SD-WAN ááŸáááá·áºáá»áœááºá¯ááºááá¯á·áá¶áá±á¬ááºááŸááá¬áá±á¬áá±ážááœááºážáá±á«ááºážáá»á¬ážá áœá¬ááŒáá·áºá¡áá²ááŒááºááŒááºážáááºážááá¬áááºáá¯ááŸá¬ážááœááºá áááºá¡ááŒá áºááœááºáá¬áááºá á á»á±ážáááºáá»á¬ážááẠááá¬áá¡ááá¯ááºáž á¡áááºáá±á¬áá»áá±ááŒá®áž áááºážááá¯á·á á¡áá°á¡ááá»á¬ážááᯠáááºážááŸááºážááŒáááºááá¯ááºáá²á á¡áá»áá¯á·áá±á¬ ááá¹ááááŸááá±á¬ ááŸá±á·áá±á¬ááºáá»á¬ážááẠáááºážááá¯á·ááᯠáááºážááá¯á·á ááœááºáááºáá»á¬ážááœáẠá¡áá±á¬ááºá¡áááºáá±á¬áºáá±ááŒá®ááŒá áºáááºá
áá»áœááºá¯ááºááá¯á·ááẠáá±á¬ááºážáá»áá°á¡á¬ážáá¯á¶ážáá®ážáá«ážááŸáá·áº á¡áá¯ááºáá¯ááºááŒá®áž áá»áœááºá¯ááºááá¯á·ááá¬ááºááœá²áááºážááœáẠááŸá áºá¡áá±á¬áºááŒá¬ááŒá¬ áá±á¬á·ááºáá²ááºáááºááŸááºáá¬ážáá±á¬ ááŒá±ááŸááºážáá»ááºáá»á¬ážá áœá¬ááᯠáá®ááœááºáá°ááá¯ááºážá áááá¯áá¬áááºáá¬ááᯠáá±á·áá¬ááá¯ááºáá²á·áááºá Fortinet á០SD-WAN ááẠfirewall software á¡ááœááºážááá¯á· áááºááœááºáá±ážáááºážááŒá±á¬ááºážáá»á¬ážááŒá¬áž á¡ááœá¬ážá¡áá¬ááᯠáááºáá»ááºáá®á á±ááá·áº áá¯ááºáá±á¬ááºáá»ááºááᯠáááºáá®ážáá±ážááá·áº á€áá±áá¬ááœáẠá¡áááºážáááºááŒá¬ážáá¬ážáá«áááºá ááŒá±ááŸááºážáá»ááºááẠáá®ááá¯ááá±á á®áááºážáá»áá±á¬ááŒá±á¬áá·áº ááá¹áá¬áá¯á¶ážááá¯ááºáá¬ááŒá±á¬ááºážáá²ááŸá¯áá»á¬ážá¡ááœáẠá¡áááºááá·áºáááŒá áºáá±ážáá±á¬ áá¯áá¹ááá®áá»á¬ážá áááºážááᯠá¡áá»á¬ážá¡á¬ážááŒáá·áº áá°áááŒááŒá®áž áááºážááá¯á·á áááºááœááºáá±ážáááºážááŒá±á¬ááºážáá»á¬ážááᯠááá¯ááá¯áááá±á¬ááºá áœá¬ á¡áá¯á¶ážááŒá¯ááá¯ááŒáááºá
á€áá±á¬ááºážáá«ážááœáẠFortinet á០SD-WAN ááŸáá·áº áááºááá¯á·áá¯ááºáá±á¬ááºááááºááᯠááŒá±á¬ááŒááá¯áááºááŸá¬á á€ááŒá±ááŸááºážáá»ááºááẠáááºáá°ááŸáá·áº ááá·áºáá»á±á¬áºááááºážá á€áá±áá¬ááœáẠáááºááŒá¯á¶ááœá±á·áááá¯ááºááá·áº á¡áá¹ááá¬ááºáá»á¬ážááᯠáá»áœááºá¯ááºááŒá±á¬ááŒááá¯áá«áááºá
SD-WAN á á»á±ážááœááºááœáẠá¡áááºááŸá¬ážáá¯á¶áž áá á¬ážááá¬ážáá»á¬ážááᯠá¡áá»áá¯ážá¡á á¬áž ááŸá áºáá»áá¯ážáá²á០áá áºáá¯á¡ááŒá Ạááœá²ááŒá¬ážááá¯ááºáá«áááºá
1. SD-WAN ááŒá±ááŸááºážáá»ááºáá»á¬ážá¡á¬áž á¡á ááŸá áááºáááºáá®ážáá²á·áá±á¬ áá¯ááºáááºážá áááºááŸá¯áá»á¬ážá á€á¡áá¬áá»á¬ážáá²á០á¡á¡á±á¬ááºááŒááºáá¯á¶ážáá°áá»á¬ážááẠáá¯áá¹ááá®ááŒá®ážáá»á¬ážá០áááºáá°ááŒá®ážáá±á¬áẠááœá¶á·ááŒáá¯ážááá¯ážáááºááŸá¯á¡ááœáẠááŒá®ážáá¬ážáá±á¬ááœááºážá¡á¬ážááᯠáááŸáááẠ- á€áááºááŸá¬ Cisco/Viptelaá VMWare/VeloCloudá Nuage/Nokia ááá¯á·á áá¬ááºáááºážááŒá áºáááºá
2. SD-WAN ááŒá±ááŸááºážáá»ááºáá»á¬ážá¡á¬áž áááºáá®ážááŒá®áž áááºážááá¯á·á ááá¯ážáᬠrouter áá»á¬ážá áááá¯ááááºáá¯ááºáá±á¬ááºááá¯ááºááŸá¯ááŸáá·áº á á®áá¶ááá·áºááœá²ááá¯ááºááŸá¯ááá¯á·ááᯠáá®ááœááºáá²á·ááá·áº ááŒá®ážáá¬ážáá±á¬ ááœááºáááºáá±á¬ááºážáá»áá°áá»á¬áž - á€áááºááŸá¬ Juniperá Huawei á áá¬ááºáááºážááŒá áºáááºá
Fortinet ááẠáááºážááááºážáááºážááᯠááŸá¬ááœá±ááá¯ááºáá²á·áááºá Firewall áá±á¬á·ááºáá²ááºááœáẠáááºážááá¯á·á á¡ááºáá¬áá±á·á áºáá»á¬ážááᯠvirtual áá»ááºáááºáá»á¬ážá¡ááŒá Ạáá±á«ááºážá ááºáᬠááá¬ážááá¯ážáá» áááºážááŒá±á¬ááºážáááºááŒááºážááẠááŸá¯ááºááœá±ážáá±á¬ á¡ááºáááá¯áá®áááºáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯á áááºážááá¯á·ááŒá¬ážááŸá áááºá¡á¬áž áá»áááºááœááºáá»áŸá¬ááŸáááẠáá±á«ááºážá ááºáá¯ááºáá±á¬ááºááá¯ááºá áœááºáž áá«ááŸááááºá á€áá¯ááºáá±á¬ááºáá»ááºááᯠSD-WAN áá¯áá±á«áºáááºá Fortinet ááᯠSD-WAN áá¯áá±á«áºááá¯ááºáá«ááá¬ážá Software-Defined ááá¯áááºááŸá¬ Control Plane ááᯠData Planeá áá®ážááá·áº controllers áá»á¬ážááŸáá·áº orchestrator áá»á¬ážááŸáá·áº ááœá²ááŒá¬ážáá¬ážááŒááºážááᯠá á»á±ážááœááºá០áááŒááºážááŒááºáž áá¬ážáááºáá¬áá«áááºá Fortinet ááŸá¬ á¡á²áá®ááᯠáá¬ááŸáááŸááá«áá°ážá áááá¯áá»á¯ááºááá¯ááºááŸá¯á á®áá¶ááá·áºááœá²ááŸá¯ááẠááœá±ážáá»ááºááœáá·áºááŸáááŒá®áž ááá¯ážáᬠFortimanager áááááá¬ááŸáááá·áº áááºážááŸááºážáá¬ážáááºá áá«áá±ááá·áº áá«á·á¡ááŒááºá¡ááá±á¬á· áááºážáᬠá ááá¹ááá¡ááŸááºááá¬ážááᯠááŸá¬ááŒá®áž á¡áá¯á¶ážá¡ááŸá¯ááºážááœá±á¡ááŒá±á¬ááºáž ááŒááºážáá¯á¶áááºáž á¡áá»áááºááŒá¯ááºážááá±ááá·áºáá°ážá áááºááœá±á·ááá¹áá¬ááœááºá áá»ááºážáááºááŸá¯áá áºáá¯á á®ááœáẠáááºážáá¡á¬ážáá¬áá»ááºáá»á¬ážááŸáá·áº á¡á¬ážáááºážáá»ááºáá»á¬ážááŸááááºá á¡áá±á¬ááºážáá¯á¶ážáááºážáááºážááŸá¬ áááºážááá¯á·ááᯠáá¬ážáááºáááºááŸáá·áº á¡áá¯ááºáá»á¬ážááŸáá·áº ááá¯ááºáá®áá±á¬ ááŒá±ááŸááºážáááºážáá»á¬ážááᯠááœá±ážáá»ááºááá¯ááºááŒááºážááŒá áºáááºá
Fortinet á០SD-WAN áá¯á¶ááá¹áá¬ááºááŸáá·áº áááºážááẠáááºááá¯á·áá¯ááºáá±á¬ááºááá¯ááºáááºááᯠáááºáá²ááœáẠáááºáá¬ážááŒááºáá¬ááºáá¯á¶áá»á¬ážááŒáá·áº ááŒá±á¬ááŒááẠááŒáá¯ážá á¬ážáá«áááºá
á¡á¬ážáá¯á¶ážáááºááá¯á¡áá¯ááºáá¯ááºáá²á
ááá·áºááœáẠáá±áá¬áá»ááºáááºááŸá áºáá¯ááŒáá·áº áá»áááºáááºáá¬ážáá±á¬ á¡ááá¯ááºážá¡áááºááŸá áºáá¯ááŸááááºáᯠáá°áááŒáá«á áá¯á·á á€áá±áá¬ááá·áºááºáá»á¬ážááᯠLACP-Port-Channel ááœáẠáá¯á¶ááŸáẠEthernet á¡ááºáá¬áá±á·á áºáá»á¬áž áá±á«ááºážá ááºáá¯á¶ááŸáá·áº áááºáá°áá±á¬ á¡á¯ááºá á¯áá áºáá¯á¡ááŒá Ạáá±á«ááºážá ááºáá¬ážáááºá ááŸá±ážáá±ááºáá±á¬ááºážáá»á¬ážááẠPPP Multilink ááᯠááŸááºááááŒáááá·áºááẠ- ááá·áºáá»á±á¬áºáá±á¬ á¥ááá¬áá áºáá¯áááºážááŒá áºáááºá áá»ááºáááºáá»á¬ážááẠáá¯ááºááá¯ááºážááá¯ááºáᬠááááºáááºážáá»á¬ážá VLAN SVI á¡ááŒáẠVPN ááá¯á·ááá¯áẠGRE á¥áááºáá»á¬áž ááŒá áºááá¯ááºáááºá
VPN ááá¯á·ááá¯áẠGRE ááá¯á¡ááºáá¬áááºáá±á«áºááŸá áá¬áááœá²áá±ááá¶ááœááºáááºáá»á¬ážááᯠáá»áááºáááºáá±á¬á¡áá«ááœáẠá¡áá»á¬ážá¡á¬ážááŒáá·áº á¡áá¯á¶ážááŒá¯ááŒáááºá ááŸáá·áº áá¯ááºááá¯ááºážááá¯ááºáᬠááá¯á·ááºáá»á¬áž - ááá¯ááºáá»á¬ážááŒá¬ážááœáẠL2 áá»áááºáááºááŸá¯áá»á¬áž ááŸááá»áŸáẠááá¯á·ááá¯áẠáá®ážááŒá¬áž MPLS/VPN ááŸáá·áº áá»áááºáááºááá·áºá¡áá«á Overlay ááŸáá·áº áá¯ááºááŸááºááŒááºážáááŸááá² áá»áááºáááºááŸá¯ááᯠáá»áœááºá¯ááºááá¯á· áá»á±áááºáá«áá SD-WAN á¡ááœá²á·ááœáẠáá¯ááºááá¯ááºážááá¯ááºáᬠport áá»á¬ážááá¯á¡áá¯á¶ážááŒá¯ááá·áºáá±á¬ááºáááºá¡ááŒá±á¡áá±ááŸá¬ áá¯á¶ážá áœá²áá°áá»á¬ážá áá±áááœááºážáááºáá±á¬ááºááœáá·áºááᯠáá»áááºááŸááá±ážááŒááºážááŒá áºáá«áááºá
áá»áœááºá¯ááºááá¯á·ááááºáááºáá»ááºááœáẠfirewall áá±ážáá¯ááŸáá·áº "áááºááœááºáá±ážá¡á±á¬áºááá±áá¬ááŸá áºáá¯" ááŸáááá·áºáááºáááºáá±áá±á¬ VPN á¥áááºááŸá áºáá¯ááŸááááºá áá¯á¶ááẠá€áá²á·ááá¯á· ááŒá áºáááº-
VPN á¥áááºáá»á¬ážááᯠá¡ááºáá¬áá±á·á
áºáá¯ááºááœáẠááŒááºáááºáááºááŸááºáá¬ážáá±á¬ááŒá±á¬áá·áº áááºážááá¯á·ááẠP2P á¡ááºáá¬áá±á·á
áºáá»á¬ážááŸá IP ááááºá
á¬áá»á¬ážááŸáááá·áº á
ááºáá
á¹á
ááºážáá»á¬ážá¡ááŒá¬áž ááœáŸááºááŸááŸááºáá»áááºáááºááŸá¯áá»á¬ážááŸáá·áº áááºáá°áááºá áá¬ááºá¡ááœá¬ážá¡áá¬ááᯠáá¯ááºááŸááºááŒá®áž ááá·áºáá»ááºáááºááá¯á· ááœá¬ážáááºá¡ááœáẠá¥áááºááá¯ááºáá±á«ááºážáá²ááá¯á· áááºážááŒá±á¬ááºážááŒá±á¬ááºážááẠáá¯á¶áá±á¬ááºáá«áááºá á¡ááŒá¬ážááœá±ážáá»ááºá
áá¬ááŸá¬ ááœá²á·á
ááºážááŸá¯áá¯á¶á
á¶ááẠááá¯ááá¯ááŸá¯ááºááœá±ážáá¬áááºááŸáá·áºá¡áá»áŸ á
á®áá¶ááá·áºááœá²áá°ááᯠá¡ááœááºááŸá¯ááºááœá±ážá
á±ááá·áº subnets áá»á¬ážá
á¬áááºážáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯áᬠáá¯ááºááŸááºááŒááºážá¡ááœáẠtraffic ááᯠááœá±ážáá»ááºáááºááŒá
áºáááºá ááœááºáááºááŒá®ážáá
áºáá¯ááœááºá VPN áá
áºáá¯áááºáá±á¬ááºááẠADVPN áááºážááá¬ááᯠáááºá¡áá¯á¶ážááŒá¯ááá¯ááºáááºá áááºážááẠááá¯ááá¯ááœááºáá°á
áœá¬ááá·áºááœááºážáááºááŸááºááá¯ááºá
á±ááá·áº Huawei á០Cisco ááá¯á·ááá¯áẠDVPN áá¶á០DMVPN á analogue áá
áºáá¯ááŒá
áºáááºá
ááŸá
áºáááºá
áá¯á¶ážááœáẠBGP áááºážááŒá±á¬ááºážáá±ážááá·áº á
ááºááŸá
áºáá¯á¶ážá¡ááœáẠSite-to-Site VPN config
«ЊÐл (DC)
«ЀОлОал» (BRN)
config system interface
âedit "WAN1"
ââset vdom "Internet"
ââset ip 1.1.1.1 255.255.255.252
ââset allowaccess ping
ââset role wan
ââset interface "DC-BRD"
ââset vlanid 111
ânext
âedit "WAN2"
ââset vdom "Internet"
ââset ip 3.3.3.1 255.255.255.252
ââset allowaccess ping
ââset role lan
ââset interface "DC-BRD"
ââset vlanid 112
ânext
âedit "BRN-Ph1-1"
ââset vdom "Internet"
ââset ip 192.168.254.1 255.255.255.255
ââset allowaccess ping
ââset type tunnel
ââset remote-ip 192.168.254.2 255.255.255.255
ââset interface "WAN1"
ânext
âedit "BRN-Ph1-2"
ââset vdom "Internet"
ââset ip 192.168.254.3 255.255.255.255
ââset allowaccess ping
ââset type tunnel
ââset remote-ip 192.168.254.4 255.255.255.255
ââset interface "WAN2"
ânext
end
config vpn ipsec phase1-interface
âedit "BRN-Ph1-1"
ââset interface "WAN1"
ââset local-gw 1.1.1.1
ââset peertype any
ââset net-device disable
ââset proposal aes128-sha1
ââset dhgrp 2
ââset remote-gw 2.2.2.1
ââset psksecret ***
ânext
âedit "BRN-Ph1-2"
ââset interface "WAN2"
ââset local-gw 3.3.3.1
ââset peertype any
ââset net-device disable
ââset proposal aes128-sha1
ââset dhgrp 2
ââset remote-gw 4.4.4.1
ââset psksecret ***
ânext
end
config vpn ipsec phase2-interface
âedit "BRN-Ph2-1"
ââset phase1name "BRN-Ph1-1"
ââset proposal aes256-sha256
ââset dhgrp 2
ânext
âedit "BRN-Ph2-2"
ââset phase1name "BRN-Ph1-2"
ââset proposal aes256-sha256
ââset dhgrp 2
ânext
end
config router static
âedit 1
ââset gateway 1.1.1.2
ââset device "WAN1"
ânext
âedit 3
ââset gateway 3.3.3.2
ââset device "WAN2"
ânext
end
config router bgp
âset as 65002
âset router-id 10.1.7.1
âset ebgp-multipath enable
âconfig neighbor
ââedit "192.168.254.2"
âââset remote-as 65003
âânext
ââedit "192.168.254.4"
âââset remote-as 65003
âânext
âend
âconfig network
ââedit 1
âââset prefix 10.1.0.0 255.255.0.0
âânext
end
config system interface
âedit "WAN1"
ââset vdom "Internet"
ââset ip 2.2.2.1 255.255.255.252
ââset allowaccess ping
ââset role wan
ââset interface "BRN-BRD"
ââset vlanid 111
ânext
âedit "WAN2"
ââset vdom "Internet"
ââset ip 4.4.4.1 255.255.255.252
ââset allowaccess ping
ââset role wan
ââset interface "BRN-BRD"
ââset vlanid 114
ânext
âedit "DC-Ph1-1"
ââset vdom "Internet"
ââset ip 192.168.254.2 255.255.255.255
ââset allowaccess ping
ââset type tunnel
ââset remote-ip 192.168.254.1 255.255.255.255
ââset interface "WAN1"
ânext
âedit "DC-Ph1-2"
ââset vdom "Internet"
ââset ip 192.168.254.4 255.255.255.255
ââset allowaccess ping
ââset type tunnel
ââset remote-ip 192.168.254.3 255.255.255.255
ââset interface "WAN2"
ânext
end
config vpn ipsec phase1-interface
â edit "DC-Ph1-1"
ââ set interface "WAN1"
ââ set local-gw 2.2.2.1
ââ set peertype any
ââ set net-device disable
ââ set proposal aes128-sha1
ââ set dhgrp 2
ââ set remote-gw 1.1.1.1
ââ set psksecret ***
â next
â edit "DC-Ph1-2"
ââ set interface "WAN2"
ââ set local-gw 4.4.4.1
ââ set peertype any
ââ set net-device disable
ââ set proposal aes128-sha1
ââ set dhgrp 2
ââ set remote-gw 3.3.3.1
ââ set psksecret ***
â next
end
config vpn ipsec phase2-interface
â edit "DC-Ph2-1"
ââ set phase1name "DC-Ph1-1"
ââ set proposal aes128-sha1
ââ set dhgrp 2
â next
â edit "DC2-Ph2-2"
ââ set phase1name "DC-Ph1-2"
ââ set proposal aes128-sha1
ââ set dhgrp 2
â next
end
config router static
âedit 1
ââset gateway 2.2.2.2
ââet device "WAN1"
ânext
âedit 3
ââset gateway 4.4.4.2
ââset device "WAN2"
ânext
end
config router bgp
â set as 65003
â set router-id 10.200.7.1
â set ebgp-multipath enable
â config neighbor
ââ edit "192.168.254.1"
âââ set remote-as 65002
ââ next
ââedit "192.168.254.3"
âââset remote-as 65002
ââ next
â end
â config network
ââ edit 1
âââ set prefix 10.200.0.0 255.255.0.0
â ânext
end
áá»áœááºá¯ááºááẠá á¬áá¬ážáá¯á¶á á¶ááŒáá·áº config ááᯠáá±ážáá±á¬ááºáá±áááºá á¡ááŒá±á¬ááºážááŸá¬á áá»áœááºá¯ááºáá¡ááŒááºá¡áá á€áááºážááŒáá·áº VPN ááᯠconfigure áá¯ááºááŒááºážá ááá¯á¡áááºááŒá±áá±á¬ááŒá±á¬áá·áºááŒá áºáááºá ááŸá áºáááºá áá¯á¶ážááœáẠáááºáááºá¡á¬ážáá¯á¶ážáá®ážáá«ážááẠáá°áá®ááŒá®áž á á¬áá¬ážáá¯á¶á á¶ááŒáá·áº áááºážááá¯á·ááᯠáá±á¬áºáá®áá°ážááá·áºááŒááºážá¡ááŒá ẠááŒá¯áá¯ááºááá¯ááºáááºá áááºá¡ááºáá¬áá±á·á áºááœáẠáá°áá®áá±á¬á¡áá¬ááᯠááŒá¯áá¯ááºáá«áá á¡ááŸá¬ážáá¯ááºááẠááœááºáá°ááẠ- á¡ááŸááºá¡áá¬ážááᯠáá áºáá±áá¬áá¬ááŸá¬ áá±á·ááœá¬ážáᬠááŸá¬ážáá±á¬áááºááá¯ážááᯠááá·áºáá«á
áá»áœááºá¯ááºááá¯á·ááẠá¡ááºáá¬áá±á·á áºáá»á¬ážááᯠá¡á á¯á¡áá±ážááœáẠááá·áºááŒá®ážáá±á¬ááº
áááºážááŒá±á¬ááºážáá»á¬ážááŸáá·áº áá¯á¶ááŒá¯á¶áá±ážáá°áá«ááá»á¬ážá¡á¬ážáá¯á¶ážááẠáááºážááá¯áááºááœáŸááºážááá¯ááºááŒá®áž áááºážááœááºáá«áááºáá±á¬ á¡ááºáá¬áá±á·á
áºáá»á¬ážááᯠáááºááœáŸááºážááá¯ááºáááºá á¡áááºážáá¯á¶ážá¡á¬ážááŒáá·áºá áááºááẠá¡ááœááºážááá¯ááºážááœááºáááºáá»á¬ážá០SD-WAN ááá¯á· á¡ááœá¬ážá¡áá¬ááᯠááœáá·áºááŒá¯ááẠááá¯á¡ááºáááºá áááºážááá¯á·á¡ááœáẠá
ááºážáá»á¥áºážáá»á¬ážááᯠáááºáááºáá®ážáá±á¬á¡áá«á áááºááẠIPSá antivirus ááŸáá·áº HTTPS áá¯ááºáá±á¬áºááŒááºážáá²á·ááá¯á·áá±á¬ á¡áá¬á¡ááœááºá¡á
á®á¡áá¶áá»á¬ážááᯠá¡áá¯á¶ážáá»ááá¯ááºáááºá
SD-WAN á
ááºážáá»ááºážáá»á¬ážááᯠá¡á
á¯á¡áá±ážá¡ááœáẠááŒááºáááºáááºááŸááºáá¬ážáááºá á€á¡áá¬áá»á¬ážááẠáá®ážááŒá¬ážáá¬ááºá¡ááœá¬ážá¡áá¬á¡ááœáẠáá»áááºááœááºáá»áŸá¬ááŸáááá·áº á¡ááºáááá¯áá®áááºááᯠáááºááŸááºáá±ážááá·áº á
ááºážáá»ááºážáá»á¬ážááŒá
áºáááºá áááºážááá¯á·ááẠPolicy-Based Routing ááœáẠáááºážááŒá±á¬ááºážáááºááŸááºááŒááºážáá°áá«ááá»á¬ážááŸáá·áº áááºáá°áááºá áá°áá«áá¡á±á¬ááºááœáẠá¡ááœá¬ážá¡áᬠáá»áááºážááœá¬ážááŒááºážááŒá±á¬áá·áºáᬠáááºážááẠááá·áºááœááºážáá¬ážááá·áº áá±á¬ááºáá±á¬á· ááá¯á·ááá¯áẠáá¯á¶ááŸááºá¡ááœááºá¡ááºáá¬áá±á·á
áºááá¯ááºáá±á¬áºáááºáž SD-WAN á¡á
á¯á¡áá±ážááœáẠááá·áºááœááºážáá¬ážááá·áº á¡ááºáá¬áá±á·á
áºáá»á¬áž á€á¡ááºáá¬áá±á·á
áºáá»á¬ážááŒá¬áž á¡ááœá¬ážá¡áá¬áá»áááºááŸáááá·áº á¡ááºáááá¯áá®áááºá
á¡ááœá¬ážá¡áá¬ááᯠL3-L4 á¡áá»ááºá¡áááºáá»á¬ážá á¡ááá¡ááŸááºááŒá¯ á¡ááá®áá±ážááŸááºážáá»á¬ážá á¡ááºáá¬áááºáááºáá±á¬ááºááŸá¯áá»á¬áž (URL ááŸáá·áº IP) ááŸáá·áº á¡áá¯ááºáá¯á¶áá»á¬ážááŸáá·áº áááºááºáá±á¬á·áá»á¬ážá á¡ááá¡ááŸááºááŒá¯á¡áá¯á¶ážááŒá¯áá°áá»á¬ážá០áááºážááŒá±á¬ááºážá¡ááœá¬ážá¡áá¬ááᯠááœá²ááŒá¬ážááá¯ááºáááºá áááºážááŒá®ážáá±á¬ááºá ááœá²áá±áá»áá¬ážáá±ážáá±á¬ á¡ááœá¬ážá¡áá¬ááá¯á· á¡á±á¬ááºáá« áá»áááºááœááºáá»áŸá¬ááŸáááá·áº á¡ááºáááá¯áá®áááºáá»á¬ážáá²á០áá áºáá¯ááᯠáááºááŸááºááá¯ááºáááº-
á¡ááºáá¬áá±á·á
Ạá
áááºááŒáá¯ááºá
á¬áááºážááœááºá á€á¡ááœá¬ážá¡áá¬á¡áá»áá¯ážá¡á
á¬ážááᯠáá±á¬ááºááœááºáá±ážááá·áº á¡á
á¯á¡áá±ážááœáẠááá·áºááœááºážááŒá®ážáá±á¬ á¡ááºáá¬áá±á·á
áºáá»á¬ážááᯠááœá±ážáá¬ážáááºá á¡ááºáá¬áá±á·á
áºá¡á¬ážáá¯á¶ážááᯠáááá·áºááŒááºážááŒáá·áºá áááºááẠáááºážááᯠááŒáá·áºáá¬ážáá±á¬ SLA ááŒáá·áº á
á»á±ážááŒá®ážáá±á¬áá»ááºáááºáá»á¬ážááᯠáááºáá¯ááºáááºááá¯ážáááŒá
áºá
á±ááá¯áá«á áááºááá·áºáá»ááºáááºáá»á¬ážááᯠáááºá¡áá¯á¶ážááŒá¯áááºá ááŒá±á¬á á¡á®ážáá±ážááºááᯠá¡ááá¡áá» ááá·áºáááºááá¯ááºáááºá FortiOS 6.4.1 ááœááºá SD-WAN á¡á
á¯á¡áá±ážááœáẠááá·áºááœááºážáá¬ážáá±á¬ á¡ááºáá¬áá±á·á
áºáá»á¬ážááᯠáá¯ááºáá»á¬ážá¡ááŒá
Ạá¡á¯ááºá
á¯ááœá²á·ááŒááºážá á¥ááá¬á¡á¬ážááŒáá·áºá á¡áá±ážááŸááá¯ááºáá»á¬ážááŸáá·áº áááºááœááºáá±ážá¡ááœáẠáá¯ááºáá
áºáá¯á NAT ááᯠá¡áá¯á¶ážááŒá¯á áá±áááœááºážá¡ááºáá¬áááºá¡áá¯á¶ážááŒá¯ááœáá·áºá¡ááœáẠá¡ááŒá¬ážáá
áºáá¯ááᯠáááºáá®ážááá¯ááºáá²á·áááºá áá¯ááºáááºá áá¯á¶ááŸááºá¡ááºáá¬áááºááá¯ááœá¬ážááá·áº áááºážááŒá±á¬ááºážááá¯áááºáž áááºáá»ááºáá®á
á±ááá¯ááºáá«áááºá
áááºáá»ááºáá®áá±á¬ algorithms á¡ááŒá±á¬ááºáž
Fortigate (Fortinet á០firewall) ááẠchannels áá»á¬ážá¡ááŒá¬áž traffic ááá¯áááºááá¯á·ááœá²áá¯ááºááá¯ááºáááºááŸáá·áº áááºáááºá á á»á±ážááœááºááœááºá¡áá¯á¶ážáá»á¬ážáá±á¬á áááºáááºá á¬ážááœááºááœá±ážáá»ááºá áá¬ááŸá áºáá¯ááŸááááºá
á¡áááá·áºáá¯á¶ážáá¯ááºáá»á áááẠ(SLA) - ááá¯á¡áá»áááºááœáẠSLA ááᯠáá»á±áááºá á±ááá·áº á¡ááºáá¬áá±á·á áºá¡á¬ážáá¯á¶ážááŸá á á®áá¶ááá·áºááœá²áá°á០ááá¯ááºááá¯ááºáááºááŸááºáá¬ážáá±á¬ á¡áá±ážáá»ááẠ(áá¯ááºáá»á ááááº) áááºáá¬áá±á¬ á¡áá»áá¯ážá¡á á¬ážááᯠááœá±ážáá»ááºáá¬ážáááºá á€áá¯ááºááẠáááá¹áá°áá°ážááŒááºážááŸáá·áº ááá¯ááºááœáŸá²ááŒá±á¬ááºážááŒááºážáá²á·ááá¯á·áá±á¬ "á¡á á¯ááá¯ááº" á¡ááœá¬ážá¡áá¬á¡ááœáẠááá·áºáá»á±á¬áºáááºá
á¡áá±á¬ááºážáá¯á¶áž á¡áááºá¡ááœá±áž (SLA) - ဠalgorithm ááẠFortigate packets áá»á¬ážá áá¯á¶ááŸááºááŸá±á¬áá·áºááŸá±ážááŸá¯á áá¯ááºááŸá¯ááºááŸá¯ááŸáá·áº áá¯á¶ážááŸá¯á¶ážááŸá¯á¡ááŒááºá áá»ááºáááºáá»á¬ážá á¡áááºá¡ááœá±ážááᯠá¡áá²ááŒááºááẠáááºááŸá channel load ááá¯áááºáž á¡áá¯á¶ážááŒá¯ááá¯ááºáááºá á€áá¯ááºááẠVoIP ááŸáá·áº áá®áá®ááá¯ááœááºáááá·áºáá²á·ááá¯á·áá±á¬ á¡áá±ážááŒá®ážáá±á¬ á¡ááœá¬ážá¡áá¬áá»á¬ážá¡ááœáẠááá·áºáá»á±á¬áºáááºá
á€á¡ááºáááá¯áá®áááºáá»á¬ážááẠáááºááœááºáá±ážáááºážááŒá±á¬ááºážáá áœááºážáá±á¬ááºáááºáá®áᬠ- Performance SLA ááá¯áááºáááºáááºááá¯á¡ááºáááºá á€áá®áá¬ááẠá¡áá«á¡á¬ážáá»á±á¬áºá áœá¬ (á á áºáá±ážááá·áºá¡áá»áááºáá¬á) ááẠSLA ááŸáá·áº ááá¯ááºáá»á±á¬áá®ááœá±ááŸáááŸá¯ááá¯ááºáᬠá¡áá»ááºá¡áááºáá»á¬ážááᯠá á±á¬áá·áºááŒáá·áºáááº- áááºááœááºáá±ážáá»ááºáááºááœáẠáá¯ááºááá¯ážáá¯á¶ážááŸá¯á¶ážááŸá¯á latency ááŸáá·áº áá¯ááºááŸá¯ááºááŒááºážááá¯á·ááᯠá á±á¬áá·áºááŒáá·áºááŒá®áž á¡áááºá¡ááœá±ážáááºááŸááºáá»ááºáá»á¬ážááŸáá·áº áááŒáá·áºáá®áá±á¬ áááºááŸááá»ááºáááºáá»á¬ážááᯠâááŒááºážáááºâ ááá¯ááºááẠâ áááºážááá¯á·ááẠáá¯ááºááá¯ážááŸá¯áá»á¬ážá áœá¬áá¯á¶ážááŸá¯á¶ážááŒááºáž ááá¯á·ááá¯áẠááŒá¯á¶ááœá±á·áá±áááẠlatency á¡áá»á¬ážááŒá®ážá ááá¯á·á¡ááŒááºá áá®áá¬ááẠáá»ááºáááºá á¡ááŒá±á¡áá±ááᯠá á±á¬áá·áºááŒáá·áºááŒá®áž áá¯á¶á·ááŒááºááŸá¯áá»á¬áž áááºáá«ááá²áá² áá¯á¶ážááŸá¯á¶ážááŒááºáž (áááŸá¯ááºááŸá¬ážáá® áá»ááºááœááºááŸá¯áá»á¬áž) ááœáẠáááºážááᯠá¡á á¯á¡áá±ážá០áá¬áá®áááºááŸá¬ážááá¯ááºáááºá ááŒááºáááºááá°ááá·áºá¡áá«á áááºááá¯ááºáá¯á¶á·ááŒááºááŸá¯áá»á¬ážááŒá®ážáá±á¬áẠ(ááá·áºááºááá¯ááŒááºáááºááá°ááŒá®ážáá±á¬ááº)á áá®áá¬ááẠáá»ááºáááºá¡á á¯á¡áá±ážááá¯á· á¡ááá¯á¡áá»á±á¬ááºááŒááºááœá¬ážáááºááŒá áºááŒá®áž áá±áá¬áá»á¬ážááᯠáááºážááŸáá áºááá·áº áááºáá¶áá±ážááá¯á·áááºááŒá áºáááºá
á€áááºááŸá¬ "áá®áá¬" áááºáááºáá¯á¶áááº-
áááºá¡ááºáá¬áá±á·á
áºááœááºá ICMP-Echo-áá±á¬ááºážááá¯áá»ááºá HTTP-GET ááŸáá·áº DNS áá±á¬ááºážááá¯áá»ááºááá¯á·ááᯠá
ááºážáááºáááá¯ááá¯áá±á¬áá»á¬ážá¡ááŒá
Ạáááá¯ááºáá«áááºá command line ááœáẠááœá±ážáá»ááºá
áá¬á¡áááºážáááºááŸááá«áááº- TCP-echo ááŸáá·áº UDP-echo ááœá±ážáá»ááºá
áá¬áá»á¬ážá¡ááŒáẠá¡áá°ážááŒá¯á¡áááºá¡ááœá±ážááá¯ááºážáá¬ááŒááºážáááá¯ááá¯áá±á¬ - TWAMP á
ááá¯ááºážáá¬ááŒááºážááááºáá»á¬ážááᯠáááºá¡ááºáá¬áá±á·á
áºááœáẠááœá±á·ááŒááºááá¯ááºáááº-
ááŒá®ážáá±á¬á· command line ááŸá¬
ááŒáá¬áá¬ááŸá¬ááœá±ááŸááºážáá±ážááŒááºáž
á ááºážáá»ááºážáá áºáá¯ááᯠáááºáááºáá®ážáá¬ážáá±á¬áºáááºáž á¡áá¬á¡á¬ážáá¯á¶ážááẠáá»áŸá±á¬áºááá·áºáá¬ážááá·áºá¡ááá¯ááºáž á¡áá¯ááºáááŒá áºáá«áá SD-WAN á ááºážáá»ááºážáá»á¬ážá á¬áááºážááŸá Hit Count áááºááá¯ážááᯠáááºááŒáá·áºááŸá¯ááá·áºáááºá áá¬ááºááŒá±á¬á¡ááœá¬ážá¡áá¬ááẠá€á ááºážáá»ááºážááœáẠáá¯á¶ážá á¡áá»á¯á¶ážáááºááŒááºáž ááŸááááŸáááᯠááŒááá«áááº-
áá®áá¬ááá¯ááºááá¯ááºá áááºáááºá
á¬áá»ááºááŸá¬ááœááºá á¡áá»áááºááŒá¬áá¬áááºááŸáá·áºá¡áá»áŸ áá»ááºáááºáá±á¬ááºáá»á¬ážááœáẠá¡ááŒá±á¬ááºážá¡áá²áá»á¬ážááᯠáááºááœá±á·ááŒááºááá¯ááºáá«áááºá á¡á
ááºáá»áá»ááºážááẠááá·áºáááºáá±á¬ááºáááºááá¯ážááᯠááœáŸááºááŒáááºá
áááºá¡ááºáá¬áá±á·á
áºááœáẠáá±áá¬áá±ážááá¯á·/áááºáá¶áááŸáááŸá¯ááá¬áááŸáá·áº áááºááŸááºá¡áá±á¡ááœááºá¡á¬ážááŒáá·áº áá¬ááºá¡ááœá¬ážá¡áá¬ááᯠáááºáá²á·ááá¯á· ááŒáá·áºáá±áááºááᯠáááºááŒáá·áºááŸá¯ááá¯ááºáááº-
áá«ááœá±á¡á¬ážáá¯á¶ážá¡ááŒááºá á¡áá»á¬ážáá¯á¶ážá¡áá±ážá
áááºá¡áá»ááºá¡áááºááœá±áá²á· packets ááœá±áá²á·áááºážááŒá±á¬ááºážááᯠááŒá±áá¬áá¶ááá¯á· á¡áá±á¬ááºážáá¯á¶ážá¡ááœáá·áºá¡áá±ážáá
áºáá¯ááŸááá«áááºá á
á
áºááŸááºáá±á¬ááœááºáááºááœááºá¡áá¯ááºáá¯ááºáá±á¬á¡áá«á á
ááºáá
á¹á
ááºážááœá²á·á
ááºážáá¯á¶ááẠSD-WAN áá±á«ááºáá»á¬ážáá
áºáá»áŸá±á¬ááºááœáẠáááºážááŒá±á¬ááºážáá±á«áºáá
á®áá»á¬ážá firewalling ááŸáá·áº traffic distribution á¡áá»á¬ážá¡ááŒá¬ážááᯠá
á¯áá±á¬ááºážáá¬ážáááºá á€á¡áá¬á¡á¬ážáá¯á¶ážááẠáá
áºáá¯ááŸáá·áºáá
áºáᯠááŸá¯ááºááœá±ážáá±á¬áááºážáááºážááŒáá·áº á¡ááŒááºá¡ááŸááºáááºáá±á¬ááºááŸá¯ááŸáááŒá®áž áá±á¬ááºážáá»áá°ááẠpacket processing algorithms áá¡áá±ážá
áááºááá±á¬ááºáá¯á¶áá»á¬ážááᯠáá¶á·ááá¯ážáá±ážáá±á¬áºáááºáž áá®á¡áá¯áá®áá»á¬ážááá¯áááºáá±á¬ááºá áá
ááºážáááºááá¯ááºáá² á¡ááœá¬ážá¡áá¬á¡ááŸááºááááºááœá¬ážáá±ááá·áºáá±áá¬ááá¯ááŒáá·áºááẠá¡ááœááºá¡áá±ážááŒá®ážáá«áááºá
á¥ááá¬á¡á¬ážááŒáá·áºá á¡á±á¬ááºáá« command á¡á á¯á¶
diagnose debug flow filter saddr 10.200.64.15
diagnose debug flow filter daddr 10.1.7.2
diagnose debug flow show function-name
diagnose debug enable
diagnose debug trace 2
10.200.64.15 ááŸáá·áº áŠážáááºáá¬ááááºá
ᬠ10.1.7.2 ááŸááá±á¬ á¡áááºážá¡ááŒá
áºááááºá
á¬áá«áá±á¬ á¡áá¯ááºááŸá
áºáá¯ááᯠááŒá±áá¬áá¶ááœáá·áºááŒá¯áááºá
áá»áœááºá¯ááºááá¯á·ááẠ10.7.1.2 á០10.200.64.15 ááᯠááŸá
áºááŒáááºááá¯ááºááá¯áẠping áá¯ááºááŒá®áž console áá±á«áºááŸá output ááá¯ááŒáá·áºáá«á
áááá¡áá¯ááº-
áá¯áááá¡áá¯ááº-
á€áááºááŸá¬ firewall ááŸáááºáá¶áááŸááá±á¬ ááááá¯á¶áž packet ááŒá
áºáááºá
id=20085 trace_id=475 func=print_pkt_detail line=5605 msg="vd-Internet:0 received a packet(proto=1, 10.200.64.15:42->10.1.7.2:2048) from DMZ-Office. type=8, code=0, id=42, seq=0."
VDOM â Internet, Proto=1 (ICMP), DMZ-Office â МазваМОе L3-ОМÑеÑÑейÑа. Type=8 â Echo.
áá°á·á¡ááœáẠá
ááºááŸááºá¡áá
áºáá
áºáá¯ááᯠáááºáá®ážáá¬ážáááº-
msg="allocate a new session-0006a627"
áááºážááŒá±á¬ááºážáá±á«áºáá
á®áááºáááºáá»á¬ážááœáẠááá¯ááºáá®ááŸá¯áá
áºáá¯ááᯠááœá±á·ááŸááá²á·áááºá
msg="Match policy routing id=2136539137: to 10.1.7.2 via ifindex-110"
áááºáááºááᯠVPN á¥áááºáá»á¬ážáá²á០áá
áºáá¯ááá¯á· ááá¯á·ááẠááá¯á¡ááºááŒá±á¬ááºáž ááœá±á·ááŸáááá«áááº-
"find a route: flag=04000000 gw-192.168.254.1 via DC-Ph1-1"
Firewall áá°áá«ááá»á¬ážááœáẠá¡á±á¬ááºáá«ááœáá·áºááŒá¯áá»ááºá
ááºážáá»ááºážááᯠááœá±á·ááŸááááº-
msg="Allowed by Policy-3:"
áááºáááºááᯠáá¯ááºááŸááºáá¬ážááŒá®áž VPN á¥áááºááá¯á· ááá¯á·áááº-
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-1"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-1"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
áá¯ááºááŸááºáá¬ážáá±á¬ áááºáááºááᯠဠWAN á¡ááºáá¬áá±á·á
áºá¡ááœáẠááááºáá±ážááááºá
á¬ááá¯á· ááá¯á·áááº-
msg="send to 2.2.2.2 via intf-WAN1"
áá¯ááááááºáááºá¡ááœááºá á¡áá¬á¡á¬ážáá¯á¶ážááẠá¡áá¬ážáá°ááŒá
áºáá±áá±á¬áºáááºáž áááºážááᯠá¡ááŒá¬ážáá±á¬ VPN á¥áááºááá¯ááºáá±á«ááºážááá¯á· áá±ážááá¯á·ááŒá®áž ááá°áá®áá±á¬ firewall port ááŸáááá·áº ááœááºááœá¬ááœá¬ážáááº-
func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-DC-Ph1-2"
func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-DC-Ph1-2"
func=esp_output4 line=905 msg="IPsec encrypt/auth"
func=ipsec_output_finish line=622 msg="send to 4.4.4.2 via intf-WAN2"
ááŒá±ááŸááºážáá»ááºáá¡á¬ážáá¬áá»ááºáá»á¬áž
áá¯á¶ááŒááºá áááºáá»ááá±á¬ áá¯ááºáá±á¬ááºááá¯ááºá áœááºážááŸáá·áº á¡áá¯á¶ážááŒá¯áááœááºáá°áá±á¬ áá»ááºááŸá¬ááŒááºá SD-WAN áááœááºážáá¬ážáá® FortiOS ááœááºáááŸáááá¯ááºáá±á¬á¡ááºá¹áá«áááºá¡á á¯á¶ááá¯á¡ááŒáá·áºá¡áááááºážááááºážáá¬ážáááºá ááá¯ááá¯áááºááŸá¬ áá»áœááºá¯ááºááá¯á·ááœáẠá¡áá áºáá®ááœááºáá¬ážáá±á¬ áá±á¬á·ááºáá²áááŸááá±á¬áºáááºáž áááºáá±ááŒáá¬ážáá±á¬ firewall áá±á¬ááºážáá»áá°áá¶á០ááá·áºáá»ááºáá±á¬á áá áºáá áºáá¯ááŒá áºáááºá ááá¬ážááá¯ážáá» ááœááºáááºáá¯ááºáá±á¬ááºáá»ááºáá»á¬ážá á¡áááºááŒá±ááŒá®áž áá±á·áá¬áááœááºáá°áá±á¬ áááºá¡ááºáá¬áá±á·á áºáá áºáá¯ááŒáá·áºá SD-WAN áá±á¬ááºážáá»áá° áááºáá»áŸááŸááááºá á¡áá¯á¶ážá ááºáá á¹á ááºážáá»á¬ážááœáẠá¡áá±ážááŸáááºáá±á¬ááºááá¯ááºáá±á¬ VPN áá¯ááºáá±á¬ááºáá»ááºááŸááááºáᯠááá¯ááá¯ááºááẠá
áá¯á¶ááŒá¯á¶áá±ážá¡ááá·áº 80 FortiGate ááẠááááºáááºáž firewall ááŒá±ááŸááºážáá»ááºáá áºáá¯ááŒá áºáááºá á¡ááºáá¬áááºáá±á«áºááœáẠFirewall áá»á¬ážáááºáá±á¬ááºááŒááºážááŸáá·áº á á®áá¶ááá·áºááœá²ááŒááºážááá¯ááºáᬠá¡ááŒá±á¬ááºážá¡áá¬áá»á¬ážá áœá¬ááŸáááŒá®áž á¡áá¯ááºááá¬ážáá±ážááœááºááœáẠáá±á¬ááºážáá»áá°áááŒá±ááŸááºážáá»ááºáá»á¬ážááᯠáá»áœááºážáá»ááºááŒá®ážáá±á¬ áá¯á¶ááŒá¯á¶áá±ážáá»áœááºážáá»ááºáá°áá»á¬ážá áœá¬ááŸááááºá
SD-WAN áá¯ááºáá±á¬ááºááá¯ááºá áœááºážá¡ááœáẠáá¯áá á»á±ážááŸá¯ááºážá FortiGate ááœáẠSD-WAN ááœááºáááºááá¯áááºáá±á¬ááºááŒááºážááẠSD-WAN áá¯ááºáá±á¬ááºáá»ááºááá¯á¡áá±á¬ááºá¡áááºáá±á¬áºááẠáá±á¬ááºáááºááá¯ááºá ááºáá»á¬ážáááá¯á¡ááºáá±á¬ááŒá±á¬áá·áº áááºážááœááºáá¯á¶ááŸáẠWAN ááœááºáááºááá¯áááºáá±á¬ááºááŒááºážááŸáá·áºá¡áá°áá°áááºááŒá áºáá«áááºá
áááºáá±á«áẠá¡áá¬ážá¡áá®áž áááºážáá«ážáá±á¬ áá±ážááŸá¯ááºážá Fortigate ááœáẠááá°áá®áá±á¬ á áœááºážáá±á¬ááºáááºá¡ááá·áºáá»á¬ážá¡ááœáẠá ááºáá»á¬ážááᯠáá±á¬ááºážááœááºá áœá¬ á¡ááá·áºáááºááŸááºáá¬ážáá«áááºá á¡áááºá¡áááºáá¯á¶ážááŸáá·áº á á»á±ážá¡áááºáá¬áá¯á¶áž áá±á¬áºáááºáá»á¬ážááẠáááºáááºáž á-á áá±á¬ááºááŒáá·áº áá¯á¶ážáááºáž ááá¯á·ááá¯áẠá¡áá±á¬ááºážááœáá¯áá·áºááᯠááá¯ážáá»á²á·áááºá¡ááœáẠá¡ááœááºááá·áºáá»á±á¬áºáá«áááºá á á»á±ážáá±á¬ááºážáá°áá±á¬áºáá±á¬áºáá»á¬ážáá»á¬ážáᬠá áœááºážáá±á¬ááºáááºáááá·áºááŒá®áž áááºááá¯ááºáá²á·áá±á¬áºáááºááœá± áááŸáááŒáá«áá°ážá
ááŒáá·áºáá¬ážáá±á¬á áœááºážáá±á¬ááºáááºá SD-WAN áá¯ááºáá±á¬ááºááá¯ááºá áœááºážááᯠáá»áŸá±á¬á·áá»ááŒááºážááẠá¡ááœá¬ážá¡áᬠáá»áááºááŸáááŒááºážá¡ááœáẠáá¯áá¹ááá®á¡á¬áž SD-WAN áá¯ááºáá±á¬ááºáá»ááºááŒá±á¬áá·áº Firewall áá áºáá¯áá¯á¶ážá á áœááºážáá±á¬ááºáááºááᯠááá»áŸá±á¬á·áá»ááá¯ááºáá±á¬ááŒá±á¬áá·áº á¡áá°ážááŒá¯ SD-WAN ASIC ááᯠáá¯ááºááŒááºááá¯ááºá á±áá²á·áááºá
Fortinet á ááºáá á¹á ááºážáá»á¬ážááœáẠáá¯á¶ážáááºážáá áºáá¯áá¯á¶ážááᯠá¡áá±á¬ááºá¡áááºáá±á¬áºááá¯ááºááŸá¯á áááºážááá¯á·ááẠfirewalls áá áºá á¯á¶á ááá¯ááºáá»á¬ážá Wi-Fi á¡áá¯á¶ážááŒá¯ááœáá·áºá¡áá»ááºáá»á¬ážááŒá áºáááºá ááá¯ááá¯á·áá±á¬áá¯á¶ážáááºážááẠá á®áá¶ááá·áºááœá²ááẠááœááºáá°ááŒá®áž á¡áááºááŒá±ááẠ- ááá¯ááºáá»á¬ážááŸáá·áº access point áá»á¬ážááᯠfirewalls ááœáẠá á¬áááºážááœááºážááŒá®áž áááºážááá¯á·áá¶á០á á®áá¶ááá·áºááœá²áá«áááºá á¥ááá¬á¡á¬ážááŒáá·áºá á€ááá¯ááºááᯠááááºážáá»á¯ááºááá·áº firewall interface á០switch port ááẠáááºááá¯á·áááºáá¯á¶ááŒá áºáááº-
áá»áá¯á·ááœááºážáá»ááºááá
áºáá¯áááºážáá±á¬á¡áá»ááºá¡ááŒá
Ạááááºážáá»á¯ááºáááááá¬áá»á¬ážáááŸáááŒááºážá áá±á¬ááºážáá»áá°ááá¯ááºááá¯ááºá áááºážááᯠá¡á¬áá¯á¶á
áá¯ááºáááºá ááá¯á·áá±á¬áº áááºážááᯠáá
áºá
áááºáá
áºááá¯ááºážáᬠá¡áá»áá¯ážá¡ááŒááºáᯠáá±á«áºááá¯ááá¯ááºáááºá á¡ááŒá±á¬ááºážááŸá¬ ááááºážáá»á¯ááºáááááá¬áá»á¬ážááŸááá±á¬ áá±á¬ááºážáá»áá°áá»á¬ážá¡ááœáẠáááºážááá¯á·áá¡ááŸá¬ážááᯠáááºážáá¶ááá¯ááºááŸá¯ááẠá
á»á±ážáááŒá®ážááŒá±á¬ááºáž áá±áá»á¬á
á±áááºá¡ááœááºá á¡áá»á¬ážá
á¯ááŸá¬ virtualization áááºážáá»ááºááŸá ááœááºáá»á°áá¬á¡áááºážá¡ááŒá
áºá¡áááºážáááºáá
á»á±ážááŸá¯ááºážááŒáá·áºáᬠááŒá
áºáá±á·ááŸááá±á¬ááŒá±á¬áá·áºááŒá
áºáááºá
áá¬ááŸá¬áááá²
Control Plane ááŸáá·áº Data Plane ááœá²ááŒá¬ážááŸá¯áááŸááá«á. ááá¯ááá¯áááºááŸá¬ ááœááºáááºááᯠááá¯ááºááá¯áẠááá¯á·ááá¯áẠááá¯ážáá¬á á®áá¶ááá·áºááœá²ááŸá¯ áááááá¬áá»á¬ážááᯠá¡áá¯á¶ážááŒá¯á ááŒááºáááºáááºááŸááºáááẠ- FortiManagerá ááá¯ááá¯á·áá±á¬ ááœá²ááŒá¬ážááŸá¯ááᯠá¡áá±á¬ááºá¡áááºáá±á¬áºáá±á¬ áá±á¬ááºážáá»áá°áá»á¬ážá¡ááœááºá ááœááºáááºááᯠáá°á·áá¬áá¬áá° á á¯á ááºážáá¬ážáááºá á¡ááºááááºááẠáááºážá topology ááᯠáá»áááºááŸááááºáᬠááá¯á¡ááºááŒá®áž áá áºáá±áá¬áá¬ááœáẠáá áºá á¯á¶áá áºáá¬ááᯠáá¬ážááŒá áºáááºáᬠááá¯á¡ááºáá±áááá·áºáááºá ááá¯á·áá±á¬áºáááºáž FortiManager á ááŸááºáá²ááẠfirewalls áá»á¬ážááá¯áá¬áá switches áá»á¬ážááŸáá·áº Wi-Fi access point áá»á¬ážááá¯áá« á á®áá¶ááá·áºááœá²ááá¯ááºáááºááŸá¬ ááœááºáááºáá áºáá¯áá¯á¶ážáá®ážáá«ážááŒá áºáááºá
ááááºážáá»á¯ááºááá¯ááºááŸá¯ á¡ááŒá±á¡áá± ááá¯ážáá¬áááºá ááœááºáááºááœá²á·á ááºážáá¯á¶ááᯠá¡ááá¯á¡áá»á±á¬ááºáá¯ááºáá±á¬ááºááẠááá¬ážááá¯ážáá»áááááá¬áá»á¬ážááᯠá¡áá¯á¶ážááŒá¯áá¬ážáá±á¬ááŒá±á¬áá·áº SD-WAN ááááºáááºááŒááºážááŒáá·áº ááœááºáááºá á®áá¶ááá·áºááœá²ááá¯ááºááŸá¯ á¡áááºážáááºááá¯ážáá¬áááºá á¡ááŒá¬ážáá áºáááºááœááºá áá±á¬ááºážáá»áá°ááẠáááºážááᯠfirewall áááºáááºááŸá¯á áá áºá¡ááœááºáᬠ(áááºážááá¯áá»ááºáá»ááºážá¡áá¯á¶ážááŒá¯ááá¯ááºá á±áááº) á¡ááœááºáᬠáá¯ááºáá¯ááºáááºááŒá áºáá±á¬ááŒá±á¬áá·áº áá¯ááºáá±á¬ááºáá»ááºá¡áá áºáá»á¬ážááẠááá¯ááá¯ááŒááºáááºáá¬ááŒá®áž á á®áá¶ááá·áºááœá²ááŸá¯á áá áºááᯠááá¯á¡ááºáá±á¬ interface áá»á¬ážááŒáá·áº ááŒáá·áºá áœááºáá±ážáá«áááºá
áá¯ááºáá±á¬ááºáá»ááºá¡áá»áá¯á·ááᯠá¡áááá·áºáá±ážá á¬ááŒá±á¬ááºážá០áááá¯ááºáá±á¬áºáááºáž áááºá¡ááºáá¬áá±á·á áºá០ááááŸáááá¯ááºáá«á áá áºáá¯áá¯ááᯠconfigure áá¯ááºááẠcommand line ááá¯á·ááœá¬ážááŒááºážááẠáá áºáá«áá áºáá¶ááœáẠá¡ááœááºááŒá±á¬ááºá áá¬ááá¯ááºáá±á¬áºáááºáž áá áºá á¯á¶áá áºáá±á¬ááºááẠcommand line á០áá áºá á¯á¶áá áºáŠážááᯠconfigure áá¯ááºáá¬ážááŒá®ážáá±á¬ web interface ááœáẠáááœá±á·áááŒááºážááŸá¬ ááŒá±á¬ááºá áá¬áá±á¬ááºážáá«áááºá ááá¯á·áá±á¬áº áááºážááẠá¡áá»á¬ážá¡á¬ážááŒáá·áº áá±á¬ááºáá¯á¶ážáá±á«áº á¡ááºá¹áá«áááºáá»á¬ážááŸáá·áº áááºááá¯ááºááŒá®áž áá áºááŒááºážááŒááºážá FortiOS á¡ááºááááºáá»á¬ážááŒáá·áº áááºá¡ááºáá¬áá±á·á áºá á áœááºážáá±á¬ááºáááºáá»á¬ážááᯠááŒáŸáá·áºáááºáá±ážáá«áááºá
áááºáá°áá²á· ááá¯ááºáááºááá²á
á¡ááá¯ááºážá¡áááºáá»á¬ážá áœá¬áááŸááá°áá»á¬ážá¡ááœááºá ááœááºááẠá-áá ááŸáááá·áº ááœááºáááºááœáẠááŸá¯ááºááœá±ážáá±á¬ áááá¯á¡á áááºá¡ááá¯ááºážáá»á¬ážááŒáá·áº SD-WAN ááŒá±ááŸááºážáá»ááºááᯠá¡áá±á¬ááºá¡áááºáá±á¬áºááŒááºážááẠááá±á¬ááºážááá¯ááºááᯠáá¯ááºáá»áááºááá¯ááºáá« - áááá¯á¡á áááºá¡ááá¯ááºážáá»á¬ážááᯠáááºáá¶áá»ááºážááááºá¡ááœáẠSD-WAN á ááºáá»á¬ážá¡ááœáẠááá¯ááºá ááºáá»á¬ážááŸáá·áº virtualization á áá áºáááºážááŒá áºáá»á¬ážá¡ááœáẠááœá±áá¯á¶ážá áœá²ááááºááŒá áºáá«áááºá áá¯áá¹ááá®áááºáá áºáá¯ááœáẠá¡áá»á¬ážá¡á¬ážááŒáá·áº á¡ááá²á· ááœááºáá»á°áá¬ááá¯ááºáᬠá¡áááºážá¡ááŒá áºáá»á¬ážááᯠááá·áºáááºáá¬ážáááºá Fortinet áááá á¹á ááœááºá ááá¯ážááŸááºážá áœá¬ firewalls ááá¯áááºáááºáá¯á¶áá±á¬ááºáááºá
á¡ááá¯ááºážá¡áááºáá±ážááœá± á¡áá»á¬ážááŒá®ážááŸááá²á·áá°ááœá±á¡ááœááºá áá±á¬ááºážáá»áá°á¡áá»á¬ážá¡ááŒá¬ážá¡ááœááºá áááºááœá²áá áºáá¯áá»áŸáẠá¡áááá·áºáá¯á¶ážááŒá±ááŸááºážáá»ááºá á»á±ážááŸá¯ááºážááẠá¡ááœááºááŒáá·áºáá¬ážááŒá®áž áá±á¬ááºáááºááá¯ááºáááºážááᯠá¡áá¯á¶ážá áœááºáá±á¬á¡ááŒááºááŒáá·áº á áááºáááºá á¬ážááœááºáááŸááá«á Fortinet ááẠá¡ááœááºááœá²áá±á¬ááºááŸá¯ááŸááá±á¬ áá±ážááŸá¯ááºážáá»á¬ážááŒáá·áº áá±ážáááºáá±á¬ á ááºáááááá¬áá»á¬ážááᯠáá±ážáá±á¬ááºáááºá
ááŸááºážááá¯á· á¡áááºááá·áºáááŒá
áºáá±ážáá°áá»á¬ážá¡ááœááºáá«á SD-WAN ááᯠcontrollers áá»á¬ážááŸáá·áºá¡áá° á¡áá±á¬ááºá¡áááºáá±á¬áºááŒááºážá áá
áºáŠážáááºážááá¯ááºáááºážááŒá±á¬ááºážáááºááŸááºááŒááºážááŸáá·áº ááœááºáááºá
á®á
ááºááŒááºážááŸáá·áº á
á®áá¶ááá·áºááœá²ááŒááºážááá¯ááºáᬠáá»ááºážáááºááŸá¯á¡áá
áºááẠá¡áá»áá¯á·áá±á¬áá±á¬ááºáááºáá»á¬ážá¡ááœáẠááŒá®ážáá¬ážáá±á¬ááŒá±ááŸááºážááŒá
áºááá¯ááºáááºá áá¯ááºáá«áááºá ááá¯ááá¯á·áá±á¬ á¡áá±á¬ááºá¡áááºáá±á¬áºááŸá¯ááẠáááºááœááºáá±ážáááºážááŒá±á¬ááºážáá»á¬ážá¡áá¯á¶ážááŒá¯ááŸá¯ááŸáá·áº á
á®áá¶ááá·áºááœá²áá°áá»á¬ážááá¯ááºáááºážááᯠá¡áá±á¬ááºážáá¯á¶ážááŒá
áºá¡á±á¬áẠáá°áá®áá±ážáááºááŒá
áºááŒá®ážá ááá¯á·áá±á¬áº áŠážá
áœá¬áááºááẠá¡áá
áºá¡áááºážáá»á¬ážá
áœá¬ááᯠáá±á·áá¬áááºáá°ááááºááŒá
áºáááºá áá«áá¬ááá¯ááºážá¡ááŒá±á¬ááºážá¡ááœáŸá±á·á¡ááœáẠá¡áááºááá·áºáááŒá
áºáá±ážáá±á¬áºáááºáž áááºážááá¯á·á áááºááœááºáá±ážáááºážááŒá±á¬ááºážáá»á¬ážá០ááá¯ááá¯ááŸá
áºáá¯ááºááá¯áá°áá»á¬ážá¡ááœáẠFortinet á០ááŒá±ááŸááºážáá»ááºááẠááŸááºáááºáá«áááºá
source: www.habr.com