Κρίνοντας από τον αριθμό των ερωτήσεων που άρχισαν να μας έρχονται μέσω SD-WAN, η τεχνολογία έχει αρχίσει να εδραιώνεται πλήρως στη Ρωσία. Οι πωλητές, φυσικά, δεν κοιμούνται και προσφέρουν τις ιδέες τους και κάποιοι γενναίοι πρωτοπόροι τις εφαρμόζουν ήδη στα δίκτυά τους.
Συνεργαζόμαστε σχεδόν με όλους τους προμηθευτές και για αρκετά χρόνια στο εργαστήριό μας κατάφερα να εμβαθύνω στην αρχιτεκτονική κάθε σημαντικού προγραμματιστή λύσεων που καθορίζονται από λογισμικό. Το SD-WAN της Fortinet ξεχωρίζει εδώ, το οποίο απλώς ενσωματώνει τη λειτουργικότητα της εξισορρόπησης της κυκλοφορίας μεταξύ των καναλιών επικοινωνίας στο λογισμικό του τείχους προστασίας. Η λύση είναι μάλλον δημοκρατική, επομένως συνήθως εξετάζεται από εταιρείες που δεν είναι ακόμη έτοιμες για παγκόσμιες αλλαγές, αλλά θέλουν να χρησιμοποιήσουν τα κανάλια επικοινωνίας τους πιο αποτελεσματικά.
Σε αυτό το άρθρο θέλω να σας πω πώς να ρυθμίσετε και να εργαστείτε με το SD-WAN από την Fortinet, για ποιον είναι κατάλληλη αυτή η λύση και ποιες παγίδες μπορεί να συναντήσετε εδώ.
Οι πιο εξέχοντες παίκτες στην αγορά SD-WAN μπορούν να ταξινομηθούν σε έναν από τους δύο τύπους:
1. Εκκινήσεις που έχουν δημιουργήσει λύσεις SD-WAN από την αρχή. Τα πιο επιτυχημένα από αυτά λαμβάνουν τεράστια ώθηση για ανάπτυξη αφού αγοράζονται από μεγάλες εταιρείες - αυτή είναι η ιστορία των Cisco/Viptela, VMWare/VeloCloud, Nuage/Nokia
2. Μεγάλοι προμηθευτές δικτύου που έχουν δημιουργήσει λύσεις SD-WAN, αναπτύσσοντας τη δυνατότητα προγραμματισμού και διαχείρισης των παραδοσιακών δρομολογητών τους - αυτή είναι η ιστορία της Juniper, της Huawei
Η Fortinet κατάφερε να βρει τον δρόμο της. Το λογισμικό τείχους προστασίας είχε ενσωματωμένη λειτουργικότητα που επέτρεπε τον συνδυασμό των διεπαφών τους σε εικονικά κανάλια και την εξισορρόπηση του φορτίου μεταξύ τους χρησιμοποιώντας πολύπλοκους αλγόριθμους σε σύγκριση με τη συμβατική δρομολόγηση. Αυτή η λειτουργία ονομάστηκε SD-WAN. Μπορεί αυτό που Fortinet έκανε να ονομαστεί SD-WAN; Η αγορά κατανοεί σταδιακά ότι το Software-Defined σημαίνει τον διαχωρισμό του επιπέδου ελέγχου από το επίπεδο δεδομένων, των αποκλειστικών ελεγκτών και των ενορχηστρωτών. Το Fortinet δεν έχει κάτι τέτοιο. Η κεντρική διαχείριση είναι προαιρετική και προσφέρεται μέσω του παραδοσιακού εργαλείου Fortimanager. Αλλά κατά τη γνώμη μου, δεν πρέπει να ψάχνετε για αφηρημένη αλήθεια και να χάνετε χρόνο διαφωνώντας για όρους. Στον πραγματικό κόσμο, κάθε προσέγγιση έχει τα πλεονεκτήματα και τα μειονεκτήματά της. Η καλύτερη διέξοδος είναι να τα κατανοήσετε και να είστε σε θέση να επιλέξετε λύσεις που αντιστοιχούν στις εργασίες.
Θα προσπαθήσω να σας πω με στιγμιότυπα οθόνης στο χέρι πώς είναι το SD-WAN από το Fortinet και τι μπορεί να κάνει.
Πώς λειτουργούν όλα
Ας υποθέσουμε ότι έχετε δύο κλάδους συνδεδεμένους με δύο κανάλια δεδομένων. Αυτοί οι σύνδεσμοι δεδομένων συνδυάζονται σε μια ομάδα, παρόμοια με τον τρόπο που οι κανονικές διεπαφές Ethernet συνδυάζονται σε ένα LACP-Port-Channel. Οι παλιοί θα θυμούνται το PPP Multilink - επίσης μια κατάλληλη αναλογία. Τα κανάλια μπορεί να είναι φυσικές θύρες, VLAN SVI, καθώς και σήραγγες VPN ή GRE.
Το VPN ή το GRE χρησιμοποιούνται συνήθως κατά τη σύνδεση τοπικών δικτύων υποκαταστημάτων μέσω Διαδικτύου. Και φυσικές θύρες - εάν υπάρχουν συνδέσεις L2 μεταξύ τοποθεσιών ή κατά τη σύνδεση μέσω αποκλειστικού MPLS/VPN, εάν είμαστε ικανοποιημένοι με τη σύνδεση χωρίς επικάλυψη και κρυπτογράφηση. Ένα άλλο σενάριο στο οποίο χρησιμοποιούνται φυσικές θύρες σε μια ομάδα SD-WAN είναι η εξισορρόπηση της τοπικής πρόσβασης των χρηστών στο Διαδίκτυο.
Στο περίπτερό μας υπάρχουν τέσσερα τείχη προστασίας και δύο σήραγγες VPN που λειτουργούν μέσω δύο «τελεστών επικοινωνίας». Το διάγραμμα μοιάζει με αυτό:
Οι σήραγγες VPN έχουν διαμορφωθεί σε λειτουργία διασύνδεσης έτσι ώστε να είναι παρόμοιες με τις συνδέσεις σημείου προς σημείο μεταξύ συσκευών με διευθύνσεις IP σε διασυνδέσεις P2P, οι οποίες μπορούν να πληκτρολογηθούν για να διασφαλιστεί ότι η επικοινωνία μέσω μιας συγκεκριμένης σήραγγας λειτουργεί. Για να είναι κρυπτογραφημένη η κίνηση και να πάει στην απέναντι πλευρά, αρκεί να την δρομολογήσετε μέσα στο τούνελ. Η εναλλακτική είναι να επιλέξετε κίνηση για κρυπτογράφηση χρησιμοποιώντας λίστες υποδικτύων, γεγονός που προκαλεί μεγάλη σύγχυση στον διαχειριστή καθώς η διαμόρφωση γίνεται πιο περίπλοκη. Σε ένα μεγάλο δίκτυο, μπορείτε να χρησιμοποιήσετε την τεχνολογία ADVPN για να δημιουργήσετε ένα VPN· αυτό είναι ένα ανάλογο του DMVPN της Cisco ή του DVPN της Huawei, που επιτρέπει την ευκολότερη εγκατάσταση.
Διαμόρφωση VPN από ιστότοπο σε ιστότοπο για δύο συσκευές με δρομολόγηση BGP και στις δύο πλευρές
«ЦОД» (DC)
«Филиал» (BRN)
config system interface
edit "WAN1"
set vdom "Internet"
set ip 1.1.1.1 255.255.255.252
set allowaccess ping
set role wan
set interface "DC-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 3.3.3.1 255.255.255.252
set allowaccess ping
set role lan
set interface "DC-BRD"
set vlanid 112
next
edit "BRN-Ph1-1"
set vdom "Internet"
set ip 192.168.254.1 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.2 255.255.255.255
set interface "WAN1"
next
edit "BRN-Ph1-2"
set vdom "Internet"
set ip 192.168.254.3 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.4 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "BRN-Ph1-1"
set interface "WAN1"
set local-gw 1.1.1.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 2.2.2.1
set psksecret ***
next
edit "BRN-Ph1-2"
set interface "WAN2"
set local-gw 3.3.3.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 4.4.4.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "BRN-Ph2-1"
set phase1name "BRN-Ph1-1"
set proposal aes256-sha256
set dhgrp 2
next
edit "BRN-Ph2-2"
set phase1name "BRN-Ph1-2"
set proposal aes256-sha256
set dhgrp 2
next
end
config router static
edit 1
set gateway 1.1.1.2
set device "WAN1"
next
edit 3
set gateway 3.3.3.2
set device "WAN2"
next
end
config router bgp
set as 65002
set router-id 10.1.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.2"
set remote-as 65003
next
edit "192.168.254.4"
set remote-as 65003
next
end
config network
edit 1
set prefix 10.1.0.0 255.255.0.0
next
end
config system interface
edit "WAN1"
set vdom "Internet"
set ip 2.2.2.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 4.4.4.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 114
next
edit "DC-Ph1-1"
set vdom "Internet"
set ip 192.168.254.2 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.1 255.255.255.255
set interface "WAN1"
next
edit "DC-Ph1-2"
set vdom "Internet"
set ip 192.168.254.4 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.3 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "DC-Ph1-1"
set interface "WAN1"
set local-gw 2.2.2.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 1.1.1.1
set psksecret ***
next
edit "DC-Ph1-2"
set interface "WAN2"
set local-gw 4.4.4.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 3.3.3.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "DC-Ph2-1"
set phase1name "DC-Ph1-1"
set proposal aes128-sha1
set dhgrp 2
next
edit "DC2-Ph2-2"
set phase1name "DC-Ph1-2"
set proposal aes128-sha1
set dhgrp 2
next
end
config router static
edit 1
set gateway 2.2.2.2
et device "WAN1"
next
edit 3
set gateway 4.4.4.2
set device "WAN2"
next
end
config router bgp
set as 65003
set router-id 10.200.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.1"
set remote-as 65002
next
edit "192.168.254.3"
set remote-as 65002
next
end
config network
edit 1
set prefix 10.200.0.0 255.255.0.0
next
end
Παρέχω τη διαμόρφωση σε μορφή κειμένου, επειδή, κατά τη γνώμη μου, είναι πιο βολικό να διαμορφώσετε το VPN με αυτόν τον τρόπο. Σχεδόν όλες οι ρυθμίσεις είναι ίδιες και στις δύο πλευρές· σε μορφή κειμένου μπορούν να γίνουν ως αντιγραφή-επικόλληση. Εάν κάνετε το ίδιο πράγμα στη διεπαφή ιστού, είναι εύκολο να κάνετε λάθος - ξεχάστε κάπου ένα σημάδι επιλογής, εισαγάγετε τη λάθος τιμή.
Αφού προσθέσαμε τις διεπαφές στο πακέτο
όλες οι διαδρομές και οι πολιτικές ασφαλείας μπορούν να αναφέρονται σε αυτό και όχι στις διεπαφές που περιλαμβάνονται σε αυτό. Τουλάχιστον, πρέπει να επιτρέψετε την κυκλοφορία από τα εσωτερικά δίκτυα στο SD-WAN. Όταν δημιουργείτε κανόνες για αυτούς, μπορείτε να εφαρμόσετε προστατευτικά μέτρα όπως αποκάλυψη IPS, προστασία από ιούς και HTTPS.
Οι κανόνες SD-WAN έχουν ρυθμιστεί για το πακέτο. Αυτοί είναι κανόνες που ορίζουν τον αλγόριθμο εξισορρόπησης για συγκεκριμένη κίνηση. Μοιάζουν με τις πολιτικές δρομολόγησης στη δρομολόγηση βάσει πολιτικής, μόνο ως αποτέλεσμα της επισκεψιμότητας που εμπίπτει στην πολιτική, δεν είναι εγκατεστημένο το επόμενο βήμα ή η συνηθισμένη εξερχόμενη διεπαφή, αλλά οι διεπαφές που προστίθενται στο πακέτο SD-WAN plus έναν αλγόριθμο εξισορρόπησης κυκλοφορίας μεταξύ αυτών των διεπαφών.
Η κίνηση μπορεί να διαχωριστεί από τη γενική ροή με πληροφορίες L3-L4, από αναγνωρισμένες εφαρμογές, υπηρεσίες Διαδικτύου (URL και IP), καθώς και από αναγνωρισμένους χρήστες σταθμών εργασίας και φορητών υπολογιστών. Μετά από αυτό, ένας από τους ακόλουθους αλγόριθμους εξισορρόπησης μπορεί να εκχωρηθεί στην εκχωρημένη κίνηση:
Στη λίστα Προτιμήσεις διεπαφής, επιλέγονται αυτές οι διεπαφές από αυτές που έχουν ήδη προστεθεί στο πακέτο που θα εξυπηρετούν αυτόν τον τύπο επισκεψιμότητας. Προσθέτοντας όχι όλες τις διεπαφές, μπορείτε να περιορίσετε ακριβώς ποια κανάλια χρησιμοποιείτε, για παράδειγμα, email, εάν δεν θέλετε να επιβαρύνετε τα ακριβά κανάλια με υψηλό SLA με αυτό. Στο FortiOS 6.4.1, κατέστη δυνατή η ομαδοποίηση διεπαφών που προστέθηκαν στη δέσμη SD-WAN σε ζώνες, δημιουργώντας, για παράδειγμα, μια ζώνη για επικοινωνία με απομακρυσμένους ιστότοπους και μια άλλη για τοπική πρόσβαση στο Διαδίκτυο χρησιμοποιώντας NAT. Ναι, ναι, η κίνηση που πηγαίνει στο κανονικό Διαδίκτυο μπορεί επίσης να εξισορροπηθεί.
Σχετικά με τους αλγόριθμους εξισορρόπησης
Όσον αφορά τον τρόπο με τον οποίο το Fortigate (ένα τείχος προστασίας από το Fortinet) μπορεί να μοιράσει την κυκλοφορία μεταξύ των καναλιών, υπάρχουν δύο ενδιαφέρουσες επιλογές που δεν είναι πολύ κοινές στην αγορά:
Χαμηλότερο κόστος (SLA) – από όλες τις διεπαφές που ικανοποιούν το SLA αυτή τη στιγμή, επιλέγεται αυτή με το χαμηλότερο βάρος (κόστος), που έχει οριστεί χειροκίνητα από τον διαχειριστή. αυτή η λειτουργία είναι κατάλληλη για «μαζική» κίνηση, όπως δημιουργία αντιγράφων ασφαλείας και μεταφορά αρχείων.
Καλύτερη ποιότητα (SLA) – αυτός ο αλγόριθμος, εκτός από τη συνήθη καθυστέρηση, το jitter και την απώλεια πακέτων Fortigate, μπορεί επίσης να χρησιμοποιήσει το τρέχον φορτίο καναλιού για την αξιολόγηση της ποιότητας των καναλιών. Αυτή η λειτουργία είναι κατάλληλη για ευαίσθητη κίνηση, όπως VoIP και τηλεδιάσκεψη.
Αυτοί οι αλγόριθμοι απαιτούν τη ρύθμιση ενός μετρητή απόδοσης καναλιού επικοινωνίας - Performance SLA. Αυτός ο μετρητής παρακολουθεί περιοδικά (διάστημα ελέγχου) πληροφορίες σχετικά με τη συμμόρφωση με το SLA: απώλεια πακέτων, καθυστέρηση (λανθάνουσα κατάσταση) και jitter (jitter) στο κανάλι επικοινωνίας και μπορεί να "απορρίψει" εκείνα τα κανάλια που επί του παρόντος δεν πληρούν τα όρια ποιότητας - χάνουν πάρα πολλά πακέτα ή αντιμετωπίζετε υπερβολική καθυστέρηση. Επιπλέον, ο μετρητής παρακολουθεί την κατάσταση του καναλιού και μπορεί να το αφαιρέσει προσωρινά από το πακέτο σε περίπτωση επανειλημμένης απώλειας αποκρίσεων (αστοχίες πριν από ανενεργό). Όταν γίνει επαναφορά, μετά από πολλές διαδοχικές αποκρίσεις (σύνδεσμος επαναφοράς μετά), ο μετρητής θα επιστρέψει αυτόματα το κανάλι στη δέσμη και τα δεδομένα θα αρχίσουν να μεταδίδονται ξανά μέσω αυτού.
Έτσι φαίνεται η ρύθμιση "μετρητή":
Στη διεπαφή ιστού, τα αιτήματα ICMP-Echo, HTTP-GET και DNS είναι διαθέσιμα ως πρωτόκολλα δοκιμής. Υπάρχουν λίγο περισσότερες επιλογές στη γραμμή εντολών: είναι διαθέσιμες οι επιλογές TCP-echo και UDP-echo, καθώς και ένα εξειδικευμένο πρωτόκολλο μέτρησης ποιότητας - TWAMP.
Τα αποτελέσματα των μετρήσεων μπορούν επίσης να προβληθούν στη διεπαφή ιστού:
Και στη γραμμή εντολών:
Αντιμετώπιση προβλημάτων
Εάν δημιουργήσατε έναν κανόνα, αλλά όλα δεν λειτουργούν όπως αναμενόταν, θα πρέπει να δείτε την τιμή Hit Count στη λίστα Κανόνων SD-WAN. Θα δείξει αν η κίνηση εμπίπτει καθόλου σε αυτόν τον κανόνα:
Στη σελίδα ρυθμίσεων του ίδιου του μετρητή, μπορείτε να δείτε την αλλαγή στις παραμέτρους του καναλιού με την πάροδο του χρόνου. Η διακεκομμένη γραμμή υποδεικνύει την τιμή κατωφλίου της παραμέτρου
Στη διεπαφή ιστού μπορείτε να δείτε πώς κατανέμεται η επισκεψιμότητα με βάση τον όγκο των δεδομένων που μεταδίδονται/λαμβάνονται και τον αριθμό των περιόδων σύνδεσης:
Εκτός από όλα αυτά, υπάρχει μια εξαιρετική ευκαιρία να παρακολουθείτε τη διέλευση των πακέτων με τη μέγιστη λεπτομέρεια. Όταν εργάζεστε σε πραγματικό δίκτυο, η διαμόρφωση της συσκευής συγκεντρώνει πολλές πολιτικές δρομολόγησης, τείχος προστασίας και κατανομή κυκλοφορίας στις θύρες SD-WAN. Όλα αυτά αλληλεπιδρούν μεταξύ τους με πολύπλοκο τρόπο, και παρόλο που ο προμηθευτής παρέχει λεπτομερή μπλοκ διαγράμματα αλγορίθμων επεξεργασίας πακέτων, είναι πολύ σημαντικό να μην μπορούμε να δημιουργήσουμε και να δοκιμάσουμε θεωρίες, αλλά να δούμε πού πηγαίνει πραγματικά η κίνηση.
Για παράδειγμα, το ακόλουθο σύνολο εντολών
diagnose debug flow filter saddr 10.200.64.15
diagnose debug flow filter daddr 10.1.7.2
diagnose debug flow show function-name
diagnose debug enable
diagnose debug trace 2
Σας επιτρέπει να παρακολουθείτε δύο πακέτα με διεύθυνση πηγής 10.200.64.15 και διεύθυνση προορισμού 10.1.7.2.
Κάνουμε ping στο 10.7.1.2 από το 10.200.64.15 δύο φορές και κοιτάμε την έξοδο στην κονσόλα.
Πρώτο πακέτο:
Δεύτερο πακέτο:
Εδώ είναι το πρώτο πακέτο που έλαβε το τείχος προστασίας:
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0."
VDOM – Internet, Proto=1 (ICMP), DMZ-Office – название L3-интерфейса. Type=8 – Echo.
Μια νέα συνεδρία δημιουργήθηκε για αυτόν:
msg="allocate a new session-0006a627"
Και βρέθηκε μια αντιστοίχιση στις ρυθμίσεις πολιτικής δρομολόγησης
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"
Αποδεικνύεται ότι το πακέτο πρέπει να σταλεί σε ένα από τα τούνελ VPN:
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"
Ο ακόλουθος κανόνας αποδοχής εντοπίζεται στις πολιτικές τείχους προστασίας:
msg="Allowed by Policy-3:"
Το πακέτο κρυπτογραφείται και αποστέλλεται στη σήραγγα VPN:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
Το κρυπτογραφημένο πακέτο αποστέλλεται στη διεύθυνση πύλης για αυτήν τη διεπαφή WAN:
msg="send to 2.2.2.2 via intf-WAN1"
Για το δεύτερο πακέτο, όλα γίνονται παρόμοια, αλλά αποστέλλεται σε άλλη σήραγγα VPN και φεύγει από μια διαφορετική θύρα τείχους προστασίας:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"
Πλεονεκτήματα της λύσης
Αξιόπιστη λειτουργικότητα και φιλική προς το χρήστη διεπαφή. Το σύνολο δυνατοτήτων που ήταν διαθέσιμο στο FortiOS πριν από την εμφάνιση του SD-WAN έχει διατηρηθεί πλήρως. Δηλαδή, δεν έχουμε νέο λογισμικό, αλλά ένα ώριμο σύστημα από έναν αποδεδειγμένο προμηθευτή τείχους προστασίας. Με ένα παραδοσιακό σύνολο λειτουργιών δικτύου, μια βολική και εύκολη στην εκμάθηση διεπαφή ιστού. Πόσοι προμηθευτές SD-WAN διαθέτουν, ας πούμε, λειτουργία VPN απομακρυσμένης πρόσβασης σε τελικές συσκευές;
Επίπεδο ασφαλείας 80. Το FortiGate είναι μια από τις κορυφαίες λύσεις τείχους προστασίας. Υπάρχει πολύ υλικό στο Διαδίκτυο για τη δημιουργία και τη διαχείριση τείχη προστασίας και στην αγορά εργασίας υπάρχουν πολλοί ειδικοί σε θέματα ασφάλειας που έχουν ήδη κατακτήσει τις λύσεις του προμηθευτή.
Μηδενική τιμή για τη λειτουργικότητα SD-WAN. Η δημιουργία ενός δικτύου SD-WAN στο FortiGate κοστίζει το ίδιο με τη δημιουργία ενός κανονικού δικτύου WAN σε αυτό, καθώς δεν χρειάζονται πρόσθετες άδειες για την υλοποίηση της λειτουργικότητας SD-WAN.
Χαμηλή τιμή φραγμού εισόδου. Το Fortigate έχει καλή διαβάθμιση συσκευών για διαφορετικά επίπεδα απόδοσης. Τα νεότερα και πιο φθηνά μοντέλα είναι αρκετά κατάλληλα για την επέκταση ενός γραφείου ή ενός σημείου πώλησης από, ας πούμε, 3-5 υπαλλήλους. Πολλοί πωλητές απλά δεν έχουν τόσο χαμηλής απόδοσης και οικονομικά μοντέλα.
Υψηλή απόδοση. Η μείωση της λειτουργικότητας SD-WAN στην εξισορρόπηση κυκλοφορίας επέτρεψε στην εταιρεία να κυκλοφορήσει ένα εξειδικευμένο SD-WAN ASIC, χάρη στο οποίο η λειτουργία SD-WAN δεν μειώνει την απόδοση του τείχους προστασίας στο σύνολό του.
Δυνατότητα υλοποίησης ολόκληρου γραφείου σε εξοπλισμό Fortinet. Αυτά είναι ένα ζευγάρι τείχη προστασίας, διακόπτες, σημεία πρόσβασης Wi-Fi. Ένα τέτοιο γραφείο είναι εύκολο και βολικό στη διαχείριση - οι διακόπτες και τα σημεία πρόσβασης καταχωρούνται σε τείχη προστασίας και διαχειρίζονται από αυτά. Για παράδειγμα, έτσι μπορεί να μοιάζει μια θύρα μεταγωγής από τη διεπαφή τείχους προστασίας που ελέγχει αυτόν τον διακόπτη:
Η έλλειψη ελεγκτών ως μεμονωμένο σημείο αστοχίας. Ο ίδιος ο προμηθευτής εστιάζει σε αυτό, αλλά αυτό μπορεί να ονομαστεί όφελος μόνο εν μέρει, επειδή για εκείνους τους προμηθευτές που έχουν ελεγκτές, η διασφάλιση της ανοχής σφαλμάτων τους είναι φθηνή, τις περισσότερες φορές με την τιμή ενός μικρού όγκου υπολογιστικών πόρων σε ένα περιβάλλον εικονικοποίησης.
Τι να ψάξετε
Δεν υπάρχει διαχωρισμός μεταξύ του επιπέδου ελέγχου και του επιπέδου δεδομένων. Αυτό σημαίνει ότι το δίκτυο πρέπει να διαμορφωθεί είτε χειροκίνητα είτε χρησιμοποιώντας τα παραδοσιακά εργαλεία διαχείρισης που είναι ήδη διαθέσιμα - FortiManager. Για προμηθευτές που έχουν εφαρμόσει έναν τέτοιο διαχωρισμό, το δίκτυο συναρμολογείται μόνο του. Ο διαχειριστής μπορεί να χρειαστεί μόνο να προσαρμόσει την τοπολογία του, να απαγορεύσει κάτι κάπου, τίποτα περισσότερο. Ωστόσο, το ατού του FortiManager είναι ότι μπορεί να διαχειριστεί όχι μόνο τείχη προστασίας, αλλά και διακόπτες και σημεία πρόσβασης Wi-Fi, δηλαδή σχεδόν ολόκληρο το δίκτυο.
Αύξηση ελέγχου υπό όρους. Λόγω του γεγονότος ότι χρησιμοποιούνται παραδοσιακά εργαλεία για την αυτοματοποίηση της διαμόρφωσης δικτύου, η διαχειρισιμότητα του δικτύου με την εισαγωγή του SD-WAN αυξάνεται ελαφρώς. Από την άλλη πλευρά, η νέα λειτουργικότητα γίνεται πιο γρήγορα διαθέσιμη, αφού ο προμηθευτής πρώτα την απελευθερώνει μόνο για το λειτουργικό σύστημα τείχους προστασίας (που καθιστά άμεσα δυνατή τη χρήση του) και μόνο τότε συμπληρώνει το σύστημα διαχείρισης με τις απαραίτητες διεπαφές.
Ορισμένες λειτουργίες μπορεί να είναι διαθέσιμες από τη γραμμή εντολών, αλλά δεν είναι διαθέσιμη από τη διεπαφή ιστού. Μερικές φορές δεν είναι τόσο τρομακτικό να μεταβείτε στη γραμμή εντολών για να διαμορφώσετε κάτι, αλλά είναι τρομακτικό να μην δείτε στη διεπαφή ιστού ότι κάποιος έχει ήδη διαμορφώσει κάτι από τη γραμμή εντολών. Αυτό όμως συνήθως ισχύει για τις πιο πρόσφατες δυνατότητες και σταδιακά, με τις ενημερώσεις του FortiOS, οι δυνατότητες της διεπαφής ιστού βελτιώνονται.
Ποιος θα ταιριάξει
Για όσους δεν έχουν πολλά υποκαταστήματα. Η εφαρμογή μιας λύσης SD-WAN με πολύπλοκα κεντρικά στοιχεία σε ένα δίκτυο 8-10 υποκαταστημάτων μπορεί να μην κοστίσει το κερί - θα πρέπει να ξοδέψετε χρήματα για άδειες για συσκευές SD-WAN και πόρους συστήματος εικονικοποίησης για τη φιλοξενία των κεντρικών στοιχείων. Μια μικρή εταιρεία έχει συνήθως περιορισμένους δωρεάν υπολογιστικούς πόρους. Στην περίπτωση της Fortinet, αρκεί να αγοράσετε απλά τείχη προστασίας.
Για όσους έχουν πολλά μικρά κλαδιά. Για πολλούς προμηθευτές, η ελάχιστη τιμή λύσης ανά υποκατάστημα είναι αρκετά υψηλή και μπορεί να μην είναι ενδιαφέρουσα από την άποψη της επιχείρησης του τελικού πελάτη. Η Fortinet προσφέρει μικρές συσκευές σε πολύ ελκυστικές τιμές.
Για όσους δεν είναι ακόμα έτοιμοι να κάνουν πολύ μακριά. Η εφαρμογή SD-WAN με ελεγκτές, αποκλειστική δρομολόγηση και μια νέα προσέγγιση στο σχεδιασμό και τη διαχείριση δικτύου μπορεί να είναι πολύ μεγάλο βήμα για ορισμένους πελάτες. Ναι, μια τέτοια υλοποίηση θα βοηθήσει τελικά στη βελτιστοποίηση της χρήσης των καναλιών επικοινωνίας και της εργασίας των διαχειριστών, αλλά πρώτα θα πρέπει να μάθετε πολλά νέα πράγματα. Για όσους δεν είναι ακόμη έτοιμοι για μια αλλαγή παραδείγματος, αλλά θέλουν να αποσπάσουν περισσότερα από τα κανάλια επικοινωνίας τους, η λύση από το Fortinet είναι η σωστή.
Πηγή: www.habr.com