تجزیه و تحلیل دموکراتیک ترین SD-WAN: معماری، پیکربندی، مدیریت و مشکلات

با قضاوت بر اساس تعداد سؤالاتی که از طریق SD-WAN به ما می رسد، این فناوری به طور کامل در روسیه ریشه دوانده است. فروشندگان طبیعتاً در خواب نیستند و مفاهیم خود را ارائه می دهند و برخی از پیشگامان شجاع در حال حاضر آنها را در شبکه های خود پیاده سازی می کنند.

ما تقریباً با همه فروشندگان کار می کنیم، و طی چندین سال در آزمایشگاه خود توانستم معماری هر توسعه دهنده اصلی راه حل های نرم افزاری تعریف شده را بررسی کنم. SD-WAN از Fortinet در اینجا کمی فاصله دارد، که به سادگی قابلیت متعادل کردن ترافیک بین کانال های ارتباطی را در نرم افزار فایروال ایجاد می کند. راه حل نسبتاً دموکراتیک است، بنابراین معمولاً توسط شرکت هایی که هنوز آماده تغییرات جهانی نیستند، اما می خواهند از کانال های ارتباطی خود به طور مؤثرتری استفاده کنند، مورد توجه قرار می گیرد.

در این مقاله می خواهم نحوه پیکربندی و کار با SD-WAN از Fortinet را به شما بگویم، این راه حل برای چه کسانی مناسب است و ممکن است در اینجا با چه مشکلاتی روبرو شوید.

برجسته ترین بازیگران در بازار SD-WAN را می توان به یکی از دو نوع طبقه بندی کرد:

1. استارتاپ هایی که راه حل های SD-WAN را از ابتدا ایجاد کرده اند. موفق ترین آنها پس از خرید توسط شرکت های بزرگ انگیزه زیادی برای توسعه دریافت می کنند - این داستان Cisco/Viptela، VMWare/VeloCloud، Nuage/Nokia است.

2. فروشندگان شبکه بزرگی که راه حل های SD-WAN ایجاد کرده اند و برنامه ریزی و مدیریت روترهای سنتی خود را توسعه داده اند - این داستان Juniper، Huawei است.

فورتینت توانست راه خود را پیدا کند. نرم افزار فایروال دارای عملکرد داخلی بود که امکان ترکیب رابط های آنها را در کانال های مجازی و متعادل کردن بار بین آنها با استفاده از الگوریتم های پیچیده در مقایسه با مسیریابی معمولی فراهم می کرد. این قابلیت SD-WAN نام داشت. آیا Fortinet را می توان SD-WAN نامید؟ بازار به تدریج درک می کند که نرم افزار تعریف شده به معنای جداسازی صفحه کنترل از صفحه داده، کنترل کننده های اختصاصی و ارکستراتورها است. فورتینت چنین چیزی ندارد. مدیریت متمرکز اختیاری است و از طریق ابزار سنتی Fortimanager ارائه می شود. اما به نظر من، شما نباید به دنبال حقیقت انتزاعی باشید و وقت خود را با بحث در مورد اصطلاحات تلف کنید. در دنیای واقعی، هر رویکرد مزایا و معایب خود را دارد. بهترین راه این است که آنها را درک کنید و بتوانید راه حل هایی را انتخاب کنید که مطابق با وظایف باشد.

سعی می کنم با اسکرین شات های در دست به شما بگویم SD-WAN از Fortinet چگونه به نظر می رسد و چه کاری می تواند انجام دهد.

چگونه همه چیز کار می کند

بیایید فرض کنیم شما دو شاخه دارید که توسط دو کانال داده به هم متصل شده اند. این پیوندهای داده در یک گروه ترکیب می شوند، مشابه اینکه چگونه رابط های اترنت معمولی در یک کانال LACP-Port-Channel ترکیب می شوند. قدیمی‌ها PPP Multilink را به خاطر خواهند آورد - همچنین یک قیاس مناسب. کانال ها می توانند پورت های فیزیکی، VLAN SVI و همچنین تونل های VPN یا GRE باشند.

VPN یا GRE معمولاً هنگام اتصال شبکه های محلی شعب از طریق اینترنت استفاده می شود. و پورت‌های فیزیکی - اگر اتصالات L2 بین سایت‌ها وجود داشته باشد، یا هنگام اتصال از طریق MPLS/VPN اختصاصی، اگر از اتصال بدون Overlay و رمزگذاری راضی باشیم. سناریوی دیگری که در آن از پورت های فیزیکی در یک گروه SD-WAN استفاده می شود، تعادل دسترسی محلی کاربران به اینترنت است.

در غرفه ما چهار فایروال و دو تونل VPN وجود دارد که از طریق دو "اپراتور ارتباطی" کار می کنند. نمودار به شکل زیر است:

تونل های VPN در حالت رابط پیکربندی شده اند به طوری که شبیه به اتصالات نقطه به نقطه بین دستگاه های دارای آدرس IP در رابط های P2P هستند، که می توان برای اطمینان از اینکه ارتباط از طریق یک تونل خاص کار می کند، پینگ کرد. برای اینکه ترافیک رمزگذاری شود و به طرف مقابل برود کافی است آن را به داخل تونل هدایت کنید. گزینه جایگزین انتخاب ترافیک برای رمزگذاری با استفاده از فهرست‌های زیرشبکه‌ها است که با پیچیده‌تر شدن پیکربندی، مدیر را به شدت گیج می‌کند. در یک شبکه بزرگ، می‌توانید از فناوری ADVPN برای ساخت VPN استفاده کنید؛ این آنالوگ DMVPN از Cisco یا DVPN از Huawei است که امکان نصب آسان‌تر را فراهم می‌کند.

پیکربندی VPN سایت به سایت برای دو دستگاه با مسیریابی BGP در هر دو طرف

«ЦОД» (DC)
«Филиал» (BRN)

config system interface
 edit "WAN1"
  set vdom "Internet"
  set ip 1.1.1.1 255.255.255.252
  set allowaccess ping
  set role wan
  set interface "DC-BRD"
  set vlanid 111
 next
 edit "WAN2"
  set vdom "Internet"
  set ip 3.3.3.1 255.255.255.252
  set allowaccess ping
  set role lan
  set interface "DC-BRD"
  set vlanid 112
 next
 edit "BRN-Ph1-1"
  set vdom "Internet"
  set ip 192.168.254.1 255.255.255.255
  set allowaccess ping
  set type tunnel
  set remote-ip 192.168.254.2 255.255.255.255
  set interface "WAN1"
 next
 edit "BRN-Ph1-2"
  set vdom "Internet"
  set ip 192.168.254.3 255.255.255.255
  set allowaccess ping
  set type tunnel
  set remote-ip 192.168.254.4 255.255.255.255
  set interface "WAN2"
 next
end

config vpn ipsec phase1-interface
 edit "BRN-Ph1-1"
  set interface "WAN1"
  set local-gw 1.1.1.1
  set peertype any
  set net-device disable
  set proposal aes128-sha1
  set dhgrp 2
  set remote-gw 2.2.2.1
  set psksecret ***
 next
 edit "BRN-Ph1-2"
  set interface "WAN2"
  set local-gw 3.3.3.1
  set peertype any
  set net-device disable
  set proposal aes128-sha1
  set dhgrp 2
  set remote-gw 4.4.4.1
  set psksecret ***
 next
end

config vpn ipsec phase2-interface
 edit "BRN-Ph2-1"
  set phase1name "BRN-Ph1-1"
  set proposal aes256-sha256
  set dhgrp 2
 next
 edit "BRN-Ph2-2"
  set phase1name "BRN-Ph1-2"
  set proposal aes256-sha256
  set dhgrp 2
 next
end

config router static
 edit 1
  set gateway 1.1.1.2
  set device "WAN1"
 next
 edit 3
  set gateway 3.3.3.2
  set device "WAN2"
 next
end

config router bgp
 set as 65002
 set router-id 10.1.7.1
 set ebgp-multipath enable
 config neighbor
  edit "192.168.254.2"
   set remote-as 65003
  next
  edit "192.168.254.4"
   set remote-as 65003
  next
 end

 config network
  edit 1
   set prefix 10.1.0.0 255.255.0.0
  next
end

config system interface
 edit "WAN1"
  set vdom "Internet"
  set ip 2.2.2.1 255.255.255.252
  set allowaccess ping
  set role wan
  set interface "BRN-BRD"
  set vlanid 111
 next
 edit "WAN2"
  set vdom "Internet"
  set ip 4.4.4.1 255.255.255.252
  set allowaccess ping
  set role wan
  set interface "BRN-BRD"
  set vlanid 114
 next
 edit "DC-Ph1-1"
  set vdom "Internet"
  set ip 192.168.254.2 255.255.255.255
  set allowaccess ping
  set type tunnel
  set remote-ip 192.168.254.1 255.255.255.255
  set interface "WAN1"
 next
 edit "DC-Ph1-2"
  set vdom "Internet"
  set ip 192.168.254.4 255.255.255.255
  set allowaccess ping
  set type tunnel
  set remote-ip 192.168.254.3 255.255.255.255
  set interface "WAN2"
 next
end

config vpn ipsec phase1-interface
  edit "DC-Ph1-1"
   set interface "WAN1"
   set local-gw 2.2.2.1
   set peertype any
   set net-device disable
   set proposal aes128-sha1
   set dhgrp 2
   set remote-gw 1.1.1.1
   set psksecret ***
  next
  edit "DC-Ph1-2"
   set interface "WAN2"
   set local-gw 4.4.4.1
   set peertype any
   set net-device disable
   set proposal aes128-sha1
   set dhgrp 2
   set remote-gw 3.3.3.1
   set psksecret ***
  next
end

config vpn ipsec phase2-interface
  edit "DC-Ph2-1"
   set phase1name "DC-Ph1-1"
   set proposal aes128-sha1
   set dhgrp 2
  next
  edit "DC2-Ph2-2"
   set phase1name "DC-Ph1-2"
   set proposal aes128-sha1
   set dhgrp 2
  next
end

config router static
 edit 1
  set gateway 2.2.2.2
  et device "WAN1"
 next
 edit 3
  set gateway 4.4.4.2
  set device "WAN2"
 next
end

config router bgp
  set as 65003
  set router-id 10.200.7.1
  set ebgp-multipath enable
  config neighbor
   edit "192.168.254.1"
    set remote-as 65002
   next
  edit "192.168.254.3"
   set remote-as 65002
   next
  end

  config network
   edit 1
    set prefix 10.200.0.0 255.255.0.0
   next
end

من پیکربندی را به صورت متنی ارائه می دهم، زیرا به نظر من، پیکربندی VPN از این طریق راحت تر است. تقریباً همه تنظیمات در هر دو طرف یکسان است؛ به صورت متنی می توان آنها را به صورت کپی پیست انجام داد. اگر همین کار را در رابط وب انجام دهید، اشتباه کردن آسان است - علامت چک را در جایی فراموش کنید، مقدار اشتباه را وارد کنید.

بعد از اینکه اینترفیس ها را به باندل اضافه کردیم

همه مسیرها و سیاست های امنیتی می توانند به آن ارجاع دهند، نه به رابط های موجود در آن. حداقل باید به ترافیک شبکه های داخلی به SD-WAN اجازه دهید. هنگامی که قوانینی را برای آنها ایجاد می کنید، می توانید اقدامات محافظتی مانند افشای IPS، آنتی ویروس و HTTPS را اعمال کنید.

قوانین SD-WAN برای بسته پیکربندی شده است. اینها قوانینی هستند که الگوریتم تعادل را برای ترافیک خاص تعریف می کنند. آنها مشابه خط مشی های مسیریابی در مسیریابی مبتنی بر سیاست هستند، فقط در نتیجه ترافیکی که تحت این خط مشی قرار می گیرد، این هاپ بعدی یا رابط خروجی معمولی نصب نمی شود، بلکه رابط های اضافه شده به بسته SD-WAN پلاس هستند. یک الگوریتم متعادل کننده ترافیک بین این رابط ها.

ترافیک را می توان با اطلاعات L3-L4، با برنامه های کاربردی شناخته شده، خدمات اینترنتی (URL و IP)، و همچنین توسط کاربران شناخته شده ایستگاه های کاری و لپ تاپ ها از جریان عمومی جدا کرد. پس از این، یکی از الگوریتم های تعادل زیر را می توان به ترافیک اختصاص داده شده اختصاص داد:

در لیست ترجیح رابط، آن واسط هایی از آنهایی که قبلاً به بسته اضافه شده اند که این نوع ترافیک را ارائه می دهند انتخاب می شوند. با اضافه کردن همه رابط‌ها، می‌توانید دقیقاً کانال‌هایی را که استفاده می‌کنید، مثلاً ایمیل، محدود کنید، اگر نمی‌خواهید کانال‌های گران‌قیمت را با SLA بالا با آن فشار دهید. در FortiOS 6.4.1، امکان گروه بندی رابط های اضافه شده به بسته SD-WAN در مناطق فراهم شد، به عنوان مثال، یک منطقه برای ارتباط با سایت های راه دور و دیگری برای دسترسی به اینترنت محلی با استفاده از NAT ایجاد شد. بله، بله، ترافیکی که به اینترنت معمولی می رود نیز می تواند متعادل باشد.

درباره تعادل الگوریتم ها

در مورد اینکه چگونه Fortigate (یک فایروال از Fortinet) می تواند ترافیک را بین کانال ها تقسیم کند، دو گزینه جالب وجود دارد که در بازار چندان رایج نیستند:

کمترین هزینه (SLA) - از بین تمام رابط هایی که در حال حاضر SLA را برآورده می کنند، یکی با وزن کمتر (هزینه) که به صورت دستی توسط مدیر تنظیم شده است، انتخاب می شود. این حالت برای ترافیک "انبوه" مانند پشتیبان گیری و انتقال فایل مناسب است.

بهترین کیفیت (SLA) – این الگوریتم علاوه بر تاخیر معمول، جیتر و از دست دادن بسته های فورتیگیت، می تواند از بار کانال فعلی برای ارزیابی کیفیت کانال ها نیز استفاده کند. این حالت برای ترافیک حساس مانند VoIP و ویدئو کنفرانس مناسب است.

این الگوریتم ها نیاز به راه اندازی یک متر عملکرد کانال ارتباطی - Performance SLA دارند. این متر به صورت دوره ای (فاصله بررسی) اطلاعات مربوط به انطباق با SLA را بررسی می کند: از دست دادن بسته، تأخیر و لرزش در کانال ارتباطی، و می تواند کانال هایی را که در حال حاضر آستانه کیفیت را برآورده نمی کنند، «رد کند» - آنها بسته های زیادی را از دست می دهند یا در حال تجربه هستند. تأخیر زیاد علاوه بر این، متر وضعیت کانال را کنترل می کند و در صورت از دست دادن مکرر پاسخ ها (شکست قبل از غیرفعال بودن) می تواند به طور موقت آن را از بسته حذف کند. پس از بازیابی، پس از چندین پاسخ متوالی (پیوند بازیابی پس از آن)، متر به طور خودکار کانال را به بسته نرم افزاری باز می گرداند و داده ها دوباره از طریق آن ارسال می شوند.

تنظیمات "متر" به این صورت است:

در رابط وب، درخواست ICMP-Echo، HTTP-GET و درخواست DNS به عنوان پروتکل های آزمایشی موجود است. گزینه های کمی بیشتر در خط فرمان وجود دارد: گزینه های TCP-echo و UDP-echo و همچنین یک پروتکل اندازه گیری کیفیت تخصصی - TWAMP در دسترس هستند.

نتایج اندازه گیری را می توان در رابط وب نیز مشاهده کرد:

و در خط فرمان:

عیب یابی

اگر یک قانون ایجاد کرده اید، اما همه چیز آنطور که انتظار می رود کار نمی کند، باید به مقدار تعداد ضربه در لیست قوانین SD-WAN نگاه کنید. نشان می دهد که آیا ترافیک اصلاً در این قانون قرار می گیرد یا خیر:

در صفحه تنظیمات خود متر، می توانید تغییر پارامترهای کانال را در طول زمان مشاهده کنید. خط نقطه چین مقدار آستانه پارامتر را نشان می دهد

در رابط وب می توانید نحوه توزیع ترافیک بر اساس میزان داده های ارسالی/دریافتی و تعداد جلسات را مشاهده کنید:

علاوه بر همه اینها، یک فرصت عالی برای ردیابی عبور بسته ها با حداکثر جزئیات وجود دارد. هنگام کار در یک شبکه واقعی، پیکربندی دستگاه بسیاری از سیاست‌های مسیریابی، فایروال و توزیع ترافیک را در بین پورت‌های SD-WAN جمع‌آوری می‌کند. همه اینها به روشی پیچیده با یکدیگر در تعامل هستند، و اگرچه فروشنده بلوک دیاگرام های دقیقی از الگوریتم های پردازش بسته ارائه می دهد، بسیار مهم است که نتوانید نظریه ها را بسازید و آزمایش نکنید، بلکه ببینید ترافیک واقعاً به کجا می رود.

به عنوان مثال، مجموعه دستورات زیر

diagnose debug flow filter saddr 10.200.64.15
diagnose debug flow filter daddr 10.1.7.2
diagnose debug flow show function-name
diagnose debug enable
diagnose debug trace 2

به شما امکان می دهد دو بسته را با آدرس مبدا 10.200.64.15 و آدرس مقصد 10.1.7.2 ردیابی کنید.
10.7.1.2 را از 10.200.64.15 دو بار پینگ می کنیم و به خروجی کنسول نگاه می کنیم.

بسته اول:

بسته دوم:

این اولین بسته دریافت شده توسط فایروال است:
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0."
VDOM – Internet, Proto=1 (ICMP), DMZ-Office – название L3-интерфейса. Type=8 – Echo.

یک جلسه جدید برای او ایجاد شده است:
msg="allocate a new session-0006a627"

و یک تطابق در تنظیمات خط مشی مسیریابی پیدا شد
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"

به نظر می رسد که بسته باید به یکی از تونل های VPN ارسال شود:
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"

قانون مجاز زیر در سیاست های فایروال شناسایی می شود:
msg="Allowed by Policy-3:"

بسته رمزگذاری شده و به تونل VPN ارسال می شود:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1"
func=esp_output4 line=905 msg="IPsec encrypt/auth"

بسته رمزگذاری شده به آدرس دروازه این رابط WAN ارسال می شود:
msg="send to 2.2.2.2 via intf-WAN1"

برای بسته دوم، همه چیز به طور مشابه اتفاق می افتد، اما به تونل VPN دیگری ارسال می شود و از طریق یک پورت فایروال متفاوت خارج می شود:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"

جوانب مثبت راه حل

عملکرد قابل اعتماد و رابط کاربر پسند. مجموعه ویژگی هایی که قبل از ظهور SD-WAN در FortiOS موجود بود، به طور کامل حفظ شده است. یعنی ما نرم‌افزار تازه توسعه‌یافته نداریم، بلکه یک سیستم بالغ از یک فروشنده ثابت شده فایروال داریم. با مجموعه ای سنتی از توابع شبکه، یک رابط وب راحت و آسان برای یادگیری. چند فروشنده SD-WAN مثلاً قابلیت دسترسی از راه دور VPN را در دستگاه های پایانی دارند؟

سطح امنیت 80 FortiGate یکی از بهترین راه حل های فایروال است. مطالب زیادی در اینترنت در مورد راه اندازی و مدیریت فایروال ها وجود دارد و در بازار کار متخصصان امنیتی زیادی وجود دارند که قبلاً بر راه حل های فروشنده تسلط دارند.

قیمت صفر برای عملکرد SD-WAN. هزینه ساخت یک شبکه SD-WAN در FortiGate برابر با ساخت یک شبکه WAN معمولی بر روی آن است، زیرا برای اجرای عملکرد SD-WAN نیازی به مجوز اضافی نیست.

قیمت مانع ورود پایین فورتیگیت درجه بندی خوبی از دستگاه ها برای سطوح مختلف عملکرد دارد. جوان‌ترین و ارزان‌ترین مدل‌ها برای توسعه یک دفتر یا محل فروش، مثلاً 3-5 کارمند، کاملاً مناسب هستند. بسیاری از فروشندگان به سادگی چنین مدل های کم کارایی و مقرون به صرفه ای ندارند.

عملکرد بالا کاهش عملکرد SD-WAN به تعادل ترافیک به شرکت اجازه داد تا یک SD-WAN ASIC تخصصی را منتشر کند که به لطف آن عملکرد SD-WAN عملکرد دیوار آتش را به طور کلی کاهش نمی دهد.

امکان پیاده سازی کل دفتر بر روی تجهیزات Fortinet. اینها یک جفت فایروال، سوئیچ، نقاط دسترسی Wi-Fi هستند. مدیریت چنین دفتری آسان و راحت است - سوئیچ ها و نقاط دسترسی در فایروال ها ثبت می شوند و از آنها مدیریت می شوند. به عنوان مثال، یک پورت سوئیچ ممکن است از رابط فایروال که این سوئیچ را کنترل می کند، شبیه به این باشد:

عدم وجود کنترلرها به عنوان یک نقطه شکست. خود فروشنده روی این موضوع تمرکز می کند، اما این را می توان تنها تا حدی یک مزیت نامید، زیرا برای آن دسته از فروشندگانی که کنترل کننده دارند، اطمینان از تحمل خطای آنها ارزان است، اغلب به قیمت مقدار کمی از منابع محاسباتی در یک محیط مجازی سازی.

چه باید بکنم

بدون جدایی بین Control Plane و Data Plane. این بدان معنی است که شبکه باید به صورت دستی یا با استفاده از ابزارهای مدیریت سنتی موجود - FortiManager - پیکربندی شود. برای فروشندگانی که چنین جداسازی را اجرا کرده اند، شبکه خود مونتاژ می شود. مدیر ممکن است فقط نیاز به تنظیم توپولوژی خود داشته باشد، چیزی را در جایی ممنوع کند، نه بیشتر. با این حال، برگ برنده FortiManager این است که می تواند نه تنها فایروال ها، بلکه سوئیچ ها و نقاط دسترسی Wi-Fi، یعنی تقریباً کل شبکه را مدیریت کند.

افزایش مشروط در قابلیت کنترل با توجه به اینکه از ابزارهای سنتی برای خودکارسازی پیکربندی شبکه استفاده می شود، مدیریت شبکه با معرفی SD-WAN اندکی افزایش می یابد. از سوی دیگر، عملکرد جدید سریعتر در دسترس می شود، زیرا فروشنده ابتدا آن را فقط برای سیستم عامل فایروال منتشر می کند (که بلافاصله استفاده از آن را ممکن می کند) و تنها پس از آن سیستم مدیریت را با رابط های لازم تکمیل می کند.

برخی از عملکردها ممکن است از خط فرمان در دسترس باشد، اما از رابط وب در دسترس نیست. گاهی اوقات رفتن به خط فرمان برای پیکربندی چیزی خیلی ترسناک نیست، اما ترسناک است که در رابط وب مشاهده نکنید که شخصی قبلاً چیزی را از خط فرمان پیکربندی کرده است. اما این معمولاً در مورد جدیدترین ویژگی‌ها صدق می‌کند و به تدریج با به‌روزرسانی‌های FortiOS، قابلیت‌های رابط وب بهبود می‌یابد.

به تناسب

برای کسانی که شعبه های زیادی ندارند. پیاده‌سازی یک راه‌حل SD-WAN با اجزای مرکزی پیچیده در شبکه‌ای از 8-10 شعبه ممکن است هزینه زیادی نداشته باشد - برای میزبانی اجزای مرکزی باید برای مجوزهای دستگاه‌های SD-WAN و منابع سیستم مجازی‌سازی هزینه کنید. یک شرکت کوچک معمولا منابع محاسباتی رایگان محدودی دارد. در مورد فورتی نت، کافی است به سادگی فایروال بخرید.

برای کسانی که شاخه های کوچک زیادی دارند. برای بسیاری از فروشندگان، حداقل قیمت راه حل برای هر شعبه بسیار بالا است و ممکن است از نقطه نظر کسب و کار مشتری نهایی جالب نباشد. Fortinet دستگاه های کوچک را با قیمت های بسیار جذاب ارائه می دهد.

برای کسانی که هنوز آماده قدم گذاشتن خیلی دور نیستند. پیاده‌سازی SD-WAN با کنترل‌کننده‌ها، مسیریابی اختصاصی و رویکردی جدید برای برنامه‌ریزی و مدیریت شبکه ممکن است برای برخی از مشتریان گام بزرگی باشد. بله، چنین پیاده سازی در نهایت به بهینه سازی استفاده از کانال های ارتباطی و کار مدیران کمک می کند، اما ابتدا باید چیزهای جدید زیادی یاد بگیرید. برای کسانی که هنوز برای تغییر پارادایم آماده نیستند، اما می‌خواهند بیشتر از کانال‌های ارتباطی خود استفاده کنند، راه‌حل Fortinet درست است.

منبع: www.habr.com