Visdemokrātiskākā SD-WAN analīze: arhitektūra, konfigurācija, administrēšana un nepilnības

Spriežot pēc jautājumu skaita, kas mums sāka ienākt, izmantojot SD-WAN, tehnoloģija ir sākusi pamatīgi iesakņoties Krievijā. Pārdevēji, protams, nesnauž un piedāvā savas koncepcijas, un daži drosmīgi pionieri jau tos ievieš savos tīklos.

Mēs sadarbojamies ar gandrīz visiem piegādātājiem, un vairāku gadu laikā mūsu laboratorijā man izdevās iedziļināties katra lielākā programmatūras definēto risinājumu izstrādātāja arhitektūrā. Šeit nedaudz atšķiras no Fortinet SD-WAN, kas vienkārši izveidoja ugunsmūra programmatūrā trafika līdzsvarošanas funkcionalitāti starp sakaru kanāliem. Risinājums ir diezgan demokrātisks, tāpēc to parasti domā uzņēmumi, kas vēl nav gatavi globālām pārmaiņām, bet vēlas efektīvāk izmantot savus komunikācijas kanālus.

Šajā rakstā es vēlos jums pastāstīt, kā konfigurēt un strādāt ar SD-WAN no Fortinet, kam šis risinājums ir piemērots un ar kādām nepilnībām jūs varētu saskarties šeit.

Ievērojamākos spēlētājus SD-WAN tirgū var iedalīt vienā no diviem veidiem:

1. Startup uzņēmumi, kas ir radījuši SD-WAN risinājumus no nulles. Veiksmīgākie no tiem saņem milzīgu impulsu attīstībai pēc tam, kad tos nopirkuši lielie uzņēmumi - tas ir stāsts par Cisco/Viptela, VMWare/VeloCloud, Nuage/Nokia

2. Lieli tīkla pārdevēji, kuri ir radījuši SD-WAN risinājumus, attīstot savu tradicionālo maršrutētāju programmējamību un vadāmību – šis ir stāsts par Juniper, Huawei

Fortinet izdevās atrast savu ceļu. Ugunsmūra programmatūrai bija iebūvēta funkcionalitāte, kas ļāva apvienot to saskarnes virtuālos kanālos un līdzsvarot slodzi starp tiem, izmantojot sarežģītus algoritmus salīdzinājumā ar parasto maršrutēšanu. Šo funkcionalitāti sauca par SD-WAN. Vai to Fortinet var saukt par SD-WAN? Tirgus pamazām saprot, ka programmatūras definētais nozīmē vadības plaknes atdalīšanu no datu plaknes, īpašiem kontrolieriem un orķestrantiem. Fortinet nav nekā tāda. Centralizēta pārvaldība nav obligāta un tiek piedāvāta, izmantojot tradicionālo Fortimanager rīku. Bet, manuprāt, nevajadzētu meklēt abstraktu patiesību un tērēt laiku strīdiem par terminiem. Reālajā pasaulē katrai pieejai ir savas priekšrocības un trūkumi. Labākā izeja ir tos saprast un prast izvēlēties uzdevumiem atbilstošus risinājumus.

Es mēģināšu jums pastāstīt ar ekrānuzņēmumiem, kā izskatās Fortinet SD-WAN un ko tas spēj.

Kā tas viss darbojas

Pieņemsim, ka jums ir divas filiāles, kas savienotas ar divām datu saitēm. Šīs datu saites ir grupētas kopā, līdzīgi kā parastās Ethernet saskarnes ir grupētas kopā LACP porta kanālā. Vecāki lietotāji atcerēsies PPP Multilink — vēl vienu piemērotu analoģiju. Saites var būt fiziskas pieslēgvietas, VLAN SVI un VPN vai GRE tuneļos.

VPN vai GRE parasti izmanto, savienojot filiāles lokālos tīklus, izmantojot internetu. Un fiziskie porti - ja starp vietnēm ir L2 savienojumi vai savienojoties, izmantojot īpašu MPLS/VPN, ja mūs apmierina savienojums bez pārklājuma un šifrēšanas. Vēl viens scenārijs, kurā SD-WAN grupā tiek izmantoti fiziskie porti, ir lietotāju lokālās piekļuves internetam līdzsvarošana.

Mūsu stendā ir četri ugunsmūri un divi VPN tuneļi, kas darbojas caur diviem “komunikāciju operatoriem”. Diagramma izskatās šādi:

Visdemokrātiskākā SD-WAN analīze: arhitektūra, konfigurācija, administrēšana un nepilnības

VPN tuneļi ir konfigurēti interfeisa režīmā tā, lai tie būtu līdzīgi tiešajiem savienojumiem starp ierīcēm ar IP adresēm P2P saskarnēs, kuras var pārbaudīt, lai nodrošinātu, ka saziņa caur konkrētu tuneli darbojas. Lai satiksme tiktu šifrēta un virzītos uz pretējo pusi, pietiek ar to ievirzīt tunelī. Alternatīva ir atlasīt trafiku šifrēšanai, izmantojot apakštīklu sarakstus, kas ievērojami mulsina administratoru, jo konfigurācija kļūst sarežģītāka. Lielā tīklā varat izmantot ADVPN tehnoloģiju, lai izveidotu VPN; tas ir Cisco DMVPN vai Huawei DVPN analogs, kas atvieglo iestatīšanu.

Vietņu VPN konfigurācija divām ierīcēm ar BGP maršrutēšanu abās pusēs

"Datu centrs" (DC)
"Filiāle" (BRN)

konfigurācijas sistēmas interfeiss
 rediģēt "WAN1"
  iestatīt vdom "Internets"
  iestatīt ip 1.1.1.1 255.255.255.252
  iestatīt allowaccess ping
  iestatīt lomu wan
  iestatīt saskarni "DC-BRD"
  komplekts vlanid 111
 nākamais
 rediģēt "WAN2"
  iestatīt vdom "Internets"
  iestatīt ip 3.3.3.1 255.255.255.252
  iestatīt allowaccess ping
  iestatīt lomu lokālajā tīklā (LAN)
  iestatīt saskarni "DC-BRD"
  komplekts vlanid 112
 nākamais
 rediģēt "BRN-Ph1-1"
  iestatīt vdom "Internets"
  iestatīt ip 192.168.254.1 255.255.255.255
  iestatīt allowaccess ping
  komplekta tipa tunelis
  iestatīt attālo IP adresi 192.168.254.2 255.255.255.255
  iestatīt saskarni "WAN1"
 nākamais
 rediģēt "BRN-Ph1-2"
  iestatīt vdom "Internets"
  iestatīt ip 192.168.254.3 255.255.255.255
  iestatīt allowaccess ping
  komplekta tipa tunelis
  iestatīt attālo IP adresi 192.168.254.4 255.255.255.255
  iestatīt saskarni "WAN2"
 nākamais
beigas

vpn ipsec 1. fāzes saskarnes konfigurācija
 rediģēt "BRN-Ph1-1"
  iestatīt saskarni "WAN1"
  iestatīt lokālo gw 1.1.1.1
  iestatīt jebkuru līdzinieku tipu
  iestatīt tīkla ierīces atspējošanu
  komplekta priekšlikums aes128-sha1
  iestatīt dhgrp 2
  iestatīt tālvadības gw 2.2.2.1
  iestatīt pskslecret ***
 nākamais
 rediģēt "BRN-Ph1-2"
  iestatīt saskarni "WAN2"
  iestatīt lokālo gw 3.3.3.1
  iestatīt jebkuru līdzinieku tipu
  iestatīt tīkla ierīces atspējošanu
  komplekta priekšlikums aes128-sha1
  iestatīt dhgrp 2
  iestatīt tālvadības gw 4.4.4.1
  iestatīt pskslecret ***
 nākamais
beigas

vpn ipsec 2. fāzes saskarnes konfigurācija
 rediģēt "BRN-Ph2-1"
  iestatīt fāzes1 nosaukumu "BRN-Ph1-1"
  komplekta priekšlikums aes256-sha256
  iestatīt dhgrp 2
 nākamais
 rediģēt "BRN-Ph2-2"
  iestatīt fāzes1 nosaukumu "BRN-Ph1-2"
  komplekta priekšlikums aes256-sha256
  iestatīt dhgrp 2
 nākamais
beigas

maršrutētāja statiskā konfigurācija
 rediģēt 1
  iestatīt vārteju 1.1.1.2
  Iestatiet ierīci "WAN1"
 nākamais
 rediģēt 3
  iestatīt vārteju 3.3.3.2
  Iestatiet ierīci "WAN2"
 nākamais
beigas

maršrutētāja bgp konfigurācija
 iestatīts kā 65002
 iestatīt maršrutētāja ID 10.1.7.1
 iestatīt ebgp-multipath iespējošanu
 konfigurācijas kaimiņš
  rediģēt "192.168.254.2"
   iestatīt tālvadības pulti kā 65003
  nākamais
  rediģēt "192.168.254.4"
   iestatīt tālvadības pulti kā 65003
  nākamais
 beigas

 konfigurācijas tīkls
  rediģēt 1
   iestatīt prefiksu 10.1.0.0 255.255.0.0
  nākamais
beigas

konfigurācijas sistēmas interfeiss
 rediģēt "WAN1"
  iestatīt vdom "Internets"
  iestatīt ip 2.2.2.1 255.255.255.252
  iestatīt allowaccess ping
  iestatīt lomu wan
  iestatīt saskarni "BRN-BRD"
  komplekts vlanid 111
 nākamais
 rediģēt "WAN2"
  iestatīt vdom "Internets"
  iestatīt ip 4.4.4.1 255.255.255.252
  iestatīt allowaccess ping
  iestatīt lomu wan
  iestatīt saskarni "BRN-BRD"
  komplekts vlanid 114
 nākamais
 rediģēt "DC-Ph1-1"
  iestatīt vdom "Internets"
  iestatīt ip 192.168.254.2 255.255.255.255
  iestatīt allowaccess ping
  komplekta tipa tunelis
  iestatīt attālo IP adresi 192.168.254.1 255.255.255.255
  iestatīt saskarni "WAN1"
 nākamais
 rediģēt "DC-Ph1-2"
  iestatīt vdom "Internets"
  iestatīt ip 192.168.254.4 255.255.255.255
  iestatīt allowaccess ping
  komplekta tipa tunelis
  iestatīt attālo IP adresi 192.168.254.3 255.255.255.255
  iestatīt saskarni "WAN2"
 nākamais
beigas

vpn ipsec 1. fāzes saskarnes konfigurācija
  rediģēt "DC-Ph1-1"
   iestatīt saskarni "WAN1"
   iestatīt lokālo gw 2.2.2.1
   iestatīt jebkuru līdzinieku tipu
   iestatīt tīkla ierīces atspējošanu
   komplekta priekšlikums aes128-sha1
   iestatīt dhgrp 2
   iestatīt tālvadības gw 1.1.1.1
   iestatīt pskslecret ***
  nākamais
  rediģēt "DC-Ph1-2"
   iestatīt saskarni "WAN2"
   iestatīt lokālo gw 4.4.4.1
   iestatīt jebkuru līdzinieku tipu
   iestatīt tīkla ierīces atspējošanu
   komplekta priekšlikums aes128-sha1
   iestatīt dhgrp 2
   iestatīt tālvadības gw 3.3.3.1
   iestatīt pskslecret ***
  nākamais
beigas

vpn ipsec 2. fāzes saskarnes konfigurācija
  rediģēt "DC-Ph2-1"
   iestatīt fāzes1 nosaukumu "DC-Ph1-1"
   komplekta priekšlikums aes128-sha1
   iestatīt dhgrp 2
  nākamais
  rediģēt "DC2-Ph2-2"
   iestatīt fāzes1 nosaukumu "DC-Ph1-2"
   komplekta priekšlikums aes128-sha1
   iestatīt dhgrp 2
  nākamais
beigas

maršrutētāja statiskā konfigurācija
 rediģēt 1
  iestatīt vārteju 2.2.2.2
  un ierīce "WAN1"
 nākamais
 rediģēt 3
  iestatīt vārteju 4.4.4.2
  Iestatiet ierīci "WAN2"
 nākamais
beigas

maršrutētāja bgp konfigurācija
  iestatīts kā 65003
  iestatīt maršrutētāja ID 10.200.7.1
  iestatīt ebgp-multipath iespējošanu
  konfigurācijas kaimiņš
   rediģēt "192.168.254.1"
    iestatīt tālvadības pulti kā 65002
   nākamais
  rediģēt "192.168.254.3"
   iestatīt tālvadības pulti kā 65002
   nākamais
  beigas

  konfigurācijas tīkls
   rediģēt 1
    iestatīt prefiksu 10.200.0.0 255.255.0.0
   nākamais
beigas

Es sniedzu konfigurāciju teksta formā, jo, manuprāt, VPN ir ērtāk konfigurēt šādi. Gandrīz visi iestatījumi abās pusēs ir vienādi, teksta formā tos var veikt kā kopēšanu-ielīmēšanu. Ja darāt to pašu tīmekļa saskarnē, ir viegli kļūdīties — kaut kur aizmirstiet atzīmi, ievadiet nepareizu vērtību.

Pēc saskarņu pievienošanas komplektam

Visdemokrātiskākā SD-WAN analīze: arhitektūra, konfigurācija, administrēšana un nepilnības

visi maršruti un drošības politikas var atsaukties uz to, nevis uz tajā iekļautajām saskarnēm. Vismaz ir jāatļauj trafiks no iekšējiem tīkliem uz SD-WAN. Izveidojot tiem noteikumus, varat piemērot tādus aizsardzības pasākumus kā IPS, pretvīrusu un HTTPS atklāšana.

Visdemokrātiskākā SD-WAN analīze: arhitektūra, konfigurācija, administrēšana un nepilnības

Komplektam ir konfigurēti SD-WAN noteikumi. Tie ir noteikumi, kas nosaka balansēšanas algoritmu noteiktai trafikai. Tās ir līdzīgas maršrutēšanas politikām uz politiku balstītā maršrutēšanā, tikai tāpēc, ka trafika ir pakļauta politikai, tiek instalēts nevis nākamā lēciena vai parastā izejošā saskarne, bet gan SD-WAN komplektam pievienotās saskarnes. trafika līdzsvarošanas algoritms starp šīm saskarnēm.

Trafiku no vispārējās plūsmas var atdalīt ar L3-L4 informāciju, atpazītām lietojumprogrammām, interneta pakalpojumiem (URL un IP), kā arī atzītiem darbstaciju un klēpjdatoru lietotājiem. Pēc tam piešķirtajai trafikai var piešķirt vienu no šiem balansēšanas algoritmiem:

Visdemokrātiskākā SD-WAN analīze: arhitektūra, konfigurācija, administrēšana un nepilnības

Sarakstā Interfeisa preferences tiek atlasītas tās saskarnes, kas jau ir pievienotas komplektam un apkalpos šāda veida trafiku. Pievienojot ne visas saskarnes, varat precīzi ierobežot, kurus kanālus izmantojat, piemēram, e-pastu, ja nevēlaties ar to apgrūtināt dārgus kanālus ar augstu SLA. FortiOS 6.4.1 kļuva iespējams grupēt SD-WAN komplektam pievienotās saskarnes zonās, izveidojot, piemēram, vienu zonu saziņai ar attālām vietnēm un otru vietējai interneta piekļuvei, izmantojot NAT. Jā, jā, var sabalansēt arī trafiku, kas iet uz parasto internetu.

Par balansēšanas algoritmiem

Attiecībā uz to, kā Fortigate (ugunsmūris no Fortinet) var sadalīt trafiku starp kanāliem, ir divas interesantas iespējas, kas tirgū nav īpaši izplatītas:

Zemākās izmaksas (SLA) – no visām saskarnēm, kas uz doto brīdi apmierina SLA, tiek izvēlēta tā, kurai ir mazāks svars (izmaksas), ko manuāli uzstādījis administrators; šis režīms ir piemērots lielapjoma satiksmei, piemēram, dublēšanai un failu pārsūtīšanai.

Labākā kvalitāte (SLA) – šis algoritms papildus parastajai Fortigate pakešu aizkavei, nervozitātei un zudumam var izmantot arī pašreizējo kanālu slodzi, lai novērtētu kanālu kvalitāti; Šis režīms ir piemērots jutīgai trafikai, piemēram, VoIP un video konferencēm.

Šiem algoritmiem ir jāiestata sakaru kanāla veiktspējas mērītājs — Performance SLA. Šis skaitītājs periodiski (pārbaudes intervāls) uzrauga informāciju par atbilstību SLA: pakešu zudums, latentums un nervozitāte sakaru kanālā un var “noraidīt” tos kanālus, kuri šobrīd neatbilst kvalitātes sliekšņiem – tie zaudē pārāk daudz pakešu vai piedzīvo pārāk daudz. daudz latentuma. Turklāt skaitītājs uzrauga kanāla statusu un var īslaicīgi noņemt to no komplekta, ja atbildes tiek atkārtoti zaudētas (kļūmes pirms neaktīva). Atjaunojot, pēc vairākām secīgām atbildēm (atjaunot saiti pēc) skaitītājs automātiski atgriezīs kanālu komplektā, un caur to atkal tiks pārsūtīti dati.

Šādi izskatās “skaitītāja” iestatījums:

Visdemokrātiskākā SD-WAN analīze: arhitektūra, konfigurācija, administrēšana un nepilnības

Tīmekļa saskarnē kā testa protokoli ir pieejami ICMP-Echo-request, HTTP-GET un DNS pieprasījums. Komandrindā ir nedaudz vairāk iespēju: ir pieejamas TCP-echo un UDP-echo opcijas, kā arī specializēts kvalitātes mērīšanas protokols - TWAMP.

Visdemokrātiskākā SD-WAN analīze: arhitektūra, konfigurācija, administrēšana un nepilnības

Mērījumu rezultātus var redzēt arī tīmekļa saskarnē:

Visdemokrātiskākā SD-WAN analīze: arhitektūra, konfigurācija, administrēšana un nepilnības

Un komandrindā:

Visdemokrātiskākā SD-WAN analīze: arhitektūra, konfigurācija, administrēšana un nepilnības

Problēmu novēršana

Ja izveidojāt kārtulu, bet viss nedarbojas, kā paredzēts, SD-WAN kārtulu sarakstā vajadzētu apskatīt vērtību trāpījumu skaits. Tas parādīs, vai satiksme vispār atbilst šim noteikumam:

Visdemokrātiskākā SD-WAN analīze: arhitektūra, konfigurācija, administrēšana un nepilnības

Pašā skaitītāja iestatījumu lapā var redzēt kanāla parametru izmaiņas laika gaitā. Punktētā līnija norāda parametra sliekšņa vērtību

Visdemokrātiskākā SD-WAN analīze: arhitektūra, konfigurācija, administrēšana un nepilnības

Tīmekļa saskarnē varat redzēt, kā trafiks tiek sadalīts pēc pārsūtīto/saņemto datu apjoma un sesiju skaita:

Visdemokrātiskākā SD-WAN analīze: arhitektūra, konfigurācija, administrēšana un nepilnības

Papildus tam visam ir lieliska iespēja maksimāli detalizēti izsekot pakešu pārejai. Strādājot reālā tīklā, ierīces konfigurācija uzkrāj daudzas maršrutēšanas politikas, ugunsmūri un trafika sadali pa SD-WAN portiem. Tas viss kompleksā veidā mijiedarbojas savā starpā, un, lai gan pārdevējs sniedz detalizētas pakešu apstrādes algoritmu blokshēmas, ir ļoti svarīgi spēt nevis veidot un pārbaudīt teorijas, bet gan redzēt, kur patiesībā notiek trafika.

Piemēram, šāda komandu kopa

diagnose debug flow filter saddr 10.200.64.15
diagnose debug flow filter daddr 10.1.7.2
diagnose debug flow show function-name
diagnose debug enable
diagnose debug trace 2

Ļauj izsekot divām paketēm ar avota adresi 10.200.64.15 un galamērķa adresi 10.1.7.2.
Mēs divreiz pingam 10.7.1.2 no 10.200.64.15 un apskatām izvadi konsolē.

Pirmā pakete:

Visdemokrātiskākā SD-WAN analīze: arhitektūra, konfigurācija, administrēšana un nepilnības

Otrā pakete:

Visdemokrātiskākā SD-WAN analīze: arhitektūra, konfigurācija, administrēšana un nepilnības

Šeit ir pirmā ugunsmūra saņemtā pakete:
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0."
VDOM – Internet, Proto=1 (ICMP), DMZ-Office – название L3-интерфейса. Type=8 – Echo.

Viņam ir izveidota jauna sesija:
msg="allocate a new session-0006a627"

Un maršrutēšanas politikas iestatījumos tika atrasta atbilstība
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"

Izrādās, ka pakete ir jānosūta uz vienu no VPN tuneļiem:
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"

Ugunsmūra politikās tiek atklāts šāds atļauju noteikums:
msg="Allowed by Policy-3:"

Pakete tiek šifrēta un nosūtīta uz VPN tuneli:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1"
func=esp_output4 line=905 msg="IPsec encrypt/auth"

Šifrētā pakete tiek nosūtīta uz vārtejas adresi šim WAN interfeisam:
msg="send to 2.2.2.2 via intf-WAN1"

Ar otro paketi viss notiek līdzīgi, taču tā tiek nosūtīta uz citu VPN tuneli un iziet caur citu ugunsmūra portu:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"

Risinājuma plusi

Uzticama funkcionalitāte un lietotājam draudzīgs interfeiss. FortiOS pieejamo funkciju kopums pirms SD-WAN parādīšanās ir pilnībā saglabāts. Tas nozīmē, ka mums nav tikko izstrādāta programmatūra, bet gan nobriedusi sistēma no pārbaudīta ugunsmūra pārdevēja. Ar tradicionālu tīkla funkciju komplektu, ērtu un viegli apgūstamu tīmekļa saskarni. Cik daudziem SD-WAN pārdevējiem ir, piemēram, attālās piekļuves VPN funkcionalitāte gala ierīcēs?

Drošības līmenis 80. FortiGate ir viens no populārākajiem ugunsmūra risinājumiem. Internetā ir daudz materiālu par ugunsmūru uzstādīšanu un administrēšanu, un darba tirgū ir daudz drošības speciālistu, kuri jau ir apguvuši pārdevēja risinājumus.

Nulles cena par SD-WAN funkcionalitāti. SD-WAN tīkla izveide FortiGate maksā tikpat, cik parasta WAN tīkla izveide uz tā, jo SD-WAN funkcionalitātes ieviešanai nav nepieciešamas papildu licences.

Zema ieejas barjeras cena. Fortigate ir laba ierīču gradācija dažādiem veiktspējas līmeņiem. Jaunākie un lētākie modeļi ir diezgan piemēroti biroja vai tirdzniecības vietas paplašināšanai, piemēram, 3-5 darbiniekiem. Daudziem pārdevējiem vienkārši nav tik zemas veiktspējas un pieejamu modeļu.

Augsta veiktspēja. SD-WAN funkcionalitātes samazināšana līdz trafika līdzsvarošanai ļāva uzņēmumam izlaist specializētu SD-WAN ASIC, pateicoties kuram SD-WAN darbība nesamazina ugunsmūra veiktspēju kopumā.

Iespēja ieviest visu biroju Fortinet aprīkojumā. Tie ir pāris ugunsmūri, slēdži, Wi-Fi piekļuves punkti. Šāds birojs ir viegli un ērti pārvaldāms – slēdži un piekļuves punkti tiek reģistrēti ugunsmūros un pārvaldīti no tiem. Piemēram, šādi varētu izskatīties slēdža ports no ugunsmūra interfeisa, kas kontrolē šo slēdzi:

Visdemokrātiskākā SD-WAN analīze: arhitektūra, konfigurācija, administrēšana un nepilnības

Kontrolieru trūkums kā viens atteices punkts. Pats pārdevējs uz to koncentrējas, taču par ieguvumu to var saukt tikai daļēji, jo tiem pārdevējiem, kuriem ir kontrolieri, to defektu tolerances nodrošināšana ir lēta, visbiežāk par nelielu skaitļošanas resursu daudzumu virtualizācijas vidē.

Ko meklēt

Nav atdalīšanas starp vadības plakni un datu plakni. Tas nozīmē, ka tīkls ir jākonfigurē vai nu manuāli, vai izmantojot jau pieejamos tradicionālos pārvaldības rīkus – FortiManager. Pārdevējiem, kuri ir ieviesuši šādu atdalīšanu, tīkls tiek montēts pats. Administratoram var būt tikai jāpielāgo tā topoloģija, kaut kas kaut kur jāaizliedz, nekas vairāk. Tomēr FortiManager trumpis ir tas, ka tas spēj pārvaldīt ne tikai ugunsmūrus, bet arī slēdžus un Wi-Fi piekļuves punktus, tas ir, gandrīz visu tīklu.

Nosacīta vadāmības palielināšana. Sakarā ar to, ka tīkla konfigurācijas automatizēšanai tiek izmantoti tradicionālie rīki, tīkla vadāmība, ieviešot SD-WAN, nedaudz palielinās. No otras puses, jauna funkcionalitāte kļūst pieejama ātrāk, jo pārdevējs to vispirms izlaiž tikai ugunsmūra operētājsistēmai (kas nekavējoties ļauj to izmantot), un tikai pēc tam papildina vadības sistēmu ar nepieciešamajām saskarnēm.

Dažas funkcijas var būt pieejamas no komandrindas, taču tās nav pieejamas tīmekļa saskarnē. Dažreiz nav tik biedējoši ieiet komandrindā, lai kaut ko konfigurētu, taču ir biedējoši, ja tīmekļa saskarnē neredzat, ka kāds jau ir kaut ko konfigurējis no komandrindas. Bet tas parasti attiecas uz jaunākajām funkcijām, un pakāpeniski ar FortiOS atjauninājumiem tiek uzlabotas tīmekļa saskarnes iespējas.

Lai atbilstu

Tiem, kam nav daudz filiāļu. SD-WAN risinājuma ieviešana ar sarežģītiem centrālajiem komponentiem 8-10 filiāļu tīklā var nemaksāt sveci - jums būs jātērē nauda par SD-WAN ierīču licencēm un virtualizācijas sistēmas resursiem, lai izvietotu centrālo komponentu. Mazam uzņēmumam parasti ir ierobežoti bezmaksas skaitļošanas resursi. Fortinet gadījumā pietiek vienkārši iegādāties ugunsmūrus.

Tiem, kam ir daudz mazu zaru. Daudziem pārdevējiem minimālā risinājuma cena par filiāli ir diezgan augsta un var nebūt interesanta no gala klienta biznesa viedokļa. Fortinet piedāvā nelielas ierīces par ļoti pievilcīgām cenām.

Tiem, kuri vēl nav gatavi spert soli pārāk tālu. SD-WAN ieviešana ar kontrolieriem, patentētu maršrutēšanu un jaunu pieeju tīkla plānošanai un pārvaldībai dažiem klientiem var būt pārāk liels solis. Jā, šāda ieviešana galu galā palīdzēs optimizēt komunikācijas kanālu izmantošanu un administratoru darbu, taču vispirms būs jāapgūst daudz jauna. Tiem, kuri vēl nav gatavi paradigmas maiņai, bet vēlas izspiest vairāk no saviem saziņas kanāliem, Fortinet risinājums ir tieši piemērots.

Avots: www.habr.com

Iegādājieties uzticamu mitināšanu vietnēm ar DDoS aizsardzību, VPS VDS serveriem 🔥 Iegādājieties uzticamu tīmekļa vietņu mitināšanu ar DDoS aizsardzību, VPS VDS serveriem | ProHoster