SD-WAN ના સૌથી લોકશાહીનું વિશ્લેષણ: આર્કિટેક્ચર, રૂપરેખાંકન, વહીવટ અને મુશ્કેલીઓ

SD-WAN મારફત અમને આવતા પ્રશ્નોની સંખ્યાના આધારે, ટેક્નોલોજીએ રશિયામાં સંપૂર્ણ રીતે રુટ લેવાનું શરૂ કર્યું છે. વિક્રેતાઓ, સ્વાભાવિક રીતે, ઊંઘતા નથી અને તેમની વિભાવનાઓ ઓફર કરે છે, અને કેટલાક બહાદુર અગ્રણીઓ પહેલેથી જ તેમના નેટવર્ક પર તેનો અમલ કરી રહ્યા છે.

અમે લગભગ તમામ વિક્રેતાઓ સાથે કામ કરીએ છીએ, અને અમારી લેબોરેટરીમાં ઘણા વર્ષોથી હું સોફ્ટવેર-વ્યાખ્યાયિત સોલ્યુશન્સના દરેક મોટા ડેવલપરના આર્કિટેક્ચરનો અભ્યાસ કરવામાં સફળ રહ્યો છું. Fortinet થી SD-WAN અહીં થોડું અલગ છે, જેણે ફાયરવોલ સોફ્ટવેરમાં કોમ્યુનિકેશન ચેનલો વચ્ચે ટ્રાફિકને સંતુલિત કરવાની કાર્યક્ષમતા સરળ રીતે બનાવી છે. સોલ્યુશન તેના બદલે લોકશાહી છે, તેથી તે સામાન્ય રીતે એવી કંપનીઓ દ્વારા માનવામાં આવે છે જે હજી વૈશ્વિક ફેરફારો માટે તૈયાર નથી, પરંતુ તેમની સંચાર ચેનલોનો વધુ અસરકારક રીતે ઉપયોગ કરવા માંગે છે.

આ લેખમાં હું તમને જણાવવા માંગુ છું કે ફોર્ટીનેટના SD-WAN સાથે કેવી રીતે ગોઠવવું અને તેની સાથે કામ કરવું, આ સોલ્યુશન કોના માટે યોગ્ય છે અને તમને અહીં કઈ મુશ્કેલીઓ આવી શકે છે.

SD-WAN માર્કેટના સૌથી અગ્રણી ખેલાડીઓને બેમાંથી એક પ્રકારમાં વર્ગીકૃત કરી શકાય છે:

1. શરૂઆતથી SD-WAN સોલ્યુશન્સ બનાવનારા સ્ટાર્ટઅપ્સ. આમાંની સૌથી સફળ કંપનીઓને મોટી કંપનીઓ દ્વારા ખરીદ્યા પછી વિકાસ માટે ભારે પ્રોત્સાહન મળે છે - આ સિસ્કો/વિપ્ટેલા, VMWare/VeloCloud, Nuage/Nokiaની વાર્તા છે

2. મોટા નેટવર્ક વિક્રેતાઓ જેમણે SD-WAN સોલ્યુશન્સ બનાવ્યા છે, તેમના પરંપરાગત રાઉટર્સની પ્રોગ્રામેબિલિટી અને વ્યવસ્થાપનક્ષમતા વિકસાવી છે - આ જ્યુનિપર, Huawei ની વાર્તા છે

ફોર્ટીનેટ તેનો રસ્તો શોધવામાં સફળ રહ્યો. ફાયરવોલ સોફ્ટવેરમાં બિલ્ટ-ઇન કાર્યક્ષમતા હતી જેણે તેમના ઇન્ટરફેસને વર્ચ્યુઅલ ચેનલોમાં જોડવાનું અને પરંપરાગત રૂટીંગની તુલનામાં જટિલ અલ્ગોરિધમનો ઉપયોગ કરીને તેમની વચ્ચેના ભારને સંતુલિત કરવાનું શક્ય બનાવ્યું હતું. આ કાર્યક્ષમતાને SD-WAN કહેવામાં આવતું હતું. શું ફોર્ટીનેટને SD-WAN કહી શકાય? બજાર ધીમે ધીમે સમજી રહ્યું છે કે સૉફ્ટવેર-વ્યાખ્યાયિત એટલે કંટ્રોલ પ્લેનને ડેટા પ્લેન, સમર્પિત નિયંત્રકો અને ઓર્કેસ્ટ્રેટર્સથી અલગ કરવું. Fortinet પાસે એવું કંઈ નથી. કેન્દ્રિય વ્યવસ્થાપન વૈકલ્પિક છે અને પરંપરાગત ફોર્ટીમેનેજર ટૂલ દ્વારા ઓફર કરવામાં આવે છે. પરંતુ મારા મતે, તમારે અમૂર્ત સત્ય શોધવું જોઈએ નહીં અને શરતો વિશે દલીલ કરવામાં સમય બગાડવો જોઈએ નહીં. વાસ્તવિક દુનિયામાં, દરેક અભિગમના તેના ફાયદા અને ગેરફાયદા છે. શ્રેષ્ઠ માર્ગ એ છે કે તેમને સમજવું અને કાર્યોને અનુરૂપ ઉકેલો પસંદ કરવામાં સક્ષમ બનવું.

હું તમને સ્ક્રીનશૉટ્સ સાથે કહેવાનો પ્રયત્ન કરીશ કે Fortinet તરફથી SD-WAN કેવું દેખાય છે અને તે શું કરી શકે છે.

તે બધું કેવી રીતે કાર્ય કરે છે

ચાલો ધારીએ કે તમારી પાસે બે ડેટા ચેનલો દ્વારા જોડાયેલ બે શાખાઓ છે. આ ડેટા લિંક્સને જૂથમાં જોડવામાં આવે છે, જે રીતે નિયમિત ઈથરનેટ ઈન્ટરફેસને LACP-પોર્ટ-ચેનલમાં જોડવામાં આવે છે. જૂના સમયના લોકો PPP મલ્ટિલિંકને યાદ રાખશે - એક યોગ્ય સામ્યતા પણ. ચેનલો ભૌતિક બંદરો, VLAN SVI, તેમજ VPN અથવા GRE ટનલ હોઈ શકે છે.

VPN અથવા GRE નો ઉપયોગ સામાન્ય રીતે ઈન્ટરનેટ પર શાખા સ્થાનિક નેટવર્કને જોડતી વખતે થાય છે. અને ભૌતિક પોર્ટ્સ - જો સાઇટ્સ વચ્ચે L2 કનેક્શન હોય, અથવા સમર્પિત MPLS/VPN પર કનેક્ટ કરતી વખતે, જો અમે ઓવરલે અને એન્ક્રિપ્શન વિના કનેક્શનથી સંતુષ્ટ હોઈએ. અન્ય દૃશ્ય કે જેમાં SD-WAN જૂથમાં ભૌતિક પોર્ટ્સનો ઉપયોગ કરવામાં આવે છે તે વપરાશકર્તાઓની ઇન્ટરનેટની સ્થાનિક ઍક્સેસને સંતુલિત કરે છે.

અમારા સ્ટેન્ડ પર ચાર ફાયરવોલ અને બે VPN ટનલ છે જે બે “કોમ્યુનિકેશન ઓપરેટરો” દ્વારા કાર્યરત છે. ડાયાગ્રામ આના જેવો દેખાય છે:

VPN ટનલને ઈન્ટરફેસ મોડમાં ગોઠવવામાં આવે છે જેથી કરીને તે P2P ઈન્ટરફેસ પરના IP એડ્રેસવાળા ઉપકરણો વચ્ચેના પોઈન્ટ-ટુ-પોઈન્ટ કનેક્શન્સ સમાન હોય છે, જે ચોક્કસ ટનલ દ્વારા સંચાર કાર્ય કરે છે તેની ખાતરી કરવા માટે પિંગ કરી શકાય છે. ટ્રાફિકને એન્ક્રિપ્ટ કરવા અને વિરુદ્ધ બાજુએ જવા માટે, તેને ટનલમાં રૂટ કરવા માટે પૂરતું છે. વિકલ્પ એ છે કે સબનેટની સૂચિનો ઉપયોગ કરીને એન્ક્રિપ્શન માટે ટ્રાફિક પસંદ કરવો, જે રૂપરેખાંકન વધુ જટિલ બનતાં એડમિનિસ્ટ્રેટરને મોટા પ્રમાણમાં મૂંઝવણમાં મૂકે છે. મોટા નેટવર્કમાં, તમે VPN બનાવવા માટે ADVPN તકનીકનો ઉપયોગ કરી શકો છો; આ Cisco તરફથી DMVPN અથવા Huawei તરફથી DVPNનું એનાલોગ છે, જે સરળ સેટઅપ માટે પરવાનગી આપે છે.

બંને બાજુએ BGP રૂટીંગ સાથેના બે ઉપકરણો માટે સાઇટ-ટુ-સાઇટ VPN રૂપરેખા

«ЦОД» (DC)
«Филиал» (BRN)

config system interface
 edit "WAN1"
  set vdom "Internet"
  set ip 1.1.1.1 255.255.255.252
  set allowaccess ping
  set role wan
  set interface "DC-BRD"
  set vlanid 111
 next
 edit "WAN2"
  set vdom "Internet"
  set ip 3.3.3.1 255.255.255.252
  set allowaccess ping
  set role lan
  set interface "DC-BRD"
  set vlanid 112
 next
 edit "BRN-Ph1-1"
  set vdom "Internet"
  set ip 192.168.254.1 255.255.255.255
  set allowaccess ping
  set type tunnel
  set remote-ip 192.168.254.2 255.255.255.255
  set interface "WAN1"
 next
 edit "BRN-Ph1-2"
  set vdom "Internet"
  set ip 192.168.254.3 255.255.255.255
  set allowaccess ping
  set type tunnel
  set remote-ip 192.168.254.4 255.255.255.255
  set interface "WAN2"
 next
end

config vpn ipsec phase1-interface
 edit "BRN-Ph1-1"
  set interface "WAN1"
  set local-gw 1.1.1.1
  set peertype any
  set net-device disable
  set proposal aes128-sha1
  set dhgrp 2
  set remote-gw 2.2.2.1
  set psksecret ***
 next
 edit "BRN-Ph1-2"
  set interface "WAN2"
  set local-gw 3.3.3.1
  set peertype any
  set net-device disable
  set proposal aes128-sha1
  set dhgrp 2
  set remote-gw 4.4.4.1
  set psksecret ***
 next
end

config vpn ipsec phase2-interface
 edit "BRN-Ph2-1"
  set phase1name "BRN-Ph1-1"
  set proposal aes256-sha256
  set dhgrp 2
 next
 edit "BRN-Ph2-2"
  set phase1name "BRN-Ph1-2"
  set proposal aes256-sha256
  set dhgrp 2
 next
end

config router static
 edit 1
  set gateway 1.1.1.2
  set device "WAN1"
 next
 edit 3
  set gateway 3.3.3.2
  set device "WAN2"
 next
end

config router bgp
 set as 65002
 set router-id 10.1.7.1
 set ebgp-multipath enable
 config neighbor
  edit "192.168.254.2"
   set remote-as 65003
  next
  edit "192.168.254.4"
   set remote-as 65003
  next
 end

 config network
  edit 1
   set prefix 10.1.0.0 255.255.0.0
  next
end

config system interface
 edit "WAN1"
  set vdom "Internet"
  set ip 2.2.2.1 255.255.255.252
  set allowaccess ping
  set role wan
  set interface "BRN-BRD"
  set vlanid 111
 next
 edit "WAN2"
  set vdom "Internet"
  set ip 4.4.4.1 255.255.255.252
  set allowaccess ping
  set role wan
  set interface "BRN-BRD"
  set vlanid 114
 next
 edit "DC-Ph1-1"
  set vdom "Internet"
  set ip 192.168.254.2 255.255.255.255
  set allowaccess ping
  set type tunnel
  set remote-ip 192.168.254.1 255.255.255.255
  set interface "WAN1"
 next
 edit "DC-Ph1-2"
  set vdom "Internet"
  set ip 192.168.254.4 255.255.255.255
  set allowaccess ping
  set type tunnel
  set remote-ip 192.168.254.3 255.255.255.255
  set interface "WAN2"
 next
end

config vpn ipsec phase1-interface
  edit "DC-Ph1-1"
   set interface "WAN1"
   set local-gw 2.2.2.1
   set peertype any
   set net-device disable
   set proposal aes128-sha1
   set dhgrp 2
   set remote-gw 1.1.1.1
   set psksecret ***
  next
  edit "DC-Ph1-2"
   set interface "WAN2"
   set local-gw 4.4.4.1
   set peertype any
   set net-device disable
   set proposal aes128-sha1
   set dhgrp 2
   set remote-gw 3.3.3.1
   set psksecret ***
  next
end

config vpn ipsec phase2-interface
  edit "DC-Ph2-1"
   set phase1name "DC-Ph1-1"
   set proposal aes128-sha1
   set dhgrp 2
  next
  edit "DC2-Ph2-2"
   set phase1name "DC-Ph1-2"
   set proposal aes128-sha1
   set dhgrp 2
  next
end

config router static
 edit 1
  set gateway 2.2.2.2
  et device "WAN1"
 next
 edit 3
  set gateway 4.4.4.2
  set device "WAN2"
 next
end

config router bgp
  set as 65003
  set router-id 10.200.7.1
  set ebgp-multipath enable
  config neighbor
   edit "192.168.254.1"
    set remote-as 65002
   next
  edit "192.168.254.3"
   set remote-as 65002
   next
  end

  config network
   edit 1
    set prefix 10.200.0.0 255.255.0.0
   next
end

હું ટેક્સ્ટ ફોર્મમાં રૂપરેખા પ્રદાન કરું છું, કારણ કે, મારા મતે, VPN ને આ રીતે ગોઠવવું વધુ અનુકૂળ છે. લગભગ તમામ સેટિંગ્સ બંને બાજુ સમાન છે; ટેક્સ્ટ સ્વરૂપમાં તેઓ કોપી-પેસ્ટ તરીકે બનાવી શકાય છે. જો તમે વેબ ઈન્ટરફેસમાં સમાન વસ્તુ કરો છો, તો ભૂલ કરવી સરળ છે - ક્યાંક ચેકમાર્ક ભૂલી જાઓ, ખોટું મૂલ્ય દાખલ કરો.

અમે બંડલમાં ઇન્ટરફેસ ઉમેર્યા પછી

તમામ માર્ગો અને સુરક્ષા નીતિઓ તેનો સંદર્ભ લઈ શકે છે, અને તેમાં સમાવિષ્ટ ઈન્ટરફેસનો નહીં. ઓછામાં ઓછા, તમારે આંતરિક નેટવર્કથી SD-WAN પર ટ્રાફિકને મંજૂરી આપવાની જરૂર છે. જ્યારે તમે તેમના માટે નિયમો બનાવો છો, ત્યારે તમે IPS, એન્ટિવાયરસ અને HTTPS ડિસ્ક્લોઝર જેવા રક્ષણાત્મક પગલાં લાગુ કરી શકો છો.

SD-WAN નિયમો બંડલ માટે ગોઠવેલ છે. આ એવા નિયમો છે જે ચોક્કસ ટ્રાફિક માટે સંતુલન અલ્ગોરિધમને વ્યાખ્યાયિત કરે છે. તે નીતિ-આધારિત રૂટીંગમાં રૂટીંગ નીતિઓ જેવી જ છે, માત્ર પોલીસી હેઠળ આવતા ટ્રાફિકના પરિણામે, તે નેક્સ્ટ-હોપ અથવા સામાન્ય આઉટગોઇંગ ઇન્ટરફેસ નથી જે ઇન્સ્ટોલ કરેલું છે, પરંતુ SD-WAN બંડલ પ્લસમાં ઉમેરવામાં આવેલ ઇન્ટરફેસ છે. આ ઇન્ટરફેસો વચ્ચે ટ્રાફિક સંતુલન અલ્ગોરિધમ.

ટ્રાફિકને સામાન્ય પ્રવાહથી L3-L4 માહિતી દ્વારા, માન્ય એપ્લિકેશન્સ, ઈન્ટરનેટ સેવાઓ (URL અને IP), તેમજ વર્કસ્ટેશન અને લેપટોપના માન્ય વપરાશકર્તાઓ દ્વારા અલગ કરી શકાય છે. આ પછી, નીચેના બેલેન્સિંગ અલ્ગોરિધમ્સમાંથી એક ફાળવેલ ટ્રાફિકને સોંપી શકાય છે:

ઈન્ટરફેસ પ્રેફરન્સ લિસ્ટમાં, પહેલાથી બંડલમાં ઉમેરાયેલા ઈન્ટરફેસમાંથી તે ઈન્ટરફેસ પસંદ કરવામાં આવ્યા છે જે આ પ્રકારના ટ્રાફિકને સેવા આપશે. બધા ઈન્ટરફેસ ઉમેરીને, તમે જે ચેનલોનો ઉપયોગ કરો છો, કહો, ઈમેઈલ કરો છો, તો તમે તેની સાથે ઉચ્ચ SLA ધરાવતી મોંઘી ચેનલો પર ભાર મૂકવા માંગતા ન હોવ તો તમે તેને મર્યાદિત કરી શકો છો. FortiOS 6.4.1 માં, SD-WAN બંડલમાં ઉમેરાયેલા ઈન્ટરફેસને ઝોનમાં જૂથબદ્ધ કરવાનું શક્ય બન્યું, ઉદાહરણ તરીકે, દૂરસ્થ સાઇટ્સ સાથે સંચાર માટે એક ઝોન અને NAT નો ઉપયોગ કરીને સ્થાનિક ઈન્ટરનેટ એક્સેસ માટે બીજો ઝોન બનાવવો. હા, હા, નિયમિત ઈન્ટરનેટ પર જતો ટ્રાફિક પણ સંતુલિત થઈ શકે છે.

સંતુલિત અલ્ગોરિધમ્સ વિશે

ફોર્ટીગેટ (ફોર્ટિનેટમાંથી ફાયરવોલ) ચેનલો વચ્ચે ટ્રાફિકને કેવી રીતે વિભાજિત કરી શકે છે તે અંગે, ત્યાં બે રસપ્રદ વિકલ્પો છે જે બજારમાં બહુ સામાન્ય નથી:

ન્યૂનતમ કિંમત (SLA) - આ ક્ષણે SLA ને સંતોષતા તમામ ઈન્ટરફેસમાંથી, સંચાલક દ્વારા મેન્યુઅલી સેટ કરેલ નીચા વજન (કિંમત) સાથેનું એક પસંદ થયેલ છે; આ મોડ બેકઅપ અને ફાઇલ ટ્રાન્સફર જેવા "બલ્ક" ટ્રાફિક માટે યોગ્ય છે.

શ્રેષ્ઠ ગુણવત્તા (SLA) - આ અલ્ગોરિધમ, સામાન્ય વિલંબ ઉપરાંત, ફોર્ટિગેટ પેકેટોના ડર અને નુકશાન ઉપરાંત, ચેનલોની ગુણવત્તાનું મૂલ્યાંકન કરવા માટે વર્તમાન ચેનલ લોડનો પણ ઉપયોગ કરી શકે છે; આ મોડ VoIP અને વિડિયો કોન્ફરન્સિંગ જેવા સંવેદનશીલ ટ્રાફિક માટે યોગ્ય છે.

આ અલ્ગોરિધમ્સ માટે કોમ્યુનિકેશન ચેનલ પરફોર્મન્સ મીટર - પરફોર્મન્સ SLA સેટ કરવાની જરૂર છે. આ મીટર સમયાંતરે (ચેક ઇન્ટરવલ) SLA ના પાલન વિશેની માહિતીનું નિરીક્ષણ કરે છે: પેકેટ લોસ, લેટન્સી અને કમ્યુનિકેશન ચેનલમાં ઝીણવટ, અને તે ચેનલોને "અસ્વીકાર" કરી શકે છે જે હાલમાં ગુણવત્તાના થ્રેશોલ્ડને પૂર્ણ કરતી નથી – તેઓ ઘણા બધા પેકેટો ગુમાવી રહ્યાં છે અથવા અનુભવી રહ્યાં છે. ઘણી વિલંબતા. વધુમાં, મીટર ચેનલની સ્થિતિનું નિરીક્ષણ કરે છે, અને પ્રતિસાદોની પુનરાવર્તિત ખોટ (નિષ્ક્રિય પહેલાં નિષ્ફળતાઓ) ના કિસ્સામાં તેને અસ્થાયી રૂપે બંડલમાંથી દૂર કરી શકે છે. જ્યારે પુનઃસ્થાપિત કરવામાં આવે છે, ત્યારે ઘણા સળંગ પ્રતિસાદો પછી (પછી લિંક પુનઃસ્થાપિત કરો), મીટર આપમેળે ચેનલને બંડલમાં પરત કરશે, અને ડેટા તેના દ્વારા ફરીથી પ્રસારિત થવાનું શરૂ થશે.

"મીટર" સેટિંગ આના જેવું દેખાય છે:

વેબ ઈન્ટરફેસમાં, ICMP-Echo-request, HTTP-GET અને DNS વિનંતી ટેસ્ટ પ્રોટોકોલ તરીકે ઉપલબ્ધ છે. આદેશ વાક્ય પર થોડા વધુ વિકલ્પો છે: TCP-echo અને UDP-echo વિકલ્પો ઉપલબ્ધ છે, તેમજ વિશિષ્ટ ગુણવત્તા માપન પ્રોટોકોલ - TWAMP.

માપન પરિણામો વેબ ઈન્ટરફેસમાં પણ જોઈ શકાય છે:

અને આદેશ વાક્ય પર:

મુશ્કેલીનિવારણ

જો તમે નિયમ બનાવ્યો હોય, પરંતુ બધું અપેક્ષા મુજબ કામ કરતું નથી, તો તમારે SD-WAN નિયમોની સૂચિમાં હિટ કાઉન્ટ મૂલ્ય જોવું જોઈએ. તે બતાવશે કે ટ્રાફિક આ નિયમમાં બિલકુલ આવે છે કે કેમ:

મીટરના સેટિંગ્સ પૃષ્ઠ પર, તમે સમય જતાં ચેનલ પરિમાણોમાં ફેરફાર જોઈ શકો છો. ડોટેડ લાઇન પેરામીટરનું થ્રેશોલ્ડ મૂલ્ય દર્શાવે છે

વેબ ઈન્ટરફેસમાં તમે જોઈ શકો છો કે ટ્રાન્સમિટ/પ્રાપ્ત ડેટાની માત્રા અને સત્રોની સંખ્યા દ્વારા ટ્રાફિક કેવી રીતે વિતરિત થાય છે:

આ બધા ઉપરાંત, મહત્તમ વિગત સાથે પેકેટના પેસેજને ટ્રૅક કરવાની ઉત્તમ તક છે. વાસ્તવિક નેટવર્કમાં કામ કરતી વખતે, ઉપકરણ રૂપરેખાંકન ઘણી બધી રૂટીંગ નીતિઓ, ફાયરવોલિંગ અને સમગ્ર SD-WAN પોર્ટ પર ટ્રાફિક વિતરણ એકઠા કરે છે. આ બધું એક બીજા સાથે જટિલ રીતે ક્રિયાપ્રતિક્રિયા કરે છે, અને જો કે વિક્રેતા પેકેટ પ્રોસેસિંગ અલ્ગોરિધમ્સના વિગતવાર બ્લોક ડાયાગ્રામ પ્રદાન કરે છે, તે ખૂબ જ મહત્વપૂર્ણ છે કે સિદ્ધાંતો બનાવવા અને પરીક્ષણ કરવામાં સક્ષમ ન બનવું, પરંતુ ટ્રાફિક ખરેખર ક્યાં જાય છે તે જોવા માટે.

ઉદાહરણ તરીકે, નીચેના આદેશોનો સમૂહ

diagnose debug flow filter saddr 10.200.64.15
diagnose debug flow filter daddr 10.1.7.2
diagnose debug flow show function-name
diagnose debug enable
diagnose debug trace 2

તમને 10.200.64.15 ના સ્ત્રોત સરનામું અને 10.1.7.2 ના ગંતવ્ય સરનામાં સાથે બે પેકેટને ટ્રૅક કરવાની મંજૂરી આપે છે.
અમે 10.7.1.2 થી બે વાર 10.200.64.15 પિંગ કરીએ છીએ અને કન્સોલ પર આઉટપુટ જોઈએ છીએ.

પ્રથમ પેકેજ:

બીજું પેકેજ:

ફાયરવોલ દ્વારા પ્રાપ્ત થયેલ પ્રથમ પેકેટ અહીં છે:
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0."
VDOM – Internet, Proto=1 (ICMP), DMZ-Office – название L3-интерфейса. Type=8 – Echo.

તેના માટે એક નવું સત્ર બનાવવામાં આવ્યું છે:
msg="allocate a new session-0006a627"

અને રૂટીંગ પોલિસી સેટિંગ્સમાં મેચ જોવા મળી હતી
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"

તે તારણ આપે છે કે પેકેટને VPN ટનલમાંથી એક પર મોકલવાની જરૂર છે:
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"

ફાયરવોલ પોલિસીઓમાં નીચે આપેલ પરવાનગી આપતો નિયમ શોધાયેલ છે:
msg="Allowed by Policy-3:"

પેકેટ એન્ક્રિપ્ટેડ છે અને VPN ટનલ પર મોકલવામાં આવે છે:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1"
func=esp_output4 line=905 msg="IPsec encrypt/auth"

એનક્રિપ્ટેડ પેકેટ આ WAN ઇન્ટરફેસ માટે ગેટવે સરનામાં પર મોકલવામાં આવે છે:
msg="send to 2.2.2.2 via intf-WAN1"

બીજા પેકેટ માટે, બધું સમાન રીતે થાય છે, પરંતુ તે અન્ય VPN ટનલ પર મોકલવામાં આવે છે અને અલગ ફાયરવોલ પોર્ટ દ્વારા છોડવામાં આવે છે:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"

ઉકેલના ગુણ

વિશ્વસનીય કાર્યક્ષમતા અને વપરાશકર્તા મૈત્રીપૂર્ણ ઇન્ટરફેસ. SD-WAN ના આગમન પહેલા FortiOS માં ઉપલબ્ધ ફીચર સેટ સંપૂર્ણ રીતે સાચવવામાં આવ્યો છે. એટલે કે, અમારી પાસે નવા વિકસિત સોફ્ટવેર નથી, પરંતુ સાબિત ફાયરવોલ વિક્રેતાની પરિપક્વ સિસ્ટમ છે. નેટવર્ક ફંક્શન્સના પરંપરાગત સેટ સાથે, અનુકૂળ અને શીખવામાં સરળ વેબ ઇન્ટરફેસ. કેટલા SD-WAN વિક્રેતાઓ પાસે છે, કહો કે, અંતિમ ઉપકરણો પર રીમોટ-એક્સેસ VPN કાર્યક્ષમતા છે?

સુરક્ષા સ્તર 80. ફોર્ટિગેટ એ ટોચના ફાયરવોલ સોલ્યુશન્સમાંનું એક છે. ફાયરવૉલ સેટ કરવા અને સંચાલિત કરવા માટે ઇન્ટરનેટ પર ઘણી બધી સામગ્રી છે, અને શ્રમ બજારમાં ઘણા સુરક્ષા નિષ્ણાતો છે જેમણે પહેલેથી જ વિક્રેતાના ઉકેલોમાં નિપુણતા મેળવી છે.

SD-WAN કાર્યક્ષમતા માટે શૂન્ય કિંમત. FortiGate પર SD-WAN નેટવર્ક બનાવવાનો ખર્ચ તેના પર નિયમિત WAN નેટવર્ક બનાવવા જેટલો જ છે, કારણ કે SD-WAN કાર્યક્ષમતાને અમલમાં મૂકવા માટે કોઈ વધારાના લાયસન્સની જરૂર નથી.

ઓછી પ્રવેશ અવરોધ કિંમત. ફોર્ટીગેટ પાસે વિવિધ પ્રદર્શન સ્તરો માટે ઉપકરણોનું સારું ગ્રેડેશન છે. સૌથી નાના અને સૌથી સસ્તા મોડલ 3-5 કર્મચારીઓ દ્વારા ઓફિસ અથવા વેચાણના સ્થળને વિસ્તૃત કરવા માટે એકદમ યોગ્ય છે. ઘણા વિક્રેતાઓ પાસે આવા ઓછા-પ્રદર્શન અને સસ્તું મોડલ હોતા નથી.

સારો પ્રદ્સન. ટ્રાફિક સંતુલન માટે SD-WAN કાર્યક્ષમતાને ઘટાડીને કંપનીને વિશિષ્ટ SD-WAN ASIC રિલીઝ કરવાની મંજૂરી આપી, જેના કારણે SD-WAN ઓપરેશન સમગ્ર ફાયરવોલની કામગીરીને ઘટાડતું નથી.

Fortinet સાધનો પર સમગ્ર ઓફિસને અમલમાં મૂકવાની ક્ષમતા. આ ફાયરવોલ, સ્વીચો, Wi-Fi એક્સેસ પોઈન્ટની જોડી છે. આવી ઓફિસ મેનેજ કરવા માટે સરળ અને અનુકૂળ છે - સ્વીચો અને એક્સેસ પોઈન્ટ ફાયરવોલ પર નોંધાયેલા છે અને તેમાંથી મેનેજ કરવામાં આવે છે. ઉદાહરણ તરીકે, આ સ્વીચને નિયંત્રિત કરતા ફાયરવોલ ઈન્ટરફેસમાંથી સ્વીચ પોર્ટ આવો દેખાઈ શકે છે:

નિષ્ફળતાના એક બિંદુ તરીકે નિયંત્રકોનો અભાવ. વિક્રેતા પોતે આના પર ધ્યાન કેન્દ્રિત કરે છે, પરંતુ આને માત્ર એક ભાગરૂપે ફાયદો કહી શકાય, કારણ કે જે વિક્રેતાઓ પાસે નિયંત્રકો છે, તેમની ખામી સહનશીલતાની ખાતરી કરવી તે સસ્તું છે, મોટાભાગે વર્ચ્યુઅલાઈઝેશન વાતાવરણમાં કમ્પ્યુટિંગ સંસાધનોની નાની રકમની કિંમતે.

શું જોવું

કંટ્રોલ પ્લેન અને ડેટા પ્લેન વચ્ચે કોઈ વિભાજન નથી. આનો અર્થ એ છે કે નેટવર્ક ક્યાં તો મેન્યુઅલી અથવા પહેલાથી જ ઉપલબ્ધ પરંપરાગત વ્યવસ્થાપન સાધનોનો ઉપયોગ કરીને ગોઠવેલું હોવું જોઈએ - FortiManager. વિક્રેતાઓ માટે જેમણે આવા વિભાજનનો અમલ કર્યો છે, નેટવર્ક પોતે જ એસેમ્બલ થાય છે. એડમિનિસ્ટ્રેટરે ફક્ત તેની ટોપોલોજીને સમાયોજિત કરવાની જરૂર પડી શકે છે, ક્યાંક કંઈક પ્રતિબંધિત કરવું જોઈએ, વધુ કંઈ નહીં. જો કે, FortiManagerનું ટ્રમ્પ કાર્ડ એ છે કે તે માત્ર ફાયરવોલ જ નહીં, પણ સ્વીચો અને Wi-Fi એક્સેસ પોઈન્ટ એટલે કે લગભગ સમગ્ર નેટવર્કને પણ મેનેજ કરી શકે છે.

નિયંત્રણક્ષમતામાં શરતી વધારો. નેટવર્ક રૂપરેખાંકનને સ્વચાલિત કરવા માટે પરંપરાગત સાધનોનો ઉપયોગ કરવામાં આવે છે તે હકીકતને કારણે, SD-WAN ની રજૂઆત સાથે નેટવર્ક વ્યવસ્થાપનક્ષમતા થોડી વધે છે. બીજી બાજુ, નવી કાર્યક્ષમતા વધુ ઝડપથી ઉપલબ્ધ થાય છે, કારણ કે વિક્રેતા પહેલા તેને ફક્ત ફાયરવોલ ઓપરેટિંગ સિસ્ટમ માટે જ રિલીઝ કરે છે (જે તરત જ તેનો ઉપયોગ કરવાનું શક્ય બનાવે છે), અને તે પછી જ મેનેજમેન્ટ સિસ્ટમને જરૂરી ઇન્ટરફેસ સાથે પૂરક બનાવે છે.

કેટલીક કાર્યક્ષમતા આદેશ વાક્યમાંથી ઉપલબ્ધ હોઈ શકે છે, પરંતુ વેબ ઈન્ટરફેસમાંથી ઉપલબ્ધ નથી. કેટલીકવાર કંઈક ગોઠવવા માટે કમાન્ડ લાઇનમાં જવું એટલું ડરામણું નથી, પરંતુ વેબ ઇન્ટરફેસમાં કોઈએ પહેલેથી જ કમાન્ડ લાઇનમાંથી કંઈક ગોઠવ્યું છે તે જોવું ડરામણી નથી. પરંતુ આ સામાન્ય રીતે નવી સુવિધાઓ પર લાગુ થાય છે અને ધીમે ધીમે, FortiOS અપડેટ્સ સાથે, વેબ ઈન્ટરફેસની ક્ષમતાઓમાં સુધારો થાય છે.

તે કોના માટે છે

જેમની પાસે ઘણી શાખાઓ નથી તેમના માટે. 8-10 શાખાઓના નેટવર્ક પર જટિલ કેન્દ્રીય ઘટકો સાથે SD-WAN સોલ્યુશનનો અમલ કરવા માટે મીણબત્તીનો ખર્ચ ન થઈ શકે - તમારે કેન્દ્રીય ઘટકોને હોસ્ટ કરવા માટે SD-WAN ઉપકરણો અને વર્ચ્યુઅલાઈઝેશન સિસ્ટમ સંસાધનોના લાઇસન્સ પર નાણાં ખર્ચવા પડશે. નાની કંપનીમાં સામાન્ય રીતે મર્યાદિત મફત કમ્પ્યુટિંગ સંસાધનો હોય છે. ફોર્ટીનેટના કિસ્સામાં, ફક્ત ફાયરવોલ ખરીદવા માટે તે પૂરતું છે.

જેમની પાસે ઘણી બધી નાની શાખાઓ છે. ઘણા વિક્રેતાઓ માટે, શાખા દીઠ ન્યૂનતમ સોલ્યુશનની કિંમત ઘણી ઊંચી હોય છે અને અંતિમ ગ્રાહકના વ્યવસાયના દૃષ્ટિકોણથી તે રસપ્રદ ન પણ હોય. Fortinet ખૂબ જ આકર્ષક ભાવે નાના ઉપકરણો ઓફર કરે છે.

જેઓ હજુ વધારે આગળ વધવા તૈયાર નથી. નિયંત્રકો સાથે SD-WAN ને અમલમાં મૂકવું, માલિકીનું રૂટીંગ, અને નેટવર્ક આયોજન અને સંચાલન માટેનો નવો અભિગમ કેટલાક ગ્રાહકો માટે ખૂબ મોટું પગલું હોઈ શકે છે. હા, આવા અમલીકરણ આખરે સંચાર ચેનલોના ઉપયોગ અને સંચાલકોના કાર્યને શ્રેષ્ઠ બનાવવામાં મદદ કરશે, પરંતુ પહેલા તમારે ઘણી નવી વસ્તુઓ શીખવી પડશે. જેઓ હજી સુધી પેરાડાઈમ શિફ્ટ માટે તૈયાર નથી, પરંતુ તેઓ તેમની કોમ્યુનિકેશન ચેનલોમાંથી વધુને વધુ સ્ક્વિઝ કરવા માગે છે, તેમના માટે ફોર્ટીનેટનો ઉકેલ એકદમ યોગ્ય છે.

સોર્સ: www.habr.com