SD-WAN-ээр дамжуулан бидэнд ирж буй асуултуудын тооноос харахад технологи нь Орост бүрэн нэвтэрч эхэлсэн. Борлуулагчид мэдээжийн хэрэг унтаагүй бөгөөд өөрсдийн үзэл баримтлалыг санал болгодог бөгөөд зарим зоригтой анхдагчид үүнийг сүлжээндээ аль хэдийн хэрэгжүүлж байна.
Бид бараг бүх үйлдвэрлэгчидтэй хамтран ажилладаг бөгөөд лабораторид хэдэн жилийн турш би програм хангамжаар тодорхойлсон шийдлүүдийн томоохон хөгжүүлэгч бүрийн архитектурыг судалж чадсан. Fortinet-ийн SD-WAN нь эндээс бага зэрэг зайд байрладаг бөгөөд энэ нь зүгээр л галт ханын програм хангамж болгон харилцааны сувгуудын хоорондох урсгалыг тэнцвэржүүлэх функцийг бий болгосон. Энэхүү шийдэл нь нэлээд ардчилсан шинж чанартай тул дэлхийн өөрчлөлтөд хараахан бэлэн болоогүй ч харилцааны сувгаа илүү үр дүнтэй ашиглахыг хүсдэг компаниуд үүнийг ихэвчлэн үздэг.
Энэ нийтлэлд би Fortinet-ийн SD-WAN-г хэрхэн тохируулах, түүнтэй ажиллах талаар, энэ шийдэл нь хэнд тохиромжтой, энд ямар бэрхшээл тулгарч болохыг танд хэлэхийг хүсч байна.
SD-WAN зах зээлийн хамгийн алдартай тоглогчдыг хоёр төрлийн аль нэгэнд ангилж болно.
1. SD-WAN шийдлүүдийг эхнээс нь бий болгосон стартапууд. Эдгээрээс хамгийн амжилттай нь томоохон компаниуд худалдаж авсны дараа хөгжилд асар их түлхэц өгдөг - энэ бол Cisco/Viptela, VMWare/VeloCloud, Nuage/Nokia компанийн түүх юм.
2. Уламжлалт чиглүүлэгчийнхээ программчлах, удирдах чадварыг хөгжүүлж, SD-WAN шийдлүүдийг бүтээсэн томоохон сүлжээ үйлдвэрлэгчид - энэ бол Juniper, Huawei компанийн түүх юм.
Fortinet замаа олж чадсан. Галт ханын програм хангамж нь ердийн чиглүүлэлттэй харьцуулахад нарийн төвөгтэй алгоритмуудыг ашиглан тэдгээрийн интерфэйсүүдийг виртуал сувагт нэгтгэж, тэдгээрийн хоорондох ачааллыг тэнцвэржүүлэх боломжтой болсон. Энэ функцийг SD-WAN гэж нэрлэдэг. Fortinet-ийг SD-WAN гэж нэрлэж болох уу? Зах зээл аажмаар Програм хангамжаар тодорхойлогддог гэдэг нь Удирдлагын хавтгайг өгөгдлийн хавтгай, тусгай зориулалтын хянагч, зохион байгуулагчдаас салгах гэсэн үг гэдгийг аажмаар ойлгож байна. Fortinet-д ийм зүйл байхгүй. Төвлөрсөн удирдлага нь сонголттой бөгөөд уламжлалт Fortimanager хэрэгслээр санал болгодог. Гэхдээ миний бодлоор та хийсвэр үнэнийг хайж, нэр томъёоны талаар маргаж цаг үрэх ёсгүй. Бодит амьдрал дээр арга бүр өөрийн гэсэн давуу болон сул талуудтай байдаг. Хамгийн сайн гарц бол тэдгээрийг ойлгож, даалгаварт тохирсон шийдлүүдийг сонгох чадвартай байх явдал юм.
Би Fortinet-ийн SD-WAN нь ямар харагддаг, юу хийж чадахыг гартаа дэлгэцийн агшингаар хэлэхийг хичээх болно.
Бүх зүйл хэрхэн ажилладаг
Та хоёр дата сувгаар холбогдсон хоёр салбартай гэж бодъё. Эдгээр өгөгдлийн холбоосууд нь ердийн Ethernet интерфэйсүүдийг LACP-Port-Channel-д нэгтгэдэгтэй адил бүлэгт нэгтгэгддэг. Хуучин хүмүүс PPP Multilink-ийг санах болно - бас тохиромжтой аналоги. Сувгууд нь физик портууд, VLAN SVI, мөн VPN эсвэл GRE туннель байж болно.
Интернэтээр салбар дотоод сүлжээг холбоход VPN эсвэл GRE-г ихэвчлэн ашигладаг. Мөн физик портууд - хэрэв сайтуудын хооронд L2 холболт байгаа бол эсвэл тусгай зориулалтын MPLS/VPN-ээр холбогдож байгаа бол бид Overlay болон шифрлэлтгүйгээр холболтод сэтгэл хангалуун байвал. SD-WAN бүлэгт физик портуудыг ашигладаг өөр нэг хувилбар бол хэрэглэгчдийн Интернэт дэх орон нутгийн хандалтыг тэнцвэржүүлэх явдал юм.
Манай стенд хоёр "харилцаа холбооны оператор"-оор дамжуулан дөрвөн галт хана, хоёр VPN туннель ажиллаж байна. Диаграм нь дараах байдлаар харагдаж байна.
VPN хонгилыг интерфэйсийн горимд тохируулсан бөгөөд тэдгээр нь P2P интерфэйс дээрх IP хаягтай төхөөрөмжүүдийн хоорондох цэгээс цэгийн холболттой төстэй бөгөөд тодорхой хонгилоор дамжуулан харилцаа холбоо ажиллаж байгаа эсэхийг баталгаажуулахын тулд ping хийх боломжтой. Хөдөлгөөнийг шифрлэж, эсрэг тал руугаа явахын тулд хонгил руу чиглүүлэхэд хангалттай. Өөр нэг хувилбар бол дэд сүлжээнүүдийн жагсаалтыг ашиглан шифрлэлтийн урсгалыг сонгох явдал бөгөөд энэ нь тохиргоо нь илүү төвөгтэй болж администраторыг төөрөгдүүлдэг. Том сүлжээнд та VPN бүтээхдээ ADVPN технологийг ашиглаж болно; энэ нь Cisco-ийн DMVPN эсвэл Huawei-ийн DVPN-ийн аналог бөгөөд тохиргоог хялбар болгох боломжийг олгодог.
Хоёр талдаа BGP чиглүүлэлттэй хоёр төхөөрөмжид зориулсан Сайтаас Сайт руу VPN тохиргоо
«ЦОД» (DC)
«Филиал» (BRN)
config system interface
edit "WAN1"
set vdom "Internet"
set ip 1.1.1.1 255.255.255.252
set allowaccess ping
set role wan
set interface "DC-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 3.3.3.1 255.255.255.252
set allowaccess ping
set role lan
set interface "DC-BRD"
set vlanid 112
next
edit "BRN-Ph1-1"
set vdom "Internet"
set ip 192.168.254.1 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.2 255.255.255.255
set interface "WAN1"
next
edit "BRN-Ph1-2"
set vdom "Internet"
set ip 192.168.254.3 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.4 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "BRN-Ph1-1"
set interface "WAN1"
set local-gw 1.1.1.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 2.2.2.1
set psksecret ***
next
edit "BRN-Ph1-2"
set interface "WAN2"
set local-gw 3.3.3.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 4.4.4.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "BRN-Ph2-1"
set phase1name "BRN-Ph1-1"
set proposal aes256-sha256
set dhgrp 2
next
edit "BRN-Ph2-2"
set phase1name "BRN-Ph1-2"
set proposal aes256-sha256
set dhgrp 2
next
end
config router static
edit 1
set gateway 1.1.1.2
set device "WAN1"
next
edit 3
set gateway 3.3.3.2
set device "WAN2"
next
end
config router bgp
set as 65002
set router-id 10.1.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.2"
set remote-as 65003
next
edit "192.168.254.4"
set remote-as 65003
next
end
config network
edit 1
set prefix 10.1.0.0 255.255.0.0
next
end
config system interface
edit "WAN1"
set vdom "Internet"
set ip 2.2.2.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 111
next
edit "WAN2"
set vdom "Internet"
set ip 4.4.4.1 255.255.255.252
set allowaccess ping
set role wan
set interface "BRN-BRD"
set vlanid 114
next
edit "DC-Ph1-1"
set vdom "Internet"
set ip 192.168.254.2 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.1 255.255.255.255
set interface "WAN1"
next
edit "DC-Ph1-2"
set vdom "Internet"
set ip 192.168.254.4 255.255.255.255
set allowaccess ping
set type tunnel
set remote-ip 192.168.254.3 255.255.255.255
set interface "WAN2"
next
end
config vpn ipsec phase1-interface
edit "DC-Ph1-1"
set interface "WAN1"
set local-gw 2.2.2.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 1.1.1.1
set psksecret ***
next
edit "DC-Ph1-2"
set interface "WAN2"
set local-gw 4.4.4.1
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 2
set remote-gw 3.3.3.1
set psksecret ***
next
end
config vpn ipsec phase2-interface
edit "DC-Ph2-1"
set phase1name "DC-Ph1-1"
set proposal aes128-sha1
set dhgrp 2
next
edit "DC2-Ph2-2"
set phase1name "DC-Ph1-2"
set proposal aes128-sha1
set dhgrp 2
next
end
config router static
edit 1
set gateway 2.2.2.2
et device "WAN1"
next
edit 3
set gateway 4.4.4.2
set device "WAN2"
next
end
config router bgp
set as 65003
set router-id 10.200.7.1
set ebgp-multipath enable
config neighbor
edit "192.168.254.1"
set remote-as 65002
next
edit "192.168.254.3"
set remote-as 65002
next
end
config network
edit 1
set prefix 10.200.0.0 255.255.0.0
next
end
Би тохиргоог текст хэлбэрээр өгч байна, учир нь миний бодлоор VPN-ийг ингэж тохируулах нь илүү тохиромжтой. Бараг бүх тохиргоо нь хоёр талдаа адилхан бөгөөд текст хэлбэрээр тэдгээрийг хуулж буулгах хэлбэрээр хийж болно. Хэрэв та вэб интерфэйс дээр ижил зүйлийг хийвэл алдаа гаргахад хялбар байдаг - хаа нэгтээ тэмдэглэгээг мартаж, буруу утгыг оруулна уу.
Бид багцад интерфэйсүүдийг нэмсний дараа
Бүх чиглүүлэлтүүд болон аюулгүй байдлын бодлого нь түүнд багтсан интерфэйсүүд биш харин үүнтэй холбоотой байж болно. Доод тал нь дотоод сүлжээнээс SD-WAN руу урсгалыг зөвшөөрөх хэрэгтэй. Та тэдгээрт зориулж дүрэм гаргахдаа IPS, вирусны эсрэг болон HTTPS мэдээллийг задруулах зэрэг хамгаалалтын арга хэмжээг хэрэглэж болно.
SD-WAN дүрмийг багцад тохируулсан. Эдгээр нь тодорхой урсгалыг тэнцвэржүүлэх алгоритмыг тодорхойлсон дүрмүүд юм. Эдгээр нь Бодлогод суурилсан чиглүүлэлтийн чиглүүлэлтийн бодлоготой төстэй бөгөөд зөвхөн энэ бодлогод хамаарах урсгалын үр дүнд дараагийн хоп эсвэл ердийн гадагшлах интерфейс биш харин SD-WAN багцад нэмсэн интерфэйсүүд суулгагддаг. Эдгээр интерфэйсүүдийн хоорондох хөдөлгөөнийг тэнцвэржүүлэх алгоритм.
Траффикийг L3-L4 мэдээлэл, хүлээн зөвшөөрөгдсөн програмууд, интернет үйлчилгээ (URL болон IP), түүнчлэн ажлын станц, зөөврийн компьютерын хүлээн зөвшөөрөгдсөн хэрэглэгчээр дамжуулан ерөнхий урсгалаас тусгаарлаж болно. Үүний дараа хуваарилагдсан траффикт дараахь тэнцвэржүүлэх алгоритмуудын аль нэгийг оноож болно.
Interface Preference жагсаалтад энэ төрлийн траффикт үйлчлэх багцад аль хэдийн нэмсэн интерфейсүүдийг сонгосон. Бүх интерфэйсийг нэмсэнээр та өндөр SLA-аар үнэтэй сувгуудыг дарамтлахыг хүсэхгүй байгаа бол яг аль сувгаа, тухайлбал, имэйл ашиглахаа хязгаарлаж болно. FortiOS 6.4.1-д SD-WAN багцад нэмсэн интерфэйсүүдийг бүс болгон бүлэглэх боломжтой болсон бөгөөд жишээлбэл, алсын сайтуудтай харилцах нэг бүс, NAT ашиглан орон нутгийн интернетэд нэвтрэх өөр нэг бүс бий болсон. Тийм ээ, тийм ээ, ердийн интернет рүү явдаг урсгалыг тэнцвэржүүлж болно.
Тэнцвэржүүлэх алгоритмын тухай
Fortigate (Fortinet-ийн галт хана) нь траффикийг суваг хооронд хэрхэн хуваах талаар зах зээл дээр тийм ч түгээмэл биш хоёр сонирхолтой сонголт байдаг:
Хамгийн бага зардал (SLA) - Одоогийн байдлаар SLA-ийг хангасан бүх интерфейсээс администраторын гараар тохируулсан жин багатай (өртөг)-ийг сонгосон; Энэ горим нь нөөцлөлт, файл дамжуулах гэх мэт "бөөндөө" урсгалд тохиромжтой.
Шилдэг чанар (SLA) - энэ алгоритм нь Fortigate пакетуудын ердийн саатал, чичиргээ, алдагдлаас гадна сувгийн чанарыг үнэлэхийн тулд одоогийн сувгийн ачааллыг ашиглаж болно; Энэ горим нь VoIP болон видео хурал зэрэг эмзэг урсгалд тохиромжтой.
Эдгээр алгоритмууд нь харилцааны сувгийн гүйцэтгэлийн тоолуурыг тохируулахыг шаарддаг - Performance SLA. Энэхүү тоолуур нь үе үе (шалгах интервал) нь SLA-д нийцэж байгаа тухай мэдээллийг хянадаг: холбооны суваг дахь пакет алдагдах, саатал (хоцролт) болон чичиргээ (життер) - мөн чанарын босго хангаагүй байгаа сувгуудыг "татгалзах" боломжтой - тэд алдаж байна. хэт олон пакет эсвэл хэт их хоцрогдолтой байна. Нэмж дурдахад тоолуур нь сувгийн статусыг хянадаг бөгөөд хариу үйлдэл давтагдсан тохиолдолд (идэвхгүй байхаас өмнө алдаа гарсан) үүнийг багцаас түр хугацаагаар хасаж болно. Сэргээх үед хэд хэдэн дараалсан хариу ирсний дараа (холбоосыг сэргээх) тоолуур автоматаар сувгийг багц руу буцааж өгөх бөгөөд өгөгдөл дахин дамжуулагдаж эхэлнэ.
"Тоолуурын" тохиргоо дараах байдалтай байна.
Вэб интерфэйс дээр ICMP-Echo-request, HTTP-GET болон DNS хүсэлтийг туршилтын протокол хэлбэрээр ашиглах боломжтой. Тушаалын мөрөнд арай илүү сонголтууд байна: TCP-echo болон UDP-echo сонголтууд, мөн чанарын хэмжилтийн тусгай протокол - TWAMP боломжтой.
Хэмжилтийн үр дүнг мөн вэб интерфэйсээс харж болно:
Мөн тушаалын мөрөнд:
Алдааг олж засварлах
Хэрэв та дүрэм үүсгэсэн боловч бүх зүйл санаснаар болохгүй бол SD-WAN дүрмийн жагсаалтаас Hit Count утгыг харах хэрэгтэй. Энэ нь замын хөдөлгөөн энэ дүрэмд хамаарах эсэхийг харуулах болно:
Тоолуурын тохиргооны хуудаснаас та сувгийн параметрүүдийн цаг хугацааны өөрчлөлтийг харж болно. Тасалсан шугам нь параметрийн босго утгыг заана
Вэб интерфэйс дээр та дамжуулагдсан/хүлээн авсан өгөгдлийн хэмжээ болон сессийн тоогоор траффик хэрхэн хуваарилагдаж байгааг харж болно.
Энэ бүхнээс гадна пакетуудын дамжуулалтыг хамгийн их нарийвчлалтайгаар хянах сайхан боломж бий. Бодит сүлжээнд ажиллах үед төхөөрөмжийн тохиргоо нь олон чиглүүлэлтийн бодлого, галт хана, SD-WAN портууд дээрх траффикийн хуваарилалтыг хуримтлуулдаг. Энэ бүхэн хоорондоо нарийн төвөгтэй байдлаар харилцан үйлчлэлцдэг бөгөөд үйлдвэрлэгч нь пакет боловсруулах алгоритмын нарийвчилсан блок диаграммыг өгдөг ч онолыг бий болгож, туршихгүй, харин урсгал хаашаа явж байгааг харах чадвартай байх нь маш чухал юм.
Жишээлбэл, дараах тушаалуудын багц
diagnose debug flow filter saddr 10.200.64.15
diagnose debug flow filter daddr 10.1.7.2
diagnose debug flow show function-name
diagnose debug enable
diagnose debug trace 2
10.200.64.15 эх хаяг, 10.1.7.2 очих хаягтай хоёр пакетыг хянах боломжийг танд олгоно.
Бид 10.7.1.2-ыг 10.200.64.15-аас хоёр удаа ping хийж, консол дээрх гаралтыг харна.
Эхний багц:
Хоёр дахь багц:
Галт ханын хүлээн авсан анхны пакет энд байна:
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0."
VDOM – Internet, Proto=1 (ICMP), DMZ-Office – название L3-интерфейса. Type=8 – Echo.
Түүнд зориулж шинэ сесс үүсгэсэн:
msg="allocate a new session-0006a627"
Мөн чиглүүлэлтийн бодлогын тохиргооноос тохирох зүйл олдсон
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"
Пакетийг VPN туннелүүдийн аль нэгэнд илгээх шаардлагатай болж байна.
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"
Галт ханын бодлогод дараах зөвшөөрлийн дүрмийг илрүүлсэн:
msg="Allowed by Policy-3:"
Пакет нь шифрлэгдсэн бөгөөд VPN туннель руу илгээгдсэн:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
Шифрлэгдсэн пакет нь энэ WAN интерфейсийн гарц хаяг руу илгээгдэнэ:
msg="send to 2.2.2.2 via intf-WAN1"
Хоёрдахь багцын хувьд бүх зүйл ижил төстэй байдлаар явагддаг, гэхдээ энэ нь өөр VPN хонгил руу илгээгдэж, өөр галт ханын портоор дамждаг.
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"
Шийдлийн давуу тал
Найдвартай ажиллагаа, хэрэглэгчдэд ээлтэй интерфэйс. SD-WAN гарч ирэхээс өмнө FortiOS дээр байсан функцүүдийн багц бүрэн хадгалагдан үлдсэн. Өөрөөр хэлбэл, бидэнд шинээр боловсруулсан програм хангамж байхгүй, харин галт хананы баталгаажсан үйлдвэрлэгчийн гүйцсэн систем байна. Уламжлалт сүлжээний функц, тохиромжтой, сурахад хялбар вэб интерфэйстэй. Хэдэн SD-WAN үйлдвэрлэгчид эцсийн төхөөрөмж дээр алсаас хандах VPN функцтэй байдаг вэ?
Аюулгүй байдлын түвшин 80. FortiGate бол галт ханын шилдэг шийдлүүдийн нэг юм. Интернетэд галт хана суурилуулах, удирдах талаар маш их материал байдаг бөгөөд хөдөлмөрийн зах зээл дээр үйлдвэрлэгчийн шийдлүүдийг аль хэдийн эзэмшсэн олон аюулгүй байдлын мэргэжилтнүүд байдаг.
SD-WAN функцийн үнэ тэг. FortiGate дээр SD-WAN сүлжээг бий болгох нь SD-WAN функцийг хэрэгжүүлэхэд нэмэлт лиценз шаардагдахгүй тул ердийн WAN сүлжээг бий болгохтой ижил зардалтай болно.
Нэвтрэх саадны үнэ бага. Fortigate нь янз бүрийн гүйцэтгэлийн түвшний төхөөрөмжүүдийн сайн зэрэглэлтэй байдаг. Хамгийн залуу, хамгийн хямд загварууд нь 3-5 ажилтантай оффис эсвэл борлуулалтын цэгийг өргөжүүлэхэд тохиромжтой. Олон борлуулагчид ийм бага хүчин чадалтай, боломжийн загвартай байдаггүй.
Маш сайн гүйцэтгэл. SD-WAN функцийг траффик тэнцвэржүүлэхийн тулд багасгах нь компанид тусгай SD-WAN ASIC гаргах боломжийг олгосон бөгөөд үүний ачаар SD-WAN ажиллагаа нь галт хананы гүйцэтгэлийг бүхэлд нь бууруулдаггүй.
Fortinet тоног төхөөрөмж дээр бүхэл бүтэн оффисыг хэрэгжүүлэх чадвар. Эдгээр нь галт хана, унтраалга, Wi-Fi хандалтын цэгүүд юм. Ийм оффисыг удирдахад хялбар бөгөөд тохиромжтой байдаг - унтраалга болон хандалтын цэгүүдийг галт хананд бүртгэж, тэдгээрээс удирддаг. Жишээлбэл, энэ шилжүүлэгчийг удирддаг галт ханын интерфейсээс шилжүүлэгч порт нь иймэрхүү харагдаж болно:
Хянагч дутагдалтай байгаа нь алдаа дутагдлын нэг цэг юм. Худалдагч өөрөө үүнд анхаарлаа хандуулдаг боловч үүнийг зөвхөн хэсэгчлэн ашиг тус гэж нэрлэж болно, учир нь хянагчтай борлуулагчдын хувьд тэдний алдааг тэсвэрлэх чадварыг баталгаажуулах нь ихэвчлэн виртуалчлалын орчинд бага хэмжээний тооцоолох нөөцийн үнээр хямд байдаг.
Юуг хайх вэ
Хяналтын хавтгай ба өгөгдлийн хавтгай хоёрын хооронд ялгаа байхгүй. Энэ нь сүлжээг гараар эсвэл аль хэдийн бэлэн болсон уламжлалт менежментийн хэрэгслүүд болох FortiManager ашиглан тохируулах ёстой гэсэн үг юм. Ийм тусгаарлалтыг хэрэгжүүлсэн борлуулагчдын хувьд сүлжээг өөрөө угсардаг. Администратор зөвхөн топологийг тохируулах, хаа нэгтээ ямар нэг зүйлийг хориглох шаардлагатай байж магадгүй, өөр юу ч биш. Гэсэн хэдий ч FortiManager-ийн гол карт нь зөвхөн галт хана төдийгүй унтраалга, Wi-Fi хандалтын цэгүүд, өөрөөр хэлбэл бараг бүх сүлжээг удирдах боломжтой юм.
Хянах чадварыг нөхцөлт нэмэгдүүлэх. Уламжлалт хэрэгслүүдийг сүлжээний тохиргоог автоматжуулахад ашигладаг тул SD-WAN-ийг нэвтрүүлснээр сүлжээний менежмент бага зэрэг нэмэгддэг. Нөгөөтэйгүүр, борлуулагч эхлээд үүнийг зөвхөн галт ханын үйлдлийн системд зориулж гаргадаг (энэ нь үүнийг шууд ашиглах боломжтой болгодог), дараа нь удирдлагын системийг шаардлагатай интерфэйсүүдээр нөхдөг тул шинэ функцууд илүү хурдан боломжтой болно.
Зарим функцийг командын мөрөөс ашиглах боломжтой боловч вэб интерфэйсээс ашиглах боломжгүй. Заримдаа командын мөрөнд ямар нэг зүйлийг тохируулах нь тийм ч аймшигтай биш боловч вэб интерфэйс дээр хэн нэгэн командын мөрөөс аль хэдийн ямар нэг зүйлийг тохируулсан байхыг харахгүй байх нь аймшигтай юм. Гэхдээ энэ нь ихэвчлэн хамгийн сүүлийн үеийн функцүүдэд хамаатай бөгөөд аажмаар FortiOS-ийн шинэчлэлтүүдээр вэб интерфэйсийн боломжууд сайжирдаг.
Тохирсон
Олон салбаргүй хүмүүст зориулав. 8-10 салбартай сүлжээнд төвлөрсөн бүрэлдэхүүн хэсгүүдтэй SD-WAN шийдлийг хэрэгжүүлэх нь тийм ч их зардал гарахгүй байж магадгүй - та SD-WAN төхөөрөмжүүдийн лиценз, төвийн бүрэлдэхүүн хэсгүүдийг байршуулахын тулд виртуалчлалын системийн нөөцөд мөнгө зарцуулах хэрэгтэй болно. Жижиг компани ихэвчлэн хязгаарлагдмал үнэ төлбөргүй тооцоолох нөөцтэй байдаг. Fortinet-ийн хувьд галт хана худалдаж авахад л хангалттай.
Олон жижиг салбартай хүмүүст зориулав. Олон борлуулагчдын хувьд нэг салбар дахь шийдлийн доод үнэ нэлээд өндөр бөгөөд эцсийн хэрэглэгчийн бизнесийн үүднээс харахад тийм ч сонирхолтой биш байж магадгүй юм. Fortinet жижиг төхөөрөмжүүдийг маш сонирхолтой үнээр санал болгодог.
Хэт хол алхам хийхэд бэлэн биш байгаа хүмүүст зориулав. SD-WAN-ийг хянагч, өмчийн чиглүүлэлт, сүлжээний төлөвлөлт, менежментийн шинэ арга барилтай хэрэгжүүлэх нь зарим хэрэглэгчдийн хувьд хэтэрхий том алхам байж магадгүй юм. Тиймээ, ийм хэрэгжүүлэлт нь эцсийн дүндээ харилцааны сувгийн ашиглалт, администраторуудын ажлыг оновчтой болгоход туслах болно, гэхдээ эхлээд та маш олон шинэ зүйлийг сурах хэрэгтэй болно. Парадигмыг өөрчлөхөд хараахан бэлэн болоогүй байгаа ч харилцааны сувгаасаа илүү ихийг шахахыг хүсч буй хүмүүсийн хувьд Fortinet-ийн шийдэл нь зөв юм.
Эх сурвалж: www.habr.com