🥇SD-WAN च्या सर्वात लोकशाहीचे विश्लेषण: आर्किटेक्चर, कॉन्फिगरेशन, प्रशासन आणि तोटे

SD-WAN द्वारे आमच्याकडे येऊ लागलेल्या प्रश्नांच्या संख्येनुसार, तंत्रज्ञानाने रशियामध्ये पूर्णपणे रुजण्यास सुरुवात केली आहे. विक्रेते, स्वाभाविकपणे, झोपलेले नसतात आणि त्यांच्या संकल्पना देतात आणि काही धाडसी पायनियर आधीच त्यांच्या नेटवर्कवर त्यांची अंमलबजावणी करत आहेत.

आम्ही जवळजवळ सर्व विक्रेत्यांसोबत काम करतो आणि आमच्या प्रयोगशाळेत अनेक वर्षांपासून मी सॉफ्टवेअर-परिभाषित सोल्यूशन्सच्या प्रत्येक प्रमुख विकसकाच्या आर्किटेक्चरचा शोध घेण्यात यशस्वी झालो. फोर्टिनेट मधील SD-WAN येथे थोडेसे वेगळे आहे, ज्याने फायरवॉल सॉफ्टवेअरमध्ये संप्रेषण चॅनेल दरम्यान रहदारी संतुलित करण्याची कार्यक्षमता तयार केली आहे. समाधान ऐवजी लोकशाही आहे, म्हणून सामान्यतः अशा कंपन्यांद्वारे मानले जाते जे अद्याप जागतिक बदलांसाठी तयार नाहीत, परंतु त्यांचे संप्रेषण चॅनेल अधिक प्रभावीपणे वापरू इच्छित आहेत.

या लेखात मी तुम्हाला Fortinet मधील SD-WAN सोबत कसे कॉन्फिगर करावे आणि कसे कार्य करावे हे सांगू इच्छितो, हे समाधान कोणासाठी योग्य आहे आणि तुम्हाला येथे कोणत्या अडचणी येऊ शकतात.

SD-WAN मार्केटमधील सर्वात प्रमुख खेळाडू दोन प्रकारांपैकी एकामध्ये वर्गीकृत केले जाऊ शकतात:

1. सुरवातीपासून SD-WAN सोल्यूशन्स तयार करणारे स्टार्टअप. यापैकी सर्वात यशस्वी मोठ्या कंपन्यांनी विकत घेतल्यानंतर विकासासाठी मोठी प्रेरणा मिळते - ही सिस्को/विप्टेला, व्हीएमवेअर/वेलोक्लाउड, न्युएज/नोकियाची कथा आहे

2. मोठे नेटवर्क विक्रेते ज्यांनी SD-WAN सोल्यूशन्स तयार केले आहेत, त्यांच्या पारंपारिक राउटरची प्रोग्रामक्षमता आणि व्यवस्थापनक्षमता विकसित केली आहे - ही जुनिपर, Huawei ची कथा आहे

फोर्टिनेटने त्याचा मार्ग शोधला. फायरवॉल सॉफ्टवेअरमध्ये अंगभूत कार्यक्षमता होती ज्यामुळे त्यांचे इंटरफेस आभासी चॅनेलमध्ये एकत्र करणे आणि पारंपारिक राउटिंगच्या तुलनेत जटिल अल्गोरिदम वापरून त्यांच्यामधील भार संतुलित करणे शक्य झाले. या कार्यक्षमतेला SD-WAN असे म्हणतात. फोर्टिनेटला SD-WAN म्हणता येईल का? मार्केटला हळूहळू समजत आहे की सॉफ्टवेअर-परिभाषित म्हणजे कंट्रोल प्लेनला डेटा प्लेन, समर्पित नियंत्रक आणि ऑर्केस्ट्रेटरपासून वेगळे करणे. Fortinet मध्ये असे काहीही नाही. केंद्रीकृत व्यवस्थापन हे पर्यायी आहे आणि पारंपारिक फोर्टिमनेजर टूलद्वारे ऑफर केले जाते. परंतु माझ्या मते, तुम्ही अमूर्त सत्य शोधू नये आणि अटींबद्दल वाद घालण्यात वेळ घालवू नये. वास्तविक जगात, प्रत्येक दृष्टिकोनाचे त्याचे फायदे आणि तोटे आहेत. त्यांना समजून घेणे आणि कार्यांशी सुसंगत उपाय निवडण्यात सक्षम असणे हा सर्वोत्तम मार्ग आहे.

फोर्टिनेट मधील SD-WAN कसा दिसतो आणि ते काय करू शकते हे स्क्रीनशॉट्ससह मी तुम्हाला सांगण्याचा प्रयत्न करेन.

सर्वकाही कसे कार्य करते

समजा तुमच्या दोन शाखा दोन डेटा चॅनेलने जोडलेल्या आहेत. LACP-पोर्ट-चॅनेलमध्ये नियमित इथरनेट इंटरफेस कसे एकत्र केले जातात त्याप्रमाणेच हे डेटा लिंक एका गटात एकत्र केले जातात. जुन्या काळातील लोक PPP मल्टीलिंक लक्षात ठेवतील - हे देखील एक योग्य साधर्म्य आहे. चॅनल भौतिक पोर्ट, VLAN SVI, तसेच VPN किंवा GRE बोगदे असू शकतात.

व्हीपीएन किंवा जीआरई सामान्यत: इंटरनेटवर शाखा स्थानिक नेटवर्क कनेक्ट करताना वापरले जातात. आणि फिजिकल पोर्ट्स - साइट्समध्ये L2 कनेक्शन असल्यास, किंवा समर्पित MPLS/VPN वर कनेक्ट करताना, आम्ही आच्छादन आणि एन्क्रिप्शनशिवाय कनेक्शनसह समाधानी असल्यास. SD-WAN गटामध्ये फिजिकल पोर्ट्स वापरल्या जाणार्‍या दुसर्‍या परिस्थितीमध्ये वापरकर्त्यांचा इंटरनेटवरील स्थानिक प्रवेश संतुलित केला जातो.

आमच्या स्टँडवर चार फायरवॉल आणि दोन VPN बोगदे दोन “कम्युनिकेशन ऑपरेटर” द्वारे कार्यरत आहेत. आकृती असे दिसते:

VPN बोगदे इंटरफेस मोडमध्ये कॉन्फिगर केले जातात जेणेकरून ते P2P इंटरफेसवरील IP पत्त्यांसह डिव्हाइसेसमधील पॉइंट-टू-पॉइंट कनेक्शनसारखे असतात, जे विशिष्ट बोगद्याद्वारे संप्रेषण कार्य करत असल्याची खात्री करण्यासाठी पिंग केले जाऊ शकते. रहदारी कूटबद्ध होण्यासाठी आणि विरुद्ध बाजूस जाण्यासाठी, ते बोगद्यामध्ये जाण्यासाठी पुरेसे आहे. पर्याय म्हणजे सबनेटच्या याद्या वापरून एन्क्रिप्शनसाठी रहदारी निवडणे, जे कॉन्फिगरेशन अधिक क्लिष्ट झाल्यामुळे प्रशासकास मोठ्या प्रमाणात गोंधळात टाकते. मोठ्या नेटवर्कमध्ये, तुम्ही VPN तयार करण्यासाठी ADVPN तंत्रज्ञान वापरू शकता; हे Cisco मधील DMVPN किंवा Huawei मधील DVPN चे अॅनालॉग आहे, जे सुलभ सेटअपसाठी अनुमती देते.

दोन्ही बाजूंनी BGP राउटिंगसह दोन उपकरणांसाठी साइट-टू-साइट VPN कॉन्फिगरेशन


«ЦОД» (DC)

«Филиал» (BRN)
config system interface

 edit "WAN1"

  set vdom "Internet"

  set ip 1.1.1.1 255.255.255.252

  set allowaccess ping

  set role wan

  set interface "DC-BRD"

  set vlanid 111

 next 

 edit "WAN2"

  set vdom "Internet"

  set ip 3.3.3.1 255.255.255.252

  set allowaccess ping

  set role lan

  set interface "DC-BRD"

  set vlanid 112

 next

 edit "BRN-Ph1-1"

  set vdom "Internet"

  set ip 192.168.254.1 255.255.255.255

  set allowaccess ping

  set type tunnel

  set remote-ip 192.168.254.2 255.255.255.255

  set interface "WAN1"

 next

 edit "BRN-Ph1-2"

  set vdom "Internet"

  set ip 192.168.254.3 255.255.255.255

  set allowaccess ping

  set type tunnel

  set remote-ip 192.168.254.4 255.255.255.255

  set interface "WAN2"

 next

end
config vpn ipsec phase1-interface

 edit "BRN-Ph1-1"

  set interface "WAN1"

  set local-gw 1.1.1.1

  set peertype any

  set net-device disable

  set proposal aes128-sha1

  set dhgrp 2

  set remote-gw 2.2.2.1

  set psksecret ***

 next

 edit "BRN-Ph1-2"

  set interface "WAN2"

  set local-gw 3.3.3.1

  set peertype any

  set net-device disable

  set proposal aes128-sha1

  set dhgrp 2

  set remote-gw 4.4.4.1

  set psksecret ***

 next

end
config vpn ipsec phase2-interface

 edit "BRN-Ph2-1"

  set phase1name "BRN-Ph1-1"

  set proposal aes256-sha256

  set dhgrp 2

 next

 edit "BRN-Ph2-2"

  set phase1name "BRN-Ph1-2"

  set proposal aes256-sha256

  set dhgrp 2

 next

end
config router static

 edit 1

  set gateway 1.1.1.2

  set device "WAN1"

 next

 edit 3

  set gateway 3.3.3.2

  set device "WAN2"

 next

end
config router bgp

 set as 65002

 set router-id 10.1.7.1

 set ebgp-multipath enable

 config neighbor

  edit "192.168.254.2"

   set remote-as 65003

  next

  edit "192.168.254.4"

   set remote-as 65003

  next

 end
 config network

  edit 1

   set prefix 10.1.0.0 255.255.0.0

  next

end 
config system interface

 edit "WAN1"

  set vdom "Internet"

  set ip 2.2.2.1 255.255.255.252

  set allowaccess ping

  set role wan

  set interface "BRN-BRD"

  set vlanid 111

 next

 edit "WAN2"

  set vdom "Internet"

  set ip 4.4.4.1 255.255.255.252

  set allowaccess ping

  set role wan

  set interface "BRN-BRD"

  set vlanid 114

 next

 edit "DC-Ph1-1"

  set vdom "Internet"

  set ip 192.168.254.2 255.255.255.255

  set allowaccess ping

  set type tunnel

  set remote-ip 192.168.254.1 255.255.255.255

  set interface "WAN1"

 next

 edit "DC-Ph1-2"

  set vdom "Internet"

  set ip 192.168.254.4 255.255.255.255

  set allowaccess ping

  set type tunnel

  set remote-ip 192.168.254.3 255.255.255.255

  set interface "WAN2"

 next

end
config vpn ipsec phase1-interface

  edit "DC-Ph1-1"

   set interface "WAN1"

   set local-gw 2.2.2.1

   set peertype any

   set net-device disable

   set proposal aes128-sha1

   set dhgrp 2

   set remote-gw 1.1.1.1

   set psksecret ***

  next

  edit "DC-Ph1-2"

   set interface "WAN2"

   set local-gw 4.4.4.1

   set peertype any

   set net-device disable

   set proposal aes128-sha1

   set dhgrp 2

   set remote-gw 3.3.3.1

   set psksecret ***

  next

end
config vpn ipsec phase2-interface

  edit "DC-Ph2-1"

   set phase1name "DC-Ph1-1"

   set proposal aes128-sha1

   set dhgrp 2

  next

  edit "DC2-Ph2-2"

   set phase1name "DC-Ph1-2"

   set proposal aes128-sha1

   set dhgrp 2

  next

end
config router static

 edit 1

  set gateway 2.2.2.2

  et device "WAN1"

 next

 edit 3

  set gateway 4.4.4.2

  set device "WAN2"

 next

end
config router bgp

  set as 65003

  set router-id 10.200.7.1

  set ebgp-multipath enable

  config neighbor

   edit "192.168.254.1"

    set remote-as 65002

   next

  edit "192.168.254.3"

   set remote-as 65002

   next

  end
  config network

   edit 1

    set prefix 10.200.0.0 255.255.0.0

   next

end

मी मजकूर स्वरूपात कॉन्फिगर प्रदान करत आहे, कारण माझ्या मते, VPN अशा प्रकारे कॉन्फिगर करणे अधिक सोयीचे आहे. जवळजवळ सर्व सेटिंग्ज दोन्ही बाजूंनी समान आहेत; मजकूर स्वरूपात ते कॉपी-पेस्ट म्हणून बनवता येतात. तुम्ही वेब इंटरफेसमध्ये तेच करत असल्यास, चूक करणे सोपे आहे - कुठेतरी चेकमार्क विसरा, चुकीचे मूल्य प्रविष्ट करा.

आम्ही बंडलमध्ये इंटरफेस जोडल्यानंतर

सर्व मार्ग आणि सुरक्षा धोरणे त्याचा संदर्भ घेऊ शकतात, आणि त्यात समाविष्ट केलेल्या इंटरफेसचा नाही. कमीतकमी, तुम्हाला अंतर्गत नेटवर्कवरून SD-WAN पर्यंत रहदारीला परवानगी देणे आवश्यक आहे. तुम्ही त्यांच्यासाठी नियम तयार करता तेव्हा, तुम्ही IPS, अँटीव्हायरस आणि HTTPS प्रकटीकरण यासारखे संरक्षणात्मक उपाय लागू करू शकता.

SD-WAN नियम बंडलसाठी कॉन्फिगर केले आहेत. हे नियम आहेत जे विशिष्ट रहदारीसाठी संतुलन अल्गोरिदम परिभाषित करतात. ते पॉलिसी-आधारित राउटिंग मधील राउटिंग धोरणांसारखेच आहेत, केवळ पॉलिसी अंतर्गत येणाऱ्या ट्रॅफिकच्या परिणामी, ते स्थापित केलेले नेक्स्ट-हॉप किंवा नेहमीचा आउटगोइंग इंटरफेस नाही, परंतु SD-WAN बंडल प्लसमध्ये जोडलेले इंटरफेस या इंटरफेस दरम्यान वाहतूक संतुलन अल्गोरिदम.

L3-L4 माहिती, मान्यताप्राप्त अनुप्रयोग, इंटरनेट सेवा (URL आणि IP), तसेच वर्कस्टेशन्स आणि लॅपटॉपच्या मान्यताप्राप्त वापरकर्त्यांद्वारे रहदारी सामान्य प्रवाहापासून विभक्त केली जाऊ शकते. यानंतर, वाटप केलेल्या रहदारीला खालीलपैकी एक संतुलित अल्गोरिदम नियुक्त केला जाऊ शकतो:

इंटरफेस प्राधान्य सूचीमध्ये, बंडलमध्ये आधीच जोडलेले इंटरफेस जे या प्रकारची रहदारी सेवा देतात ते निवडले जातात. सर्व इंटरफेस जोडून, तुम्ही उच्च SLA असलेल्या महागड्या चॅनेलवर भार टाकू इच्छित नसल्यास, तुम्ही नेमके कोणते चॅनेल वापरता, म्हणा, ईमेल करता ते तुम्ही मर्यादित करू शकता. FortiOS 6.4.1 मध्ये, SD-WAN बंडलमध्ये जोडलेले इंटरफेस झोनमध्ये गटबद्ध करणे शक्य झाले, उदाहरणार्थ, दूरस्थ साइट्सशी संवाद साधण्यासाठी एक झोन आणि NAT वापरून स्थानिक इंटरनेट प्रवेशासाठी दुसरा. होय, होय, नियमित इंटरनेटवर जाणारी रहदारी देखील संतुलित केली जाऊ शकते.

अल्गोरिदम संतुलित करण्याबद्दल

फोर्टिगेट (फोर्टिनेट मधील फायरवॉल) चॅनेल दरम्यान रहदारी कशी विभाजित करू शकते याबद्दल, दोन मनोरंजक पर्याय आहेत जे बाजारात फारसे सामान्य नाहीत:

सर्वात कमी खर्च (SLA) - या क्षणी SLA चे समाधान करणाऱ्या सर्व इंटरफेसमधून, प्रशासकाद्वारे मॅन्युअली सेट केलेले कमी वजन (किंमत) निवडले जाते; हा मोड "मोठ्या प्रमाणात" रहदारीसाठी योग्य आहे जसे की बॅकअप आणि फाइल ट्रान्सफर.

सर्वोत्तम गुणवत्ता (SLA) - हे अल्गोरिदम, नेहमीच्या विलंब, गडबड आणि फोर्टिगेट पॅकेटच्या नुकसानाव्यतिरिक्त, चॅनेलच्या गुणवत्तेचे मूल्यांकन करण्यासाठी वर्तमान चॅनेल लोड देखील वापरू शकते; हा मोड संवेदनशील रहदारीसाठी योग्य आहे जसे की VoIP आणि व्हिडिओ कॉन्फरन्सिंग.

या अल्गोरिदमसाठी कम्युनिकेशन चॅनल परफॉर्मन्स मीटर - परफॉर्मन्स SLA सेट करणे आवश्यक आहे. हे मीटर वेळोवेळी (चेक इंटरव्हल) SLA च्या अनुपालनाविषयी माहितीचे निरीक्षण करते: पॅकेट लॉस, लेटन्सी आणि कम्युनिकेशन चॅनेलमधील गोंधळ, आणि ते चॅनेल "नाकार" देऊ शकतात जे सध्या गुणवत्ता थ्रेशोल्ड पूर्ण करत नाहीत – ते खूप पॅकेट गमावत आहेत किंवा खूप अनुभवत आहेत. खूप विलंब. याव्यतिरिक्त, मीटर चॅनेलच्या स्थितीवर लक्ष ठेवतो आणि वारंवार प्रतिसाद गमावल्यास (निष्क्रिय होण्यापूर्वी अपयश) बंडलमधून तात्पुरते काढून टाकू शकतो. पुनर्संचयित केल्यावर, अनेक सलग प्रतिसादांनंतर (नंतर दुवा पुनर्संचयित करा), मीटर आपोआप चॅनेल बंडलवर परत करेल आणि त्याद्वारे डेटा पुन्हा प्रसारित करणे सुरू होईल.

"मीटर" सेटिंग असे दिसते:

वेब इंटरफेसमध्ये, ICMP-Echo-request, HTTP-GET आणि DNS विनंती चाचणी प्रोटोकॉल म्हणून उपलब्ध आहेत. कमांड लाइनवर थोडे अधिक पर्याय आहेत: TCP-echo आणि UDP-echo पर्याय उपलब्ध आहेत, तसेच एक विशेष गुणवत्ता मापन प्रोटोकॉल - TWAMP.

मापन परिणाम वेब इंटरफेसमध्ये देखील पाहिले जाऊ शकतात:

आणि कमांड लाइनवर:

समस्यानिवारण

जर तुम्ही नियम तयार केला असेल, परंतु सर्वकाही अपेक्षेप्रमाणे कार्य करत नसेल, तर तुम्ही SD-WAN नियम सूचीमधील हिट काउंट मूल्य पहावे. वाहतूक या नियमात अजिबात येते की नाही हे दर्शवेल:

मीटरच्या सेटिंग्ज पृष्ठावर, आपण कालांतराने चॅनेल पॅरामीटर्समधील बदल पाहू शकता. ठिपके असलेली रेखा पॅरामीटरचे थ्रेशोल्ड मूल्य दर्शवते

वेब इंटरफेसमध्ये तुम्ही ट्रान्समिट केलेल्या/मिळलेल्या डेटाच्या प्रमाणात आणि सत्रांच्या संख्येनुसार रहदारी कशी वितरित केली जाते ते पाहू शकता:

या सर्वांव्यतिरिक्त, जास्तीत जास्त तपशीलांसह पॅकेट्सचा मागोवा घेण्याची एक उत्कृष्ट संधी आहे. वास्तविक नेटवर्कमध्ये काम करताना, डिव्हाइस कॉन्फिगरेशनमध्ये अनेक राउटिंग धोरणे, फायरवॉलिंग आणि SD-WAN पोर्टवर रहदारी वितरण जमा होते. हे सर्व एकमेकांशी गुंतागुंतीच्या मार्गाने संवाद साधतात आणि जरी विक्रेता पॅकेट प्रोसेसिंग अल्गोरिदमचे तपशीलवार ब्लॉक आकृत्या प्रदान करत असले तरी, सिद्धांत तयार करणे आणि चाचणी करणे शक्य नाही तर रहदारी प्रत्यक्षात कुठे जाते हे पाहणे खूप महत्वाचे आहे.

उदाहरणार्थ, खालील आदेशांचा संच

diagnose debug flow filter saddr 10.200.64.15 diagnose debug flow filter daddr 10.1.7.2 diagnose debug flow show function-name diagnose debug enable diagnose debug trace 2

तुम्हाला 10.200.64.15 च्या स्त्रोत पत्त्यासह आणि 10.1.7.2 च्या गंतव्य पत्त्यासह दोन पॅकेट ट्रॅक करण्यास अनुमती देते.
आम्ही 10.7.1.2 वरून 10.200.64.15 दोनदा पिंग करतो आणि कन्सोलवरील आउटपुट पाहतो.

पहिले पॅकेज:

दुसरे पॅकेज:

फायरवॉलद्वारे प्राप्त झालेले पहिले पॅकेट येथे आहे:
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0." VDOM – Internet, Proto=1 (ICMP), DMZ-Office – название L3-интерфейса. Type=8 – Echo.

त्याच्यासाठी एक नवीन सत्र तयार केले गेले आहे:
msg="allocate a new session-0006a627"

आणि राउटिंग धोरण सेटिंग्जमध्ये एक जुळणी आढळली
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"

असे दिसून आले की पॅकेट व्हीपीएन बोगद्यांपैकी एकावर पाठविणे आवश्यक आहे:
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"

खालील परवानगी देणारा नियम फायरवॉल धोरणांमध्ये आढळतो:
msg="Allowed by Policy-3:"

पॅकेट एनक्रिप्ट केलेले आहे आणि VPN बोगद्याला पाठवले आहे:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1" func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1" func=esp_output4 line=905 msg="IPsec encrypt/auth"

एनक्रिप्टेड पॅकेट या WAN इंटरफेससाठी गेटवे पत्त्यावर पाठवले जाते:
msg="send to 2.2.2.2 via intf-WAN1"

दुसऱ्या पॅकेटसाठी, सर्वकाही सारखेच घडते, परंतु ते दुसर्या व्हीपीएन बोगद्याला पाठवले जाते आणि वेगळ्या फायरवॉल पोर्टद्वारे सोडले जाते:
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2" func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2" func=esp_output4 line=905 msg="IPsec encrypt/auth" func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"

समाधानाचे फायदे

विश्वसनीय कार्यक्षमता आणि वापरकर्ता अनुकूल इंटरफेस. SD-WAN च्या आगमनापूर्वी FortiOS मध्ये उपलब्ध असलेला वैशिष्ट्य संच पूर्णपणे जतन केला गेला आहे. म्हणजेच, आमच्याकडे नवीन विकसित सॉफ्टवेअर नाही, परंतु सिद्ध फायरवॉल विक्रेत्याकडून एक परिपक्व प्रणाली आहे. नेटवर्क फंक्शन्सच्या पारंपारिक संचासह, एक सोयीस्कर आणि शिकण्यास सोपा वेब इंटरफेस. किती SD-WAN विक्रेत्यांकडे शेवटच्या डिव्हाइसेसवर रिमोट-ऍक्सेस VPN कार्यक्षमता आहे?

सुरक्षा पातळी 80. फोर्टिगेट हे शीर्ष फायरवॉल उपायांपैकी एक आहे. फायरवॉल सेट करणे आणि त्याचे व्यवस्थापन करणे यासाठी इंटरनेटवर बरीच सामग्री आहे आणि श्रमिक बाजारात असे बरेच सुरक्षा तज्ञ आहेत ज्यांनी आधीच विक्रेत्याच्या उपायांमध्ये प्रभुत्व मिळवले आहे.

SD-WAN कार्यक्षमतेसाठी शून्य किंमत. FortiGate वर SD-WAN नेटवर्क तयार करण्यासाठी त्यावर नियमित WAN नेटवर्क तयार करण्याइतकाच खर्च येतो, कारण SD-WAN कार्यक्षमतेची अंमलबजावणी करण्यासाठी कोणत्याही अतिरिक्त परवान्यांची आवश्यकता नाही.

कमी प्रवेश अडथळा किंमत. फोर्टिगेटमध्ये विविध कार्यप्रदर्शन स्तरांसाठी उपकरणांचे चांगले श्रेणीकरण आहे. सर्वात तरुण आणि सर्वात स्वस्त मॉडेल 3-5 कर्मचार्‍यांद्वारे कार्यालय किंवा विक्री बिंदू वाढवण्यासाठी अगदी योग्य आहेत. बर्‍याच विक्रेत्यांकडे अशी कमी-कार्यक्षमता आणि परवडणारी मॉडेल्स नसतात.

उच्च कार्यक्षमता. वाहतूक संतुलनासाठी SD-WAN कार्यक्षमता कमी केल्याने कंपनीला एक विशेष SD-WAN ASIC सोडण्याची परवानगी मिळाली, ज्यामुळे SD-WAN ऑपरेशन संपूर्णपणे फायरवॉलची कार्यक्षमता कमी करत नाही.

Fortinet उपकरणांवर संपूर्ण कार्यालय कार्यान्वित करण्याची क्षमता. हे फायरवॉल, स्विचेस, वाय-फाय ऍक्सेस पॉइंट्सची जोडी आहेत. असे कार्यालय व्यवस्थापित करणे सोपे आणि सोयीस्कर आहे - स्विच आणि प्रवेश बिंदू फायरवॉलवर नोंदणीकृत आहेत आणि त्यांच्याकडून व्यवस्थापित केले जातात. उदाहरणार्थ, हे स्विच नियंत्रित करणार्‍या फायरवॉल इंटरफेसमधून स्विच पोर्ट असे दिसू शकते:

अपयशाचा एकच मुद्दा म्हणून नियंत्रकांचा अभाव. विक्रेता स्वतः यावर लक्ष केंद्रित करतो, परंतु याला केवळ एक फायदा म्हणता येईल, कारण ज्या विक्रेत्यांकडे नियंत्रक आहेत, त्यांच्या दोष सहिष्णुतेची खात्री करणे स्वस्त आहे, बहुतेकदा आभासीकरण वातावरणात संगणकीय संसाधनांच्या थोड्या किंमतीवर.

काय पहावे

कंट्रोल प्लेन आणि डेटा प्लेनमध्ये वेगळे नाही. याचा अर्थ असा की नेटवर्क एकतर स्वहस्ते कॉन्फिगर केले पाहिजे किंवा आधीच उपलब्ध असलेली पारंपारिक व्यवस्थापन साधने वापरून - FortiManager. विक्रेत्यांसाठी ज्यांनी अशा विभक्ततेची अंमलबजावणी केली आहे, नेटवर्क स्वतःच एकत्र केले आहे. प्रशासकाला फक्त त्याचे टोपोलॉजी समायोजित करणे आवश्यक आहे, कुठेतरी काहीतरी प्रतिबंधित करणे आवश्यक आहे, आणखी काही नाही. तथापि, फोर्टी मॅनेजरचे ट्रम्प कार्ड हे आहे की ते केवळ फायरवॉलच नाही तर स्विचेस आणि वाय-फाय प्रवेश बिंदू देखील व्यवस्थापित करू शकते, म्हणजेच जवळजवळ संपूर्ण नेटवर्क.

नियंत्रणक्षमतेत सशर्त वाढ. नेटवर्क कॉन्फिगरेशन स्वयंचलित करण्यासाठी पारंपारिक साधने वापरली जातात या वस्तुस्थितीमुळे, SD-WAN च्या परिचयाने नेटवर्क व्यवस्थापनक्षमता किंचित वाढते. दुसरीकडे, नवीन कार्यक्षमता जलद उपलब्ध होते, कारण विक्रेता प्रथम फक्त फायरवॉल ऑपरेटिंग सिस्टमसाठी (ज्यामुळे ते वापरणे त्वरित शक्य होते) रिलीझ होते आणि त्यानंतरच आवश्यक इंटरफेससह व्यवस्थापन प्रणालीची पूर्तता होते.

कमांड लाइनवरून काही कार्यक्षमता उपलब्ध असू शकते, परंतु वेब इंटरफेसवरून उपलब्ध नाही. काहीवेळा काहीतरी कॉन्फिगर करण्यासाठी कमांड लाइनमध्ये जाणे इतके भितीदायक नसते, परंतु वेब इंटरफेसमध्ये कोणीतरी कमांड लाइनवरून आधीच काहीतरी कॉन्फिगर केले आहे हे न पाहणे भितीदायक आहे. परंतु हे सहसा नवीन वैशिष्ट्यांवर लागू होते आणि हळूहळू, FortiOS अद्यतनांसह, वेब इंटरफेसच्या क्षमता सुधारल्या जातात.

कोण दावे करेल

ज्यांच्या अनेक शाखा नाहीत त्यांच्यासाठी. 8-10 शाखांच्या नेटवर्कवर जटिल मध्यवर्ती घटकांसह SD-WAN सोल्यूशन लागू करणे कदाचित मेणबत्तीसाठी खर्च करणार नाही - तुम्हाला SD-WAN डिव्हाइसेससाठी परवाने आणि केंद्रीय घटक होस्ट करण्यासाठी व्हर्च्युअलायझेशन सिस्टम संसाधनांवर पैसे खर्च करावे लागतील. एका लहान कंपनीकडे सहसा मर्यादित मोफत संगणकीय संसाधने असतात. फोर्टिनेटच्या बाबतीत, फक्त फायरवॉल खरेदी करणे पुरेसे आहे.

ज्यांच्या खूप लहान शाखा आहेत त्यांच्यासाठी. बर्‍याच विक्रेत्यांसाठी, प्रति शाखेची किमान सोल्यूशन किंमत खूप जास्त आहे आणि अंतिम ग्राहकाच्या व्यवसायाच्या दृष्टिकोनातून कदाचित मनोरंजक नसेल. Fortinet अतिशय आकर्षक किमतीत लहान उपकरणे ऑफर करते.

जे अजून फार दूर पाऊल ठेवायला तयार नाहीत त्यांच्यासाठी. नियंत्रकांसह SD-WAN ची अंमलबजावणी करणे, मालकीचे मार्ग आणि नेटवर्क नियोजन आणि व्यवस्थापनासाठी नवीन दृष्टीकोन हे काही ग्राहकांसाठी खूप मोठे पाऊल असू शकते. होय, अशी अंमलबजावणी शेवटी संप्रेषण चॅनेलचा वापर आणि प्रशासकांचे कार्य ऑप्टिमाइझ करण्यात मदत करेल, परंतु प्रथम आपल्याला बर्याच नवीन गोष्टी शिकल्या पाहिजेत. जे अद्याप पॅराडाइम शिफ्टसाठी तयार नाहीत, परंतु त्यांच्या कम्युनिकेशन चॅनेलमधून अधिक पिळून काढू इच्छितात त्यांच्यासाठी Fortinet मधील उपाय अगदी योग्य आहे.

स्त्रोत: www.habr.com

SD-WAN च्या सर्वात लोकशाहीचे विश्लेषण: आर्किटेक्चर, कॉन्फिगरेशन, प्रशासन आणि तोटे