ፕሮሆስተር > ጦማር > አስተዳደር > የኤስዲ-WAN በጣም ዲሞክራሲያዊ ትንተና፡ አርክቴክቸር፣ ውቅር፣ አስተዳደር እና ወጥመዶች

የኤስዲ-WAN በጣም ዲሞክራሲያዊ ትንተና፡ አርክቴክቸር፣ ውቅር፣ አስተዳደር እና ወጥመዶች

በ SD-WAN በኩል ወደ እኛ መምጣት በጀመሩት የጥያቄዎች ብዛት በመመዘን ቴክኖሎጂው በሩሲያ ውስጥ በደንብ መመስረት ጀምሯል። ሻጮች, በተፈጥሮ, አልተኙም እና ጽንሰ-ሀሳቦቻቸውን ያቀርባሉ, እና አንዳንድ ደፋር አቅኚዎች ቀድሞውኑ በኔትወርካቸው ላይ ተግባራዊ እያደረጉ ነው.

ከሞላ ጎደል ከሁሉም አቅራቢዎች ጋር እንሰራለን፣ እና በላብራቶራችን ውስጥ ከበርካታ አመታት በላይ የሶፍትዌር-የተገለጹ መፍትሄዎችን እያንዳንዱን ዋና ገንቢ አርክቴክቸር በጥልቀት መመርመር ቻልኩ። SD-WAN ከ Fortinet እዚህ ትንሽ ተለያይቷል፣ ይህም በቀላሉ በመገናኛ ቻናሎች መካከል ያለውን ትራፊክ ወደ ፋየርዎል ሶፍትዌር የማመጣጠን ተግባርን ገንብቷል። መፍትሔው ዲሞክራሲያዊ ነው፣ ስለዚህ ብዙውን ጊዜ ለዓለም አቀፍ ለውጦች ገና ዝግጁ ባልሆኑ ኩባንያዎች ይታሰባል ፣ ግን የግንኙነት መስመሮቻቸውን በብቃት ለመጠቀም ይፈልጋሉ።

በዚህ ጽሑፍ ውስጥ ከ ፎርቲኔት ከ SD-WAN ጋር እንዴት እንደሚዋቀሩ እና እንደሚሰሩ ልነግርዎ እፈልጋለሁ, ይህ መፍትሄ ለማን ተስማሚ እንደሆነ እና እዚህ ምን ችግሮች ሊያጋጥሙዎት ይችላሉ.

በ SD-WAN ገበያ ውስጥ በጣም ታዋቂ ተጫዋቾች ከሁለት ዓይነቶች በአንዱ ሊመደቡ ይችላሉ-

1. የ SD-WAN መፍትሄዎችን ከባዶ የፈጠሩ ጅምር። ከእነዚህ ውስጥ በጣም ስኬታማ የሆኑት በትልልቅ ኩባንያዎች ከተገዙ በኋላ ለዕድገት ትልቅ ተነሳሽነት ይቀበላሉ - ይህ የ Cisco / Viptela ፣ VMWare / VeloCloud ፣ Nuage/Nokia ታሪክ ነው ።

2. የ SD-WAN መፍትሄዎችን የፈጠሩ ትላልቅ የአውታረ መረብ አቅራቢዎች፣ የባህላዊ ራውተሮቻቸውን ፕሮግራማዊነት እና አስተዳደርን በማዳበር - ይህ የጁኒፐር ፣ ሁዋዌ ታሪክ ነው።

ፎርቲኔት መንገዱን ማግኘት ችሏል። የፋየርዎል ሶፍትዌሩ በይነገጾቻቸውን ወደ ምናባዊ ቻናሎች በማጣመር እና በመካከላቸው ያለውን ሸክም ከመደበኛው ማዘዋወር ጋር በማነፃፀር ውስብስብ ስልተ ቀመሮችን በመጠቀም ሚዛናዊ ለማድረግ የሚያስችል አብሮ የተሰራ ተግባር ነበረው። ይህ ተግባር SD-WAN ተብሎ ይጠራ ነበር። ምን Fortinet ኤስዲ-WAN ተብሎ ሊጠራ ይችላል? ገበያው ቀስ በቀስ በሶፍትዌር የተበየነ ማለት የቁጥጥር አውሮፕላኑን ከዳታ አውሮፕላን፣ ከወሰኑ ተቆጣጣሪዎች እና ኦርኬስትራዎች መለየት ማለት እንደሆነ እየተረዳ ነው። Fortinet እንደዚህ አይነት ነገር የለውም. የተማከለ አስተዳደር አማራጭ ነው እና በባህላዊው Fortimanager መሳሪያ በኩል ይቀርባል። ግን በእኔ አስተያየት, ረቂቅ እውነትን መፈለግ እና ስለ ውሎች በመከራከር ጊዜ ማጥፋት የለብዎትም. በገሃዱ ዓለም እያንዳንዱ አቀራረብ ጥቅምና ጉዳት አለው። ከሁሉ የተሻለው መንገድ እነሱን መረዳት እና ከተግባሮቹ ጋር የሚዛመዱ መፍትሄዎችን መምረጥ መቻል ነው.

ከፎርቲኔት የመጣው ኤስዲ-ዋን ምን እንደሚመስል እና ምን ማድረግ እንደሚችል በእጃችን ባሉ ቅጽበታዊ ገጽ እይታዎች ልነግርህ እሞክራለሁ።

ሁሉም እንዴት እንደሚሰራ

በሁለት የመረጃ ቻናሎች የተገናኙ ሁለት ቅርንጫፎች እንዳሉህ እናስብ። መደበኛ የኤተርኔት በይነገጽ ወደ LACP-Port-Channel እንዴት እንደሚዋሃዱ እነዚህ የመረጃ ማገናኛዎች በቡድን የተዋሃዱ ናቸው። የድሮ ጊዜ ሰሪዎች ፒፒፒ መልቲሊንክን ያስታውሳሉ - እንዲሁም ተስማሚ ተመሳሳይነት። ቻናሎች አካላዊ ወደቦች፣ VLAN SVI፣ እንዲሁም VPN ወይም GRE ዋሻዎች ሊሆኑ ይችላሉ።

የቅርንጫፍ አካባቢያዊ አውታረ መረቦችን በበይነ መረብ ላይ ሲያገናኙ ቪፒኤን ወይም GRE በተለምዶ ጥቅም ላይ ይውላሉ። እና አካላዊ ወደቦች - በጣቢያዎች መካከል የኤል 2 ግንኙነቶች ካሉ ፣ ወይም በተሰጠ MPLS/VPN ላይ ስንገናኝ ፣ ያለ ተደራቢ እና ምስጠራ ባለው ግንኙነት ከረካን። በኤስዲ-WAN ቡድን ውስጥ አካላዊ ወደቦች ጥቅም ላይ የሚውሉበት ሌላው ሁኔታ የተጠቃሚዎችን የኢንተርኔት አካባቢያዊ ተደራሽነት ማመጣጠን ነው።

በእኛ ቦታ ላይ አራት ፋየርዎሎች እና ሁለት የቪፒኤን ዋሻዎች በሁለት "የመገናኛ ኦፕሬተሮች" በኩል ይሰራሉ. ስዕሉ ይህን ይመስላል።

የኤስዲ-WAN በጣም ዲሞክራሲያዊ ትንተና፡ አርክቴክቸር፣ ውቅር፣ አስተዳደር እና ወጥመዶች

የቪፒኤን ዋሻዎች በበይነገፁ ሞድ ውስጥ የተዋቀሩ በፒ2ፒ በይነገጽ ላይ የአይፒ አድራሻ ባላቸው መሳሪያዎች መካከል ካለው ነጥብ-ወደ-ነጥብ ግንኙነቶች ጋር ተመሳሳይነት አላቸው ፣ ይህም በአንድ የተወሰነ መሿለኪያ በኩል ግንኙነት እየሰራ መሆኑን ለማረጋገጥ ፒንግ ሊደረጉ ይችላሉ። ትራፊኩን ኢንክሪፕት ለማድረግ እና ወደ ተቃራኒው ጎን ለመሄድ, ወደ ዋሻው ውስጥ ማስገባት በቂ ነው. አማራጭ የንዑስ መረቦች ዝርዝሮችን በመጠቀም ምስጠራን ለመምረጥ ትራፊክ መምረጥ ነው, ይህም አወቃቀሩ የበለጠ ውስብስብ እየሆነ ሲመጣ አስተዳዳሪውን በእጅጉ ያደናቅፋል. በትልቅ አውታረመረብ ውስጥ የ ADVPN ቴክኖሎጂን መጠቀም ይችላሉ ቪፒኤን ለመገንባት ይህ የዲኤምቪፒኤን ከሲስኮ ወይም ዲቪፒኤን ከ Huawei የመጣ አናሎግ ነው ይህም በቀላሉ ማዋቀር ያስችላል።

ከጣቢያ-ወደ-ጣቢያ የቪፒኤን ማዋቀር በሁለቱም በኩል BGP ማዞሪያ ላላቸው ሁለት መሳሪያዎች

«ЦОД» (DC)
ФиНиаН (BRN)

config system interface
 edit "WAN1"
  set vdom "Internet"
  set ip 1.1.1.1 255.255.255.252
  set allowaccess ping
  set role wan
  set interface "DC-BRD"
  set vlanid 111
 next
 edit "WAN2"
  set vdom "Internet"
  set ip 3.3.3.1 255.255.255.252
  set allowaccess ping
  set role lan
  set interface "DC-BRD"
  set vlanid 112
 next
 edit "BRN-Ph1-1"
  set vdom "Internet"
  set ip 192.168.254.1 255.255.255.255
  set allowaccess ping
  set type tunnel
  set remote-ip 192.168.254.2 255.255.255.255
  set interface "WAN1"
 next
 edit "BRN-Ph1-2"
  set vdom "Internet"
  set ip 192.168.254.3 255.255.255.255
  set allowaccess ping
  set type tunnel
  set remote-ip 192.168.254.4 255.255.255.255
  set interface "WAN2"
 next
end

config vpn ipsec phase1-interface
 edit "BRN-Ph1-1"
  set interface "WAN1"
  set local-gw 1.1.1.1
  set peertype any
  set net-device disable
  set proposal aes128-sha1
  set dhgrp 2
  set remote-gw 2.2.2.1
  set psksecret ***
 next
 edit "BRN-Ph1-2"
  set interface "WAN2"
  set local-gw 3.3.3.1
  set peertype any
  set net-device disable
  set proposal aes128-sha1
  set dhgrp 2
  set remote-gw 4.4.4.1
  set psksecret ***
 next
end

config vpn ipsec phase2-interface
 edit "BRN-Ph2-1"
  set phase1name "BRN-Ph1-1"
  set proposal aes256-sha256
  set dhgrp 2
 next
 edit "BRN-Ph2-2"
  set phase1name "BRN-Ph1-2"
  set proposal aes256-sha256
  set dhgrp 2
 next
end

config router static
 edit 1
  set gateway 1.1.1.2
  set device "WAN1"
 next
 edit 3
  set gateway 3.3.3.2
  set device "WAN2"
 next
end

config router bgp
 set as 65002
 set router-id 10.1.7.1
 set ebgp-multipath enable
 config neighbor
  edit "192.168.254.2"
   set remote-as 65003
  next
  edit "192.168.254.4"
   set remote-as 65003
  next
 end

 config network
  edit 1
   set prefix 10.1.0.0 255.255.0.0
  next
end

config system interface
 edit "WAN1"
  set vdom "Internet"
  set ip 2.2.2.1 255.255.255.252
  set allowaccess ping
  set role wan
  set interface "BRN-BRD"
  set vlanid 111
 next
 edit "WAN2"
  set vdom "Internet"
  set ip 4.4.4.1 255.255.255.252
  set allowaccess ping
  set role wan
  set interface "BRN-BRD"
  set vlanid 114
 next
 edit "DC-Ph1-1"
  set vdom "Internet"
  set ip 192.168.254.2 255.255.255.255
  set allowaccess ping
  set type tunnel
  set remote-ip 192.168.254.1 255.255.255.255
  set interface "WAN1"
 next
 edit "DC-Ph1-2"
  set vdom "Internet"
  set ip 192.168.254.4 255.255.255.255
  set allowaccess ping
  set type tunnel
  set remote-ip 192.168.254.3 255.255.255.255
  set interface "WAN2"
 next
end

config vpn ipsec phase1-interface
  edit "DC-Ph1-1"
   set interface "WAN1"
   set local-gw 2.2.2.1
   set peertype any
   set net-device disable
   set proposal aes128-sha1
   set dhgrp 2
   set remote-gw 1.1.1.1
   set psksecret ***
  next
  edit "DC-Ph1-2"
   set interface "WAN2"
   set local-gw 4.4.4.1
   set peertype any
   set net-device disable
   set proposal aes128-sha1
   set dhgrp 2
   set remote-gw 3.3.3.1
   set psksecret ***
  next
end

config vpn ipsec phase2-interface
  edit "DC-Ph2-1"
   set phase1name "DC-Ph1-1"
   set proposal aes128-sha1
   set dhgrp 2
  next
  edit "DC2-Ph2-2"
   set phase1name "DC-Ph1-2"
   set proposal aes128-sha1
   set dhgrp 2
  next
end

config router static
 edit 1
  set gateway 2.2.2.2
  et device "WAN1"
 next
 edit 3
  set gateway 4.4.4.2
  set device "WAN2"
 next
end

config router bgp
  set as 65003
  set router-id 10.200.7.1
  set ebgp-multipath enable
  config neighbor
   edit "192.168.254.1"
    set remote-as 65002
   next
  edit "192.168.254.3"
   set remote-as 65002
   next
  end

  config network
   edit 1
    set prefix 10.200.0.0 255.255.0.0
   next
end

አወቃቀሩን በጽሁፍ መልክ እያቀረብኩ ነው, ምክንያቱም በእኔ አስተያየት, ቪፒኤንን በዚህ መንገድ ማዋቀር የበለጠ አመቺ ነው. ከሞላ ጎደል ሁሉም ቅንጅቶች በሁለቱም በኩል አንድ አይነት ናቸው፤ በጽሁፍ መልክ እንደ ኮፒ ለጥፍ ሊደረጉ ይችላሉ። በድር በይነገጽ ውስጥ ተመሳሳይ ነገር ካደረጉ, ስህተት ለመሥራት ቀላል ነው - የሆነ ቦታ ምልክት መርሳት, የተሳሳተ እሴት ያስገቡ.

መገናኛዎችን ወደ ጥቅል ከጨመርን በኋላ

የኤስዲ-WAN በጣም ዲሞክራሲያዊ ትንተና፡ አርክቴክቸር፣ ውቅር፣ አስተዳደር እና ወጥመዶች

ሁሉም መንገዶች እና የደህንነት ፖሊሲዎች ሊያመለክቱ ይችላሉ, እና በውስጡ የተካተቱትን በይነገጾች ላይ አይደለም. ቢያንስ ከውስጥ አውታረ መረቦች ወደ ኤስዲ-WAN ትራፊክ መፍቀድ አለብዎት። ለእነሱ ደንቦችን ሲፈጥሩ እንደ አይፒኤስ፣ ጸረ-ቫይረስ እና HTTPS ይፋ ማድረግን የመሳሰሉ የመከላከያ እርምጃዎችን መተግበር ይችላሉ።

የኤስዲ-WAN በጣም ዲሞክራሲያዊ ትንተና፡ አርክቴክቸር፣ ውቅር፣ አስተዳደር እና ወጥመዶች

የኤስዲ-ዋን ህጎች ለጥቅሉ ተዋቅረዋል። እነዚህ ለተወሰነ ትራፊክ ማመጣጠን ስልተ ቀመርን የሚወስኑ ህጎች ናቸው። በፖሊሲ ላይ የተመሰረተ ማዘዋወር ላይ ካለው የማዞሪያ ፖሊሲዎች ጋር ተመሳሳይ ናቸው፣ በፖሊሲው ስር በወደቀው ትራፊክ ምክንያት ብቻ የተጫነው ቀጣዩ-ሆፕ ወይም የተለመደው የወጪ በይነገጽ ሳይሆን ወደ SD-WAN bundle plus የተጨመሩ በይነገጾች ናቸው። በእነዚህ መገናኛዎች መካከል የትራፊክ ማመጣጠን ስልተ ቀመር።

ትራፊክ ከአጠቃላይ ፍሰቱ በ L3-L4 መረጃ፣ በታወቁ አፕሊኬሽኖች፣ የኢንተርኔት አገልግሎቶች (ዩአርኤል እና አይፒ) እንዲሁም በታወቁ የስራ ጣቢያዎች እና ላፕቶፖች ተጠቃሚዎች ሊለያይ ይችላል። ከዚህ በኋላ፣ ከሚከተሉት የማመጣጠን ስልተ ቀመሮች ውስጥ አንዱ ለተመደበው ትራፊክ ሊመደብ ይችላል።

የኤስዲ-WAN በጣም ዲሞክራሲያዊ ትንተና፡ አርክቴክቸር፣ ውቅር፣ አስተዳደር እና ወጥመዶች

በበይነገጾ ምርጫ ዝርዝር ውስጥ፣ ለእንደዚህ አይነት ትራፊክ የሚያገለግሉ እነዚያ በይነገጾች አስቀድመው ወደ ጥቅል ከተጨመሩት ውስጥ ተመርጠዋል። ሁሉንም በይነገጾች አይደለም በማከል, እርስዎ የሚጠቀሙባቸውን ሰርጦች በትክክል መገደብ ይችላሉ, አለ, ኢሜይል, ከእናንተ ጋር ከፍተኛ SLA ጋር ውድ ሰርጦች መጫን የማይፈልጉ ከሆነ. በፎርቲኦኤስ 6.4.1፣ ወደ ኤስዲ-ዋን ቅርቅብ የተጨመሩ በይነገጾችን ወደ ዞኖች መመደብ ተችሏል፣ ለምሳሌ አንድ ዞን ከርቀት ጣቢያዎች ጋር ለመገናኛ እና ሌላው ደግሞ NATን በመጠቀም ለአካባቢው የኢንተርኔት አገልግሎት መፍጠር። አዎ፣ አዎ፣ ወደ መደበኛው ኢንተርኔት የሚሄድ ትራፊክም ሚዛናዊ ሊሆን ይችላል።

አልጎሪዝምን ስለማመጣጠን

Fortigate (ከፎርቲኔት የመጣ ፋየርዎል) ትራፊክን በሰርጦች መካከል እንዴት እንደሚከፋፈል በተመለከተ በገበያ ላይ በጣም የተለመዱ ያልሆኑ ሁለት አስደሳች አማራጮች አሉ።

ዝቅተኛው ወጪ (ኤስኤልኤ) - በአሁኑ ጊዜ SLA ከሚያረኩ ሁሉም በይነገጾች, ዝቅተኛ ክብደት ያለው (ወጪ), በአስተዳዳሪው በእጅ የተዘጋጀው, ይመረጣል; ይህ ሁነታ ለ "ጅምላ" ትራፊክ እንደ ምትኬ እና የፋይል ዝውውሮች ተስማሚ ነው.

ምርጥ ጥራት (ኤስኤልኤ) - ይህ አልጎሪዝም ፣ ከተለመደው መዘግየት ፣ የፎርቲጌት እሽጎች መጥፋት እና ማጣት በተጨማሪ የአሁኑን የሰርጥ ጭነት በመጠቀም የሰርጦችን ጥራት መገምገም ይችላል ። ይህ ሁነታ እንደ ቪኦአይፒ እና የቪዲዮ ኮንፈረንስ ላሉ ጥንቃቄ የተሞላበት ትራፊክ ተስማሚ ነው።

እነዚህ ስልተ ቀመሮች የግንኙነት ሰርጥ አፈፃፀም መለኪያን ማዋቀር ይፈልጋሉ - የአፈፃፀም SLA። ይህ ሜትር በየጊዜው (የፍተሻ ክፍተት) ስለ SLA ተገዢነት መረጃን ይከታተላል፡ የፓኬት መጥፋት፣ መዘግየት እና በመገናኛ ቻናል ውስጥ ግርግር፣ እና በአሁኑ ጊዜ የጥራት ደረጃዎችን የማያሟሉ ቻናሎችን “ውድቅ ማድረግ” ይችላል - በጣም ብዙ ፓኬቶችን እያጡ ነው ወይም በጣም እያጋጠማቸው ነው። ብዙ መዘግየት። በተጨማሪም ቆጣሪው የሰርጡን ሁኔታ ይከታተላል እና ተደጋጋሚ ምላሾች ቢጠፉ (ከእንቅስቃሴ-አልባነት በፊት ያሉ ውድቀቶች) ለጊዜው ከጥቅሉ ውስጥ ሊያወጣው ይችላል። ወደነበረበት ሲመለስ፣ ከበርካታ ተከታታይ ምላሾች በኋላ (አገናኙን ወደነበረበት መመለስ)፣ ቆጣሪው በራስ ሰር ሰርጡን ወደ ቅርቅቡ ይመልሳል፣ እና ውሂብ እንደገና በእሱ ውስጥ መተላለፍ ይጀምራል።

የ "ሜትር" መቼት ይህን ይመስላል:

የኤስዲ-WAN በጣም ዲሞክራሲያዊ ትንተና፡ አርክቴክቸር፣ ውቅር፣ አስተዳደር እና ወጥመዶች

በድር በይነገጽ፣ ICMP-Echo-request፣ HTTP-GET እና የዲኤንኤስ ጥያቄ እንደ የሙከራ ፕሮቶኮሎች ይገኛሉ። በትእዛዝ መስመር ላይ ትንሽ ተጨማሪ አማራጮች አሉ-TCP-echo እና UDP-echo አማራጮች ይገኛሉ, እንዲሁም ልዩ የጥራት መለኪያ ፕሮቶኮል - TWAMP.

የኤስዲ-WAN በጣም ዲሞክራሲያዊ ትንተና፡ አርክቴክቸር፣ ውቅር፣ አስተዳደር እና ወጥመዶች

የመለኪያ ውጤቶቹ እንዲሁ በድር በይነገጽ ውስጥ ሊታዩ ይችላሉ፡-

የኤስዲ-WAN በጣም ዲሞክራሲያዊ ትንተና፡ አርክቴክቸር፣ ውቅር፣ አስተዳደር እና ወጥመዶች

እና በትእዛዝ መስመር ላይ:

የኤስዲ-WAN በጣም ዲሞክራሲያዊ ትንተና፡ አርክቴክቸር፣ ውቅር፣ አስተዳደር እና ወጥመዶች

ችግርመፍቻ

ህግን ከፈጠሩ ነገር ግን ሁሉም ነገር እንደተጠበቀው የማይሰራ ከሆነ በ SD-WAN ደንቦች ዝርዝር ውስጥ ያለውን የ Hit Count እሴትን መመልከት አለብዎት. ትራፊኩ በዚህ ደንብ ውስጥ መግባቱን ወይም አለመሆኑን ያሳያል፡-

የኤስዲ-WAN በጣም ዲሞክራሲያዊ ትንተና፡ አርክቴክቸር፣ ውቅር፣ አስተዳደር እና ወጥመዶች

በመለኪያው ራሱ የቅንብሮች ገጽ ላይ በጊዜ ሂደት የሰርጥ መለኪያዎችን ለውጥ ማየት ይችላሉ። ነጥብ ያለው መስመር የመለኪያውን የመነሻ ዋጋ ያሳያል

የኤስዲ-WAN በጣም ዲሞክራሲያዊ ትንተና፡ አርክቴክቸር፣ ውቅር፣ አስተዳደር እና ወጥመዶች

በድር በይነገጽ ውስጥ ትራፊክ በሚተላለፈው/በደረሰው የውሂብ መጠን እና በክፍለ-ጊዜዎች ብዛት እንዴት እንደሚከፋፈል ማየት ይችላሉ።

የኤስዲ-WAN በጣም ዲሞክራሲያዊ ትንተና፡ አርክቴክቸር፣ ውቅር፣ አስተዳደር እና ወጥመዶች

ከዚህ ሁሉ በተጨማሪ የፓኬቶችን መተላለፊያ በከፍተኛ ዝርዝር ሁኔታ ለመከታተል በጣም ጥሩ እድል አለ. በእውነተኛ አውታረመረብ ውስጥ በሚሰሩበት ጊዜ የመሣሪያው ውቅር በኤስዲ-WAN ወደቦች ላይ ብዙ የማዞሪያ መመሪያዎችን፣ ፋየርዎልንግ እና የትራፊክ ስርጭትን ያከማቻል። ይህ ሁሉ ውስብስብ በሆነ መንገድ እርስ በርስ ይገናኛል, እና ሻጩ የፓኬት ማቀነባበሪያ ስልተ ቀመሮችን ዝርዝር መግለጫዎችን ቢያቀርብም, ንድፈ ሃሳቦችን መገንባት እና መሞከር አለመቻል በጣም አስፈላጊ ነው, ነገር ግን ትራፊክ በትክክል የት እንደሚሄድ ለማየት.

ለምሳሌ, የሚከተለው የትዕዛዝ ስብስብ

diagnose debug flow filter saddr 10.200.64.15
diagnose debug flow filter daddr 10.1.7.2
diagnose debug flow show function-name
diagnose debug enable
diagnose debug trace 2

10.200.64.15 የምንጭ አድራሻ እና 10.1.7.2 የመድረሻ አድራሻ ያላቸው ሁለት ፓኬቶችን ለመከታተል ይፈቅድልዎታል።
እኛ ፒንግ 10.7.1.2 ከ 10.200.64.15 ሁለት ጊዜ እና በኮንሶል ላይ ያለውን ውጤት እንመለከታለን.

የመጀመሪያ ጥቅል:

የኤስዲ-WAN በጣም ዲሞክራሲያዊ ትንተና፡ አርክቴክቸር፣ ውቅር፣ አስተዳደር እና ወጥመዶች

ሁለተኛ ጥቅል፡

የኤስዲ-WAN በጣም ዲሞክራሲያዊ ትንተና፡ አርክቴክቸር፣ ውቅር፣ አስተዳደር እና ወጥመዶች

በፋየርዎል የተቀበለው የመጀመሪያው ፓኬት ይኸውና፡
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0."
VDOM – Internet, Proto=1 (ICMP), DMZ-Office – название L3-интерфейса. Type=8 – Echo.

ለእሱ አዲስ ክፍለ ጊዜ ተፈጥሯል፡-
msg="allocate a new session-0006a627"

እና በማዘዋወር መመሪያ ቅንብሮች ውስጥ ተዛማጅ ተገኝቷል
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"

ፓኬጁ ወደ አንዱ የቪፒኤን ዋሻዎች መላክ እንዳለበት ታወቀ፡-
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"

የሚከተለው የፈቃድ ህግ በፋየርዎል ፖሊሲዎች ውስጥ ተገኝቷል፡
msg="Allowed by Policy-3:"

ፓኬቱ የተመሰጠረ እና ወደ ቪፒኤን ዋሻ ተልኳል፡-
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1"
func=esp_output4 line=905 msg="IPsec encrypt/auth"

የተመሰጠረው ፓኬት ለዚህ WAN በይነገጽ ወደ መግቢያው አድራሻ ይላካል፡
msg="send to 2.2.2.2 via intf-WAN1"

ለሁለተኛው ፓኬት ፣ ሁሉም ነገር በተመሳሳይ መንገድ ይከናወናል ፣ ግን ወደ ሌላ የቪፒኤን ዋሻ ይላካል እና በተለየ የፋየርዎል ወደብ በኩል ይወጣል።
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"

መፍትሄዎች

አስተማማኝ ተግባር እና ለተጠቃሚ ምቹ በይነገጽ። SD-WAN ከመምጣቱ በፊት በFortiOS ውስጥ የነበረው የባህሪ ስብስብ ሙሉ በሙሉ ተጠብቆ ቆይቷል። ማለትም አዲስ የተሻሻለ ሶፍትዌር የለንም፣ ነገር ግን ከተረጋገጠ የፋየርዎል አቅራቢ የመጣ የበሰለ አሰራር። በባህላዊ የአውታረ መረብ ተግባራት ስብስብ፣ ምቹ እና ለመማር ቀላል የሆነ የድር በይነገጽ። ምን ያህል የኤስዲ-ዋን አቅራቢዎች የርቀት መዳረሻ ቪፒኤን በዋና መሳሪያዎች ላይ አሏቸው?

የደህንነት ደረጃ 80. FortiGate ከከፍተኛ የፋየርዎል መፍትሄዎች አንዱ ነው። በበይነመረብ ላይ ፋየርዎሎችን በማዘጋጀት እና በማስተዳደር ላይ ብዙ ቁሳቁሶች አሉ, እና በስራ ገበያው ውስጥ የሻጩን መፍትሄዎች አስቀድመው የተቆጣጠሩ ብዙ የደህንነት ባለሙያዎች አሉ.

ለSD-WAN ተግባር ዜሮ ዋጋ። በFortiGate ላይ የSD-WAN አውታረ መረብ መገንባት መደበኛ የWAN አውታረ መረብን ከመገንባት ጋር ተመሳሳይ ዋጋ ያስከፍላል፣ ምክንያቱም የኤስዲ-WAN ተግባርን ለመተግበር ምንም ተጨማሪ ፍቃዶች አያስፈልጉም።

ዝቅተኛ የመግቢያ ማገጃ ዋጋ። ፎርቲጌት ለተለያዩ የአፈፃፀም ደረጃዎች ጥሩ የመሳሪያዎች ደረጃ አለው. ትንሹ እና በጣም ርካሽ ሞዴሎች ቢሮን ወይም የሽያጭ ቦታን በ 3-5 ሰራተኞች ለማስፋት በጣም ተስማሚ ናቸው. ብዙ ሻጮች በቀላሉ እንዲህ ዓይነት ዝቅተኛ አፈጻጸም እና ተመጣጣኝ ሞዴሎች የላቸውም.

ከፍተኛ አፈፃፀም ፡፡ የኤስዲ-WAN ተግባርን ወደ የትራፊክ ማመጣጠን መቀነስ ኩባንያው ልዩ SD-WAN ASIC እንዲለቅ አስችሎታል፣ ለዚህም ምስጋና ይግባውና የኤስዲ-WAN አሠራር የፋየርዎሉን አጠቃላይ አፈጻጸም አይቀንስም።

በፎርቲኔት መሳሪያዎች ላይ ሙሉውን ቢሮ የመተግበር ችሎታ. እነዚህ ጥንድ ፋየርዎል፣ መቀየሪያዎች፣ የዋይ ፋይ መዳረሻ ነጥቦች ናቸው። እንዲህ ዓይነቱ ቢሮ ለማስተዳደር ቀላል እና ምቹ ነው - መቀየሪያዎች እና የመዳረሻ ነጥቦች በፋየርዎል ላይ የተመዘገቡ እና የሚተዳደሩ ናቸው. ለምሳሌ፣ ይህን ማብሪያ / ማጥፊያ ከሚቆጣጠረው የፋየርዎል በይነገጽ የመቀየሪያ ወደብ ምን ሊመስል ይችላል፡-

የኤስዲ-WAN በጣም ዲሞክራሲያዊ ትንተና፡ አርክቴክቸር፣ ውቅር፣ አስተዳደር እና ወጥመዶች

የመቆጣጠሪያዎች እጥረት እንደ አንድ የውድቀት ነጥብ. ሻጩ ራሱ በዚህ ላይ ያተኩራል, ነገር ግን ይህ በከፊል ጥቅም ተብሎ ሊጠራ ይችላል, ምክንያቱም ተቆጣጣሪዎች ላላቸው ሻጮች, ጥፋታቸውን መቻቻል ማረጋገጥ ርካሽ ነው, ብዙውን ጊዜ በምናባዊ አከባቢ ውስጥ አነስተኛ መጠን ያለው የኮምፒዩተር ሀብቶች ዋጋ.

ምን መፈለግ

በመቆጣጠሪያ አውሮፕላን እና በዳታ አውሮፕላን መካከል ምንም መለያየት የለም።. ይህ ማለት አውታረ መረቡ በእጅ መዋቀር አለበት ወይም ቀደም ሲል ያሉትን ባህላዊ የአስተዳዳሪ መሳሪያዎችን - FortiManager. እንዲህ ዓይነቱን መለያየት ለተገበሩ ሻጮች አውታረ መረቡ ራሱ ተሰብስቧል። አስተዳዳሪው የራሱን ቶፖሎጂ ማስተካከል ብቻ ነው፣ የሆነ ነገር የሆነ ቦታ መከልከል፣ ምንም ተጨማሪ ነገር ብቻ ሊፈልግ ይችላል። ሆኖም የፎርቲማኔጀር ትራምፕ ካርድ ፋየርዎልን ብቻ ሳይሆን ማብሪያና ማጥፊያ እና የዋይ ፋይ መዳረሻ ነጥቦችን ማለትም መላውን ኔትወርክ ማስተዳደር የሚችል መሆኑ ነው።

ሁኔታዊ የቁጥጥር መጨመር. ባህላዊ መሳሪያዎች የአውታረ መረብ ውቅርን በራስ ሰር ለመስራት ጥቅም ላይ የሚውሉ በመሆናቸው የአውታረ መረብ አስተዳደር ከኤስዲ-WAN መግቢያ ጋር በትንሹ ይጨምራል። በሌላ በኩል፣ ሻጩ መጀመሪያ የሚለቀቀው ለፋየርዎል ኦፕሬቲንግ ሲስተም ብቻ ስለሆነ (ወዲያውኑ ለመጠቀም ስለሚያስችለው) እና ከዚያ በኋላ የአስተዳደር ስርዓቱን በአስፈላጊው መገናኛዎች ስለሚጨምር አዲስ ተግባር በፍጥነት ይገኛል።

አንዳንድ ተግባራት ከትዕዛዝ መስመሩ ሊገኙ ይችላሉ, ነገር ግን ከድር በይነገጽ አይገኝም. አንዳንድ ጊዜ አንድ ነገር ለማዋቀር ወደ ትዕዛዝ መስመር ውስጥ መግባት በጣም አስፈሪ አይደለም, ነገር ግን አንድ ሰው ከትዕዛዝ መስመሩ ውስጥ የሆነ ነገር እንዳዋቀረው በድር በይነገጽ ውስጥ ላለማየት ያስፈራል. ግን ይህ ብዙውን ጊዜ በአዲሶቹ ባህሪዎች ላይ ይሠራል እና ቀስ በቀስ ፣ በ ​​FortiOS ዝመናዎች ፣ የድር በይነገጽ ችሎታዎች ተሻሽለዋል።

ተስማሚ ነው

ብዙ ቅርንጫፎች ለሌላቸው. በ 8-10 ቅርንጫፎች አውታረመረብ ላይ ውስብስብ ማዕከላዊ አካላት ያለው የኤስዲ-ዋን መፍትሄ መተግበር ሻማውን ላያስከፍለው ይችላል - ማዕከላዊ ክፍሎችን ለማስተናገድ ለ SD-WAN መሳሪያዎች እና ቨርቹዋል ሲስተም ሃብቶች ፍቃዶች ላይ ገንዘብ ማውጣት ይኖርብዎታል ። አንድ ትንሽ ኩባንያ ብዙውን ጊዜ ነፃ የኮምፒዩተር ሀብቶች ውስን ነው። በፎርቲኔት ጉዳይ ላይ በቀላሉ ፋየርዎሎችን መግዛት በቂ ነው.

ብዙ ትናንሽ ቅርንጫፎች ላሏቸው። ለብዙ አቅራቢዎች፣ ለእያንዳንዱ ቅርንጫፍ ያለው ዝቅተኛው የመፍትሄ ዋጋ በጣም ከፍተኛ ነው እና ከዋና ደንበኛ ንግድ አንፃር ትኩረት የሚስብ ላይሆን ይችላል። Fortinet ትናንሽ መሳሪያዎችን በጣም በሚያምር ዋጋ ያቀርባል.

ገና በጣም ሩቅ ለመርገጥ ዝግጁ ላልሆኑ. ኤስዲ-ዋንን ከተቆጣጣሪዎች ጋር መተግበር፣ የባለቤትነት ማዘዋወር እና አዲስ የኔትወርክ እቅድ እና አስተዳደር አቀራረብ ለአንዳንድ ደንበኞች በጣም ትልቅ እርምጃ ሊሆን ይችላል። አዎን, እንዲህ ዓይነቱ አተገባበር በመጨረሻ የመገናኛ መስመሮችን እና የአስተዳዳሪዎችን ስራ ለማመቻቸት ይረዳል, ነገር ግን በመጀመሪያ ብዙ አዳዲስ ነገሮችን መማር አለብዎት. ለፓራዳይም ለውጥ ገና ዝግጁ ላልሆኑ፣ ነገር ግን ከመግባቢያ ቻናሎቻቸው የበለጠ ለመጭመቅ ለሚፈልጉ፣ ከፎርቲኔት የሚገኘው መፍትሔ ትክክል ነው።

ምንጭ: hab.com

አስተያየት ያክሉ