Spriežot pÄc jautÄjumu skaita, kas mums sÄka ienÄkt, izmantojot SD-WAN, tehnoloÄ£ija ir sÄkusi pamatÄ«gi iesakÅoties KrievijÄ. PÄrdevÄji, protams, nesnauž un piedÄvÄ savas koncepcijas, un daži drosmÄ«gi pionieri jau tos ievieÅ” savos tÄ«klos.
MÄs sadarbojamies ar gandrÄ«z visiem piegÄdÄtÄjiem, un vairÄku gadu laikÄ mÅ«su laboratorijÄ man izdevÄs iedziļinÄties katra lielÄkÄ programmatÅ«ras definÄto risinÄjumu izstrÄdÄtÄja arhitektÅ«rÄ. Å eit nedaudz atŔķiras no Fortinet SD-WAN, kas vienkÄrÅ”i izveidoja ugunsmÅ«ra programmatÅ«rÄ trafika lÄ«dzsvaroÅ”anas funkcionalitÄti starp sakaru kanÄliem. RisinÄjums ir diezgan demokrÄtisks, tÄpÄc to parasti domÄ uzÅÄmumi, kas vÄl nav gatavi globÄlÄm pÄrmaiÅÄm, bet vÄlas efektÄ«vÄk izmantot savus komunikÄcijas kanÄlus.
Å ajÄ rakstÄ es vÄlos jums pastÄstÄ«t, kÄ konfigurÄt un strÄdÄt ar SD-WAN no Fortinet, kam Å”is risinÄjums ir piemÄrots un ar kÄdÄm nepilnÄ«bÄm jÅ«s varÄtu saskarties Å”eit.
IevÄrojamÄkos spÄlÄtÄjus SD-WAN tirgÅ« var iedalÄ«t vienÄ no diviem veidiem:
1. Startup uzÅÄmumi, kas ir radÄ«juÅ”i SD-WAN risinÄjumus no nulles. VeiksmÄ«gÄkie no tiem saÅem milzÄ«gu impulsu attÄ«stÄ«bai pÄc tam, kad tos nopirkuÅ”i lielie uzÅÄmumi - tas ir stÄsts par Cisco/Viptela, VMWare/VeloCloud, Nuage/Nokia
2. Lieli tÄ«kla pÄrdevÄji, kuri ir radÄ«juÅ”i SD-WAN risinÄjumus, attÄ«stot savu tradicionÄlo marÅ”rutÄtÄju programmÄjamÄ«bu un vadÄmÄ«bu ā Å”is ir stÄsts par Juniper, Huawei
Fortinet izdevÄs atrast savu ceļu. UgunsmÅ«ra programmatÅ«rai bija iebÅ«vÄta funkcionalitÄte, kas ļÄva apvienot to saskarnes virtuÄlos kanÄlos un lÄ«dzsvarot slodzi starp tiem, izmantojot sarežģītus algoritmus salÄ«dzinÄjumÄ ar parasto marÅ”rutÄÅ”anu. Å o funkcionalitÄti sauca par SD-WAN. Vai to Fortinet var saukt par SD-WAN? Tirgus pamazÄm saprot, ka programmatÅ«ras definÄtais nozÄ«mÄ vadÄ«bas plaknes atdalÄ«Å”anu no datu plaknes, Ä«paÅ”iem kontrolieriem un orÄ·estrantiem. Fortinet nav nekÄ tÄda. CentralizÄta pÄrvaldÄ«ba nav obligÄta un tiek piedÄvÄta, izmantojot tradicionÄlo Fortimanager rÄ«ku. Bet, manuprÄt, nevajadzÄtu meklÄt abstraktu patiesÄ«bu un tÄrÄt laiku strÄ«diem par terminiem. ReÄlajÄ pasaulÄ katrai pieejai ir savas priekÅ”rocÄ«bas un trÅ«kumi. LabÄkÄ izeja ir tos saprast un prast izvÄlÄties uzdevumiem atbilstoÅ”us risinÄjumus.
Es mÄÄ£inÄÅ”u jums pastÄstÄ«t ar ekrÄnuzÅÄmumiem, kÄ izskatÄs Fortinet SD-WAN un ko tas spÄj.
KÄ tas viss darbojas
PieÅemsim, ka jums ir divas filiÄles, kuras savieno divi datu kanÄli. Å Ä«s datu saites tiek apvienotas grupÄ, lÄ«dzÄ«gi kÄ parastÄs Ethernet saskarnes tiek apvienotas LACP porta kanÄlÄ. Vecie cilvÄki atcerÄsies PPP Multilink - arÄ« piemÄrota lÄ«dzÄ«ba. KanÄli var bÅ«t fiziski porti, VLAN SVI, kÄ arÄ« VPN vai GRE tuneļi.
VPN vai GRE parasti izmanto, savienojot filiÄles lokÄlos tÄ«klus, izmantojot internetu. Un fiziskie porti - ja starp vietnÄm ir L2 savienojumi vai savienojoties, izmantojot Ä«paÅ”u MPLS/VPN, ja mÅ«s apmierina savienojums bez pÄrklÄjuma un Å”ifrÄÅ”anas. VÄl viens scenÄrijs, kurÄ SD-WAN grupÄ tiek izmantoti fiziskie porti, ir lietotÄju lokÄlÄs piekļuves internetam lÄ«dzsvaroÅ”ana.
MÅ«su stendÄ ir Äetri ugunsmÅ«ri un divi VPN tuneļi, kas darbojas caur diviem ākomunikÄciju operatoriemā. Diagramma izskatÄs Å”Ädi:
VPN tuneļi ir konfigurÄti interfeisa režīmÄ tÄ, lai tie bÅ«tu lÄ«dzÄ«gi tieÅ”ajiem savienojumiem starp ierÄ«cÄm ar IP adresÄm P2P saskarnÄs, kuras var pÄrbaudÄ«t, lai nodroÅ”inÄtu, ka saziÅa caur konkrÄtu tuneli darbojas. Lai satiksme tiktu Å”ifrÄta un virzÄ«tos uz pretÄjo pusi, pietiek ar to ievirzÄ«t tunelÄ«. AlternatÄ«va ir atlasÄ«t trafiku Å”ifrÄÅ”anai, izmantojot apakÅ”tÄ«klu sarakstus, kas ievÄrojami mulsina administratoru, jo konfigurÄcija kļūst sarežģītÄka. LielÄ tÄ«klÄ varat izmantot ADVPN tehnoloÄ£iju, lai izveidotu VPN; tas ir Cisco DMVPN vai Huawei DVPN analogs, kas atvieglo iestatÄ«Å”anu.
VietÅu VPN konfigurÄcija divÄm ierÄ«cÄm ar BGP marÅ”rutÄÅ”anu abÄs pusÄs
Ā«Š¦ŠŠĀ» (DC)
Ā«Š¤ŠøŠ»ŠøŠ°Š»Ā» (BRN)
config system interface
āedit "WAN1"
āāset vdom "Internet"
āāset ip 1.1.1.1 255.255.255.252
āāset allowaccess ping
āāset role wan
āāset interface "DC-BRD"
āāset vlanid 111
ānext
āedit "WAN2"
āāset vdom "Internet"
āāset ip 3.3.3.1 255.255.255.252
āāset allowaccess ping
āāset role lan
āāset interface "DC-BRD"
āāset vlanid 112
ānext
āedit "BRN-Ph1-1"
āāset vdom "Internet"
āāset ip 192.168.254.1 255.255.255.255
āāset allowaccess ping
āāset type tunnel
āāset remote-ip 192.168.254.2 255.255.255.255
āāset interface "WAN1"
ānext
āedit "BRN-Ph1-2"
āāset vdom "Internet"
āāset ip 192.168.254.3 255.255.255.255
āāset allowaccess ping
āāset type tunnel
āāset remote-ip 192.168.254.4 255.255.255.255
āāset interface "WAN2"
ānext
end
config vpn ipsec phase1-interface
āedit "BRN-Ph1-1"
āāset interface "WAN1"
āāset local-gw 1.1.1.1
āāset peertype any
āāset net-device disable
āāset proposal aes128-sha1
āāset dhgrp 2
āāset remote-gw 2.2.2.1
āāset psksecret ***
ānext
āedit "BRN-Ph1-2"
āāset interface "WAN2"
āāset local-gw 3.3.3.1
āāset peertype any
āāset net-device disable
āāset proposal aes128-sha1
āāset dhgrp 2
āāset remote-gw 4.4.4.1
āāset psksecret ***
ānext
end
config vpn ipsec phase2-interface
āedit "BRN-Ph2-1"
āāset phase1name "BRN-Ph1-1"
āāset proposal aes256-sha256
āāset dhgrp 2
ānext
āedit "BRN-Ph2-2"
āāset phase1name "BRN-Ph1-2"
āāset proposal aes256-sha256
āāset dhgrp 2
ānext
end
config router static
āedit 1
āāset gateway 1.1.1.2
āāset device "WAN1"
ānext
āedit 3
āāset gateway 3.3.3.2
āāset device "WAN2"
ānext
end
config router bgp
āset as 65002
āset router-id 10.1.7.1
āset ebgp-multipath enable
āconfig neighbor
āāedit "192.168.254.2"
āāāset remote-as 65003
āānext
āāedit "192.168.254.4"
āāāset remote-as 65003
āānext
āend
āconfig network
āāedit 1
āāāset prefix 10.1.0.0 255.255.0.0
āānext
end
config system interface
āedit "WAN1"
āāset vdom "Internet"
āāset ip 2.2.2.1 255.255.255.252
āāset allowaccess ping
āāset role wan
āāset interface "BRN-BRD"
āāset vlanid 111
ānext
āedit "WAN2"
āāset vdom "Internet"
āāset ip 4.4.4.1 255.255.255.252
āāset allowaccess ping
āāset role wan
āāset interface "BRN-BRD"
āāset vlanid 114
ānext
āedit "DC-Ph1-1"
āāset vdom "Internet"
āāset ip 192.168.254.2 255.255.255.255
āāset allowaccess ping
āāset type tunnel
āāset remote-ip 192.168.254.1 255.255.255.255
āāset interface "WAN1"
ānext
āedit "DC-Ph1-2"
āāset vdom "Internet"
āāset ip 192.168.254.4 255.255.255.255
āāset allowaccess ping
āāset type tunnel
āāset remote-ip 192.168.254.3 255.255.255.255
āāset interface "WAN2"
ānext
end
config vpn ipsec phase1-interface
ā edit "DC-Ph1-1"
āā set interface "WAN1"
āā set local-gw 2.2.2.1
āā set peertype any
āā set net-device disable
āā set proposal aes128-sha1
āā set dhgrp 2
āā set remote-gw 1.1.1.1
āā set psksecret ***
ā next
ā edit "DC-Ph1-2"
āā set interface "WAN2"
āā set local-gw 4.4.4.1
āā set peertype any
āā set net-device disable
āā set proposal aes128-sha1
āā set dhgrp 2
āā set remote-gw 3.3.3.1
āā set psksecret ***
ā next
end
config vpn ipsec phase2-interface
ā edit "DC-Ph2-1"
āā set phase1name "DC-Ph1-1"
āā set proposal aes128-sha1
āā set dhgrp 2
ā next
ā edit "DC2-Ph2-2"
āā set phase1name "DC-Ph1-2"
āā set proposal aes128-sha1
āā set dhgrp 2
ā next
end
config router static
āedit 1
āāset gateway 2.2.2.2
āāet device "WAN1"
ānext
āedit 3
āāset gateway 4.4.4.2
āāset device "WAN2"
ānext
end
config router bgp
ā set as 65003
ā set router-id 10.200.7.1
ā set ebgp-multipath enable
ā config neighbor
āā edit "192.168.254.1"
āāā set remote-as 65002
āā next
āāedit "192.168.254.3"
āāāset remote-as 65002
āā next
ā end
ā config network
āā edit 1
āāā set prefix 10.200.0.0 255.255.0.0
ā ānext
end
Es sniedzu konfigurÄciju teksta formÄ, jo, manuprÄt, VPN ir ÄrtÄk konfigurÄt Å”Ädi. GandrÄ«z visi iestatÄ«jumi abÄs pusÄs ir vienÄdi, teksta formÄ tos var veikt kÄ kopÄÅ”anu-ielÄ«mÄÅ”anu. Ja darÄt to paÅ”u tÄ«mekļa saskarnÄ, ir viegli kļūdÄ«ties ā kaut kur aizmirstiet atzÄ«mi, ievadiet nepareizu vÄrtÄ«bu.
PÄc saskarÅu pievienoÅ”anas komplektam
visi marÅ”ruti un droŔības politikas var atsaukties uz to, nevis uz tajÄ iekļautajÄm saskarnÄm. Vismaz ir jÄatļauj trafiks no iekÅ”Äjiem tÄ«kliem uz SD-WAN. Izveidojot tiem noteikumus, varat piemÄrot tÄdus aizsardzÄ«bas pasÄkumus kÄ IPS, pretvÄ«rusu un HTTPS atklÄÅ”ana.
Komplektam ir konfigurÄti SD-WAN noteikumi. Tie ir noteikumi, kas nosaka balansÄÅ”anas algoritmu noteiktai trafikai. TÄs ir lÄ«dzÄ«gas marÅ”rutÄÅ”anas politikÄm uz politiku balstÄ«tÄ marÅ”rutÄÅ”anÄ, tikai tÄpÄc, ka trafika ir pakļauta politikai, tiek instalÄts nevis nÄkamÄ lÄciena vai parastÄ izejoÅ”Ä saskarne, bet gan SD-WAN komplektam pievienotÄs saskarnes. trafika lÄ«dzsvaroÅ”anas algoritms starp Ŕīm saskarnÄm.
Trafiku no vispÄrÄjÄs plÅ«smas var atdalÄ«t ar L3-L4 informÄciju, atpazÄ«tÄm lietojumprogrammÄm, interneta pakalpojumiem (URL un IP), kÄ arÄ« atzÄ«tiem darbstaciju un klÄpjdatoru lietotÄjiem. PÄc tam pieŔķirtajai trafikai var pieŔķirt vienu no Å”iem balansÄÅ”anas algoritmiem:
SarakstÄ Interfeisa preferences tiek atlasÄ«tas tÄs saskarnes, kas jau ir pievienotas komplektam un apkalpos Å”Äda veida trafiku. Pievienojot ne visas saskarnes, varat precÄ«zi ierobežot, kurus kanÄlus izmantojat, piemÄram, e-pastu, ja nevÄlaties ar to apgrÅ«tinÄt dÄrgus kanÄlus ar augstu SLA. FortiOS 6.4.1 kļuva iespÄjams grupÄt SD-WAN komplektam pievienotÄs saskarnes zonÄs, izveidojot, piemÄram, vienu zonu saziÅai ar attÄlÄm vietnÄm un otru vietÄjai interneta piekļuvei, izmantojot NAT. JÄ, jÄ, var sabalansÄt arÄ« trafiku, kas iet uz parasto internetu.
Par balansÄÅ”anas algoritmiem
AttiecÄ«bÄ uz to, kÄ Fortigate (ugunsmÅ«ris no Fortinet) var sadalÄ«t trafiku starp kanÄliem, ir divas interesantas iespÄjas, kas tirgÅ« nav Ä«paÅ”i izplatÄ«tas:
ZemÄkÄs izmaksas (SLA) ā no visÄm saskarnÄm, kas uz doto brÄ«di apmierina SLA, tiek izvÄlÄta tÄ, kurai ir mazÄks svars (izmaksas), ko manuÄli uzstÄdÄ«jis administrators; Å”is režīms ir piemÄrots lielapjoma satiksmei, piemÄram, dublÄÅ”anai un failu pÄrsÅ«tÄ«Å”anai.
LabÄkÄ kvalitÄte (SLA) ā Å”is algoritms papildus parastajai Fortigate pakeÅ”u aizkavei, nervozitÄtei un zudumam var izmantot arÄ« paÅ”reizÄjo kanÄlu slodzi, lai novÄrtÄtu kanÄlu kvalitÄti; Å is režīms ir piemÄrots jutÄ«gai trafikai, piemÄram, VoIP un video konferencÄm.
Å iem algoritmiem ir jÄiestata sakaru kanÄla veiktspÄjas mÄrÄ«tÄjs ā Performance SLA. Å is skaitÄ«tÄjs periodiski (pÄrbaudes intervÄls) uzrauga informÄciju par atbilstÄ«bu SLA: pakeÅ”u zudums, latentums un nervozitÄte sakaru kanÄlÄ un var ānoraidÄ«tā tos kanÄlus, kuri Å”obrÄ«d neatbilst kvalitÄtes sliekÅ”Åiem ā tie zaudÄ pÄrÄk daudz pakeÅ”u vai piedzÄ«vo pÄrÄk daudz. daudz latentuma. TurklÄt skaitÄ«tÄjs uzrauga kanÄla statusu un var Ä«slaicÄ«gi noÅemt to no komplekta, ja atbildes tiek atkÄrtoti zaudÄtas (kļūmes pirms neaktÄ«va). Atjaunojot, pÄc vairÄkÄm secÄ«gÄm atbildÄm (atjaunot saiti pÄc) skaitÄ«tÄjs automÄtiski atgriezÄ«s kanÄlu komplektÄ, un caur to atkal tiks pÄrsÅ«tÄ«ti dati.
Å Ädi izskatÄs āskaitÄ«tÄjaā iestatÄ«jums:
TÄ«mekļa saskarnÄ kÄ testa protokoli ir pieejami ICMP-Echo-request, HTTP-GET un DNS pieprasÄ«jums. KomandrindÄ ir nedaudz vairÄk iespÄju: ir pieejamas TCP-echo un UDP-echo opcijas, kÄ arÄ« specializÄts kvalitÄtes mÄrÄ«Å”anas protokols - TWAMP.
MÄrÄ«jumu rezultÄtus var redzÄt arÄ« tÄ«mekļa saskarnÄ:
Un komandrindÄ:
ProblÄmu novÄrÅ”ana
Ja izveidojÄt kÄrtulu, bet viss nedarbojas, kÄ paredzÄts, SD-WAN kÄrtulu sarakstÄ vajadzÄtu apskatÄ«t vÄrtÄ«bu trÄpÄ«jumu skaits. Tas parÄdÄ«s, vai satiksme vispÄr atbilst Å”im noteikumam:
PaÅ”Ä skaitÄ«tÄja iestatÄ«jumu lapÄ var redzÄt kanÄla parametru izmaiÅas laika gaitÄ. PunktÄtÄ lÄ«nija norÄda parametra sliekÅ”Åa vÄrtÄ«bu
TÄ«mekļa saskarnÄ varat redzÄt, kÄ trafiks tiek sadalÄ«ts pÄc pÄrsÅ«tÄ«to/saÅemto datu apjoma un sesiju skaita:
Papildus tam visam ir lieliska iespÄja maksimÄli detalizÄti izsekot pakeÅ”u pÄrejai. StrÄdÄjot reÄlÄ tÄ«klÄ, ierÄ«ces konfigurÄcija uzkrÄj daudzas marÅ”rutÄÅ”anas politikas, ugunsmÅ«ri un trafika sadali pa SD-WAN portiem. Tas viss kompleksÄ veidÄ mijiedarbojas savÄ starpÄ, un, lai gan pÄrdevÄjs sniedz detalizÄtas pakeÅ”u apstrÄdes algoritmu blokshÄmas, ir ļoti svarÄ«gi spÄt nevis veidot un pÄrbaudÄ«t teorijas, bet gan redzÄt, kur patiesÄ«bÄ notiek trafika.
PiemÄram, Å”Äda komandu kopa
diagnose debug flow filter saddr 10.200.64.15
diagnose debug flow filter daddr 10.1.7.2
diagnose debug flow show function-name
diagnose debug enable
diagnose debug trace 2
Ä»auj izsekot divÄm paketÄm ar avota adresi 10.200.64.15 un galamÄrÄ·a adresi 10.1.7.2.
MÄs divreiz pingam 10.7.1.2 no 10.200.64.15 un apskatÄm izvadi konsolÄ.
PirmÄ pakete:
OtrÄ pakete:
Å eit ir pirmÄ ugunsmÅ«ra saÅemtÄ pakete:
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0."
VDOM ā Internet, Proto=1 (ICMP), DMZ-Office ā Š½Š°Š·Š²Š°Š½ŠøŠµ L3-ŠøŠ½ŃŠµŃŃŠµŠ¹ŃŠ°. Type=8 ā Echo.
ViÅam ir izveidota jauna sesija:
msg="allocate a new session-0006a627"
Un marÅ”rutÄÅ”anas politikas iestatÄ«jumos tika atrasta atbilstÄ«ba
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"
IzrÄdÄs, ka pakete ir jÄnosÅ«ta uz vienu no VPN tuneļiem:
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"
UgunsmÅ«ra politikÄs tiek atklÄts Å”Äds atļauju noteikums:
msg="Allowed by Policy-3:"
Pakete tiek Å”ifrÄta un nosÅ«tÄ«ta uz VPN tuneli:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
Å ifrÄtÄ pakete tiek nosÅ«tÄ«ta uz vÄrtejas adresi Å”im WAN interfeisam:
msg="send to 2.2.2.2 via intf-WAN1"
Ar otro paketi viss notiek lÄ«dzÄ«gi, taÄu tÄ tiek nosÅ«tÄ«ta uz citu VPN tuneli un iziet caur citu ugunsmÅ«ra portu:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"
RisinÄjuma plusi
Uzticama funkcionalitÄte un lietotÄjam draudzÄ«gs interfeiss. FortiOS pieejamo funkciju kopums pirms SD-WAN parÄdÄ«Å”anÄs ir pilnÄ«bÄ saglabÄts. Tas nozÄ«mÄ, ka mums nav tikko izstrÄdÄta programmatÅ«ra, bet gan nobriedusi sistÄma no pÄrbaudÄ«ta ugunsmÅ«ra pÄrdevÄja. Ar tradicionÄlu tÄ«kla funkciju komplektu, Ärtu un viegli apgÅ«stamu tÄ«mekļa saskarni. Cik daudziem SD-WAN pÄrdevÄjiem ir, piemÄram, attÄlÄs piekļuves VPN funkcionalitÄte gala ierÄ«cÄs?
DroŔības lÄ«menis 80. FortiGate ir viens no populÄrÄkajiem ugunsmÅ«ra risinÄjumiem. InternetÄ ir daudz materiÄlu par ugunsmÅ«ru uzstÄdÄ«Å”anu un administrÄÅ”anu, un darba tirgÅ« ir daudz droŔības speciÄlistu, kuri jau ir apguvuÅ”i pÄrdevÄja risinÄjumus.
Nulles cena par SD-WAN funkcionalitÄti. SD-WAN tÄ«kla izveide FortiGate maksÄ tikpat, cik parasta WAN tÄ«kla izveide uz tÄ, jo SD-WAN funkcionalitÄtes ievieÅ”anai nav nepiecieÅ”amas papildu licences.
Zema ieejas barjeras cena. Fortigate ir laba ierÄ«Äu gradÄcija dažÄdiem veiktspÄjas lÄ«meÅiem. JaunÄkie un lÄtÄkie modeļi ir diezgan piemÄroti biroja vai tirdzniecÄ«bas vietas paplaÅ”inÄÅ”anai, piemÄram, 3-5 darbiniekiem. Daudziem pÄrdevÄjiem vienkÄrÅ”i nav tik zemas veiktspÄjas un pieejamu modeļu.
Augsta veiktspÄja. SD-WAN funkcionalitÄtes samazinÄÅ”ana lÄ«dz trafika lÄ«dzsvaroÅ”anai ļÄva uzÅÄmumam izlaist specializÄtu SD-WAN ASIC, pateicoties kuram SD-WAN darbÄ«ba nesamazina ugunsmÅ«ra veiktspÄju kopumÄ.
IespÄja ieviest visu biroju Fortinet aprÄ«kojumÄ. Tie ir pÄris ugunsmÅ«ri, slÄdži, Wi-Fi piekļuves punkti. Å Äds birojs ir viegli un Ärti pÄrvaldÄms ā slÄdži un piekļuves punkti tiek reÄ£istrÄti ugunsmÅ«ros un pÄrvaldÄ«ti no tiem. PiemÄram, Å”Ädi varÄtu izskatÄ«ties slÄdža ports no ugunsmÅ«ra interfeisa, kas kontrolÄ Å”o slÄdzi:
Kontrolieru trÅ«kums kÄ viens atteices punkts. Pats pÄrdevÄjs uz to koncentrÄjas, taÄu par ieguvumu to var saukt tikai daļÄji, jo tiem pÄrdevÄjiem, kuriem ir kontrolieri, to defektu tolerances nodroÅ”inÄÅ”ana ir lÄta, visbiežÄk par nelielu skaitļoÅ”anas resursu daudzumu virtualizÄcijas vidÄ.
Ko meklÄt
Nav atdalÄ«Å”anas starp vadÄ«bas plakni un datu plakni. Tas nozÄ«mÄ, ka tÄ«kls ir jÄkonfigurÄ vai nu manuÄli, vai izmantojot jau pieejamos tradicionÄlos pÄrvaldÄ«bas rÄ«kus ā FortiManager. PÄrdevÄjiem, kuri ir ieviesuÅ”i Å”Ädu atdalÄ«Å”anu, tÄ«kls tiek montÄts pats. Administratoram var bÅ«t tikai jÄpielÄgo tÄ topoloÄ£ija, kaut kas kaut kur jÄaizliedz, nekas vairÄk. TomÄr FortiManager trumpis ir tas, ka tas spÄj pÄrvaldÄ«t ne tikai ugunsmÅ«rus, bet arÄ« slÄdžus un Wi-Fi piekļuves punktus, tas ir, gandrÄ«z visu tÄ«klu.
NosacÄ«ta vadÄmÄ«bas palielinÄÅ”ana. SakarÄ ar to, ka tÄ«kla konfigurÄcijas automatizÄÅ”anai tiek izmantoti tradicionÄlie rÄ«ki, tÄ«kla vadÄmÄ«ba, ievieÅ”ot SD-WAN, nedaudz palielinÄs. No otras puses, jauna funkcionalitÄte kļūst pieejama ÄtrÄk, jo pÄrdevÄjs to vispirms izlaiž tikai ugunsmÅ«ra operÄtÄjsistÄmai (kas nekavÄjoties ļauj to izmantot), un tikai pÄc tam papildina vadÄ«bas sistÄmu ar nepiecieÅ”amajÄm saskarnÄm.
Dažas funkcijas var bÅ«t pieejamas no komandrindas, taÄu tÄs nav pieejamas tÄ«mekļa saskarnÄ. Dažreiz nav tik biedÄjoÅ”i ieiet komandrindÄ, lai kaut ko konfigurÄtu, taÄu ir biedÄjoÅ”i, ja tÄ«mekļa saskarnÄ neredzat, ka kÄds jau ir kaut ko konfigurÄjis no komandrindas. Bet tas parasti attiecas uz jaunÄkajÄm funkcijÄm, un pakÄpeniski ar FortiOS atjauninÄjumiem tiek uzlabotas tÄ«mekļa saskarnes iespÄjas.
Lai atbilstu
Tiem, kam nav daudz filiÄļu. SD-WAN risinÄjuma ievieÅ”ana ar sarežģītiem centrÄlajiem komponentiem 8-10 filiÄļu tÄ«klÄ var nemaksÄt sveci - jums bÅ«s jÄtÄrÄ nauda par SD-WAN ierÄ«Äu licencÄm un virtualizÄcijas sistÄmas resursiem, lai izvietotu centrÄlo komponentu. Mazam uzÅÄmumam parasti ir ierobežoti bezmaksas skaitļoÅ”anas resursi. Fortinet gadÄ«jumÄ pietiek vienkÄrÅ”i iegÄdÄties ugunsmÅ«rus.
Tiem, kam ir daudz mazu zaru. Daudziem pÄrdevÄjiem minimÄlÄ risinÄjuma cena par filiÄli ir diezgan augsta un var nebÅ«t interesanta no gala klienta biznesa viedokļa. Fortinet piedÄvÄ nelielas ierÄ«ces par ļoti pievilcÄ«gÄm cenÄm.
Tiem, kuri vÄl nav gatavi spert soli pÄrÄk tÄlu. SD-WAN ievieÅ”ana ar kontrolieriem, patentÄtu marÅ”rutÄÅ”anu un jaunu pieeju tÄ«kla plÄnoÅ”anai un pÄrvaldÄ«bai dažiem klientiem var bÅ«t pÄrÄk liels solis. JÄ, Å”Äda ievieÅ”ana galu galÄ palÄ«dzÄs optimizÄt komunikÄcijas kanÄlu izmantoÅ”anu un administratoru darbu, taÄu vispirms bÅ«s jÄapgÅ«st daudz jauna. Tiem, kuri vÄl nav gatavi paradigmas maiÅai, bet vÄlas izspiest vairÄk no saviem saziÅas kanÄliem, Fortinet risinÄjums ir tieÅ”i piemÄrots.
Avots: www.habr.com