Դատելով SD-WAN-ի միջոցով մեզ հասած հարցերի քանակից, տեխնոլոգիան սկսել է հիմնովին արմատավորվել Ռուսաստանում: Վաճառողները, բնականաբար, քնած չեն և առաջարկում են իրենց հայեցակարգերը, և որոշ խիզախ ռահվիրաներ արդեն իրականացնում են դրանք իրենց ցանցերում:
Մենք աշխատում ենք գրեթե բոլոր վաճառողների հետ, և մի քանի տարիների ընթացքում մեր լաբորատորիայում ես կարողացա խորանալ ծրագրային ապահովման կողմից սահմանված լուծումների յուրաքանչյուր խոշոր մշակողի ճարտարապետության մեջ: Fortinet-ի SD-WAN-ը այստեղ մի փոքր տարբերվում է, որը պարզապես ներկառուցեց կապի ալիքների միջև տրաֆիկի հավասարակշռման գործառույթը firewall-ի ծրագրային ապահովման մեջ: Լուծումը բավականին ժողովրդավարական է, ուստի այն սովորաբար դիտարկվում է այն ընկերությունների կողմից, որոնք դեռ պատրաստ չեն գլոբալ փոփոխություններին, բայց ցանկանում են ավելի արդյունավետ օգտագործել իրենց հաղորդակցման ուղիները։
Այս հոդվածում ես ուզում եմ ձեզ պատմել, թե ինչպես կարգավորել և աշխատել Fortinet-ի SD-WAN-ի հետ, ում համար է հարմար այս լուծումը և ինչ որոգայթներ կարող եք հանդիպել այստեղ:
SD-WAN շուկայում ամենահայտնի խաղացողները կարելի է դասակարգել երկու տեսակի.
1. Ստարտափներ, որոնք զրոյից ստեղծել են SD-WAN լուծումներ: Դրանցից ամենահաջողակները զարգացման հսկայական խթան են ստանում խոշոր ընկերությունների կողմից գնելուց հետո. սա Cisco/Viptela, VMWare/VeloCloud, Nuage/Nokia-ի պատմությունն է:
2. Ցանցի խոշոր վաճառողներ, ովքեր ստեղծել են SD-WAN լուծումներ՝ զարգացնելով իրենց ավանդական երթուղղիչների ծրագրավորելիությունն ու կառավարելիությունը. սա Juniper-ի, Huawei-ի պատմությունն է։
Fortinet-ին հաջողվել է գտնել իր ճանապարհը։ Firewall-ի ծրագրակազմն ուներ ներկառուցված ֆունկցիոնալություն, որը հնարավորություն էր տալիս միավորել դրանց միջերեսները վիրտուալ ալիքների մեջ և հավասարակշռել բեռը նրանց միջև՝ օգտագործելով բարդ ալգորիթմներ՝ համեմատած սովորական երթուղիների հետ: Այս ֆունկցիոնալությունը կոչվում էր SD-WAN: Կարո՞ղ է արդյոք Fortinet-ը կոչվել SD-WAN: Շուկան աստիճանաբար հասկանում է, որ Ծրագրային ապահովման կողմից սահմանված նշանակում է վերահսկիչ հարթության տարանջատում տվյալների հարթությունից, նվիրված վերահսկիչներից և նվագախմբերից: Fortinet-ը նման բան չունի։ Կենտրոնացված կառավարումը կամընտիր է և առաջարկվում է ավանդական Fortimanager գործիքի միջոցով: Բայց, իմ կարծիքով, պետք չէ վերացական ճշմարտություն փնտրել և ժամանակ վատնել՝ տերմինների շուրջ վիճելով: Իրական աշխարհում յուրաքանչյուր մոտեցում ունի իր առավելություններն ու թերությունները: Լավագույն ելքը դրանք հասկանալն ու առաջադրանքներին համապատասխան լուծումներ կարողանալն է։
Ես կփորձեմ ձեզ սքրինշոթներով պատմել, թե ինչ տեսք ունի Fortinet-ի SD-WAN-ը և ինչ կարող է այն անել:
Ինչպես է ամեն ինչ աշխատում
Ենթադրենք, դուք ունեք երկու ճյուղ, որոնք միացված են տվյալների երկու ալիքներով: Տվյալների այս հղումները միավորվում են խմբի մեջ, ինչպես սովորական Ethernet ինտերֆեյսները համակցված LACP-Port-Channel-ում: Հին ժամանակները կհիշեն PPP Multilink-ը, որը նույնպես հարմար անալոգիա է: Ալիքները կարող են լինել ֆիզիկական նավահանգիստներ, VLAN SVI, ինչպես նաև VPN կամ GRE թունելներ:
VPN-ը կամ GRE-ն սովորաբար օգտագործվում են մասնաճյուղերի տեղական ցանցերը ինտերնետով միացնելիս: Եվ ֆիզիկական նավահանգիստներ. եթե կայքերի միջև կան L2 կապեր, կամ հատուկ MPLS/VPN-ով միանալիս, եթե մենք գոհ ենք կապից առանց ծածկույթի և ծածկագրման: Մեկ այլ սցենար, երբ ֆիզիկական նավահանգիստները օգտագործվում են SD-WAN խմբում, հավասարակշռում է օգտատերերի տեղական հասանելիությունը դեպի ինտերնետ:
Մեր ստենդում կան չորս firewalls և երկու VPN թունելներ, որոնք գործում են երկու «կապի օպերատորների» միջոցով: Դիագրամն այսպիսի տեսք ունի.
VPN թունելները կազմաձևված են ինտերֆեյսի ռեժիմում այնպես, որ դրանք նման են P2P ինտերֆեյսների վրա IP հասցեներով սարքերի կետ-կետ կապերին, որոնք կարող են ping անել՝ ապահովելու, որ որոշակի թունելի միջոցով հաղորդակցությունն աշխատում է: Որպեսզի երթևեկությունը գաղտնագրվի և գնա հակառակ կողմ, բավական է այն ուղղորդել դեպի թունել։ Այլընտրանքը գաղտնագրման համար տրաֆիկ ընտրելն է՝ օգտագործելով ենթացանցերի ցուցակները, ինչը մեծապես շփոթեցնում է ադմինիստրատորին, քանի որ կոնֆիգուրացիան դառնում է ավելի բարդ: Մեծ ցանցում դուք կարող եք օգտագործել ADVPN տեխնոլոգիան՝ VPN ստեղծելու համար, սա Cisco-ի DMVPN-ի կամ Huawei-ի DVPN-ի անալոգն է, ինչը թույլ է տալիս ավելի հեշտ կարգավորել:
Կայքից դեպի Կայք VPN կոնֆիգուրացիա երկու սարքերի համար՝ BGP երթուղիներով երկու կողմից
«ЦОД» (DC)
«Филиал» (BRN)
config system interface
edit "WAN1"
set vdom "Internet"
set ip 1.1.1.1 255.255.255.252
set allowaccess ping
set role wan
set interface "DC-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 3.3.3.1 255.255.255.252
set allowaccess ping
set role lan
set interface "DC-BRD"
set vlanid 112
next
edit "BRN-Ph1-1"
set vdom "Internet"
set ip 192.168.254.1 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.2 255.255.255.255
set interface "WAN1"
next
edit "BRN-Ph1-2"
set vdom "Internet"
set ip 192.168.254.3 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.4 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "BRN-Ph1-1"
set interface "WAN1"
set local-gw 1.1.1.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 2.2.2.1
set psksecret ***
next
edit "BRN-Ph1-2"
set interface "WAN2"
set local-gw 3.3.3.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 4.4.4.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "BRN-Ph2-1"
set phase1name "BRN-Ph1-1"
set proposal aes256-sha256
set dhgrp 2
next
edit "BRN-Ph2-2"
set phase1name "BRN-Ph1-2"
set proposal aes256-sha256
set dhgrp 2
next
end
config router static
edit 1
set gateway 1.1.1.2
set device "WAN1"
next
edit 3
set gateway 3.3.3.2
set device "WAN2"
next
end
config router bgp
set as 65002
set router-id 10.1.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.2"
set remote-as 65003
next
edit "192.168.254.4"
set remote-as 65003
next
end
config network
edit 1
set prefix 10.1.0.0 255.255.0.0
next
end
config system interface
edit "WAN1"
set vdom "Internet"
set ip 2.2.2.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 4.4.4.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 114
next
edit "DC-Ph1-1"
set vdom "Internet"
set ip 192.168.254.2 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.1 255.255.255.255
set interface "WAN1"
next
edit "DC-Ph1-2"
set vdom "Internet"
set ip 192.168.254.4 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.3 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "DC-Ph1-1"
set interface "WAN1"
set local-gw 2.2.2.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 1.1.1.1
set psksecret ***
next
edit "DC-Ph1-2"
set interface "WAN2"
set local-gw 4.4.4.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 3.3.3.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "DC-Ph2-1"
set phase1name "DC-Ph1-1"
set proposal aes128-sha1
set dhgrp 2
next
edit "DC2-Ph2-2"
set phase1name "DC-Ph1-2"
set proposal aes128-sha1
set dhgrp 2
next
end
config router static
edit 1
set gateway 2.2.2.2
et device "WAN1"
next
edit 3
set gateway 4.4.4.2
set device "WAN2"
next
end
config router bgp
set as 65003
set router-id 10.200.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.1"
set remote-as 65002
next
edit "192.168.254.3"
set remote-as 65002
next
end
config network
edit 1
set prefix 10.200.0.0 255.255.0.0
next
end
Ես տրամադրում եմ կազմաձևը տեքստային ձևով, քանի որ, իմ կարծիքով, VPN-ն այս կերպ կարգավորելը ավելի հարմար է. Գրեթե բոլոր կարգավորումները երկու կողմից էլ նույնն են, տեքստային ձևով դրանք կարող են կատարվել որպես copy-paste: Եթե դուք նույն բանն եք անում վեբ ինտերֆեյսում, ապա հեշտ է սխալվել. ինչ-որ տեղ մոռացեք ստուգման նշանը, մուտքագրեք սխալ արժեքը:
Այն բանից հետո, երբ մենք ավելացրեցինք միջերեսները փաթեթին
բոլոր երթուղիները և անվտանգության քաղաքականությունը կարող են վերաբերել դրան, և ոչ թե դրանում ներառված միջերեսներին: Առնվազն, դուք պետք է թույլատրեք երթևեկությունը ներքին ցանցերից դեպի SD-WAN: Երբ դուք կանոններ եք ստեղծում դրանց համար, կարող եք կիրառել պաշտպանիչ միջոցներ, ինչպիսիք են IPS, հակավիրուսային և HTTPS բացահայտումը:
SD-WAN կանոնները կազմաձևված են փաթեթի համար: Սրանք կանոններ են, որոնք սահմանում են որոշակի տրաֆիկի հավասարակշռման ալգորիթմը: Դրանք նման են քաղաքականության վրա հիմնված երթուղիների երթուղային քաղաքականությանը, միայն կանոնի տակ ընկած երթևեկության հետևանքով, տեղադրվում է ոչ թե հաջորդ հոպը կամ սովորական ելքային ինտերֆեյսը, այլ SD-WAN փաթեթին ավելացված միջերեսները: երթևեկության հավասարակշռման ալգորիթմ այս միջերեսների միջև:
Երթևեկությունը կարող է առանձնացվել ընդհանուր հոսքից L3-L4 տեղեկատվության միջոցով, ճանաչված հավելվածներով, ինտերնետ ծառայություններով (URL և IP), ինչպես նաև աշխատանքային կայանների և նոութբուքերի ճանաչված օգտվողների կողմից: Դրանից հետո հատկացված տրաֆիկին կարող է վերագրվել հետևյալ հավասարակշռման ալգորիթմներից մեկը.
Ինտերֆեյսի նախապատվությունների ցանկում ընտրված են այն միջերեսները, որոնք արդեն ավելացվել են փաթեթին, որոնք կծառայեն այս տեսակի տրաֆիկի: Ավելացնելով ոչ բոլոր ինտերֆեյսները, դուք կարող եք սահմանափակել, թե որ ալիքներն եք օգտագործում, ասենք, էլ. FortiOS 6.4.1-ում հնարավոր դարձավ SD-WAN փաթեթին ավելացված ինտերֆեյսները խմբավորել գոտիների՝ ստեղծելով, օրինակ, մեկ գոտի հեռավոր կայքերի հետ կապի համար, իսկ մյուսը՝ տեղական ինտերնետ հասանելիության համար՝ օգտագործելով NAT-ը: Այո, այո, սովորական ինտերնետին գնացող տրաֆիկը նույնպես կարող է հավասարակշռված լինել:
Հավասարակշռման ալգորիթմների մասին
Ինչ վերաբերում է նրան, թե ինչպես է Fortigate-ը (Fortinet-ի firewall) երթևեկությունը բաժանել ալիքների միջև, կան երկու հետաքրքիր տարբերակներ, որոնք այնքան էլ տարածված չեն շուկայում.
Նվազագույն արժեքը (SLA) – այս պահին SLA-ին բավարարող բոլոր ինտերֆեյսներից ընտրվում է ադմինիստրատորի կողմից ձեռքով սահմանված նվազագույն քաշը (արժեքը) ունեցողը. այս ռեժիմը հարմար է «զանգվածային» տրաֆիկի համար, ինչպիսիք են կրկնօրինակումներն ու ֆայլերի փոխանցումները:
Լավագույն որակ (SLA) – այս ալգորիթմը, ի լրումն Fortigate փաթեթների սովորական ձգձգման, ցնցումների և կորստի, կարող է օգտագործել նաև ընթացիկ ալիքի ծանրաբեռնվածությունը՝ ալիքների որակը գնահատելու համար. Այս ռեժիմը հարմար է զգայուն թրաֆիկի համար, ինչպիսիք են VoIP-ը և վիդեոկոնֆերանսները:
Այս ալգորիթմները պահանջում են ստեղծել կապի ալիքի կատարողականի չափիչ՝ Performance SLA: Այս հաշվիչը պարբերաբար (ստուգման միջակայքը) վերահսկում է SLA-ի համապատասխանության մասին տեղեկատվությունը. փաթեթների կորուստ, ուշացում և ցնցում կապի ալիքում և կարող է «մերժել» այն ալիքները, որոնք ներկայումս չեն համապատասխանում որակի շեմերին. նրանք կորցնում են չափազանց շատ փաթեթներ կամ շատ են զգում շատ ուշացում: Բացի այդ, հաշվիչը վերահսկում է ալիքի կարգավիճակը և կարող է ժամանակավորապես հեռացնել այն փաթեթից՝ պատասխանների կրկնակի կորստի դեպքում (անգործությունից առաջ ձախողումներ): Երբ վերականգնվի, մի քանի անընդմեջ պատասխաններից հետո (վերականգնել հղումը հետո), հաշվիչը ավտոմատ կերպով կվերադարձնի ալիքը փաթեթ, և տվյալները կսկսեն նորից փոխանցվել դրա միջոցով:
Ահա թե ինչ տեսք ունի «մետր» պարամետրը.
Վեբ ինտերֆեյսում ICMP-Echo-request, HTTP-GET և DNS հարցումը հասանելի են որպես թեստային արձանագրություններ: Հրամանի տողում կան մի փոքր ավելի շատ տարբերակներ՝ հասանելի են TCP-echo և UDP-echo տարբերակները, ինչպես նաև որակի չափման մասնագիտացված արձանագրություն՝ TWAMP:
Չափման արդյունքները կարելի է տեսնել նաև վեբ ինտերֆեյսում.
Եվ հրամանի տողում.
Անսարքությունների վերացում
Եթե դուք ստեղծել եք կանոն, բայց ամեն ինչ չի աշխատում այնպես, ինչպես սպասվում էր, դուք պետք է նայեք Hit Count արժեքը SD-WAN կանոնների ցանկում: Այն ցույց կտա, թե արդյոք երթևեկությունն ընդհանրապես մտնում է այս կանոնի մեջ.
Հաշվիչի կարգավորումների էջում դուք կարող եք տեսնել ժամանակի ընթացքում ալիքի պարամետրերի փոփոխությունը: Կետավոր գիծը ցույց է տալիս պարամետրի շեմային արժեքը
Վեբ ինտերֆեյսում դուք կարող եք տեսնել, թե ինչպես է տրաֆիկը բաշխվում՝ ըստ փոխանցված/ստացված տվյալների և նիստերի քանակի.
Ի լրումն այս ամենի, կա հիանալի հնարավորություն առավելագույն մանրամասնությամբ հետևելու փաթեթների անցմանը: Իրական ցանցում աշխատելիս սարքի կոնֆիգուրացիան կուտակում է բազմաթիվ երթուղային քաղաքականություններ, firewalling և տրաֆիկի բաշխում SD-WAN նավահանգիստներում: Այս ամենը փոխազդում է միմյանց հետ բարդ ձևով, և չնայած վաճառողը տրամադրում է փաթեթների մշակման ալգորիթմների մանրամասն բլոկ-սխեմաներ, շատ կարևոր է ոչ թե տեսություններ կառուցել և փորձարկել, այլ տեսնել, թե իրականում ուր է գնում տրաֆիկը:
Օրինակ՝ հետևյալ հրամանների հավաքածուն
diagnose debug flow filter saddr 10.200.64.15
diagnose debug flow filter daddr 10.1.7.2
diagnose debug flow show function-name
diagnose debug enable
diagnose debug trace 2
Թույլ է տալիս հետևել երկու փաթեթների՝ սկզբնաղբյուր 10.200.64.15 հասցեով և 10.1.7.2 նպատակակետ հասցեով:
Մենք երկու անգամ ping ենք անում 10.7.1.2 10.200.64.15-ից և նայում ենք վահանակի ելքին:
Առաջին փաթեթ.
Երկրորդ փաթեթ.
Ահա firewall-ի կողմից ստացված առաջին փաթեթը.
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0."
VDOM – Internet, Proto=1 (ICMP), DMZ-Office – название L3-интерфейса. Type=8 – Echo.
Նրա համար ստեղծվել է նոր նիստ.
msg="allocate a new session-0006a627"
Եվ երթուղավորման քաղաքականության կարգավորումներում համընկնում է հայտնաբերվել
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"
Պարզվում է, որ փաթեթը պետք է ուղարկվի VPN թունելներից մեկը.
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"
Հետևյալ թույլատրելի կանոնը հայտնաբերվում է firewall քաղաքականության մեջ.
msg="Allowed by Policy-3:"
Փաթեթը կոդավորված է և ուղարկվում է VPN թունել.
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
Կոդավորված փաթեթն ուղարկվում է այս WAN ինտերֆեյսի դարպասի հասցեին՝
msg="send to 2.2.2.2 via intf-WAN1"
Երկրորդ փաթեթի համար ամեն ինչ տեղի է ունենում նույն կերպ, բայց այն ուղարկվում է մեկ այլ VPN թունել և հեռանում է այլ firewall նավահանգստից.
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"
Լուծման դրական կողմերը
Հուսալի ֆունկցիոնալություն և օգտագործողի համար հարմար ինտերֆեյս: Գործառույթների հավաքածուն, որը հասանելի էր FortiOS-ում մինչև SD-WAN-ի հայտնվելը, ամբողջությամբ պահպանվել է: Այսինքն՝ մենք չունենք նոր մշակված ծրագրակազմ, այլ հասուն համակարգ՝ ապացուցված firewall վաճառողի կողմից: Ցանցային գործառույթների ավանդական հավաքածուով, հարմար և հեշտ սովորվող վեբ ինտերֆեյսով: Քանի՞ SD-WAN վաճառող ունի, ասենք, Remote-Access VPN գործառույթ վերջնական սարքերում:
Անվտանգության մակարդակ 80. FortiGate-ը firewall-ի լավագույն լուծումներից մեկն է: Ինտերնետում շատ նյութեր կան firewall-ների տեղադրման և կառավարման վերաբերյալ, իսկ աշխատաշուկայում կան բազմաթիվ անվտանգության մասնագետներ, ովքեր արդեն տիրապետել են վաճառողի լուծումներին:
Զրո գին SD-WAN ֆունկցիոնալության համար: FortiGate-ում SD-WAN ցանց կառուցելն արժե նույնը, ինչ դրա վրա սովորական WAN ցանց կառուցելը, քանի որ SD-WAN գործառույթն իրականացնելու համար լրացուցիչ լիցենզիաներ չեն պահանջվում:
Մուտքի արգելքի ցածր գին: Fortigate-ն ունի սարքերի լավ աստիճանավորում տարբեր կատարողական մակարդակների համար: Ամենաերիտասարդ և ամենաէժան մոդելները բավականին հարմար են գրասենյակի կամ վաճառքի կետի ընդլայնման համար, ասենք, 3-5 աշխատակցի կողմից։ Շատ վաճառողներ պարզապես չունեն նման ցածր արդյունավետության և մատչելի մոդելներ:
Բարձր կատարողականություն: SD-WAN ֆունկցիոնալությունը երթևեկության հավասարակշռման կրճատումը թույլ տվեց ընկերությանը թողարկել մասնագիտացված SD-WAN ASIC, որի շնորհիվ SD-WAN գործողությունը չի նվազեցնում firewall-ի աշխատանքը որպես ամբողջություն:
Fortinet սարքավորումների վրա ամբողջ գրասենյակ իրականացնելու ունակություն: Սրանք զույգ firewalls, անջատիչներ, Wi-Fi մուտքի կետեր են: Նման գրասենյակը հեշտ և հարմար է կառավարելը՝ անջատիչները և մուտքի կետերը գրանցվում են firewall-ներում և կառավարվում դրանցից: Օրինակ, այս անջատիչը կառավարող firewall ինտերֆեյսից կարող է այսպիսի տեսք ունենալ անջատիչ պորտը.
Կարգավորիչների բացակայությունը որպես ձախողման մեկ կետ: Վաճառողն ինքն է կենտրոնանում դրա վրա, բայց դա կարելի է միայն մասամբ անվանել օգուտ, քանի որ այն վաճառողների համար, ովքեր ունեն վերահսկիչներ, նրանց սխալների հանդուրժողականության ապահովումը էժան է, ամենից հաճախ վիրտուալացման միջավայրում փոքր քանակությամբ հաշվողական ռեսուրսների գնով:
Ինչ փնտրել
Կառավարման հարթության և տվյալների հարթության միջև տարանջատում չկա. Սա նշանակում է, որ ցանցը պետք է կազմաձևվի կամ ձեռքով կամ օգտագործելով արդեն հասանելի կառավարման ավանդական գործիքները՝ FortiManager: Վաճառողների համար, ովքեր իրականացրել են նման տարանջատում, ցանցն ինքնին հավաքվում է: Ադմինիստրատորին կարող է միայն անհրաժեշտ լինել հարմարեցնել իր տոպոլոգիան, ինչ-որ տեղ արգելել ինչ-որ բան, ոչ ավելին: Այնուամենայնիվ, FortiManager-ի հաղթաթուղթն այն է, որ այն կարող է կառավարել ոչ միայն firewall-երը, այլ նաև անջատիչները և Wi-Fi մուտքի կետերը, այսինքն՝ գրեթե ողջ ցանցը։
Կառավարելիության պայմանական բարձրացում. Շնորհիվ այն բանի, որ ավանդական գործիքներն օգտագործվում են ցանցի կոնֆիգուրացիան ավտոմատացնելու համար, SD-WAN-ի ներդրմամբ ցանցի կառավարելիությունը փոքր-ինչ ավելանում է: Մյուս կողմից, նոր ֆունկցիոնալությունը հասանելի է դառնում ավելի արագ, քանի որ վաճառողը սկզբում թողարկում է այն միայն firewall օպերացիոն համակարգի համար (որն անմիջապես հնարավորություն է տալիս օգտագործել այն), և միայն դրանից հետո լրացնում է կառավարման համակարգը անհրաժեշտ միջերեսներով:
Որոշ գործառույթներ կարող են հասանելի լինել հրամանի տողից, բայց հասանելի չէ վեբ ինտերֆեյսից: Երբեմն այնքան էլ սարսափելի չէ հրամանի տող մտնել ինչ-որ բան կարգավորելու համար, բայց սարսափելի է չտեսնել վեբ ինտերֆեյսում, որ ինչ-որ մեկն արդեն ինչ-որ բան կարգավորել է հրամանի տողից: Բայց դա սովորաբար վերաբերում է նորագույն հնարավորություններին և աստիճանաբար, FortiOS-ի թարմացումներով, վեբ ինտերֆեյսի հնարավորությունները բարելավվում են:
Արժեքներ
Նրանց համար, ովքեր շատ մասնաճյուղեր չունեն։ 8-10 մասնաճյուղերից բաղկացած ցանցում բարդ կենտրոնական բաղադրիչներով SD-WAN լուծումների ներդրումը չի կարող մոմ արժենալ. դուք ստիպված կլինեք գումար ծախսել SD-WAN սարքերի լիցենզիաների և վիրտուալացման համակարգի ռեսուրսների վրա՝ կենտրոնական բաղադրիչները հյուրընկալելու համար: Փոքր ընկերությունը սովորաբար ունի սահմանափակ ազատ հաշվողական ռեսուրսներ: Fortinet-ի դեպքում բավական է պարզապես firewalls գնել։
Նրանց համար, ովքեր ունեն շատ փոքր մասնաճյուղեր: Շատ վաճառողների համար լուծման նվազագույն գինը մեկ մասնաճյուղի համար բավականին բարձր է և կարող է հետաքրքիր չլինել վերջնական հաճախորդի բիզնեսի տեսանկյունից: Fortinet-ն առաջարկում է փոքր սարքեր շատ գրավիչ գներով։
Նրանց համար, ովքեր դեռ պատրաստ չեն շատ հեռուն գնալու։ Կարգավորիչներով SD-WAN-ի ներդրումը, սեփականության երթուղին և ցանցի պլանավորման և կառավարման նոր մոտեցումը կարող է չափազանց մեծ քայլ լինել որոշ հաճախորդների համար: Այո, նման իրականացումը, ի վերջո, կօգնի օպտիմալացնել կապի ուղիների օգտագործումը և ադմինիստրատորների աշխատանքը, բայց նախ դուք պետք է շատ նոր բաներ սովորեք: Նրանց համար, ովքեր դեռ պատրաստ չեն պարադիգմային փոփոխության, բայց ցանկանում են ավելին քամել իրենց հաղորդակցման ուղիներից, Fortinet-ի լուծումը ճիշտ է:
Source: www.habr.com