáá°á°á á áá á¨ááá°áŤ á¨áá á SD-WAN á°ááŚá˝ áááá ááľáĽ áŤááá ᨠHit Count áĽá´áľá áááá¨áľ á ááĽááľ. áľáŤáአá áá á°áἠááľáĽ áááŁáąá ááá á ááááá áŤáłáŤááĄ-
á áááŞáŤá áŤáą á¨á
ááĽáŽá˝ áá˝ áá á áá áá°áľ á¨á°áἠáááŞáŤáá˝á ááἠáá¨áľ áá˝ááᢠááĽáĽ áŤáá ááľáá á¨áááŞáŤáá á¨áááť áá áŤáłáŤá
á áľá á áááá˝ ááľáĽ áľáŤáá á áá°áááá/á á°á¨á°á á¨ááἠáá á áĽá á ááá-áááá˝ áĽááľ áĽáá´áľ áĽáá°áá¨ááá áá¨áľ áá˝ááá˘
á¨áá
áá á á°á¨á᪠á¨ááŹáśá˝á áá°ááá፠á á¨áá°á áááá áááł ááá¨áłá°á á áŁá áĽáŠ áĽáľá á á. á áĽááá°á á ááłá¨áá¨áĽ ááľáĽ á áá°áŠá áľ áá á¨ááŁáŞáŤá áá
á á á¤áľá˛-WAN áá°áŚá˝ áá áĽá á¨áááŞáŤ áááŞáŤáá˝áᣠáá¨ááááá áĽá á¨áľáŤáá áľáááľá áŤá¨ááťáᢠáá
áá ááľáĽáľáĽ á áá ááááľ áĽááľ á ááľ ááááá, áĽá áťáŠ á¨ááŹáľ ááááŁá áŞáŤ áľáá° áááŽá˝á áááá ááááŤáá˝á á˘áŤáááĽá, ááľá ááłáŚá˝á ááááŁáľ áĽá ááá¨á á áááťá á áŁá á áľááá áá, ááá áá áľáŤáá á áľááá á¨áľ áĽáá°áááľ ááá¨áľ.
áááłá, á¨áá¨á°áá á¨áľááá áľáĽáľáĽ
diagnose debug flow filter saddr 10.200.64.15
diagnose debug flow filter daddr 10.1.7.2
diagnose debug flow show function-name
diagnose debug enable
diagnose debug trace 2
10.200.64.15 á¨ááá á áľáŤáť áĽá 10.1.7.2 á¨ááľá¨áť á áľáŤáť áŤáá¸á áááľ ááŹáśá˝á ááá¨áłá°á ááá
áľáááłáá˘
áĽá ááá 10.7.1.2 ᨠ10.200.64.15 áááľ áá áĽá á áŽááśá áá áŤááá áá¤áľ áĽáááá¨áłáá.
á¨ááááŞáŤ áĽá á:
ááá°á áĽá
ááĄ
á áá¨ááá á¨á°áá áá á¨ááááŞáŤá ááŹáľ áá¸áááĄ
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0."
VDOM â Internet, Proto=1 (ICMP), DMZ-Office â наСванио L3-инŃĐľŃŃоКŃĐ°. Type=8 â Echo.
ááĽáą á á˛áľ ááá áá á°ááĽáŻááĄ-
msg="allocate a new session-0006a627"
áĽá á ááááá áááŞáŤ á
ááĽáŽá˝ ááľáĽ á°ááá
á°áááˇá
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"
ááŹá áá° á ááą á¨áŞáá¤á ááťáá˝ ááá áĽááłáá áľ áłáááĄ-
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"
á¨áá¨á°áá á¨áááľ á
á á áá¨ááá ááá˛áá˝ ááľáĽ á°áááˇááĄ
msg="Allowed by Policy-3:"
ááŹáą á¨á°áá°á ᨠáĽá áá° áŞáá¤á ááť á°ááłááĄ-
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
á¨á°áá°á á¨á ááŹáľ ááá
WAN á áááá˝ áá° ááá˘áŤá á áľáŤáť áááŤááĄ
msg="send to 2.2.2.2 via intf-WAN1"
áááá°áá ááŹáľ ᣠááá ááá á á°ááłáłá ááááľ áá¨áááá ᣠáá áá° áá á¨áŞáá¤á ááť áááŤá áĽá á á°áᨠá¨áá¨ááá áá°áĽ á áŠá áááŁáá˘
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"
áááľááá˝
á áľá°ááá á°ááŁá áĽá áá°á áá ááš á áááá˝á˘ SD-WAN á¨áááŁáą á ááľ á FortiOS ááľáĽ á¨áá á¨á á¨áŁá ᪠áľáĽáľáĽ áá á áá á°á áĽá áááˇáᢠáááľá á á˛áľ á¨á°áťáťá áśááľáá á¨áááᣠááá áá á¨á°á¨ááá á¨áá¨ááá á á áŤá˘ á¨áᣠá¨á á°á á á°áŤáᢠá áŁá áá á¨á ááłá¨ áá¨áĽ á°ááŁáŤáľ áľáĽáľáĽáŁ ááš áĽá áááá ááá á¨áá á¨áľá á áááá˝á˘ áá áŤá á á¨á¤áľá˛-áá á á áŤá˘áá˝ á¨áááľ ááłá¨áť áŞáá¤á á áá ááłáŞáŤáá˝ áá á áá¸á?
á¨á°á áááľ á°á¨á 80. FortiGate á¨á¨áá°á á¨áá¨ááá áááľááá˝ á ááą ááᢠá á áááá¨áĽ áá áá¨áááá˝á á áááááľ áĽá á ááľá°áłá°á áá áĽá ááłááśá˝ á á, áĽá á áľáŤ áá áŤá ááľáĽ á¨áťáŠá áááľááá˝ á áľááľáá á¨á°ááŁá አáĽá á¨á°á áááľ áŁáááŤáá˝ á á.
áSD-WAN á°ááŁá áᎠááᢠá FortiGate áá á¨SD-WAN á ááłá¨ áá¨áĽ ááááŁáľ áá°á á á¨WAN á ááłá¨ áá¨áĽá á¨ááááŁáľ áá á°ááłáłá áá áŤáľá¨áááᣠááááŤáąá á¨á¤áľá˛-WAN á°ááŁáá ááá°áá á ááá á°á¨á᪠áááśá˝ á áŤáľááááá˘
áá á°á á¨ááá˘áŤ ááá ááᢠááá˛ááľ áá°ááŤáŠ á¨á áááá á°á¨ááá˝ áĽáŠ á¨ááłáŞáŤáá˝ á°á¨á á áá. áľááš áĽá á áŁá ááŤá˝ áá´áá˝ á˘áŽá ááá á¨á˝áŤá áŚáłá á 3-5 á°áŤá°áá˝ áááľááľ á áŁá á°áľáá áá¸á. áĽá áťáŽá˝ á ááá áĽáá˛á ááááľ áá á°á á ááťá¸á áĽá á°ááŁáŁá áá´áá˝ á¨áá¸áá.
á¨áá°á á áááá áĄáĄ á¨á¤áľá˛-WAN á°ááŁáá áá° á¨áľáŤáá áááŁá á ááááľ áŠáŁááŤá áአSD-WAN ASIC áĽáá˛áá á áľá˝ááłáᣠááá á ááľáá áááŁáá á¨á¤áľá˛-WAN á á áŤá á¨áá¨áááá á á ááá á ááťá¸á á ááááľáá˘
á ááá˛ááľ ááłáŞáŤáá˝ áá áááá á˘áŽ á¨áá°áá á á˝ááł. áĽááá áĽááľ áá¨áááᣠááá¨áŞáŤáá˝áŁ á¨áá áá ááłá¨áť ááĽáŚá˝ áá¸áᢠáĽáá˛á ááááą á˘áŽ áááľá°áłá°á ááá áĽá ááš áá - ááá¨áŞáŤáá˝ áĽá á¨ááłá¨áť ááĽáŚá˝ á áá¨ááá áá á¨á°áááᥠáĽá á¨áá°áłá°áŠ áá¸á. áááłáᣠáá á ááĽáŞáŤ / ááĽá፠á¨áááŁá á¨á á¨áá¨ááá á áááá˝ á¨ááá¨áŞáŤ áá°áĽ áá áááľá áá˝áááĄ-
á¨áááŁá áŞáŤáá˝ áĽáĽá¨áľ áĽáá° á ááľ á¨ááľááľ ááĽáĽ. áťáŠ áŤáą á áá
áá áŤá°áŠáŤá, ááá áá áá
á á¨áá áĽá
á á°áĽá áá ፠áá˝áá, ááááŤáąá á°ááŁáŁáŞáá˝ ááá¸á áťáŽá˝, áĽááłá¸áá ááťáťá áá¨ááἠááŤá˝ áá, áĽááá áá á áááŁá á á¨áŁá˘ ááľáĽ á ááľá°á áá á áŤáá á¨áŽáááŠá°á ááĽáśá˝ áá.
áá áááá
á áááŁá áŞáŤ á ááŽááá áĽá á áłáł á ááŽááá ááŤá¨á ááá áááŤá¨áľ á¨ááá˘. áá áááľ á ááłá¨ áá¨áĄ á áĽá áááá á áá áľ ááá áá°á á˛á áŤááľá áŁá áá á¨á áľá°áłáłáŞ ááłáŞáŤáá˝á - FortiManager. áĽáá˛á ááááąá áááŤá¨áľ áá°áá አáťáŽá˝ á ááłá¨ áá¨áĄ áŤáą á°á°áĽáľá§áᢠá áľá°áłáłáŞá á¨áŤáąá áśááá ááľá°áŤá¨á áĽáť ááᣠá¨áá ááá á¨áá áŚáł áá¨áá¨áᣠááá á°á¨á᪠ááá áĽáť áááá áá˝ááᢠááá á¨ááá˛áááá áľáŤáá áŤááľ áá¨áááá áĽáť áłááá ááĽáŞáŤá ááĽá፠áĽá á¨áá áá ááłá¨áť ááĽáŚá˝á áááľá áááá ááľááá ááľá°áłá°á á¨áá˝á ááá ááá˘
áááłá á¨ááĽáĽá áá¨áá. áŁá áá ááłáŞáŤáá˝ á¨á ááłá¨ áá¨áĽ áá áá á áŤáľ á°á áááľáŤáľ áĽá á áá á¨ááá á áááá¸á á¨á ááłá¨ áá¨áĽ á áľá°áłá°á á¨á¤áľá˛-WAN ááá˘áŤ áá á áľááš áá¨ááŤáᢠá áá á áŠáᣠáťáŠ ááááŞáŤ á¨ááááá ááá¨ááá áŚááŹá˛áá á˛áľá°á áĽáť áľááá (áá˛áŤáá ááá áá áľáááŤáľá˝áá) áĽá á¨á፠á áá á¨á áľá°áłá°á áľáááąá á á áľáááá áááááá˝ áľááá¨áá á á˛áľ á°ááŁá á ááĽááľ ááááá˘
á ááłááľ á°ááŁáŤáľ á¨áľááá ááľáአááá áá˝áá, ááá áá á¨áľá á áááá˝ á áááá. á ááłááľ áá á ááľ ááá ááááá áá° áľááá ááľáá ááľáĽ áááŁáľ á áŁá á áľá᪠á áá°áá, ááá áá á ááľ á°á á¨áľááá ááľáአááľáĽ á¨áá ááá áĽááłááá¨á á áľá á áááá˝ ááľáĽ áááá¨áľ áŤáľááŤá. áá áá áĽááá áá á á á˛áśáš áŁá áŞáá˝ áá áá áŤá áĽá ááľ á áᾠᣠá ââFortiOS ááááὠᣠá¨áľá á áááá˝ á˝ááłáá˝ á°áťá˝áááá˘
á°áľáá áá
áĽá á áááŤáá˝ áááá¸á. á 8-10 á áááŤáá˝ á ááłá¨áá¨áĽ áá ááľáĽáľáĽ ááá¨áá á áŤááľ áŤáá á¨á¤áľá˛-áá áááľá áá°áá á áťááá ááŤáľá¨ááá áá˝áá - ááá¨áá áááá˝á áááľá°áááľ á SD-WAN ááłáŞáŤáá˝ áĽá á¨áášáá á˛áľá°á ááĽáśá˝ áááśá˝ áá áááἠáááŁáľ ááááĽááłá ᢠá ááľ áľáá˝ áŠáŁá፠áĽááá áá áá á¨áŽáááŠá°á ááĽáśá˝ ááľá ááᢠá ááá˛ááľ ááłá áá á ááá áá¨áááá˝á ááááľ á á áá.
áĽá áľááá˝ á áááŤáá˝ ááá¸áᢠááĽá á á áŤá˘áá˝áŁ ááĽáŤááłááą á áááŤá áŤáá áá á°áá á¨áááľá áá á áŁá á¨áá°á áá áĽá á¨áá á°áá á áááľ á ááá áľáŠá¨áľ á¨ááľáĽ áááá áá˝ááᢠFortinet áľááá˝ ááłáŞáŤáá˝á á áŁá á ááŤáá áá áŤáááŁá.
áá á áŁá áŠá
ááááἠááá áááá. á¤áľá˛-ááá á¨á°ááŁáŁáŞáá˝ áá áá°áá áᣠá¨áŁáá¤áľááľ ááááá áĽá á á˛áľ á¨ááľááá áĽá
áľ áĽá á áľá°áłá°á á ááŤá¨áĽ áá ááłááľ á°áá áá˝ á áŁá áľáá
áĽááá ááá áá˝ááᢠá áá, áĽáá˛á
ááááą á á°ááŁá á á áá¨á¨áť á¨áááá ááľááŽá˝á áĽá á¨á áľá°áłáłáŞáá˝á áľáŤ ááááťá¸áľ áá¨áłá, ááá áá á ááááŞáŤ áĽá á áłá˛áľ áááŽá˝á ááá á ááĽááľ. áááŤáłáá ááἠáá ááá ááááᣠááá áá á¨áááŁá˘áŤ áťáááťá¸á á¨á áá ááááá
áááááᣠá¨ááá˛ááľ á¨áááá áááľá áľááá ááá˘
ááá: hab.com